Ситуация с утечкой данных 16 млн казахстанцев обрастает новыми интересными подробностями. В архиве вместе с данными граждан РК оказалась информация о тысячах граждан других стран СНГ и сотнях — почти со всего мира. С чем это может быть связано, что делать, если вы обнаружили себя в базе, а также как предотвратить подобные инциденты на государственном уровне, выяснял корреспондент Centralmedia24.
Друг Тelegram-канала, посвящённого цифровым технологиям, «IT-бауырсақи», технический эксперт Мират Н. тоже проанализировал архив, попавший в сеть.
«Уникальных ИИН я насчитал 15 851 703. Цифра по сути та же, что у канала SecuriXy.kz (первоисточник информации о слитом в сеть архиве. — Ред.). Потом я убрал уникальные ИИН. Получилось, что (данные граждан. — Ред.) 167 стран из 195 существующих сейчас присутствуют в архиве. При этом я вычел графы ”неизвестно», «без гражданства” и так далее», — рассказал эксперт.
По его мнению, эту базу потенциально можно использовать по-разному. В архиве чувствительная личная информация, которая попадает под закон о защите персональных данных.
«С помощью неё могут реализовывать банковские мошеннические операции. Могут также сопоставить и вычислить членов семьи и тоже как-то это использовать. К сожалению, мошенники изобретательны. В базе не только граждане Казахстана, а более чем 160 стран мира. Топ-5: Казахстан, Россия, Узбекистан, Кыргызстан и Таджикистан. При этом там явно не все, у кого есть казахстанский ИИН. К примеру, меня в этой базе нет, как и некоторых моих друзей, а другие друзья есть», — подчеркнул специалист.
Отвечая на вопрос о том, по какому принципу иностранцы попали в этот список, Мират предположил, что это могут быть «люди, которые получали ИИН в Казахстане». По его словам, в документе присутствуют поля: «дата начала проживания и дата конца», но точно, что это за даты — «пока непонятно».
Эксперт считает, что правил цифровой безопасности стоит придерживаться вне зависимости от того, есть ваше имя в базах или нет.
«Не стоит ничего сообщать по телефону сотрудникам «банка», «мобильного оператора» и так далее. Не использовать в качестве паролей дни рождения, имена детей, телефоны и так далее. Сейчас с развитием ИИ стоит для своей семьи придумать какое-то кодовое слово и согласовать какой-то ещё вариант аутентификации. И, вероятно, всё же надо поставить запрет на получение кредита. Не уверен, правда, что это действенный способ», — признался спикер.
Мират также предполагает, что базу могли продавать, но кто-то случайно или нарочно её слил. После этого она потеряла свою ценность для злоумышленников, пытающихся монетизировать уникальные данные. Однако её информационная ценность от этого не стала меньше. Вспоминая заявление Минцифры об устаревшей информации, эксперт подчеркнул, что такое утверждение не совсем верно.
«Непонятно что значит “старая” в их понимании. Там не так много информации, которая может устаревать. Если старая была в объёме меньше, а теперь просто стала больше, это ничего не меняет, просто делает базу еще интереснее. Судя по датам рождения, там есть родившиеся в 2024 году, а гарантии, что слив не повторится, конечно, нет никакой», — заключил специалист.
Под ударом все казахстанцы 1950-2024 годов рождения
Партнер юридической фирмы DRCQ — команды ведущих юристов в сфере киберправа — Елжан Кабышев рассказал Centralmedia24, что данные из распространяемой утечки базы данных — это ключевые «атрибуты» абсолютно каждого человека. С их помощью можно не просто установить личность, но и многократно использовать утекшие сведения для цифровой идентификации и мошеннических действий.
«ИИН не изменяем пожизненно, а значит любой, кто им владеет, получает «постоянный ключ» к человеку. Связка «телефон + ИИН» легко пробивается через маркетинговые и банковские сервисы, раскрывая дополнительную информацию. Под ударом по сути все казахстанцы 1950-2024 годов рождения, чьи данные попали в этот массив: их могут использовать для маркетинга, мошенничества, фишинга, социальной инженерии и других злоупотреблений», — пояснил специалист.
Чтобы обезопасить себя, он рекомендует:
- Подать заявление в eGov.kz о блокировке оформления займов.
- Включить 2FA (двухфакторная аутентификация) во всех своих аккаунтах в почтовых сервисах, социальных сетях, маркетплейсах и т.д.
- Игнорировать незнакомые номера, не переходить по ссылкам из SMS/мессенджеров, проверять реквизиты отправителей.
- Сократить объём публично доступной информации о себе и пересмотреть настройки конфиденциальности в соцсетях, мессенджерах, интернет-сайтах, а также на своих устройствах.
«Чаще всего базы продают для заработка, но если данные уже устарели для злоумышленников или их неоднократно перепродавали, цена падает — проще слить ради хайпа. Публикация может сопровождаться рекламой более свежих баз того же автора. А иногда мотив политический или репутационный — нанести имиджевый ущерб владельцу базы (государству или частнику. — Ред.)», — отметил Елжан Кабышев.
Все, кто скачал файл, могут стать следующими в цепочке распространения:
- перепродать его на даркнет-площадках;
- добавить свежие колонки и «обновить» базу;
- опубликовать её повторно в открытом доступе.
Чем больше копий, «тем выше вероятность нового появления данных в сети».
«Теоретически виновные подпадают под статью 147 УК РК “Незаконный сбор/распространение персональных данных”. Наказание — до 7 лет лишения свободы при отягчающих обстоятельствах», — сказал юрист.
Практически же, по его мнению, есть две сложности:
- Необходимо установить, кто именно извлёк данные из информационной системы — это требует цифровой трассировки и международного взаимодействия.
- Касательно сроков давности (статья 71 УК РК). Если изначальный взлом произошёл более пяти лет назад и его квалифицировали как «средней тяжести», привлечь источник будет трудно. При этом каждое новое распространение можно рассматривать как самостоятельное преступление с новым отчётом срока давности, что оставляет следствию пространство для работы.
«Владельцам информационных систем, допустившие утечку, грозит административная или уголовная ответственность за ненадлежащее обеспечение безопасности персональных данных»,— добавил Елжан Кабышев.
Без реформы расследование утечек останется ограниченным
Отдельный системный вопрос — эффективность контроля. Полномочия по защите персональных данных в Казахстане находятся у Министерства цифрового развития.
Это означает, что регулятор не обладает институциональной независимостью, то есть ему сложнее инициировать и проводить действительно беспристрастные проверки в отношении других государственных органов, которые активно собирают и обрабатывают персональные (в том числе чувствительные) данные.
По мнению Елжана Кабышева, для реального усиления института защиты персональных данных необходимо:
- выделить регулятора из структуры министерства в самостоятельный орган, независимый от проверяемых ведомств;
- наделить его полноценными функциями надзора, включая право проводить проверки госорганов и применять санкции за несоблюдение законодательства о персональных данных.
Без такой институциональной реформы расследования утечек и профилактика нарушений «останутся ограниченными, а риск повторения подобных инцидентов — высоким«,
заключил Елжан Кабышев.
В середине июня в открытом доступе появилась база данных, содержащая сведения более чем о 16 млн граждан Казахстана. Утечка получила неофициальное название «Жители Казахстана 2024». На фоне этого в Минцифры начали проверку, в МВД завели уголовное дело.
Читайте также:
