22 мая хакерская группа под названием Team Insane Pakistan опубликовала персональные данные более 600 тысяч граждан Кыргызстана. В этих данных указаны Ф. И. О., ИНН, адреса прописки и даты рождения.
Редакция Kaktus.media разбирается в ситуации.
Что произошло?
18 мая, после событий в Бишкеке с участием иностранных студентов, Team Insane Pakistan опубликовал предупреждение на своем Telegram-канале в адрес властей Кыргызстана. В этом сообщении говорилось, что если они не примут меры в отношении нападавших, то они «примут меры». При этом в своем предупреждении они дали несколько часов.
Важно отметить, что это сообщение было опубликовано в 13:42 18 мая по бишкекскому времени — спустя примерно 10 часов после того, как массовые беспорядки были завершены. Однако информация об этих событиях в пакистанском сегменте соцсетей только начала распространяться: при этом распространялось огромное количество дезинформации, к примеру, в соцсети X (Twitter) сообщалось, что в ходе этих беспорядков якобы убиты несколько иностранных студентов, а десятки иностранных студенток подверглись изнасилованиям. К различным постам были прикреплены фото или видео, которые к тем событиям не имели никакого отношения. Очень важно подчеркнуть, что факты убийств или изнасилований во время массовых беспорядков в ночь с 17 на 18 мая не подтвердились. При этом пострадавшие среди иностранных студентов были: около 30 человек обратились за медпомощью.
Спустя примерно сутки после предупреждения Team Insane Pakistan начал по очередности публиковать посты, в которых заявлял, что эти сайты попали под атаку. Речь идет об образовательном портале МЧС КР, портале университета «Манас», о сайтах Минсельхоза КР, компании «СаймаТелеком», «7-го канала», «Климатической платформы», а также о сайте с информацией о кафе и ресторанах Бишкека.
Якобы атаки также были совершены на сайты ОшГУ, Джалал-Абадского государственного университета, МУК, КРСУ, Азиатского мединститута и КГМА.
Судя по тому, что все вышеуказанные сайты продолжают работать, это была кратковременная DDoS-атака. При этом только один сайт «Школы журналистики» все еще содержит информацию о хакерской атаке, однако, судя по записям, сайт перестал функционировать два года назад. Информацию об атаках подтверждает сайт CyberExpress, публикующий новости о кибератаках и кибербезопасности. В публикации за 20 мая сообщается, что некоторая часть цифровой инфраструктуры Кыргызстана была подвергнута атакам.
Публикация персональных данных кыргызстанцев
Но самое важное произошло утром 22 мая: Team Insane Pakistan заявил, что опубликовал персональные данные более 600 тысяч граждан Кыргызстана. В файле размером более 100 мб содержится личная информация о персональных данных физических и юридических лиц в Кыргызстане.
Издание «Азаттык» сообщило, что в базе данных упоминаются спикер Жогорку Кенеша Нурланбек Шакиев, трое заместителей председателя кабмина Адылбек Касымалиев, Камчыбек Ташиев и Эдиль Байсалов, председатель налоговой службы Алтынбек Абдувапов, депутаты Эльдар Абакиров и Балбак Тулобаев, Адахан Мадумаров, экс-депутат Абдывахап Нурбаев, бывший президент Алмазбек Атамбаев, экс-премьеры Жоомарт Оторбаев и Омурбек Бабанов, экс-министры Тайырбек Сарпашев и Накен Касиев, а также брат бывшего президента Аскара Акаева — покойный Асанкул Акаев. Из министров в списке присутствуют Аяз Баетов, Алмаз Бакетаев, Рахат Керимбаева, Кудайберген Базарбаев, главы областей Алтынбек Эргешов, Уланбек Далиев, Нурлан Дарданов, посол Омурбек Текебаев, директор госкомпании «Инфоком» Кубанычбек Садамбеков, его заместитель Нурлан Айдиев, экс-директор Асел Кененбаева, директор центра кибербезопасности ГКНБ Кубанычбек Молдосариев и руководитель отдела цифрового развития президентской администрации Азамат Буржуев.
Примечательно, что после этого Team Insane Pakistan перестал публиковать какие-либо посты, связанные с Кыргызстаном.
То, что данные настоящие, подтвердили бишкекчане, упомянутые в этом списке — их личная информация в слитом файле соответствует действительности. Информацию также подтвердили экс-министр сельского хозяйства Тилек Токтогазиев и правозащитница Атыр Абдрахматова. Помимо этого, была проведена сверка по открытым данным граждан по ГНС, ЦИК и Минюсту.
Кто слил персональные данные?
Судя по характеристике, информация в персональных данных не является актуальной на момент публикации: там много устаревших данных, к примеру, присутствуют данные уже умерших людей. Также в списке физических лиц самыми молодыми являются люди, рожденные в 1999 году.
Если же проанализировать сам Telegram-канал Team Insane Pakistan, то можно заметить, что они в основном занимаются DDoS-атаками государственных сайтов Индии и Израиля, а не взламыванием персональных данных людей в дальнейших целях публикации.
Так откуда же тогда эти данные?
Что касается самых громких случаев публикации персональных данных кыргызстанцев в открытом доступе, то вспоминается инцидент, произошедший ровно четыре года назад, когда данные 800 тысяч налогоплательщиков Кыргызстана оказались в открытом доступе. Тогда Telegram-канал «Утечки информации» сообщил, что файл с базой данных кыргызстанских налогоплательщиков, содержащий 879 271 запись, изначально был выложен в середине апреля этого года на англоязычный форум, а 2 июня перевыложен тем же пользователем на русскоязычный форум.
Редакция Kaktus.media сравнила данные файла, опубликованного Team Insane Pakistan, с данными, опубликованными в 2020 году. В итоге данные файлов оказались идентичными. Единственная разница: в слитых данных за 2020 год сведения кыргызстанцев были упорядочены и пронумерованы, а в файле Team Insane Pakistan информация идет вразброс и без нумерации. При этом у хакерской группы данные лишь на 630 тысяч кыргызстанцев, в то время как оригинальный файл содержал 879 271 запись.
Взлом базы данных ГНС
5 июня 2020 года, когда о публикации персональных данных кыргызстанцев стало известно, редакция Kaktus.media связывалась с техническим директором компании-разработчика систем борьбы с утечками данных DeviceLock Ашотом Оганесяном, который является автором канала «Утечки информации».
Оганесян предоставил редакции доказательства того, что база налогоплательщиков Кыргызстана действительно оказалась в открытом доступе.
«Человек, выложивший базу, сообщил, что это он сам взломал сайт salyk.kg в 2019 году (предположительно в июле) через уязвимость в SQL (sql injection). Человек, который опубликовал базу данных налогоплательщиков (его ник — cocomelonc), отметил, что воспользовался методом внедрения SQL-кода, чтобы взломать сайт salyk.kg. По его словам, в настоящее время уязвимости на сайте устранены», — отметил тогда специалист по утечке данных.
Кубаныч Шатемиров, который на тот момент занимал должность заместителя председателя ГНС, заявлял, что без анализа самой утечки данных и источника происхождения невозможно подтвердить ее подлинность. Также он пояснил, что сведения, которые находятся в базе налогоплательщиков, согласно законодательству, не относятся к налоговой тайне.
«Речь идет о наименовании и реквизитах налогоплательщика. Это открытая информация», — сказал тогда Кубан Шатемиров.
При этом в ГНС проводили проверку по данному инциденту, каковы результаты этой проверки — неизвестно.
Выводы
С большой вероятностью хакерская группа Team Insane Pakistan не взламывала какие-либо госсайты Кыргызстана в целях кражи персональных данных, а лишь переопубликовала у себя налоговые данные кыргызстанцев за 2019 год, которые последние четыре года находятся в открытом доступе.
