КРАТКОЕ СОДЕРЖАНИЕ РАССЛЕДОВАНИЯ:
- 22 мая хакерская группа под названием Team Insane Pakistan объявила в Телеграме и Фейсбуке, что они похитили персональные данные более чем 630 000 граждан и компаний Кыргызстана. Хакерская группа назвала это «акцией протеста» против событий в Бишкеке в ночь на 18 мая, когда в ходе беспорядков было применено насилие по отношению к иностранным студентам.
- Хакеры не уточнили, из каких ресурсов они получили персональные данные. Однако в ответе на вопрос журналистов «Азаттыка» эта группа заявила, что взломала субдомен сайта gov.kg, и назвала базу, которая оказалась в их руках, как данные Верховного суда. Верховный суд опроверг эту информацию.
- Исследование «Азаттыка» показало, что база данных, выложенная хакерами, содержит устаревшую информацию, однако имена, фамилии, адреса и персональные идентификационные номера многих людей все еще актуальны. В список вошли персональные данные рядовых граждан, должностных лиц Кыргызстана, политиков и руководителей, отвечающих за кибербезопасность. Часть из них до сих пор проживает по указанным адресам, другая часть сообщила, что переехала с указанного в базе адреса.
- Помимо старых адресов, в списке также содержатся персональные данные людей, умерших десять лет назад. При этом нам не удалось найти информацию об этнических кыргызах, в массовом порядке получивших кыргызское гражданство в 2022 году, а также о россиянах и созданных ими компаниях. Это еще раз подтверждает, что это устаревшая база данных. Однако в этом списке содержатся персональные идентификационные номера сотен тысяч граждан Кыргызстана, которые выдаются лишь единожды.
- Откуда были взяты персональные данные? Эксперты, работающие с базами данных, предполагают, что, скорее всего, они были похищены из систем налоговой и государственной регистрации. В то же время некоторые IT-эксперты допускают, что эта база данных может открыто циркулировать в теневом интернете. Государственные органы Кыргызстана сообщают, что серьезных кибератак за последние месяцы не было, информационные системы надежно защищены, и никакой хакер не сможет их взломать.
- В 2020 году средства массовой информации Кыргызстана писали, что опубликованы персональные более 800 тысяч налогоплательщиков. Тогда сообщалось, что база данных о кыргызстанцах сначала появилась на англоязычных форумах, а позже была опубликована в русскоязычных телеграм-каналах. Данные, которые выложили хакеры в мае этого года, могут иметь отношение к базе данных, опубликованной четыре года назад.
- Если даже в списке содержится информация, датированная несколькими годами ранее, то все равно возникает вопрос: каким образом настоящие имена, фамилии, персональные идентификационные номера сотен тысяч граждан попали в руки хакеров и распространились в интернете? Как должны защищаться конфиденциальные данные граждан? Какие меры должны принять органы, отвечающие за информационную безопасность в Кыргызстане, против кибератак и утечки данных?
Откуда появилась база данных?
20 мая сайт CyberExpress, публикующий новости о хакерских атаках и кибербезопасности, сообщил, что некоторые цифровые инфраструктуры в Кыргызстане, в том числе веб-сайты, подвергаются хакерским атакам. В публикации отмечалось, что кибератаки произошли после избиения студентов из стран Южной Азии в Бишкеке в ночь с 17 на 18 мая, а также были указаны телеграм-каналы нескольких хакерских группировок.
Исследуя эти адреса в Телеграме, журналисты «Азаттыка» обнаружили, что группа под названием Team Insane Pakistan сообщила, что опубликовала персональные данные более 600 тысяч граждан Кыргызстана.
22 мая хакерская группа опубликовала следующий пост со специальной ссылкой для скачивания персональной информации граждан Кыргызстана, считающейся «конфиденциальной».
«В то время, как озлобленная толпа ночью нападает на иностранных студентов в столице Кыргызстана, мы выражаем солидарность со всеми студентами. Во-первых, мы требуем справедливости для всех студентов. Если правительство Кыргызстана не примет меры против местных жителей, мы примем меры против Кыргызстана», – говорилось в сообщении.
В телеграм-канале Team Insane Pakistan меньше 1200 подписчиков. После беспорядков в Бишкеке в ночь на 18 мая эта группа объявила, что осуществила DDoS-атаки и взломала сайты ряда государственных учреждений, начиная от Министерства сельского хозяйства, вузов, телекоммуникационных компаний, промышленных предприятий. Информацию о своих кибератаках они публиковали на своих страницах в социальных сетях.
Однако достоверно неизвестно, были ли в действительности осуществлены хакерские атаки на эти сайты или нет. Некоторые из указанных ими сайтов продолжают функционировать в обычном режиме. Но работа некоторых из них была заблокирована и размещено сообщение хакерской группы.
Согласно информации из открытых источников в интернете, в Team Insane Pakistan входят люди, проживающие вне Пакистана и осуществляющие хакерские атаки в целях распространения религиозной идеологии. Эта группа известна проведением DDoS-атак на сайты в Индии. В последнее время в телеграм-канале этой группы появились сообщения о взломе сайтов в Израиле в связи с войной в секторе Газа. Невозможно подтвердить, что за этой группой действительно стоят граждане Пакистана.
В своем сообщении в Телеграме Team Insane Pakistan не уточнила, с какого сайта и когда она получила список граждан Кыргызстана. Журналисты «Азаттыка» написали письмо этому телеграм-каналу и попытались выяснить, откуда у них список. Анонимный автор канала в своем ответе отметил, что эти данные были получены в результате «успешной» хакерской атаки, и сообщил, что базы данных нет в открытых источниках.
«Эта база данных не доступна в открытом интернете. Мы взломали субдомен сайта gov.kg и использовали уязвимость в SQL (Structured Query Language – Структурированный язык запросов), чтобы получить данные более 500 тысяч кыргызстанцев. Эти люди нацелились на наших пакистанских братьев. Если они не прекратят свои атаки, мы опубликуем еще больше данных. Все сайты gov.kg уязвимы», – ответил анонимный автор.
В этом ответе хакеры также не уточнили, с какого сайта или портала они получили список граждан Кыргызстана. Поэтому мы снова отправили письмо в телеграм-канал и попросили уточнить, с какого сайта правительства Кыргызстана была похищена база данных. Хакеры ответили, что «мы взяли с сайта Верховного суда Кыргызстана».
Мы обратились в Верховный суд, чтобы подтвердить информацию. Рустам Шабиев, директор Института информационных технологий «Адилет Сот» при Министерстве юстиции, заявил, что сообщение о том, что персональные данные были получены из судебной системы, не соответствует действительности.
«Как сообщило учреждение по информационным технологиям «Адилет Сот» Судебного департамента при Верховном суде Кыргызстана, информационные серверы судебной системы не хранят персональные данные граждан Кыргызстана. Для получения данных граждан, в момент регистрации дела, направляется запрос в интегрированную систему «Тундук». Поэтому утверждение о том, что скачанная ими информация была получена от сервисов судебной системы, является ложным», – сказал Рустам Шабыев.
Информация, размещенная хакерами в Телеграме и Фейсбуке, и ответы на вопросы «Азаттыка» не доказывают полностью, что база данных, содержащая список более 600 тысяч кыргызстанцев, была украдена путем взлома правительственного сайта. При этом нельзя и с уверенностью сказать, что эта информация получена не с правительственного портала. По словам опрошенных «Азаттыком» IT-специалистов, этот список можно получить из открытых источников или теневого интернета DarkNet.
В 2020 году СМИ Кыргызстана сообщили, что в открытый доступ попала персональная информация более 800 тысяч налогоплательщиков. Сообщалось, что база данных кыргызстанцев сначала появилась на англоязычных форумах, а позже была опубликована в русскоязычных телеграм-каналах. Эта информация, которую опубликовали хакеры, может иметь отношение к той же базе данных, которая была опубликована четыре года назад.
Какая информация попала в открытый доступ?
Когда бы ни был опубликован этот список в Сети, репортеры «Азаттыка» решили выяснить, какая же информация о сотнях тысяч кыргызстанцев доступна в интернет-источниках.
Для этого журналисты с помощью IT-специалистов безопасным способом открыли ссылку на базу данных, опубликованную группой Team Insance Pakistan, и действительно обнаружили список из сотен тысяч человек. Опубликованная хакерами база данных содержит информацию более чем о 630 тысяч людей и компания. Список содержит имена, фамилии граждан, названия фирм, ИНН и адреса.
Журналистка Радио «Свободная Европа/Азаттык» Рийн Альяс, специализирующаяся на цифровой экспертизе, подсчитала, что в опубликованном списке хакеров из более чем 630 тысяч строк содержится по крайней мере 523 тысяч 594 уникальных ИНН. Номера ИНН, состоящие из 14 цифр, выдаются как гражданам, так и предприятиям Кыргызстана. При этом в списке встречаются люди и компании без ИНН.
«В попавшей в открытый доступ базе данных содержатся сведения о 560 434 человек, 70 587 предприятиях, ассоциациях или юридических лицах. Кроме того, 3855 строк содержат имена людей, возможно, есть иностранные имена. Трудно это однозначно подтвердить», –сообщила Рийн Алясь.
В целях безопасности граждан «Азаттык» не публикует этот список на своем сайте. Однако журналисты передали сообщение и ссылку, размещенную в телеграм-канале хакеров, в соответствующие госорганы.
В список вошли персональные данные рядовых граждан, глав правительства Кыргызстана, заместителей министров, известных политиков, предпринимателей, а также руководителей, ответственных за кибербезопасность и цифровое развитие страны.
С целью установления личностей кыргызстанцев, чьи данные оказались в открытом доступе, и установления достоверности информации, мы проверили данные через три независимых друг от друга официальных информационных портала и ряд других открытых источников. Кроме того, мы связались с некоторыми людьми по телефону и уточнили о соответствии данной информации.
Имена 10 процентов или около 500 из 4,5 тысяч избирателей, выборочно взятых из базы данных портала «Тизме» Центральной избирательной комиссии, совпадают с именами людей, опубликованных хакерами.
После того как были введены более 200 номеров ИНН, выборочно взятых из опубликованной базы данных налоговой службы, выяснилось, что они принадлежат гражданам Кыргызстана и их имена полностью совпадают. Оказалось, что большая часть ИНН в базе, попавшей в руки хакерам, доступна на портале налоговой службы.
При проверке данных ИНН более 50 организаций по базе юридических лиц Минюста информация о компаниях в списке также полностью подтвердилась.
Мы нашли номера телефонов некоторых людей из списка, которые показались нам знакомыми, и связались с ними. Они подтвердили, что их имена, фамилии и другие персональные данные полностью совпадают с базой данных, опубликованной хакерами.
Житель Бишкека Женишбек Амиров рассказал, что размещенный в интернете персональный идентификационный номер соответствует данным в его паспорте:
«Совпадает. Это мое. Восемьдесят один – мои последние цифры, паспортные данные тоже верны. Значит, если хакеры захотят взломать, то вот так просто возьмут? Они на что-то нацелились? Это не опасно?».
Экс-министр, предприниматель Тилек Токтогазиев также подтвердил, что информация в списке, которая, по словам хакеров была украдена, совпадает с его данными:
«ИНН совпадает с моим, дата рождения тоже моя. Но этот адрес не мой, дом давно продан. Дом не был зарегистрирован на меня, раньше был зарегистрирован на моих родителей. Это был не целый дом, а полдома в Кызыл-Аскере. Но в любом случае мой старый адрес связан со мной. Сейчас я зарегистрирован в налоговой службе Октябрьского района, и в Едином кабинете налогоплательщика указано все мое имущество, в полном объеме».
Никто не застрахован
Есть десятки примеров, когда имена людей в списке, опубликованном группой Team Insane Pakistan, совпадают с именами известных людей, которые сейчас и ранее занимали государственные должности в Кыргызстане.
Например, спикера Жогорку Кенеша Нурланбека Шакиева, троих заместителей председателя кабмина Адылбека Касымалиева, Камчыбека Ташиева и Эдиля Байсалова, председателя налоговой службы Алтынбека Абдувапова, депутатов Элдара Абакирова и Балбака Тулобаева, экс-депутатов Адахана Мадумарова, Абдывахапа Нурбаева, экс-президента Алмазбека Атамбаева, экс-премьеров Жоомарта Оторбаева и Омурбека Бабанова, экс-министров Тайырбека Сарпашева и Накена Касиева, а также брата бывшего президента Аскара Акаева – покойного Асанкула Акаева.
Кроме того, из действующих министров и руководителей госструктур есть: Аяз Баетов, Алмаз Бакетаев, Рахат Керимбаева, Кудайберген Базарбаев, главы регионов Алтынбек Эргешов, Уланбек Далиев, Нурлан Дарданов, Абсаттар Сыргабаев, посол Омурбек Текебаев и другие.
В списке указаны персональные данные (ФИО, адрес, ИНН) должностных лиц, ответственных за цифровую сферу Кыргызстана, а именно Кубанычбека Садамбекова, директора государственного предприятия «Инфоком», его заместителя Нурлана Айдиева, бывшего директора ГП Асель Кененбаевой, директора Центра кибербезопасности ГКНБ Кубанычбека Молдосариева, начальника отдела цифрового развития администрации президента Азамата Буржуева.
При этом можно заметить, что информация в базе данных, опубликованная хакерами, не обновлялась, а часть из нее на данный момент утратила свою актуальность. В похищенных файлах также встречаются данные умерших граждан.
В базе данных нам не удалось найти имена «новых кыргызстанцев», получивших кыргызские паспорта в последние годы, и названия недавно открывшихся фирм.
Например, оказалось, что в украденном списке нет имен иностранцев, получивших гражданство Кыргызстана в 2022 году. Также нет информации о компаниях, открытых в том же году.
Откуда взята персональная информация?
Хотя хакеры утверждают, что взломали правительственную базу данных, это невозможно подтвердить посредством независимых источников. Как упоминалось выше, группа Team Insane Pakistan могла использовать базу данных, которая была опубликована ранее.
В Кыргызстане персональными данными граждан владеют сотни учреждений и организаций. На официальном сайте Государственного агентства по защите персональных данных в настоящее время хранятся персональные данные 1600 государственных, муниципальных и частных организаций и граждан.
Несмотря на это, некоторые из граждан, с которыми мы связались, предполагают, что их персональные данные могли быть получены в Государственной налоговой службе или Госрегистре.
Акылбек Зиядинов, житель Бишкека:
«Я же давал паспорт только налоговым органам, а они, наверное, у них взяли. Я больше никуда не хожу»
Правозащитница Атыр Абдрахматова:
«Это, должно быть старые данные МВД, я думаю, это те данные, которые были зарегистрированы при получении первого паспорта. Это МВД, точно МВД. Ведь мы раньше давали данные о прописке в МВД».
Глава пресс-службы МВД Тилек Оторов отметил, что Государственная регистрационная служба начала выдавать гражданам паспорта с 2005-2006 годов, и отверг предположения, что базу данных могли получить с какого-либо портала министерства.
«В то время даже понятия о сайте не было. На сайт МВД никогда не загружались персональные данные», – ответил Оторов «Азаттыку».
По официальным данным, электронным кабинетом Налоговой службы пользуются около 1 200 000 активных пользователей. Около 500 тысяч из них являются индивидуальными предпринимателями. Кроме того, его используют около 40 000 юридических лиц. Остальные – частные лица или государственные служащие.
Заместитель председателя Государственной налоговой службы Адилет Дубанаев уверяет, что за последние пять-шесть лет в налоговой службе не было ни одного случая утечки персональной информации. Он пояснил, что ему известно об инциденте, связанном с похищением персональных данных граждан, но объяснил, что это не имеет никакого отношения к налоговой службе.
«Персональный номер, имя, фамилия каждого гражданина есть не только в налоговой службе. Многие органы получают эту информацию через «Тундук». Например, начиная с Минздрава, все получают. Говорить, что это только налоговая служба, неверно. Потому что, во-первых, персональный номер в Налоговой службе не является налоговой тайной. Во-вторых, у нас нет услуг по персональным номерам в открытом доступе. Причина, по которой люди так говорят, заключается в том, что, по моему мнению, все граждане часто работают же с налоговой службой. Либо декларация, либо отчет, либо другие документы. Наверное, поэтому они думали, что это исходит из налоговой службы. Но эта информация есть во всех госорганах. Если, например, произошла утечка информации о том, сколько налогов вы заплатили, или произошла утечка другой информации, связанной с этим налогом, тогда она могла быть только из налоговой службы. Однако такой информации не было. Я тоже слышал, что только персональные данные».
Зачем крадут персональные данные?
Одним словом, государственные органы не подтвердили факт хищения какой-либо базы данных в результате хакерской атаки.
Как правило, хакеры могут использовать персональные данные для продажи на маркетплейсах в даркнете (скрытая интернет-сеть DarkNet) или с целью атак в дальнейшем. Последующие атаки, скорее всего, будут включать в себя различные мошеннические действия, обычно с использованием социальных технологий и фишинга.
Зная только 14-значный ИНН, можно проверить на государственных порталах ряд сведений, таких как семейное положение гражданина, наличие у него транспортного средства, состояние готовности паспорта, адрес по прописке и т.д.
Однако в данном инциденте обычные в таких случаях попытки хакеров продать информацию не наблюдаются. Надпись «Кыргызстанцы, вы ответите за это» в начале списка, также меняет характер случившегося.
Специалист по кибербезопасности Нурбек Арзымбаев рассказал о целях использования хакерами персональных данных граждан и возможных последствиях. Он отметил, что подобные инциденты случались и в прошлом, но он не вспомнил случая, чтобы были приняты какие-либо решительные меры.
«Это событие оставляет ощущение, что как будто мстят. Потому что здесь, если посмотреть, что написано в группе, не видно никакой финансовой заинтересованности. В основном главная же цель хакеров – деньги. Когда в интернете происходят взломы, то некоторые люди продают такую информацию в даркнете, так это называется. Они могут продать эти базы данных другим лицам, чтобы украсть у вас деньги с помощью фишинга или других технологий. Мошенники от имени других просят деньги, используя такую информацию, как номер телефона, ИНН или другую информацию. Например, если он скажет: «Я вам звоню из банка» и назовет ваше имя, адрес, ИНН, вы же этому больше поверите. Можно использовать для различных таких целей».
Кто отвечает за информационную безопасность?
На страже информационной безопасности в стране стоят два учреждения – Государственное агентство по защите персональных данных и Координационный центр по обеспечению кибербезопасности, созданный год назад при ГКНБ.
Уже после того как расследование на кыргызском языке было опубликовано, Государственное агентство по защите персональных данных КР отреагировало на информацию.
Госагентство сообщило, что изучило этот инцидент и отметило недостоверность информации о взломе командой хакеров Team Insane Pakistan государственного сайта.
«Анализ опубликованных 600 тысяч персональных записей граждан Кыргызстана являются схожими с данными, которые были опубликованы в 2020 году в результате утечки с сервисов Государственной налоговой службы», - подчеркнули в агентстве.
Когда при ГКНБ открылся Центр кибербезопасности, появилось много обнадеживающей информации о его действенности в цифровом мире. Сообщалось, что этот центр, направленный на защиту кибербезопасности страны, оснащен современным технологическим оборудованием, аппаратно-программными комплексами, соответствующими международным стандартам. Что он организует работу государственных органов, центров реагирования по обеспечению кибербезопасности, выявлению, предотвращению и пресечению компьютерных атак.
В прошлом году президент Садыр Жапаров, принимавший участие в церемонии открытия центра, заявил, что укрепление кибербезопасности страны является одним из вызовов современности.
«Можно сказать, что это новое направление в общей системе обеспечения национальной безопасности страны, в настоящее время оно находится на стадии становления. Однако, учитывая недавние хакерские атаки на государственные и другие информационные системы, само время требует модернизировать и развивать это направление до качественного уровня. Подчеркну, что актуальность данной работы связана с динамичными процессами в сфере международной и региональной безопасности, а также последствиями военных и политических событий в мире. Поэтому очень важно вместе с установлением и укреплением общественных инструментов учитывать передовой зарубежный опыт и успешные действия партнеров в сфере кибербезопасности», – отметил Жапаров.
Спустя полгода, в начале 2024 года, ГКНБ открыл еще одно учреждение в сфере кибербезопасности – Центр реагирования на компьютерные инциденты. Сообщалось что новый центр также оснащен передовыми технологиями, способными круглосуточно мониторить цифровое пространство, обнаруживать кибератаки и оперативно принимать меры. В качестве еще одной особенности отмечалось, что он может непрерывно и эффективно защищать информационную инфраструктуру подключенных к нему организаций.
Что входит в персональные данные?
Согласно законодательству Кыргызстана, к персональным данным относятся биографические и идентификационные данные граждан, персональные характеристики, семейное и финансовое положение, состояние здоровья и другая подобная информация.
Согласно разъяснению на официальном сайте Агентства по защите персональных данных, Персональные данные – это любая информация, используя которую человека можно прямо или косвенно узнать (идентифицировать). Например:
- имя или фамилия;
- идентификационный номер;
- биометрические данные;
- семейное положение;
- онлайн-идентификатор (имя пользователя в социальных сетях, IP-адрес);
- кадры камеры видеонаблюдения, позволяющие идентифицировать физическое лицо;
- другая информация.
Специалист по кибербезопасности Нурбек Арзымбаев отмечает, что можно определить, откуда была похищена информация.
«В принципе, можно узнать, откуда была утечка Информация, которую вы упомянули, есть и в банке. Некоторые крупные банки имеют ИНН миллионов граждан. Необходимо узнать источник, будь то частный сектор или государственный, муниципальный сектор. С этого начинается вопрос о том, кто несет ответственность. Я знаю о четырех-пяти известных инцидентах. Однако ни по одному из них нет результатов. Нет такого, что кого-то арестовали, приняли какие-то меры».
19 октября 2023 года был взломан официальный сайт Государственной налоговой службы. На главной странице сайта было написано по-английски: «Взломали вьетнамские хакеры. Мы просто хотели немного развлечься». О том, что в результате этой атаки в руках хакеров оказалась какая-либо информация, не сообщалось.
Перевод с кыргызского, оригинал статьи здесь
Форум Facebook