PampaLeaks в Уругвае: путь государственных данных от утечки к незаконному бизнесу

История PampaLeaks в Уругвае перестала быть просто чередой постов на подпольных форумах и превратилась в публичную дискуссию об уровне уязвимости государственных данных. Менее чем за год группа перешла от взятия на себя ответственности за атаки и утечки, связанные с Dinacia, Ceibal и другими государственными базами данных, к объявлению о создании так называемой «службы киберразведки» для отслеживания уругвайских граждан с помощью информации, полученной от государственных органов, и продажи доступа к ней в обмен на криптовалюту. Первым заметным событием стала атака на сайт Национального управления гражданской авиации и авиационной инфраструктуры (Dinacia). 17 марта 2025 года сайт Dinacia был дефейсирован с помощью политических сообщений и данных о властях. Издание El País пояснило, что речь шла о дефейсменте, то есть вмешательстве в внешний вид сайта. Взлом был подписан Uruguayo1337, LaPampaLeaks и Bogotaleaks. Однако директор Dinacia заявил тогда, что злоумышленники «создали патч поверх портала» и что признаков проникновения внутрь сайта не было. Операция сопровождалась более серьезной угрозой: злоумышленники заявили, что имеют доступ к адресам, полицейским отчетам и «досье» политиков и чиновников. Это заявление, ключевое для понимания коммуникационной стратегии группы, официально не подтвердилось. Как сообщает MercoPress, власти охарактеризовали атаку как незначительную, не затронувшую критически важные системы, и указали, что утечка данных могла произойти в результате предыдущих утечек или из открытых источников. Вторая волна коснулась Ceibal и платформы CREA. 30 сентября 2025 года группа PampaLeaks заявила, что располагает информацией о более чем миллионе человек с выделенными устройствами — в основном ноутбуками и планшетами для образования — и аналогичным количеством пользователей CREA. Она также опубликовала выборку из 33 000 пользователей, как сообщила Prensa Latina. Официальный ответ Ceibal снизил масштаб инцидента. В своем заявлении организация утверждала, что не было ни атаки, ни доступа к ее внутренней сети, что данные были взяты из отчета и что доступ к базе данных пользователей CREA не был получен. Она также указала, что был взломан профиль одного из пользователей платформы, и оттуда был получен доступ к данным профилей других пользователей, но не к информации об использовании платформы. В то же время журналистские и кибербезопасностные отчеты расширили список баз данных, предположительно вовлеченных в инцидент. Teledoce сообщил, что в инцидентах упоминались ANEP, Ceibal, Университет ORT, и что злоумышленники собирали более старые базы данных, такие как базы Sucive, администрации Монтевидео и Национального управления гражданской идентификации. Когда у Agesic спросили, действительно ли эти базы данных принадлежат Ceibal, ANEP, IMM, Sucive и DNIC, ведомство ответило, что на данный момент не может этого подтвердить. Разница между заявлениями группы и подтверждениями ведомств и составляет суть всей этой истории. PampaLeaks утверждает, что располагает обширными, перекрестно сопоставимыми и обновленными базами данных. Органы, с другой стороны, признали отдельные инциденты, но в целом отрицают, что доступ имел тот масштаб, о котором заявляют злоумышленники. В случае с Ceibal, например, учреждение признало утечку базовых данных, но отрицало вторжение в свою технологическую инфраструктуру. Самый значительный скачок произошел в мае 2026 года, когда в центре внимания оказалась TuID Digital, платформа электронной идентификации Antel. LaPampaLeaks заявила на подпольных форумах, что обнаружила брешь в безопасности TuID и получила доступ к личным данным, связанным с идентификацией, биометрической проверкой и цифровыми подписями. Montevideo Portal сообщил, что группа утверждала, что получила номера удостоверений личности, полные имена, даты рождения, адреса электронной почты, телефоны, адреса проживания, биометрическую информацию и данные, связанные с цифровыми подписями, а также ключи API и настройки бэкэнда. В самой статье уточнялось, что на тот момент эти утверждения не были подтверждены независимой проверкой. Antel подтвердила атаку на систему аутентификации TuID, активировала протоколы и подала заявления в прокуратуру и Министерство внутренних дел. Компания заверила, что в результате атаки не были скомпрометированы ни пароли для аутентификации, ни особо защищенные данные граждан или самой компании, а также что надежность усовершенствованной электронной подписи осталась на прежнем уровне. Спустя несколько дней Antel представила более подробный результат экспертизы: у всех пользователей не были скомпрометированы ни пароли, ни PIN-коды для подписи, ни закрытые ключи, связанные с цифровыми сертификатами, ни учетные данные. Самым деликатным моментом было то, что у 163 пользователей могли быть скомпрометированы «мелкие детали» отпечатков пальцев, относящиеся к первоначальной регистрации, проведенной в период с февраля по октябрь 2020 года. Компания сообщила об этой ситуации этим пользователям и указала, что последующие регистрации не были затронуты. 18 мая 2026 года дело приобрело новый оборот: PampaLeaks заявила о создании сервиса для отслеживания граждан Уругвая. По данным El País, группа заявила, что сервис был «более мощным», чем PampaBot, поскольку включал в себя базу данных, полученную путем скрапинга TuID, новые базы данных Уругвая и «активные точки доступа» в государственных учреждениях. Предложение публиковалось в обмен на оплату в биткойнах. Агентство EFE, цитируемое Infobae, сообщило, что PampaLeaks использовало данные политических деятелей в качестве примера этой незаконной услуги и утверждало, что источники, к которым оно якобы имело доступ, включали, среди прочего, DNIC, TuID, Ceibal, UTU, ANEP и Sucive. В этой публикации также приводился ответ компании Antel: пароли, PIN-коды для подписи, закрытые ключи и учетные данные всех пользователей не были скомпрометированы; при этом было признано возможное посягательство на биометрические данные небольшой группы из не более 163 пользователей. Вырисовывается четкая картина: государственные данные превращаются в сырье. Сначала они появляются в виде утечки, затем — как демонстрация силы, и, наконец, — как продукт. Если первые эпизоды имели ярко выраженную составляющую публичного разоблачения и политического послания, то объявление о платной услуге знаменует переход к логике «киберпреступности как услуги», где ценность заключается в скрещивании источников: личности, адресов, семейных связей, образования, транспортных средств, телефонов и цифровых учетных записей. Контекст тоже не помогает. В 2024 году Agesic выявила и отреагировала на 14 264 инцидента в сфере кибербезопасности, что в три раза больше, чем годом ранее, причем основной категорией был сбор информации. В той же статье El País уже связывала рост числа инцидентов с делом Dinacia и с опасениями по поводу атак на государственные органы. Реакция государства начала смещаться в сторону более жестких мер контроля. Администрация президента опубликовала Указ № 275 025, который вводит в действие многофакторную аутентификацию в государственных органах; цель состоит в повышении уровня безопасности доступа к государственным системам и услугам. Однако самое сложное ещё впереди: необходимо точно установить, какие именно базы данных действительно были взломаны, в какие даты, с помощью каких технических методов, а также сохраняют ли злоумышленники активный доступ или просто используют уже утечённые данные. Пока это не прояснится, дело PampaLeaks будет служить предупреждением: в государстве, которое становится все более цифровым, доверие общественности зависит как от самих услуг, так и от способности защитить данные, которые делают их возможными.