База з даними українських власників вживаних авто знаходились роками у відкритому доступі. В ній 992 тисячі документів

У мережі потрапили сотні тисяч особистих документів українців, пов’язаних з перевіркою вживаних автомобілів. База даних містила записи за останні роки.

Про це повідомляє Kiyv Independent.

Що відомо

За даними видання, дані, зокрема паспорти, ідентифікаційні номери платників податків, водійські посвідчення та реєстраційні документи авто, зберігалися на сервері одного з найбільших постачальників хмарного зберігання без належного захисту. Загалом йдеться про 992 978 документів. Це файли, які стосуються перевірки стану вживаних автомобілів, що ввозяться в Україну.

Документи виявив експерт з кібербезпеки Джейк Діксон. За його словами, вони були доступні протягом тривалого часу без паролів або шифрування. Зловмисники, зокрема з росії, могли без особливих проблем отримати доступ до цих даних.

Що з даними

Документи, ймовірно, походять із техцентрів, що займаються оглядом і сертифікацією вживаних іномарок — основою бази є дані перевірок транспортних засобів. У ній можна було знайти фотографії, квитанції оглядів, сертифікати, а також особисту інформацію десятків, а можливо, й сотень тисяч власників авто, а також іноземних організацій, які продавали автомобілі в Україну.. База регулярно оновлювалася, востаннє — 11 березня 2025 року.

Експерт зазначає, що зловмисники могли б відносно легко орієнтуватися в базі та знаходити документи за допомогою недорогого спеціального програмного забезпечення. Однак спосіб структурування даних ускладнює масове використання або пошук списків. Діксон особисто експериментував із цим і переконаний, що таке ПЗ точно є у хакерів з росії та інших країн.

«Здається, прагнення до цифровізації пришвидшило впровадження цієї системи — комусь терміново знадобився доступ до даних, у результаті відкрили з’єднання чи змінили конфігурацію. Відтоді вона просто „висить“ і накопичує інформацію», — сказав він.

У матеріалі йдеться, що експерт виявив цей витік ще в 2022 році, після чого звернувся до українських кібербезпекових організацій, зокрема до CERT-UA, з проханням вжити заходів для захисту даних. Представник Держспецзв’язку, яка контролює CERT-UA, заявив, що їхня відповідальність обмежується кіберінцидентами, а цей витік, ймовірно, належить до зони відповідальності Мінцифри, яке також відмовилось від коментарів.

Звернення до приватних українських сервісів техогляду так само залишилися без відповіді. Проте, Kiyv Independent стверджує, що робота над усуненням витоку почалася після того, як ситуацією зацікавилися ЗМІ. Станом на 1 квітня 2025 року доступ до документів заблокували. Однак, до цього документи знаходилися у відкритому доступі декілька років.

Похожие статьи:
2 квітня компанія «Київстар» закрила угоду й придбала Uklon за $155,2 млн. В обох компаніях працює чимало IT-спеціалістів. В команді Uklon...
Це 13-й випуск проєкту «Що має знати Senior», і нарешті ми дійшли до Node.js. За даними DOU, кількість вакансій для фахівців з Node.js...
По данным IHS Technology стоимость компонентов смартфона Samsung Galaxy S7 осталась на прежнем уровне. На изготовление модели SM-G930V...
Меня зовут Гена, я занимаюсь автоматизацией тестирования с 2003 года (т. е. начинал ещё до того, как это стало модным),...
В выпуске опять куча интересностей — за этот месяц прилег Amazon S3, ребята из Badoo сэкономили кучу денег на Go, Dropbox...
Яндекс.Метрика