Базу данных вакцинированных в России выставили на продажу. Минцифры начало проверку. Персональных данных в базе нет, успокаивают чиновники. СМИ предупреждали власти об утечке информации в прошлом году.
На форуме в даркнете выставили на продажу базу данных QR-кодов вакцинированных от Covid-19, сообщил накануне телеграм-канал «Утечки информации».
Продавец утверждает, что база была получена из приложения в «Госуслугах». Он заявляет, что всего в базе 48 млн строк (примерно столько прививок было сделано к концу прошлого года). Всю целиком базу продавец оценил дорого — в 100 тысяч долларов.
В показанном образце — только 10 тысяч строк, которые содержат следующие данные: первые буквы ФИО на русском и английском языках, дата рождения, номер записи пациента, первые две и последние три цифры номера паспорта, название вакцины и QR-код в формате PNG, закодированный в Base64 и срок его действия, пишет телеграм-канал.
Он утверждает, что выборочная проверка подтвердило действительность QR-кодов — данные в образце полностью совпадают с тем, что указано на официальной странице проверки кодов.
База не содержит персональных данных вакцинированных граждан.
Издание «Медиазона» (признано в России СМИ, выполняющим функции иностранного агента) связывает эту утечку с уязвимостью на сайте «Госуслуг», о которой оно рассказывало в августе прошлого года.
Издание тогда заметило, что одна из старых ссылок для проверки действительности сертификатов о вакцинации от Covid-19 позволяет раскрыть данные без авторизации. «Медиазона» допускает, что именно эта уязвимость привела к утечке данных в даркнет.
Издание сообщала о проблеме об обнаруженной им уязвимости компании «Ростелеком» и направило информацию в пресс-службу министерства цифрового развития, связи и массовых коммуникаций России, но не получило ответа. Сейчас уязвимостью воспользоваться уже невозможно.
По данным издание «Холод», уязвимость устранили до начала сентября.
В министерстве во вторник заявили, что проводят проверку в связи с утечкой, настаивая при этом, что угрозы безопасности личных данных нет.
«Минцифры начало проверку по факту появления сообщений в телеграм-каналах об утечке обезличенных данных из приложения «Госуслуги стоп коронавирус», — сказано в заявлении. — В самой базе приложения персональные данные граждан не содержатся. При этом выборочная проверка опубликованных QR-кодов показывает их неработоспособность. В связи с этим подтвердить валидность этих данных не представляется возможным. Подтверждаем, что угроз для безопасности личных данных нет».
Журналист Михаил Зеленский, занимавшийся этой темой, во вторник также написал, что у вакцинированных нет повода для паники: «Там никаких личных данных — только то, что показывалось бы на входе в кафе: первые буквы ФИО и кусок номера документа. Зато в этой базе 48 миллионов (как утверждается) записей вида: дата прививки, тип прививки, регион прививки, возраст привитого. То есть кладезь эпидемиологической информации, которая и так должна быть открытой».