Масштабная утечка данных Ренапера. Они заявили, что взломали базу данных с более чем 65 миллионами записей о стране.

На одном из хакерских сайтов появилась новая утечка персональных данных населения Аргентины, которая вызвала беспокойство из-за объема и масштаба записей. В частности, на продажу выставлена полная база данных Национального реестра лиц (Renaper), которая превышает 65 миллионов записей. По словам Кристиана Боргелло, эксперта по компьютерной безопасности, утечка включает в себя: исходный код, API, пароли, фотографии и отпечатки пальцев. Фотографии и отпечатки пальцев. "Эта публикация хуже предыдущих (если это возможно), потому что они опубликовали исходный код, API и доступ к веб-сервисам", - сообщил он через свой аккаунт в X, приложив скриншоты предоставленных данных. "Пару недель назад более 114 000 фотографий аргентинских граждан, извлеченных из Renaper, были опубликованы на форуме по покупке и продаже персональных данных и в Telegram. Каждый файл, говорится в публикации, сопровождался полным именем человека и номером документа. В нем содержался DNI или номер паспорта человека с номерами от 10 миллионов до 57 миллионов (то есть там были и несовершеннолетние), и он был доступен в сжатом файле размером 2,2 ГБ тому, кто предложит наибольшую цену. "Атаки и утечки не являются чем-то новым: в 2021 году пользователь Twitter с аккаунтом @AnibalLeaks опубликовал фотографии DNI десятков известных личностей. Он утверждал, что это лишь доказательство того, что он может получить доступ к информации о каждом жителе Аргентины. Позже он слил еще 60 000 единиц информации из Renaper: "Данные были извлечены с помощью паролей из Министерства здравоохранения три года назад. В 2021 году пользователь с авторизованными ключами от Министерства здравоохранения извлек данные из Renaper путем создания запросов, неправомерно используя полученную информацию. Данные, находящиеся в настоящее время в обращении, являются результатом этого инцидента. Специалисты по компьютерной безопасности организации исключили возможность массовой фильтрации информации или уязвимости базы данных", - сообщили LA NACION источники в Министерстве внутренних дел. "Вчера также распространилась информация о возможной фильтрации базы данных с более чем пятью миллионами водительских удостоверений Аргентины, среди которых есть удостоверения президента Хавьера Милея, а также министров Патрисии Буллрич и Луиса Петри. По данным аналитического центра по кибербезопасности birminghamcyberarms.co.uk, национальная база данных водительских удостоверений была украдена и выставлена на продажу. В частности, за $3700 в темной паутине предлагается полная база данных почти шести миллионов водительских удостоверений, зарегистрированных в DNRPA (Dirección Nacional de Registro de Registro de Propiedad del Automotor). В качестве доказательства правдивости утечки хакеры показали данные президента Хавьера Милея и некоторых его министров. Кроме того, они добавили скриншоты записей таких знаменитостей, как Марсело Тинелли и Тини Стоессел. "Среди данных, включенных в базу, 1,25 терабайта, есть удостоверение личности с обеих сторон и вся содержащаяся в нем информация: полное имя, фотография, QR, пол, национальность, дата и место рождения, адрес, тип и группа крови и уровень лицензии. "В ответ на запрос LA NACION Национальный секретариат по транспорту выпустил заявление из трех параграфов, в котором говорится: "Национальное агентство по безопасности дорожного движения (ANSV) сообщает, что группа профессиональных хакеров получила доступ к ограниченному объему информации, используемой для изготовления цифровых лицензий. К счастью, об этом факте в свое время узнала команда по информационной безопасности, что позволило принять необходимые меры предосторожности, чтобы прекратить доступ к этой информации и блокировать будущие взломы". "Затронутые данные - это данные, которыми ANSV делится с несколькими агентствами, которым для создания цифровых прав требуется информация из Национального водительского удостоверения", - добавляется в заявлении. "В заключение говорится: "Учитывая этот сценарий, ANSV поясняет, что ни базы данных, ни конфиденциальная информация граждан не были скомпрометированы, и что команды ИТ-безопасности и юристов работают над этим вопросом совместно с Национальным управлением кибербезопасности и Центром реагирования на инциденты (Cert. Ar), принимая соответствующие меры". Чтобы попытаться внести больше спокойствия, правительство отметило: "Хакеры получили доступ не к базе данных, а к отдельным данным. Ни одна база данных не была раскрыта. Ни одна информация не была потеряна. Они сделали копию информации, которая до сих пор не раскрыта, потому что системы в тот момент получили сигнал тревоги, перекрыли доступ хакерам и активировали протоколы для предотвращения возможных новых доступов". "В принципе, скачивание файлов такого типа, которые циркулируют на форумах по покупке и продаже персональных данных или в Telegram, является преступлением. И негде проверить, не произошла ли утечка наших данных Renaper". Когда происходят такие утечки, государство обязано уведомить об этом Агентство по доступу к публичной информации (AAIP) по решению суда. В Министерстве внутренних дел подтверждают, что это было сделано". "К сожалению, несмотря на то, что существует постановление (40 2018) о моделях защиты персональных данных для государственных органов, его эффективное применение на практике государственными органами было очень слабым или отсутствовало. Многие государственные органы до сих пор не приняли руководящие принципы и гарантии, установленные в этой резолюции, что оставляет граждан в уязвимом положении в отношении защиты их персональных данных", - говорит Даниэль Монастерский, директор Центра исследований кибербезопасности и защиты данных Университета CEMA, - "Эта резолюция, на которую он ссылается, не является юридическим обязательством (если нет решения суда), а представляет собой рекомендацию. "Это этическое обязательство и фундаментальная ответственность государства, которое стремится уважать права и частную жизнь людей", - добавляет Монастерский. Для чего преступникам могут понадобиться наши данные? Для многих вещей. Например, чтобы продать их. В некоторых случаях - другим преступникам, которые совершают такие преступления, как кража личных данных: "В этом смысле фотографии и данные могут быть использованы для открытия счета в некоторых виртуальных кошельках или финтех-приложениях. Такие платформы на 100% подтверждают личность в цифровом формате. Их также можно использовать для получения кредитов или даже для создания глубоких подделок (хотя и не только с помощью фотографии удостоверения личности) человека и обмана некоторых биометрических систем. Все транзакции, превышающие минимальную сумму, или запросы на кредит должны иметь двойную систему аутентификации. С помощью этой утечки информации несколько лет назад можно было подписаться на полукустарный финтех. Сегодня они уже не нуждаются в более сложных механизмах. В аргентинских и латиноамериканских компаниях это уже давно невозможно", - предупреждает Эрнесто Мисле, главный специалист по данным в 7Puentes. "Что касается использования ID-фотографий, он объясняет, что их недостаточно для deepfake (имитация лица жертвы в любом выражении и положении для того, чтобы оно появилось на видео или обманной фотографии): "Но вы должны думать, что все они являются ингредиентами для злоумышленника, чтобы иметь много данных в своей папке (где вы ходите в школу, что вы делаете в социальных сетях, носите ли вы очки и многое другое), и со всем этим они могут составить стратегию", которая сделает мошенничество более правдивым, добавляет он. "Одна из рекомендаций некоторых экспертов по компьютерной безопасности, касающихся публикации данных Ренапера, заключается в том, чтобы переделать DNI (который с декабря 2023 года имеет новую, более современную версию, со встроенным чипом NFC). Это позволит нам иметь новую фотографию и номер процедуры, например. Кстати: номер процедуры не должен сообщаться (если только его не запрашивает официальный орган), а в идеале его следует скрыть, если нас попросят сфотографировать удостоверение личности. "И есть кое-что, что мы должны начать натурализовывать (не впадая в фундаменталистские крайности): мы должны опасаться странных или необычных звонков или электронных писем, даже если отправитель кажется невиновным; будь то родственник или друг, просящий денег через WhatsApp, кто-то, звонящий нам от имени государственного агентства для проведения процедуры и просящий предоставить странные данные; всегда, если есть сомнения, мы должны позвонить или посетить офис этого агентства, чтобы подтвердить, что процедура, о которой они заявляют, является правдой, или что человек, просящий у нас деньги, действительно наш знакомый, а не кто-то, кто залез в их WhatsApp. "