Перейти к материалам
истории

Украинские хакеры украли персональные данные почти всех жителей Бурятии. Их цель — получить доступ к банковским аккаунтам «Медуза» подтвердила, что это произошло, с помощью утечки «Яндекс.Еды»

Источник: Meduza
Андрей Огородник / Scanpix / LETA

Украинские хакеры получили персональные данные большинства жителей Бурятии

С «Медузой» в середине марта связались представители «закрытой группы украинского киберсопротивления». Они рассказали об успешном взломе одной из государственных систем Бурятии — информационного сервиса на базе «Единой региональной интеграционной платформы аппаратно-программного комплекса „Безопасный город“». Хакеры получили доступ к универсальному медицинскому личному кабинету (УМЛК), созданному весной 2020 года для учета больных COVID-19, контактных лиц, лиц, прошедших тестирование на ковид, и приезжих из других регионов, которые должны были оставаться на самоизоляции.

Источник из «киберсопротивления» передал нам файл buryatia.ndjson, выгруженный из системы, по его словам, 15 марта. В нем ровно 804 100 строк. В каждой строке указаны фамилия, имя и отчество конкретного человека, его день рождения, телефон и домашний адрес. Некоторые из этих полей бывают пустыми. Встречаются ошибки и опечатки, 5264 строки дублируются (записаны в этом файле от двух до восьми раз). Однако там можно найти 692 тысячи строк с уникальными фамилией, именем и отчеством. На начало 2021 года в Бурятии жили чуть меньше миллиона человек. Получается, что в руках у украинского «киберсопротивления» оказались данные большинства жителей республики.

В этом файле, среди прочих, мы нашли адреса и телефоны главы Бурятии Алексея Цыденова, председателя республиканского Верховного суда Альбины Кирилловой и спикера местного парламента Владимира Павлова. «Медуза» также попробовала отыскать в этой базе всех членов Народного хурала — парламента — Бурятии: из 65 действующих депутатов не удалось обнаружить данные лишь трех — Виктора Мальцева, Эдуарда Храмцова и Сергея Дороша (впрочем, в утекшем файле есть адрес и телефон супруги и четырехлетнего сына Дороша). И адрес, и телефон одновременно указаны у большинства членов парламента. И только у Светланы Будаевой можно найти исключительно день ее рождения, а это публичная информация.

Мы верифицировали эту утечку с помощью другой — данных пользователей «Яндекс.Еды»

Хакеры сумели добыть логины и пароли от нескольких системных аккаунтов УМЛК и прислали нам данные одной такой учетной записи (скриншот выше сделан из этого аккаунта). Логин и пароль оказались абсолютно одинаковыми: это набранные латиницей в нижнем регистре инициалы и фамилия одного из сотрудников, имевшего доступ к системе.

Судя по всему, для входа в систему не требовалось никакого второго фактора вроде СМС-сообщений или приложений с одноразовыми паролями. Мы не стали проверять работоспособность присланного нам логина/пароля, но придумали, как проверить данные другим способом.

В конце февраля 2022 года в интернете был опубликован архив с тремя SQL-файлами. Судя по описанию, там содержались данные пользователей «Яндекс.Еды», «Яндекс.Лавки» и сайта магазинов «Магнит». «Яндекс» признал утечку и извинился перед пользователями:

Об утечке мы узнали 28 февраля. Утекшая информация — массив из нескольких миллионов строк, в которых содержались сведения о заказах из «Яндекс.Еды». Это адреса, номера телефонов, имена — в том виде, в каком они указаны в сервисе, — а также даты, время и стоимость заказов. Утечки логинов, паролей и данных банковских карт не было, эта информация в безопасности.

В этой утечке мы нашли около полусотни жителей Улан-Удэ — столицы Бурятии — и сопоставили их с данными из файла buryatia.ndjson. «Медуза» проверяла номера телефонов и полные имена пользователей. В файле удалось найти большую часть пользователей «Яндекс.Еды» из Улан-Удэ. Иногда совпадали все данные вплоть до адреса, в некоторых случаях доставку еды заказывали родственники (однофамильцы) человека, чей телефон был указан в файле buryatia.ndjson.

Эти персональные данные используют для хищений денег россиян

Представитель украинского «киберсопротивления» сказал «Медузе», что эти данные «уже сейчас используются для атак на финансовый сектор», а вырученные средства отправляются на еду и одежду для украинцев. По его словам, украденные данные пытаются использовать для получения доступа к банковским аккаунтам россиян через восстановление логина и пароля для интернет-банкинга. Он отказался сообщить, сколько денег таким образом уже получилось вывести: «Этим занимаются другие активисты, и у них не принято давать какой-либо фидбэк о полученных средствах».

Мы не знаем, достаточно ли утекшей информации для восстановления доступа к интернет-банку. Но стоит учесть, что эти сведения можно обогатить за счет других утечек, в том числе из самих банков — тогда информации об одном человеке у мошенников окажется гораздо больше.

Чтобы защитить доступ к банковскому аккаунту, можно попытаться сменить пароль (особенно если вы используете везде один и тот же; делать так мы настоятельно не рекомендуем) и привязанный к аккаунту номер телефона (чтобы нельзя было перехватить СМС-сообщения от банка). Если есть возможность поставить другой второй фактор — не СМС, — сделайте это.

Мы выпустили подробную инструкцию, как защитить свой банковский аккаунт. Она — ниже.

Вот эта инструкция

Сомневаетесь, что ваше банковское приложение надежно защищено от взломов? Правильно делаете! Советы «Медузы» для самых тревожных

Вот эта инструкция

Сомневаетесь, что ваше банковское приложение надежно защищено от взломов? Правильно делаете! Советы «Медузы» для самых тревожных

Денис Дмитриев