В Telegram публикуются личные данные пользователей, об этом на своей странице в Facebook рассказала основатель портала Rusbase Мария Подлеснова. За день до этого в интернете обсуждали уязвимость нового сервиса Telegram Passport. Рассказываем, откуда в мессенджере появились конфиденциальные данные о россиянах.
На своей странице в соцсети Подлеснова говорит, что по запросу «паспорт» в мессенджере Telegram выскакивают каналы со сканами паспортов тысяч россиян. Злоумышленники размещают полные развороты лицевой стороны документа с инициалами, датой и местом рождения, а также страницу с пропиской человека. Помимо этого, в каналах можно найти водительские удостоверения и CНИЛСы. Большинство документов — действующие, об этом свидетельствует сайт МВД. Подлинность документов подтвердили сами владельцы, которые узнали об утечке от корреспондента «Шторма»: «Это мои документы. Просто так я эти сканы нигде не выкладывал. Эти данные есть, но только у оператора, еще в банках и, скорее всего, в госструктурах», — заявил нам один из пострадавших, пожелавший остаться неназванным.
Сейчас в каналах, где публиковались данные российских граждан, рекламируются «схемы по разводу» онлайн-казино. Также один набор слитых документов был опубликован на странице в соцсети «ВКонтакте». Скриншот паспорта и водительское удостоверение размещено в профиле в качестве гаранта для сделок (злоумышленники занимаются спортивными прогнозами).
За день до публикации основателя Rusbase Подлесновой тему персональных данных в мессенджере поднимали на форуме программистов Habr. Пользователь под псевдонимом Scratch поставил под сомнение надежность нового сервиса Telegram Passport. Он обнаружил уязвимость приложения Павла Дурова, из-за которой злоумышленники могут похитить информацию о пользователях.
По его словам, сервис отправляет в облако криптографические ключи, зашифрованную информацию пользователя, хэш вперемешку со случайными байтами. Scratch утверждает, что этой информации достаточно для того, чтобы взломать Telegram Passport, а похитить данные можно при помощи обычной брутфорс-атаки (методом подбора паролей).
Однако Telegram-каналы с данными начали появляться еще в середине зимы этого года. Дата публикации личных документов говорит о том, что утечка данных произошла задолго до введения сервиса Passport.
Откуда могли появиться сканы паспортов?
13 июля на страницах издания vc.ru появилась статься SEO-специалиста, эксперта по поисковым системам Rush Agency Павла Медведева. В заметке говорилось о том, что через поисковую выдачу «Яндекса» можно найти билеты на поезда, выписки из банков и даже сканы паспортов:
«Раньше проблемы были в основном у мелких интернет-магазинов, сейчас информацию сливают и такие гиганты, как ВТБ, Сбербанк, департамент транспорта Москвы, агрегаторы авиабилетов и многие другие. Я считаю, это связано с тем, что из-за кризиса многие хорошие специалисты и разработчики переориентировались на Запад, и качество кадров в ИТ снизилось. Пример — данные, которые можно найти в поисковой выдаче», — говорит в статье Медведев.
Специалист также отметил, что сайты вышеописанных организаций пренебрегают элементарными правилами безопасности. В свою очередь в Сбербанке заявили, что по данному вопросу проводится разбирательство, и подчеркнули: данные, которые бы нанесли ущерб их клиентам, не затронуты.
По мнению экспертов, несмотря на то что в Telegram Passport нашли уязвимость, а после этой находки пользователи обнаружили документы россиян, это никак не отразится на репутации мессенджера и его нового сервиса: «Это вещи не связанные. От сервиса Telegram Passport может отпугнуть разве что находка программиста с Habr. Но надо понимать, что доверие пользователей зависит от того, насколько они фанатеют от продукта. Дуров показал себя с лучшей стороны, пользователи считают, что он никогда не выдаст их персональные данные», — говорит президент Ассоциации профессиональных пользователей Владимир Зыков. При этом добавляет: «Не совсем понятно, откуда появились сканы паспортов в Telegram-каналах. Мы напишем обращение к Роскомнадзору. Если источник утечки будет найден, то скорее всего, его будут ждать серьезные санкции».
Telegram Passport
Первое описание Telegram Passport приводилось в инвестиционном проекте — ICO TON (IPO в мире блокчейна и криптовалют). В результате размещения стартапа Павлу Дурову удалось собрать 1,7 миллиарда долларов.
Официальный запуск нового сервиса Telegram состоялся 26 июля. Нововведение представляет собой единый способ для авторизации пользователей в приложениях, где необходимо подтверждение личности. Загрузив один раз копию документов, пользователи могут делиться своими данными со сторонними ресурсами. Это должно упростить жизнь пользователей.
Telegram Passport может собирать водительские удостоверения, паспорта и загранпаспорта, коммунальные счета, банковские выписки. Все документы хранятся в облаке и должны быть защищены шифрованием. Сам мессенджер не имеет доступа к загруженной информации.