Хакерская группа опубликовала персональные данные 630 тысяч кыргызстанцев. Ответ Минцифры
22 мая хакерская группа Team Insane Pakistan опубликовала персональные данные более 600 тысяч граждан Кыргызстана. В этих данных указаны Ф. И. О., ИНН, адреса прописки и даты рождения.
Редакция Kaktus.media разбирается в ситуации.
Что произошло?
18 мая, после событий в Бишкеке с участием иностранных студентов, Team Insane Pakistan опубликовал предупреждение на своем Telegram-канале в адрес властей Кыргызстана. В сообщении говорилось, что если власти не примут меры в отношении нападавших, то уже они сами "примут меры", причем через несколько часов.
Важно отметить, что это сообщение было опубликовано в 13:42 18 мая по бишкекскому времени - спустя примерно 10 часов после того, как массовые беспорядки закончились. Однако информация в пакистанском сегменте соцсетей только начала распространяться: при этом появилось огромное количество дезинформации. К примеру, в соцсети X (Twitter) сообщалось, что в ходе этих беспорядков якобы убиты несколько иностранных студентов, а десятки иностранных студенток подверглись изнасилованиям. К постам были прикреплены фото или видео, которые к тем событиям не имеют никакого отношения.
Очень важно подчеркнуть, что факты убийств или изнасилований во время массовых беспорядков в ночь с 17 на 18 мая не подтвердились. При этом пострадавшие среди иностранных студентов были: около 30 человек обратились за медпомощью.
Спустя примерно сутки после предупреждения Team Insane Pakistan начал публиковать посты, в которых заявлял, что некоторые сайты попали под атаку. Речь шла об образовательном портале МЧС КР, портале университета "Манас", о сайтах Минсельхоза КР, компании "СаймаТелеком", "7-го канала", "Климатической платформы", а также о сайте с информацией о кафе и ресторанах Бишкека. Атаки также якобы были совершены на сайты ОшГУ, Джалал-Абадского государственного университета, МУК, КРСУ, Азиатского мединститута и КГМА.
Судя по тому, что все сайты работают, это была кратковременная DDoS-атака. При этом только один сайт "Школы журналистики" все еще содержит информацию о хакерской атаке, однако, судя по записям, сайт перестал функционировать два года назад. Информацию об атаках подтверждает сайт CyberExpress, публикующий данные о кибератаках и кибербезопасности. В публикации за 20 мая сообщается, что часть цифрового сегмента Кыргызстана подвергалась атакам.
Публикация персональных данных кыргызстанцев
Но самое важное произошло утром 22 мая: Team Insane Pakistan заявил, что опубликовал персональные данные более 600 тысяч граждан Кыргызстана. В файле размером более 100 МБ содержатся персональные данные физических и юридических лиц Кыргызстана.
Издание "Азаттык" сообщило, что в базе данных упоминаются глава ГКНБ Камчыбек Ташиев, спикер Жогорку Кенеша Нурланбек Шакиев, заместители председателя кабмина Адылбек Касымалиев и Эдиль Байсалов, председатель налоговой службы Алтынбек Абдувапов, депутаты Эльдар Абакиров, Балбак Тулобаев, Адахан Мадумаров, экс-депутат Абдывахап Нурбаев, бывший президент Алмазбек Атамбаев, экс-премьеры Джоомарт Оторбаев и Омурбек Бабанов, экс-министры Тайырбек Сарпашев и Накен Касиев, а также брат бывшего президента Аскара Акаева - покойный Асанкул Акаев. В списке присутствуют Аяз Баетов, Алмаз Бакетаев, Рахат Керимбаева, Кудайберген Базарбаев, главы областей Алтынбек Эргешов, Уланбек Далиев, Нурлан Дарданов, посол Омурбек Текебаев, директор госкомпании "Инфоком" Кубанычбек Садамбеков, его заместитель Нурлан Айдиев, экс-директор Асел Кененбаева, директор центра кибербезопасности ГКНБ Кубанычбек Молдосариев и руководитель отдела по цифровому развитию администрации президента Азамат Буржуев.
После этого Team Insane Pakistan перестал публиковать посты, связанные с Кыргызстаном.
То, что данные настоящие, подтвердили бишкекчане, упомянутые в списке: информация в слитом файле соответствует их личным данным. Информацию также подтвердили экс-министр сельского хозяйства Тилек Токтогазиев и правозащитница Атыр Абдрахматова. Помимо этого, была проведена сверка по открытым данным граждан по списку ГНС, ЦИК и Минюста.
Кто слил персональные данные?
Не вся информация является актуальной на момент публикации: файл содержит много устаревших данных, к примеру, информацию об уже умерших людей. Также в списке физических лиц самыми молодыми являются люди, рожденные в 1999 году.
Если же проанализировать Telegram-канал Team Insane Pakistan, то можно заметить, что команда в основном занимается DDoS-атаками на государственные сайты Индии и Израиля, а не взламыванием сайтов, содержащих персональные данные физических лиц в дальнейших целях публикации.
Откуда эти данные?
В этой связи напомним инцидент, произошедший ровно четыре года назад, когда данные 800 тысяч налогоплательщиков Кыргызстана оказались в открытом доступе. Тогда Telegram-канал "Утечки информации" сообщил, что файл с базой данных кыргызстанских налогоплательщиков, содержащий 879 271 запись, изначально был выложен в середине апреля 2020 года на англоязычном форуме, а 2 июня 2020 года выложен тем же пользователем на русскоязычный форум.
Редакция Kaktus.media сравнила данные файла, опубликованного Team Insane Pakistan, с данными, опубликованными в 2020 году. Данные файлов оказались практически идентичными. Единственная разница: в слитых данных за 2020 год сведения о кыргызстанцах были упорядочены и пронумерованы, а в файле Team Insane Pakistan информация идет вразброс и без нумерации. При этом у хакерской группы данные лишь 630 тысяч кыргызстанцев, в то время как оригинальный файл содержал 879 271 запись.
Взлом базы данных ГНС
5 июня 2020 года, когда о публикации персональных данных кыргызстанцев стало известно, редакция Kaktus.media связывалась с техническим директором компании-разработчика систем борьбы с утечками данных DeviceLock Ашотом Оганесяном, который является автором канала "Утечки информации".
Оганесян предоставил редакции доказательства того, что база налогоплательщиков Кыргызстана действительно оказалась в открытом доступе.
"Человек, выложивший базу, сообщил, что это он сам взломал сайт salyk.kg в 2019 году (предположительно в июле) через уязвимость в SQL (sql injection). Человек, который опубликовал базу данных налогоплательщиков (его ник - cocomelonc), отметил, что воспользовался методом внедрения SQL-кода, чтобы взломать сайт salyk.kg. По его словам, в настоящее время уязвимости на сайте устранены", - отметил тогда специалист по утечке данных.
Кубаныч Шатемиров, который на тот момент занимал должность заместителя председателя ГНС, заявлял, что без анализа самой утечки данных и источника происхождения невозможно подтвердить подлинность списка. Также он пояснил, что сведения, которые находятся в базе налогоплательщиков, согласно законодательству, не относятся к налоговой тайне.
"Речь идет о наименовании и реквизитах налогоплательщика. Это открытая информация", - сказал тогда Кубан Шатемиров.
При этом в ГНС проводили проверку по инциденту, каковы результаты этой проверки - неизвестно.
Выводы
С большой вероятностью хакерская группа Team Insane Pakistan не взламывала госсайты Кыргызстана в целях кражи персональных данных, а лишь опубликовала у себя налоговые данные кыргызстанцев за 2019 год, которые в течение четырех лет находятся в открытом доступе.
Реакция Минцифры
В Министерстве цифрового развития КР сообщили, что на постоянной основе ведут системную работу по сканированию информационных активов на предмет выявления уязвимостей или несанкционированных доступов.
"На текущий момент государственные информационные системы, находящиеся в ведении министерства, работают в штатном режиме. Сотрудники министерства находятся на связи с Координационным центром кибербезопасности ГКНБ и Госагентством по защите персональных данных и совместно проводят исследование опубликованного массива персональной информации", - сказано в сообщении.
