Украинские хакеры украли персональные данные почти всех жителей Бурятии. Их цель — получить доступ к банковским аккаунтам «Медуза» подтвердила, что это произошло, с помощью утечки «Яндекс.Еды»
Украинские хакеры получили персональные данные большинства жителей Бурятии
С «Медузой» в середине марта связались представители «закрытой группы украинского киберсопротивления». Они рассказали об успешном взломе одной из государственных систем Бурятии — информационного сервиса на базе «Единой региональной интеграционной платформы аппаратно-программного комплекса „Безопасный город“». Хакеры получили доступ к универсальному медицинскому личному кабинету (УМЛК), созданному весной 2020 года для учета больных COVID-19, контактных лиц, лиц, прошедших тестирование на ковид, и приезжих из других регионов, которые должны были оставаться на самоизоляции.
Источник из «киберсопротивления» передал нам файл buryatia.ndjson, выгруженный из системы, по его словам, 15 марта. В нем ровно 804 100 строк. В каждой строке указаны фамилия, имя и отчество конкретного человека, его день рождения, телефон и домашний адрес. Некоторые из этих полей бывают пустыми. Встречаются ошибки и опечатки, 5264 строки дублируются (записаны в этом файле от двух до восьми раз). Однако там можно найти 692 тысячи строк с уникальными фамилией, именем и отчеством. На начало 2021 года в Бурятии жили чуть меньше миллиона человек. Получается, что в руках у украинского «киберсопротивления» оказались данные большинства жителей республики.
В этом файле, среди прочих, мы нашли адреса и телефоны главы Бурятии Алексея Цыденова, председателя республиканского Верховного суда Альбины Кирилловой и спикера местного парламента Владимира Павлова. «Медуза» также попробовала отыскать в этой базе всех членов Народного хурала — парламента — Бурятии: из 65 действующих депутатов не удалось обнаружить данные лишь трех — Виктора Мальцева, Эдуарда Храмцова и Сергея Дороша (впрочем, в утекшем файле есть адрес и телефон супруги и четырехлетнего сына Дороша). И адрес, и телефон одновременно указаны у большинства членов парламента. И только у Светланы Будаевой можно найти исключительно день ее рождения, а это публичная информация.
Мы верифицировали эту утечку с помощью другой — данных пользователей «Яндекс.Еды»
Хакеры сумели добыть логины и пароли от нескольких системных аккаунтов УМЛК и прислали нам данные одной такой учетной записи (скриншот выше сделан из этого аккаунта). Логин и пароль оказались абсолютно одинаковыми: это набранные латиницей в нижнем регистре инициалы и фамилия одного из сотрудников, имевшего доступ к системе.
Судя по всему, для входа в систему не требовалось никакого второго фактора вроде СМС-сообщений или приложений с одноразовыми паролями. Мы не стали проверять работоспособность присланного нам логина/пароля, но придумали, как проверить данные другим способом.
В конце февраля 2022 года в интернете был опубликован архив с тремя SQL-файлами. Судя по описанию, там содержались данные пользователей «Яндекс.Еды», «Яндекс.Лавки» и сайта магазинов «Магнит». «Яндекс» признал утечку и извинился перед пользователями:
Об утечке мы узнали 28 февраля. Утекшая информация — массив из нескольких миллионов строк, в которых содержались сведения о заказах из «Яндекс.Еды». Это адреса, номера телефонов, имена — в том виде, в каком они указаны в сервисе, — а также даты, время и стоимость заказов. Утечки логинов, паролей и данных банковских карт не было, эта информация в безопасности.
В этой утечке мы нашли около полусотни жителей Улан-Удэ — столицы Бурятии — и сопоставили их с данными из файла buryatia.ndjson. «Медуза» проверяла номера телефонов и полные имена пользователей. В файле удалось найти большую часть пользователей «Яндекс.Еды» из Улан-Удэ. Иногда совпадали все данные вплоть до адреса, в некоторых случаях доставку еды заказывали родственники (однофамильцы) человека, чей телефон был указан в файле buryatia.ndjson.
Эти персональные данные используют для хищений денег россиян
Представитель украинского «киберсопротивления» сказал «Медузе», что эти данные «уже сейчас используются для атак на финансовый сектор», а вырученные средства отправляются на еду и одежду для украинцев. По его словам, украденные данные пытаются использовать для получения доступа к банковским аккаунтам россиян через восстановление логина и пароля для интернет-банкинга. Он отказался сообщить, сколько денег таким образом уже получилось вывести: «Этим занимаются другие активисты, и у них не принято давать какой-либо фидбэк о полученных средствах».
Мы не знаем, достаточно ли утекшей информации для восстановления доступа к интернет-банку. Но стоит учесть, что эти сведения можно обогатить за счет других утечек, в том числе из самих банков — тогда информации об одном человеке у мошенников окажется гораздо больше.
Чтобы защитить доступ к банковскому аккаунту, можно попытаться сменить пароль (особенно если вы используете везде один и тот же; делать так мы настоятельно не рекомендуем) и привязанный к аккаунту номер телефона (чтобы нельзя было перехватить СМС-сообщения от банка). Если есть возможность поставить другой второй фактор — не СМС, — сделайте это.
Мы выпустили подробную инструкцию, как защитить свой банковский аккаунт. Она — ниже.
Денис Дмитриев