Уже несколько дней ресурсы ЕМИАС г. Москвы не работают в штатном режиме (речь о immune.mos.ru, mos.ru и gosuslugi.ru). Как сообщают СМИ, хакеры взломали базы вакцинированных, мэрия приостановила внесение в них новых данных и выдачу QR-кодов. За сумму около 5000 мошенники в «Телеграм» и темном сегменте интернета предлагают внести сертификат вакцинации на сайт госуслуг и выдать заказчику QR-код с уникальным номером для свободного посещения кафе и ресторанов. В мэрии Москвы по традиции отрицают какие-либо проблемы, а врачи переходят на передачу данных об уколотых в традиционной, бумажной форме. При этом власти столицы готовятся расширить зону действия QR-кодов на магазины и общественный транспорт – ведь сегрегации для цифровых ковид-фашистов мало не бывает. Все это очень похоже на агонию цифровой антиутопии, тем более что граждане по-прежнему крайне неохотно закатывают рукава под шприцы.
Внесение новых данных в базу получивших прививки от ковида в ЕМИАС несколько дней (с 29 июня) невозможно по техническим причинам, сообщает Readovka . При этом, если вакцинированный гражданин обращается за получением QR-кода, система сообщает ему об ошибке. Чаще всего пишут, что прививка не получена, что подтверждает один из читателей изданий, сделавший вторую прививку «Спутником V» еще 14 мая. Но при обращении накануне система упорно показывала ему, что вакцинирования не было.
Более того, в рамках редакционного эксперимента журналист зашел на портал на mos.ru, откуда его перенаправили на сайт immune.mos.ru, и сразу после этого в личные сообщения в мессенджерах ему начали приходить сообщения с предложением купить сертификат вакцинации. То есть утечка данных происходит непосредственно в момент обращения к сайтам ЕМИАС – хакеры тут же получают телефонные номера пользователей этих ресурсов и реализуют мошеннические схемы. Как видим. Их защищенность от киберугроз по факту оказалась на уровне «около нуля». Причем злоумышленники предлагают оплатить именно внесение в базу на «Госуслугах». Сама покупка оплачивается уже после того, как пользователь попадет в списки вакцинированных и получит свой QR-код. В случае неоплаты заявка удаляется. То есть, хакеры могут как вносить, так и удалять данные из московских баз получивших прививки.
Врачи, работающие в ковидных госпиталях Москвы, рассказали, что проблемы с внесением новых данных в реестр появились еще несколько дней назад, 28-29-го июня. Затем добавлять новые записи стало вообще невозможно, в частности, в больнице Коммунарки, после чего все списки в Депздрав и ДИТ столицы стали передаваться в бумажном виде. Вместе с тем, часть ковидных госпиталей все так же передает данные через систему ЕМИАС.
Эксперты в области IT-безопасности считают, что проблемы связаны именно с базами вакцинированных, а не с функционалом самих сайтов мэрии. Сайты продолжают работу, можно даже записаться на прием к врачу, но злоумышленники по неизвестным причинам контролируют внесение новой информации и имеют возможность изменять уже существующие записи. Очевидно, что речь не просто об утекшем пароле – в этом случае была бы невозможна фишинговая рассылка сразу же после обращения нового пользователя. Но в чем заключается проблема, и почему специалисты ДИТ не могут устранить ее уже третий день (как минимум – до вечера 1 июля), неизвестно.
Одновременно со сбоем 29 июня началась активная фаза продаж нелегальных сертификатов вакцинации от коронавируса в Москве. Полиция Москвы отчиталась о возбуждении уже 44 уголовных дел по факту такой торговли. На форумах даркнета без труда можно найти сотни положительных отзывов об удачной покупке – и основой для этого теневого бизнеса хакеров стала именно ЕМИАС. Цены на такие «услуги» варьируются от 3500-5000 рублей (оптом – дешевле).
В мэрии Москвы заявили, что продажи ведутся без возможности внесения в реальные базы вакцинированных – только через фишинговые сайты, но это не соответствует действительности. Также чиновники стремятся взять под жесткий контроль всех врачей поликлиник столицы, т.к. участились случаи прямой продажи сертификатов. Это тот самый пресловутый человеческий фактор в утечках персональных данных, который никак нельзя преодолеть, о чем неоднократно писала «Катюша», когда анализировала многочисленные пропажи (с последующим всплытием в дакрнете) десятков и сотен тысяч записей из БД Сбербанка, РЖД, баз госорганов и т.д.
Вечером 1 июля последовал долгожданный для многих ответ из ДИТ, который по традиции открестился от очевидных проблем – дескать, сообщения о внешнем вмешательстве в информационные системы правительства Москвы и утечках персональных данных пользователей, сбои в работе ЕМИАС не были зафиксированы.
«Сервисы получения QR-кодов работают в штатном режиме, получить их по-прежнему может любой гражданин, прошедший вакцинацию, переболевший коронавирусом в течение последних шести месяцев или имеющий отрицательный ПЦР-тест, полученный в одной из московских лабораторий, подключенных к ЕМИАС», – сухо и скучно заявили в ДИТ «Интерфаксу» .
Очень интересный «штатный режим», при котором вновь зашедшему в ЕМИАС пользователю предлагают купить сертификат вакцинации, а у вакцинированных они просто исчезают из базы… Но мы пока напомним, что команда Собянина уже не первый раз проваливается по полной программе – год назад, в декабре 2020 г., в сеть утекло около 100 тыс. записей с ПД москвичей, переболевших COVID-19 (они содержали Ф.И.О., даты рождения, адреса проживания, телефоны и номера паспортов граждан). Тогда власти города связали утечку с действиями отдельных сотрудников, а эксперты по ИТ-безопасности – с уровнем компетенции ответственных за хранение данных. На человеческий фактор (хотя кому от него легче?) пеняли глава ДИТ Эдуард Лысенко.
«Сотрудники, которые занимались обработкой служебных документов, допустили передачу этих файлов третьим лицам. Проверка продолжается, по ее результатам будут приняты меры», – заявил Лысенко.
А вот эксперты по кибербезопасности были куда откровеннее. Так, представитель компании Group-IB связали утечку «с недостаточным уровнем зрелости организаций, выступающих операторами таких данных».
«Хранить такую информацию в Exсel-таблицах и других файлах без авторизации, паролей, политик доступов и других базовых принципов защиты персональных данных в 2020 году – это как прятаться, закрывая глаза, и думать, что тебя никто не видит. «Цифровая гигиена» должна быть в каждом медицинском учреждении, в каждой организации, имеющей отношение к медтайне или персданным, как бы очевидно это ни звучало», — указал представитель компании в интервью РБК .
Что примечательно, федеральные власти в лице пресс-секретаря президента Дмитрия Пескова накануне признали, что «система QR-кодов работает пока несовершенно, но нет сомнения, что все нормализуется в ближайшее время» .
При этом большие проблемы с посещением кафе и ресторанов в Москве возникли у сотрудников ФСБ и ФСО, которые не могут получать QR-коды в обычном режиме, потому что данные сотрудников этих спецслужб не попадают в единую информационную систему столицы. В ФСО уже создали оперативный штаб, который решает вопросы с созданием единой базы привившихся сотрудников, очевидно, скоро подтянется и ФСБ.
Вот только надо ли стремиться любой ценой войти в систему цифрового контроля? Многие аналитики, к примеру, авторы Телеграм-канала «Образ будущего» справедливо замечают:
«Одна из задач куаркодирования – контроль за секретчиками. Такую задачу и ставили британские консультанты, помогая Лысенко создавать московскую систему контроля. Понятно, что никто не дремал и вопрос решат, но теперь получается, что дискриминация имеет свои новые особенности».
Ну конечно же – такие единые базы с контролем личного пространства каждого гражданина, решившего зайти перекусить где-нибудь в городе – это, прежде всего, угроза личной и национальной безопасности. Целевой обзвон потенциальных клиентов или зазывы на фишинговые сайты с целью выманить деньги у незадачливых граждан, ПД которых утекли – это цветочки по сравнению с тем, что можно сделать, если знать все о частной жизни силовиков, и знать всех силовиков поименно.
Несмотря на эти очевидности, первый замруководителя аппарата мэра и правительства Москвы Алексей Немерюк, возглавляющий столичный департамент торговли и услуг, в эфире Первого канала сообщил, что московские власти могут распространить систему QR-кодов на другие отрасли, помимо массовых мероприятий и заведений общепита.
«Давайте вот так уж прямо - общественный транспорт и магазины - может быть, не совсем ближайшее время. Но идеи, какие отрасли могут присоединиться к этой программе, у нас есть», - заявил Немерюк .
Так что ждем новых поражений в правах непривитых и очередных антиконституционных ограничений. И всем этим занимаются люди, не способные обезопасить ключевые базы наших персональных данных на государственных и муниципальных ресурсах! Какая же по масштабам и последствиям утечка должна случиться завтра, чтобы «партия ковида» приостановила дикий эксперимент по маркированию людей цифровыми кодами и социальной дрессировке?