Основы Интернет - технологий.

19 декабря эксперты Data Leakage & Breach Intelligence (DLBI) сообщили, что проукраинские хакеры опубликовали уже пятый по счету дамп на 1 067 034 строк с информацией, якобы полученной из Единой Системы Идентификации и Аутентификации (ЕСИА) «Госуслуг».

Напомню, что ранее сообщалось уже о четырех похожих случаях. Об этих инцидентах (1, 2, 3, 4) так же писали эксперты DLBI, и тогда речь шла о дампах размером 5000, 2000, 22 000, 37 500 и даже 2,5 млн строк. Факт этих утечек опровергали в Минцифры и «Ростелекоме».

Теперь в DLBI рассказывают, что на этот раз текстовый файл с 1 067 034 строками датирован периодом с 01.01.2022 по 30.11.2022 и содержит:

• ФИО;


• Email-адреса (около 890 000 уникальных адресов);


• Телефоны (около 1 млн уникальных номеров);


• пол;


• даты рождения;


• адреса;


• паспорта (серия, номер, кем и когда выдан);


• ИНН.

После публикации информации об этой утечке, глава Минцифры Максут Шадаев заявил СМИ, что утечка собрана из старых данных, ранее уже попадавших в сеть:

Также в Минцифры заявили, что «информация об утечке с Госуслуг – фейк», а специалисты Ростелекома, которые отвечают за безопасность портала «Госуслуг», уже проверили опубликованный файл и пришли к выводу, что «он не имеет отношения к Госуслугам»

В ответ на это специалисты DLBI писали, что некоторое время назад в сеть действительно «слили» часть базы данных предположительно принадлежащей «Почте России». Однако, сравнив два дампа, специалисты пришли к выводу, что новые данные точно не связаны с публичными утечками «Почты России».

Сегодня, 20 декабря 2022 года, в Telegram-канале Минцифры и вовсе появился «​​отчет об анализе цикла выгрузок информации в украинских телеграм-каналах, относящихся к данным “Почты России”», произведенный специалистами «Ростелеком-Солар».

В отчете, который ниже мы цитируем полностью, сообщается, что новая утечка данных произошла из одной из информационных систем АО «Почта России». Несовпадение с другими утечками «Почты России», ранее опубликованными в открытом доступе, эксперты объясняют тем, что этот «слив» относится «к другой информационной системе почтового оператора, не появлявшейся ранее в публичном поле».

Отчет об анализе цикла выгрузок информации в украинских Telegram-каналах, относящихся к данным «Почты России»

19.12.2022 в 10:17 в телеграм-канале DumpForums выложен файл (esia.097.csv), содержащий 1 миллион строк и следующие данные:

1. Наименование информационной системы (ЕСИА)


2. Токен


3. Дата


4. Наименование информационной системы (erl-portal)


5. ФИО


6. Пол


7. Дата рождения


8. СНИЛС


9. ИНН


10. Адрес


11. Паспортные данные


12. Статус проверки паспорта (предположительно)


13. E-mail


14. Телефон


15. OID ЕСИА (идентификатор пользователя в базе ЕСИА)

Это стало очередной публикацией так называемой утечки из ЕСИА, первая из которых была выложена 11.10.2022 в том же телеграм-канале. После этого было осуществлено последовательное малое дополнение утечки в 3 итерации до общего объема данных около 30 тысяч строк и две большие выгрузки, выставленные на различных форумах – публикация от 18 октября, содержащая более 2,5 миллионов строк, и от 19 декабря, описанная выше в отчете. Совокупный объем опубликованной уникальной информации на текущий момент превышает 3 млн строк. Даты на записях в файле явным образом перебиты (не совпадают между утечками и не совпадают с датой формирования части данных внутри систем) с целью продемонстрировать актуальность полученной базы, поэтому на текущий момент дата утечки атрибутируется во вторую половину 2021 года.

Поскольку речь идет о персональных данных, в выгрузке отсутствуют пароли или хэши паролей и по существенной части учетных записей включен второй фактор, версия по получения данной информации из системы ЕСИА посредством брутфорс (перебора паролей) считается технически невозможной.

В результате проверки установлено:

1. Источником утечки информации не являются информационные системы ИЭП, в том числе ЕПГУ(ЕСИА):

a.     Информация о проверке паспорта в указанном виде не содержится в БД ЕСИА;

b.     OID ЕСИА содержится лишь в небольшой части строк. Значения OID остальных строк не содержат данных;

c.      Несмотря на то, что OID действительно используется в рамках взаимодействия между компонентами ЕПГУ и некоторыми внешними системами, в частности СМЭВ, эта утечка не является утечкой из ЕСИА, поскольку в последней отсутствуют данные о статусе проверки паспорта (п12). OID ЕСИА могли оказаться в наборе данных вследствие утечки из сторонней системы, взаимодействующей со СМЭВ;

d.     Наименование информационной системы (erl-portal) отсутствует в данных БД ЕСИА и иных БД ЕПГУ.

2. Согласно проведенной аналитике, утечка произошла из одной из информационных систем АО «Почта России»:

a.     Выгрузка данных по запросам согласий на передачу данных показала, что подавляющее количество указанных OID давали согласие на передачу данных из ЕСИА в адрес ИС «Почты России» (ввиду отсутствия историчности данных, на момент проверки часть пользователей могли отозвать свое согласие на передачу данных в сторону «Почты России»).

b.     В справочниках по ВС СМЭВ выявлено несколько ресурсов на стороне «Почты России» для межведомственного взаимодействия, имеющих название, схожее по написанию с указанной в файле информационной системой erl-portal.

c.      Структура данных совпадает с передаваемой со стороны Госуслуг в сторону «Почты России»

3. Информация от 19.12.2022 не совпадает с другими утечками из «Почты России», ранее опубликованными в открытом доступе, поскольку относится к другой информационной системе почтового оператора, не появлявшейся ранее в публичном поле. Целями злоумышленников можно считать желание расширить формируемую в публичном поле область компрометации инфраструктуры РФ за счет выдачи данных утечки из одной организации за данные другой.