Хакеры за 100 тысяч долларов предлагают купить базу данных QR-кодов вакцинированных от COVID-19

Сначала информация появилась в Телеграм-каналах «Утечки информации» и @dataleak. В даркнете выставили на продажу база данных QR-кодов вакцинированных от COVID-19. По словам продавца, информация была получена из приложения «Госуслуги СТОП Коронавирус».

На теневом форуме выложили образец  данных, которая  содержит 10 тысяч строк:

• первые буквы ФИО на русском и английском языках
• дата рождения
• УНРЗ (уникальный номер регистровой записи пациента)
• первые две цифры серии и последние три цифры номера паспорта
• название вакцины на русском и английском языках
• QR-код в формате PNG, закодированный в Base64 и срок его действия.

Выборочная проверка показала, по данным телеграм-канала «Утечки данных», что QR-коды действительные, ведут на сайт Госуслуг и данные в образце полностью совпадают с тем, что указано на официальной странице проверки QR-кодов (gosuslugi.ru/covid-cert/verify/).

Продавец утверждает, что в полной базе 48 млн строк и он продает ее за 100 тыс долларов.

Ростелеком по данному факту  проведет внутреннюю проверку. В компании утверждают, что данные из даркнета были сгенерированы вне системы и не имеют отношения к действующей базе пользователей приложения.

Как сообщает РБК, Минцифры также проведет расследование об утечке обезличенных данных из приложения «Госуслуги СТОП коронавирус». В ведомстве уверяют, что угроз для безопасности личных данных пользователей сервиса нет.

Вот как инцидент прокомментировали на Телеграм-канале «In4security»:

«Количество новых регистрируемых доменов созвучных с официальным доменом портала Госуслуг падает с каждым днем. И это несмотря на то, что пандемия пока совершенно не торопится заканчиваться. Возможно два варианта: либо фантазия тех, кто регистрирует такие домены, иссякла, либо люди, наконец, начали понимать, что фейковые QR-коды не работают.

В середине декабря на некоторых даркнет-форумах появилась услуга по подбору QR-кода, максимально соответствующего данным заказчика, благо сделать это вполне реально, ведь открываемая по коду страница содержит лишь первые буквы ФИО, дату рождения и фрагмент номера паспорта. Вероятно, к тому времени база действующих QR-кодов была уже каким-то образом получена и проанализирована третьими лицами. Конечно, подобрать страницу, в которой будут совпадать не только первые буквы фамилии, имени и отчества, но также дата рождения и серия и номер паспорта проблематично, но ведь всегда можно сослаться на ошибку в системе или предъявить вместо паспорта другой документ.

Изначально за подбор QR-кода просили 4 000 рублей при условии совпадения даты рождения и 1000, если дата не совпадает. Однако вскоре автор объявлений создал сайт, на котором подобрать подходящий сертификат можно уже совершенно бесплатно».

UPD. Добавлено 18.14

На  сайте  "Ростелеком" компания прокомментировала инцидент:

«Опубликованная в «даркнете» база данных приложения «Госуслуги СТОП Коронавирус» не является валидной. Результаты внутренней проверки ПАО «Ростелеком» показали, что опубликованные данные были сгенерированы вне системы и не имеют отношения к действующей базе пользователей приложения.

После сообщений об утечке информации была проведена выборочная проверка QR-кодов и подтверждена их неработоспособность.

Сгенерированная база содержит первые буквы ФИО, дату рождения и четыре последние цифры паспорта. Эти данные не относятся к персональным.

Специалисты по ИБ продолжают внутреннюю проверку по факту публикации в «даркнете» базы обезличенных данных. Персональные данные пользователей находятся в безопасности».

Фото - pexels.com