Клиент BankID получил политический спам и подозревает, что партия ворует данные. Разбираемся в обвинениях
Основатель криптосервиса btcu.biz Тимур Михайловский на своей странице в Facebook рассказал историю, которая случилась с ним накануне парламентских выборов. Он подозревает, что партия «Українська стратегія» незаконно получила доступ к базе адресов пользователей BankID. В самой партии это отрицают, в BankID «ПриватБанка» и НБУ эту информацию проверить не могут.
Что случилось
Как пишет в посте Михайловский, чтобы разделять сервисы, которыми пользуется, он создает для каждого отдельную почту. «Для чего это нужно: во-первых, чтобы у меня был уникальный логин, во-вторых, чтобы фильтровать письма от спама». Соответственно, когда Тимур регистрировался в BankID, он создал уникальный адрес именно для этого сервиса.
17 июля он получил на эту почту агитационное письмо политической партии Владимира Гройсмана «Українська стратегія».
К этому адресу был подвязан только один сервис — BankID. Он работает как способ верификации через украинские банки, чтобы украинцы могли получать административные и другие услуги через интернет. Через BankID можно подать петицию президенту, верифицироваться как гражданин Украины, получить электронную подпись и подать декларацию.
«Проблема не в том, что партия спамит, а в том, что к персональной информации граждан, которая охраняется законом, имеют доступ неавторизованные лица», — пишет Михайловский.
Сам он использовал BankID для подачи декларации и «подписывал ряд петиций против неадекватных решений правительства». Например, по ограничению стоимости посылки из-за границы суммой в 100 евро.
«Ребята из партии премьер-министра, расскажите, откуда у вас база этих e-mail? Выходит, что вы просто преступно получили эти адреса и нагло их использовали?», — пишет Тимур. Он призывает правоохранительные органы обратить внимание на этот инцидент.
Рассылка от партии «Українська стратегія» попала и в ящик к заместителю главного редактора delo.ua Андрею Лохматову. Он пишет, что такие письма получили и его знакомые.
Что ответили в «Українська стратегія»
По словам представителей партии, все люди, которые получили агитационную рассылку, должны быть зарегистрированы на сайте партии.
«Через нашу официальную форму присоединились почти 1 млн человек. У всех них было несколько вариантов, среди которых — подписка на рассылку. Поскольку мы не проводим авторизацию e-mail, возможно, другое лицо указало чужой адрес», — комментирует «Українська стратегія» в Facebook.
Михайловский ответил, что не регистрировался на сайте партии Гройсмана. Лохматов добавил, что ни он, ни его знакомые на сайт партии даже не заходили.
Что ответили в BankID
В Украине существует два сервиса с идентичным названием: BankID «ПриватБанка» и BankID НБУ. Сам Михайловский отказался комментировать, каким именно пользовался. Чтобы разобраться, откуда могла произойти утечка данных, редакция Vector направила запрос в обе структуры.
В пресс-службе НБУ ответили, что по посту Михайловского невозможно установить, какую именно систему BankID использовали. Представители BankID «ПриватБанка» отказались комментировать ситуацию, но заверили, что шифруют все данные пользователей.
Как заявлял теперь уже бывший IT-директор «ПриватБанка» Дмитрий Дубилет, оба сервиса построены по одному и тому же принципу, поэтому в НБУ ответили точно так же: «Система BankID Национального банка Украины построена таким образом, чтобы направлять зашифрованную и подписанную электронно-цифровой подписью информацию от одного абонента (банка-идентификатора) другому — поставщику услуг (это может быть банк, коммерческая или государственная организация)».
НБУ отмечают, что в самой системе BankID информация не сохраняется, соответственно, у них нет доступа к персональным данным пользователей. Все действия в системе инициирует владелец данных. Он же дает согласие на их передачу от своего банка к поставщику услуг.
Как такое возможно
Откуда партия могла получить уникальный адрес Тимура Михайловского, мы спросили у эксперта по криптографии и кибербезопасности, основателя BlockSoftLab Вадима Груши. Он говорит, что оба сервиса BankID — централизованные и изолированные системы. Их контакт с подключенными организациями жестко регламентирован. Сама система BankID работает на основе устойчивых алгоритмов шифрования, поэтому перехватывать данные невозможно. В то же время, угрозу со стороны BankID исключать нельзя. «Специалисты, которые работают с централизированной системой, могут получить доступ к внутренним данным и скопировать их», — объясняет Груша.
По словам эксперта, если пользователь один раз авторизировался в системе, эти данные можно автоматически использовать в интегрированных сервисах, услугами которых он пользуется. Поэтому в случае с Михайловским нельзя точно сказать, что утечка произошла именно из системы BankID нельзя — данные мог передать другой сервис. Пользователь сам разрешает делиться своими персональными данными с платформой, чьими услугами он пользуется.
«Если гражданин Украины сегодня подал электронную петицию в Администрацию президента, а завтра получил через BankID кредит в коммерческом банке, это значит, что его персональные данные теперь знает не только система BankID, но и администрация и коммерческий банк», — говорит эксперт.
Чем больше услуг будет получать пользователь — тем больше копий своих персональных данных он будет создавать. А вместе с количеством копий растут и риски утечки.