База з даними українських власників вживаних авто знаходились роками у відкритому доступі. В ній 992 тисячі документів
У мережі потрапили сотні тисяч особистих документів українців, пов’язаних з перевіркою вживаних автомобілів. База даних містила записи за останні роки.
Про це повідомляє Kiyv Independent.
Що відомо
За даними видання, дані, зокрема паспорти, ідентифікаційні номери платників податків, водійські посвідчення та реєстраційні документи авто, зберігалися на сервері одного з найбільших постачальників хмарного зберігання без належного захисту. Загалом йдеться про 992 978 документів. Це файли, які стосуються перевірки стану вживаних автомобілів, що ввозяться в Україну.
Документи виявив експерт з кібербезпеки Джейк Діксон. За його словами, вони були доступні протягом тривалого часу без паролів або шифрування. Зловмисники, зокрема з росії, могли без особливих проблем отримати доступ до цих даних.
Що з даними
Документи, ймовірно, походять із техцентрів, що займаються оглядом і сертифікацією вживаних іномарок — основою бази є дані перевірок транспортних засобів. У ній можна було знайти фотографії, квитанції оглядів, сертифікати, а також особисту інформацію десятків, а можливо, й сотень тисяч власників авто, а також іноземних організацій, які продавали автомобілі в Україну.. База регулярно оновлювалася, востаннє — 11 березня 2025 року.
Експерт зазначає, що зловмисники могли б відносно легко орієнтуватися в базі та знаходити документи за допомогою недорогого спеціального програмного забезпечення. Однак спосіб структурування даних ускладнює масове використання або пошук списків. Діксон особисто експериментував із цим і переконаний, що таке ПЗ точно є у хакерів з росії та інших країн.
«Здається, прагнення до цифровізації пришвидшило впровадження цієї системи — комусь терміново знадобився доступ до даних, у результаті відкрили з’єднання чи змінили конфігурацію. Відтоді вона просто „висить“ і накопичує інформацію», — сказав він.
У матеріалі йдеться, що експерт виявив цей витік ще в 2022 році, після чого звернувся до українських кібербезпекових організацій, зокрема до CERT-UA, з проханням вжити заходів для захисту даних. Представник Держспецзв’язку, яка контролює CERT-UA, заявив, що їхня відповідальність обмежується кіберінцидентами, а цей витік, ймовірно, належить до зони відповідальності Мінцифри, яке також відмовилось від коментарів.
Звернення до приватних українських сервісів техогляду так само залишилися без відповіді. Проте, Kiyv Independent стверджує, що робота над усуненням витоку почалася після того, як ситуацією зацікавилися ЗМІ. Станом на 1 квітня 2025 року доступ до документів заблокували. Однак, до цього документи знаходилися у відкритому доступі декілька років.
