Сообщения о распространении в Dark Web персональных данных почти 15 миллионов граждан Узбекистана вызвали серьёзную обеспокоенность в обществе.
Произошедшее вновь актуализировало проблему безопасности электронных государственных сервисов и персональных данных.
Хотя Центр кибербезопасности сообщил, что по данному факту проводятся изучения, официальные выводы пока не обнародованы.
По имеющейся информации, среди взломанных систем оказался и OAuth-сервер — основной механизм аутентификации государственных информационных систем. Через данный сервер осуществлялись процессы входа в различные государственные сервисы и подтверждения пользователей.
Источники отмечают, что именно через этот сервер могла возникнуть возможность несанкционированного доступа к ряду важных государственных систем.
Среди систем, о взломе которых сообщается, упоминаются информационные системы Министерства внутренних дел, Национального агентства социальной защиты (IHMA), Национального комитета по статистике (STAT.UZ), Компании по рефинансированию ипотеки Узбекистана (UZMRC.UZ).
Сообщается, что среди утёкших данных могли содержаться следующие персональные сведения граждан:
- имя и фамилия,
- дата рождения,
- адрес проживания,
- номер телефона,
- адрес электронной почты,
- паспортные данные.
Также имеются сообщения о публикации копий паспортов, медицинских документов, листков нетрудоспособности и личных фотографий. Утверждается, что хакеры для подтверждения подлинности информации продемонстрировали в Dark Web полные персональные данные тысяч граждан.
Согласно сообщению Telegram-канала Kurbanoff.net, похищенные данные относятся к 2023 году. В сети появилась информация о том, что хакеры заявили о готовности продать базу данных за 200 тысяч евро. Кроме того, они утверждают, что за пять дней до этого обращались к сотрудникам службы кибербезопасности Узбекистана — UZCERT.
Национальное агентство социальной защиты 31 января в своём Telegram-канале сообщило, что в информационной системе «Единая национальная социальная защита» проводятся профилактические работы, в связи с чем до 5:00 2 февраля через my.gov.uz возможны перебои в предоставлении отдельных услуг. Накануне вечером появилась информация о том, что Агентство подтвердило, что произошла утечка его старой базы данных, но позже пост был отредактирован. Согласно обновленной публикации, информация, перепечатанная "на отдельных информационных сайтах, не соответствует реальному содержанию ситуации. В настоящее время по данному факту в установленном порядке проводятся изучения". Национальный комитет по статистике, в свою очередь, заявил, что персональные данные граждан, связанные с переписью, надёжно хранятся и вероятность их утечки во внешние источники отсутствует.
Налоговый комитет сообщил, что в отношении всех информационных систем, находящихся в ведении комитета, приняты необходимые технические и организационные меры по защите от кибератак. В настоящее время все интерактивные услуги и информационные системы функционируют стабильно и бесперебойно в установленном порядке. Также, согласно официальному заявлению МВД, информационная безопасность систем, находящихся в их ведении, полностью обеспечена, а неприкосновенность хранящихся в них персональных данных гарантирована. Возможности несанкционированного доступа к этим системам через внешние источники не существует.
Отметим, что согласно Закону Республики Узбекистан «О персональных данных», государство гарантирует защиту персональных данных граждан.
