Language switcher

Вы здесь

Департамент государственной инфосистемы и Департамент полиции и погранохраны остановили незаконное скачивание данных

Информация для людей, чья фотография с документа была украдена

Нничего не нужно делать. На основании имеющейся информации мы знаем, что данные не были переданы с компьютера подозреваемого. Таким образом, имеется основание полагать, что этими данными больше не злоупотребляли.

Люди, у которых заимствовали фотографию с документа, не должны ходатайствовать о новом физическом или цифровом документе (паспорт, ID-карта, вид на жительство, Mobiil- и Smart-ID и др.) и делать новую фотографию на документ.

Все удостоверяющие личность документы и фотографии продолжают действовать.

 

Эксперты Департамента государственной инфосистемы (RIA) остановили массовое скачивание фотографий с документов из базы данных удостоверяющих личность документов. Утечка стала возможной из-за уязвимости услуги по передаче фотографий, находящейся под управлением RIA. Полиция задержала подозреваемого и для выяснения обстоятельств произошедшего начала уголовное производство.

Подозреваемому удалось загрузить из базы данных документов, удостоверяющих личность, фотографии 286 438 человек, используя для этого поддельные цифровые сертификаты. Подозреваемый не получил доступа к базе данных, но в корыстных целях воспользовался уязвимостью в одной из услуг под управлением RIA, которая позволяла по отдельным запросам получать фотографию с документа человека. Сразу после обнаружения ненадлежащего использования RIA закрыл услугу передачи фотографий и устранил ошибку в системе безопасности. 23 июля полиция задержала в Таллинне мужчину, подозреваемого в виновном деянии.

Упомянутая услуга, уязвимость которой удалось использовать, построена таким образом, что для получения фотографий требуются дополнительные проверки пяти подсистем. Подозреваемый обнаружил уязвимость в одном из приложений RIA, которое в недостаточной мере проверяло достоверность полученного запроса. «Такая манипуляция с системами предполагает наличие знаний в соответствующей области, опыта и, как правило, продуманной подготовки. Злоумышленник должен был заранее знать имя и личный код человека, с помощью которых можно было создать у системы впечатление, что человек сам желает загрузить свою фотографию», – сказал генеральный директор RIA Маргус Ноормаа.

По словам руководителя бюро по борьбе с киберпреступлениями Центральной криминальной полиции Оскара Гросса, полиция вместе с экспертами RIA приступила к расследованию случившегося, в ходе чего удалось найти зацепки, позволившие установить подозреваемого. «Если обычно в случае киберпреступлений мы говорим о международной преступности, то в данном случае подозреваемый действовал в Эстонии, что позволило быстро его задержать. В ходе обысков следователи нашли в его владении скачанные из базы данных фотографии вместе с именами и личными кодами людей. На данный момент у нас нет оснований полагать, что подозреваемый злонамеренно использовал или передавал эти данные, однако в ходе расследования мы уточним возможные мотивы деяния», – отметил Гросс.

Эксперты RIA дополнительно проверили также другие услуги, чтобы исключить аналогичные уязвимые места в системе безопасности. «В результате мониторинга мы не обнаружили возможных путей атаки, но продолжаем проверку. Вместе с партнерами мы постоянно работаем во имя того, чтобы обнаруживать уязвимые места прежде, чем кто-то использует их в корыстных целях», – сказал Ноормаа.

По словам министра предпринимательства и инфотехнологий Андреса Суття, данный киберинцидент иллюстрирует постоянно растущие в мире киберугрозы, поэтому и в Эстонии повышается защитный потенциал киберсферы. «Кибербезопасность является неотъемлемой частью функционирования цифровой Эстонии и вопросом государственной безопасности. На протяжении последних месяцев увеличились частота, масштаб и интенсивность кибератак, что показывает изменившуюся картину опасностей в киберпространстве. В качестве примера можно привести атаки на госучреждения, инфраструктуру, системы здравоохранения, а недавно также на поставщиков услуг, от которых зависели шведские продовольственные магазины, или также, например, атаки программ-вымогателей на эстонские предприятия. Не миновали этой участи и наши государственные системы, поэтому в свете растущих киберугроз мы еще сильнее повышаем свой киберпотенциал. Если в государственной обороне у нас есть четкая цель – 2 процента от ВВП –, то в сфере кибербезопасности такой цели у нас нет, однако цифровое общество также нуждается в защите. Моя цель – договориться об аналогичном уровне для инвестиций в кибербезопасность, из чего получится международный мерный эталон», – добавил Сутть.

Всем, чья фотография с документа была незаконно скачана, Департамент полиции и погранохраны отправит извещение через государственный портал eesti.ee на указанный в системе личный адрес электронной почты. Ни один человек, чья фотография была скачана, не должен делать новую фотографию или ходатайствовать о новом документе.

На основании фотографии с документа, имени и личного кода человека нельзя войти ни в одну государственную э-услугу, заключать нотариальные и прочие финансовые сделки. Случившееся никак не повлияло на функционирование ID-карты, вида на жительство, Mobiil-ID и Smart-ID.

На основании имеющейся сейчас информации кража данных не связана с недавним случаем доступности личных данных, которые были видны в среде самообслуживания после входа в систему управления правами доступа.

Хронология

16.07 – SK ID Solutions сообщает RIA о возросшем числе запросов.
21.07 – В результате дополнительного мониторинга RIA обнаруживает массовое скачивание данных из базы данных документов удостоверений личности (KMAIS) и закрывает услугу.
22.07 – RIA фиксирует возможный IP-адрес, через который были скачаны фотографии с документов, и передает информацию в полицию.
22.07 – RIA начинает внутреннюю проверку, чтобы выяснить причину, которая позволила манипулировать механизмом контроля системы фотографий.
23.07 – Полиция задерживает мужчину, подозреваемого в скачивании данных, и проводит первые процессуальные действия.
23.07 – RIA вновь запускает исправленную систему фотографий, через которую человек может снова загрузить фотографию со своего документа.
23.–27.07 – RIA дополнительно проверяет возможность аналогичного вектора атаки в других услугах.

Часто задаваемые вопросы

Были ли украдены мои данные?

Всем, чья фотография с документа вместе с личным кодом и именем была украдена, государство отправит извещение через государственный портал на указанный в системе личный адрес электронной почты. Комплект данных, который оказался в руках злоумышленника, содержит фотографию с документа, имя, фамилию и личный код.

Если я не получил от PPA уведомления, то как я могу быть уверен, что моя фотография не была скачана?

Всем, чья фотография с документа была незаконно скачана, Департамент полиции и погранохраны (PPA) отправил уведомление (эл. письмо) на указанный на государственном портале eesti.ee адрес электронной почты. Если Ваш адрес @eesti.ee не перенаправлен или Вы больше не используете адрес электронной почты, на который перенаправляются письма, поступающие на адрес @eesti.ee, то Вы можете войти на государственный портал eesti.ee и посмотреть почтовый ящик входящих писем.

Как я узнаю, не украл ли хакер фотографии документов моих несовершеннолетних детей?

Всем, чьи фотографии документов были украдены, в том числе несовершеннолетним, мы отправили извещение на адрес электронной почты, указанный в государственном портале. Это означает, что если зайти в государственный портал с учетной записью ребенка, то там можно увидеть, получил ли ребенок данное извещение.

На мой адрес электронной почты перенаправляются и адреса eesti.ee моих детей. Как я узнаю, чья фотографию с документа была украдена?

Личный код, указанный в строке получателя эл. письма, показывает, кому отправлено письмо. письмо отправляется на адрес личный_код@eesti.ee того человека, фотография с документа которого была украдена.

Что я должен делать, если выяснится, что мои данные были украдены?

Нничего не нужно делать. На основании имеющейся информации мы знаем, что данные не были переданы с компьютера подозреваемого. Таким образом, имеется основание полагать, что этими данными больше не злоупотребляли.

В случае, если эти данные все же были переданы, следует учитывать возможность, что набор из фотографии, имени и личного кода можно использовать для того, чтобы создать элементарный поддельный документ (без защитных элементов). Возможно, что такой документ можно использовать, например, для получения некоторой услуги, где идентификация человека производится на основании фотографии (например, аренда автомобиля и/или велосипеда). Такие услуги, скорее, используются за границей. Возможно создать, например, фальшивые учетные записи в социальных сетях. Внимание! Если у вас имеется подозрение, что кто-то использовал ваши данные перечисленными способами, сообщите об этом в полицию.

Важно помнить, что кража этих данных не оказывает влияния на функционирование ID-карты, Mobiil-ID и Smart-ID. Также действуют все удостоверяющие личность документы, в том числе те, фотографии которых были незаконно загружены из базы данных. На основании фотографии с документа, личного кода и имени невозможно войти в э-услуги, поставить цифровую подпись и тем самым совершать различные финансовые операции (в т. ч. банковские переводы, сделки купли-продажи, нотариальные сделки и т. д.). Люди, у которых заимствовали фотографию с документа, не должны ходатайствовать о новом физическом или цифровом документе (паспорт, ID-карта, вид на жительство, Mobiil- и Smart-ID и др.) и делать новую фотографию на документ. Все удостоверяющие личность документы и фотографии продолжают действовать.

Как злоумышленник получил доступ к моим данным (фотографии, личному коду и имени)?

Для загрузки фотографий с документов злоумышленник должен был знать имя и личный код человека. Несмотря на то, что это публичные данные, то есть доступны из различных открытых баз данных, точное происхождение данных и мотивы злоумышленника выяснит следствие. С помощью имени и личного кода злоумышленнику удалось подделать сертификат человека так, что система посчитала, что фотографию желает загрузить сам человек, а не злоумышленник. RIA выявил ошибку в системе и устранил ее. На сегодняшний день такую манипуляцию провести больше не получится.

Откуда хакер получил мое имя и личный код?

Злоумышленник должен был заранее знать имя и личный код человека, с помощью которых можно было создать у системы впечатление, что человек сам желает загрузить свою фотографию. Происхождение данных (имя и личный код), оказавшихся в руках хакера, выяснится в ходе уголовного производства. Имя и личный код не являются данными деликатного характера, это обычные данные и по запросу доступны в различных базах данных (например, коммерческий регистр, крепостная книга и т. п.).

Кто и по какой причине захотел получить мои данные?

Полиция задержала одного гражданина Эстонии, через компьютер которого была совершена кража. Действовал ли этот человек в одиночку, какие были его цели и что он хотел сделать с данными — выяснит следствие.

Для чего хакеру были нужны эти фотографии? Для каких схем мошенничества можно было бы использовать такой комплект данных?

Мотивы хакера выяснятся в ходе уголовного производства.

Фото, имя и фамилию, а также личный код можно, конечно, использовать, чтобы создать какой-либо примитивный поддельный документ без элементов безопасности, но это можно сделать и с любой фотографией. На основании фотографии с документа, личного кода и имени с фамилией в Эстонии невозможно войти в э-услуги, поставить цифровую подпись и совершать различные финансовые операции (в т. ч. банковские переводы, сделки купли-продажи, нотариальные сделки и т. п.).

Имеются услуги, где человек идентифицируется на основании его фотографии (ряд услуг по аренде автомобилей или велосипедов), но и в случае таких услуг изображение лица самого человека сравнивается с его фотографией в документе, а не с фотографией в базе данных. Таким образом, и в этом случае маловероятно, что украденная фотография с документа использовалась бы в попытке мошенничества. Однако если у Вас имеется подозрение, что кто-то использовал Ваши данные перечисленными способами, обязательно сообщите об этом в полицию.

Кража фотографии с документа не повлияла на функционирование ID-карты, Mobiil-ID и Smart-ID. Также действуют все удостоверяющие личность документы, в том числе те, фотографии которых были незаконно загружены из базы данных.

Совершал ли кто-то еще кражу данных жителей Эстонии подобным способом из-за ошибки в системе?

Согласно имеющейся информации, у нас нет основания полагать, что нечто подобное было совершено ранее, но мы проверим эту информацию.

Как долго функционировала столь неисправная система, пока это не было обнаружено?

Хотя данное решение было создано уже с ошибкой несколько лет назад, на основании проведенных проверок и имеющейся информации нет основания полагать, что такая атака на систему удалась бы ранее.

Оплатит ли государство замену документа, если я оформлю сейчас новый удостоверяющий личность документ?

В связи с этой кражей данных нет необходимости в оформлении новых документов, и новые документы государство не возместит. Если Вы желаете заменить свои документы, то это можно сделать в Департаменте полиции и погранохраны, самостоятельно оплатив замену документов.

Если бы хакер перед задержанием успел кому-нибудь передать данные, то в этом случае тоже не понадобилось бы заменять документы, поскольку на основании попавших к злоумышленнику данных (фотография с документа, имя и фамилия, личный код), невозможно войти ни в одну государственную э-услугу, банк, заключать нотариальные и иные финансовые сделки.

Как узнать, какие данные обо мне имеются у государства?

У государства нет единой большой базы данных, в которую были бы сведены все данные, касающиеся граждан. У каждого учреждения имеются по гражданину только те данные, которые необходимы для работы учреждения (напр., база данных удостоверяющих личность документов у полиции, регистр работников у Налогово-таможенного департамента и т. д.).

Если гражданин желает знать, какие данные о нем имеются у государства, следует обратиться отдельно в конкретное учреждение и запросить, какие личные данные это учреждение обрабатывает. Кроме того, на государственном портале можно использовать приложение по мониторингу данных, которое позволяет видеть, кто запрашивал Ваши данные в разных базах данных.

Такой т. н. принцип разделения данных соблюдается по соображениям безопасности. Таким образом из-за уязвимости в системе безопасности или в случае другого иного инцидента невозможно будет получить доступ сразу ко всем данным. Именно из-за такой системы злоумышленник в результате этой кражи данных получил только фотографии с документов, а не иные (в то числе более деликатные) данные из документов.

Как будет гарантировано, что данные в дальнейшем будут храниться безопасно?

Собственники и ответственные лица всех баз данных ежедневно работают над повышением безопасности своих систем. Личные данные жителей Эстонии в разных базах данных рассредоточены, чтобы у потенциального злоумышленника не было возможности получить их все сразу. От доступа к данным остаются цифровые следы, и по этим следам как раз и можно обнаружить нарушения.

Нужно ли мне подавать в полицию заявление о виновном деянии?

Ни один человек, фотография которого была незаконно скачана из базы данных, больше не должен отдельно уведомлять об этом полицию. Для выяснения обстоятельств незаконного скачивания фотографий с документов полиция начала уголовное производство сразу, как был обнаружен инцидент.

Если у Вас возникло подозрение, что ввиду скачивания фотографии с документа Ваши данные каким-либо образом были неправомерно использованы, например, с использованием Ваших имени и фамилии, личного кода и фотографии был создан фальшивый документ, поддельная учетная запись в социальный сетях или Ваша личность была украдена иным образом, тогда в полицию необходимо обратиться с заявлением о виновном деянии. Если кража личности произошла в другом государстве, заявление следует подать в полицию этого государства. На данный момент у полиции нет оснований полагать, что подозреваемый злонамеренно использовал или передавал скачанные данные. Если в ходе производства по делу полицией будет установлено, что данные были переданы, то об это будет сообщено отдельно.

Как государство поможет мне, если выяснится, что с моей фотографией документа пытались провести махинации?

При попытках мошенничества каждый случай следует рассматривать отдельно. Кража личности является преступлением, и при подозрении следует подать заявление о правонарушении в полицию ». Если кража личности произошла в другом государстве, то заявление следует подать в полицию этого государства.

Почему хакер находится на свободе?

Полиция и прокуратура принимают решение о задержании под стражей в соответствии с законом. На основании собранной полицией информации лицо действовало в одиночку, и при обыске не было признаков того, что лицо будет уклоняться от дальнейшего расследования. Прокуратура приняла решение, что содержание под арестом не требуется.

Кто отвечает за возникновение такой ситуации?

Хакер получил доступ к фотографиям из-за того, что в услуге под управлением RIA имелась уязвимость. Мы приносим за это свои извинения. Уязвимости постоянно обнаруживаются и устанавливаются. Благодаря принципу рассредоточения при сборе данных жителей Эстонии хакер не смог получить доступ ко всем данным из документов, а только лишь к фотографиям документов. Хотя уязвимость имелась в управляемой RIA услуге, за ее использование, то есть за кражу данных, ответственность несет злоумышленник.

Могу ли я потребовать от RIA возмещение ущерба?

Предпосылкой требования возмещения ущерба является факт причинения ущерба лицу. Пострадавший должен в состоянии доказать причинение ущерба. Кроме того, ущерб должен возникнуть напрямую в результате действий или бездействия RIA с нарушением закона. Предпосылкой возмещения ущерба является также то обстоятельство, что невозможно было избежать ущерба или устранить его защитой или восстановлением прав. В данном случае действия хакера были остановлены, выявленная уязвимость в системе безопасности устранена и личность хакера идентифицирована, и RIA принес извинения людям, которых коснулась кража данных. Кроме того, данные не были переданы с компьютера хакера, поэтому риск дальнейшего распространения данных отсутствует. В связи с этим, по оценкам RIA, нет оснований взыскивать денежную компенсацию за возмещение неимущественного ущерба.

Если вы всё же сочтете, что RIA противоправно причинил Вам имущественный ущерб, или если порог причиненного неимущественного ущерба оправдывает денежное возмещение ущерба, то вы имеете право подать ходатайство о возмещении ущерба в Департамент государственной инфосистемы по адресу эл. почты help [at] ria.ee или подать жалобу в суд.

Если Вы не нашли ответа на свой вопрос, напишите, пожалуйста, по адресу help [at] ria.ee.

Еще новости по той же теме

25.08.2021

В июле RIA зафиксировал 111 весомых киберинцидентов

25.08.2021 – В прошлом месяце Департамент государственной инфосистемы (RIA) зарегистрировал более ста серьезных инцидентов. Два из них были связаны с собственными услугами RIA. В международном плане серьезное влияние оказала атака на американскую ИТ компанию Kaseya.

30.07.2021

Дополнительное пояснение RIA по поводу кражи данных

30.07.2021 – Люди, чьи фотографии документов были незаконно скачаны, не должны оформлять новые документы и делать новую фотографию. Инцидент не повлиял на работу ID-карты, Mobiil- и Smart-ID, а также на работу э-услуг.