Новости
Сергей Звезда

Обезличенные данные россиян о вакцинации выставили на продажу за $100 тыс. Предположительно, в базе 48 млн сертификатов

Журналисты предупреждали чиновников о уязвимости ещё полгода назад, но Минцифры объявило о проверке только сейчас.

На одном из теневых форумов появилось объявление о продаже базы данных объёмом 150 ГБ, состоящей из QR-кодов россиян о вакцинации против Covid-19. Об этом сообщил автор телеграм-канала «Утечки информации», который специализируется в том числе на мониторинге даркнета.

По словам продавца, в полном архиве содержится 48 миллионов строк, что соответствует 48 миллионам сертификатов о вакцинации. Он утверждает, что получил данные из приложения «Госуслуги СТОП Коронавирус», и требует за таблицу 100 тысяч долларов.

В образце данных, который предоставлен продавцом, содержится 10 тысяч строк. Там есть:

  • первые буквы фамилии, имени и отчества на русском и на английском языках;
  • дата рождения;
  • уникальный номер регистровой записи (его можно увидеть на странице сертификата о вакцинации, он состоит из цифры «9», кода региона и порядкового номера пациента из 16 цифр);

  • первые две цифры серии и последние три цифры номера паспорта;

  • название вакцины на обоих языках;

  • QR-код в PNG-формате и срок его действия.

скриншот из телеграм-канала «Утечки информации»

«Утечки информации» подтвердили достоверность базы с помощью выборочной проверки. «QR-коды действительные, ведут на сайт Госуслуг и данные в образце полностью совпадают с тем, что указано на официальной странице проверки QR-кодов», — указано в телеграм-канале.

По словам автора «Утечек информации», выставленный архив не содержит персональных данных. Это же отмечает и журналист «Медиазоны» Максим Литаврин, который уточняет, что «базу можно обогатить при помощи других».

«Медиазона» обнаружила уязвимость в реестре сертификатов о вакцинации в августе 2021 года и тогда же сообщила об этом в «Ростелеком» и Министерство цифрового развития, рассказал Литаврин. В подтверждение своих слов журналист опубликовал скриншот письма. Суть «дыры» состояла в том, что путём перебора можно было получить информацию о каждом вакцинированном в России. Как подчеркнула «Медиазона», редакция так и не добилась ответа от чиновников, а уязвимость продолжала существовать как минимум до 15 декабря. Сейчас ей воспользоваться нельзя.

Поздним вечером 25 января СМИ получили комментарий от Минцифры. В пресс-службе ведомства рассказали РБК и ТАСС о начале проверки сообщений об утечке. Минцифры утверждает, что угроз для безопасности личных данных пользователей приложения «Госуслуги СТОП коронавирус» нет.

#новости #уязвимости #covid19 #даркнет