На форуме в даркнете выставили на продажу базу данных QR-кодов вакцинированных от Covid-19, сообщил накануне телеграм-канал "Утечки информации".

Продавец утверждает, что база была получена из приложения в "Госуслугах". Он заявляет, что всего в базе 48 млн строк (примерно столько прививок было сделано к концу прошлого года). Всю целиком базу продавец оценил дорого - в 100 тысяч долларов.

В показанном образце - только 10 тысяч строк, которые содержат следующие данные: первые буквы ФИО на русском и английском языках, дата рождения, номер записи пациента, первые две и последние три цифры номера паспорта, название вакцины и QR-код в формате PNG, закодированный в Base64 и срок его действия, пишет телеграм-канал.

Он утверждает, что выборочная проверка подтвердило действительность QR-кодов - данные в образце полностью совпадают с тем, что указано на официальной странице проверки кодов.

База не содержит персональных данных вакцинированных граждан.

Издание "Медиазона" (признано в России СМИ, выполняющим функции иностранного агента) связывает эту утечку с уязвимостью на сайте "Госуслуг", о которой оно рассказывало в августе прошлого года.

Издание тогда заметило, что одна из старых ссылок для проверки действительности сертификатов о вакцинации от Covid-19 позволяет раскрыть данные без авторизации. "Медиазона" допускает, что именно эта уязвимость привела к утечке данных в даркнет.

Издание сообщало о проблеме об обнаруженной им уязвимости компании "Ростелеком" и направило информацию в пресс-службу министерства цифрового развития, связи и массовых коммуникаций России, но не получило ответа. Сейчас уязвимостью воспользоваться уже невозможно.

По данным издание "Холод", уязвимость устранили до начала сентября.

В министерстве во вторник заявили, что проводят проверку в связи с утечкой, настаивая при этом, что угрозы безопасности личных данных нет.

"Минцифры начало проверку по факту появления сообщений в телеграм-каналах об утечке обезличенных данных из приложения "Госуслуги стоп коронавирус", - сказано в заявлении. - В самой базе приложения персональные данные граждан не содержатся. При этом выборочная проверка опубликованных QR-кодов показывает их неработоспособность. В связи с этим подтвердить валидность этих данных не представляется возможным. Подтверждаем, что угроз для безопасности личных данных нет".

Журналист Михаил Зеленский, занимавшийся этой темой, во вторник также написал, что у вакцинированных нет повода для паники: "Там никаких личных данных - только то, что показывалось бы на входе в кафе: первые буквы ФИО и кусок номера документа. Зато в этой базе 48 миллионов (как утверждается) записей вида: дата прививки, тип прививки, регион прививки, возраст привитого. То есть кладезь эпидемиологической информации, которая и так должна быть открытой".

https://www.bbc.com/russian/news-60130755
26 Января 2022 в 07:50
2100