Bugun, 16:36 Iqtisodiyot На русском языке

O‘zbekistonliklar ma’lumotlari tarqaldi: qaysi davlat saytlari buzilgan va fuqarolar nima qilishi kerak?

Spot C7 Cybersecurity hisobotini o‘rganib chiqdi. Unda tarqalgan ma’lumotlarning ishonchliligi tahlil qilinib, yetkazilgan zarar baholanadi.

Foto: Silas Stein / dpa / ТАСС

2-fevral kuni ijtimoiy tarmoqlarda O‘zbekiston fuqarolarining maʼlumotlari bir nechta resurslar, jumladan, darknetdagi saytlarda tarqalgani va ularga oid havolalar mavjudligi haqidagi xabarlar e‘lon qilindi. Xakerlar yashirin forumlarda maxfiy ma’lumotlar sotuvga qo‘yilgani haqida e’lon joylashtirgan.

Xakerning da’vo qilishicha, hukumatning asosiy OAuth-autentifikatsiya serveri buzilgan bo‘lib, bu davlatni ishonchli autentifikatsiya markazi sifatida foydalanadigan barcha mijoz tizimlarini zararlagan. Buzilgan OAuth-serverlar orqali 15 mln foydalanuvchiga oid ma’lumotlar olinib, Ijtimoiy himoya milliy agentligida barcha tibbiy ma’lumotlarni o‘z ichiga olgan “to‘liq ko‘lamli ma’lumotlar sizib chiqishi” sodir bo‘lgan.

Spot ixtiyorida C7 Cybersecurity kiberxavfsizlik kompaniyalar guruhi mutaxassislari tomonidan tayyorlangan, e’lon qilingan ma’lumotlarning ishonchliligi va ehtimoliy hujum vektorlarini tahlil qiluvchi tahliliy hisobot mavjud. Ekspertlar ushbu ma’lumotlarning bir qismi haqiqatan ham sizib chiqqanligi va to‘g‘riligini tasdiqladi.

Davlat organlarining reaksiyasi

3-fevral kuni IIV Kiberxavfsizlik markazi ehtimoliy sizib chiqish holatiga izoh berib, hozirda mazkur holat bo‘yicha o‘rganishlar olib borilayotgani va qo‘shimcha ma’lumotlar taqdim etilishini ma’lum qildi.

Bir qator davlat organlari, jumladan, Markaziy bank, Milliy statistika qo‘mitasi, Ijtimoiy himoya milliy agentligi, Ichki ishlar vazirligi va Soliq qo‘mitasi rasmiy bayonot bilan chiqib, shaxsiy ma’lumotlar xavfsizligi to‘liq ta’minlanishini bildirdi.

5-fevral kuni Adolat partiyasi deputati Muhammadjon Valiyev fuqarolarning shaxsiy ma’lumotlari sizib chiqishi ehtimoli yuzasidan Raqamli texnologiyalar vazirligi, Ichki ishlar vazirligi va Milliy statistika qo‘mitasiga deputatlik so‘rovi yubordi.

Raqamli texnologiyalar vaziriga yuborilgan so‘rovda deputat holat tasdiqlangan yoki yo‘qligiga aniqlik kiritish, shaxsiy maʼlumotlar himoyasi va vaziyatga sabab bo‘lgan omillarga izoh berishni, shuningdek, hukumatning autentifikatsiya infratuzilmasi (OAuth serveri) va Yagona portalda ko‘rilayotgan texnik hamda tashkiliy choralar haqida maʼlumot so‘radi.

Ichki ishlar vazirligidan vakolatli davlat organlari bilan hamkorlikda qanday tezkor-qidiruv ishlari olib borilayotgani haqida maʼlumot so‘raldi. Kiberhujumni sodir etgan shaxslarni aniqlash, shaxsiy maʼlumotlarni tarqatish bilan bog‘liq jinoyatlar profilaktikasini kuchaytirish hamda qonunchilikni takomillashtirish bo‘yicha ishlab chiqilayotgan takliflar haqida maʼlumot so‘raldi.

Milliy statistika qo‘mitasidan Aholi va qishloq xo‘jaligini ro‘yxatga olish jarayonida to‘plangan maʼlumotlarni saqlash va himoya qilish bo‘yicha qanday chora-tadbirlar ishlab chiqilgani yuzasidan izoh so‘raldi. Mazkur jarayonda “Shaxsga doir maʼlumotlar to‘g‘risida"gi qonun talablariga qay darajada rioya etilayotgani haqida savol qo‘yildi.

Shaxsiy ma’lumotlar sizib chiqishi haqidagi xabarlardan keyin OneID yagona identifikatsiya tizimida shaxsiy ma’lumotlarga kirish cheklandi. Ma’lumotlar boshqa tizim yoki tashkilotlarga fuqarolar roziligi bilan uzatiladi.

Hujum qanday sodir bo‘ldi?

C7 Cybersecurity mutaxassislari xaker e’lon qilgan ma’lumotlarga tayangan holda ehtimoliy hujum ssenariysini tikladi. Unga ko‘ra, xaker 2021-yil dekabrida aniqlangan Log4Shell zaifligidan foydalanib, tizimga dastlabki kirishni qo‘lga kiritgan. Ushbu zaiflik maxsus tayyorlangan so‘rovni yuborish orqali serverga masofadan turib kirish va unda zararli dasturlarni ishga tushirish imkonini beradi. Natijada server zararli kodni tizim egalariga bildirmasdan o‘zi yuklaydi va bajaradi.

Ayniqsa, korporativ va davlat axborot tizimlarida keng qo‘llaniladigan Java ilovalari, shu jumladan WebLogic asosida ishlaydigan tizimlar zaif bo‘lib chiqdi.

O‘zbekistonda sso.egov.uz — raqamli hukumat serveri ko‘plab davlat va tijorat tizimlari uchun identifikatsiyaning markaziy provayderi hisoblanadi.

Bunday serverning xavfga uchrashi klassik “ta'minot zanjiri hujumi"ni ifodalaydi, ya’ni ushbu OAuth provayderiga ishonch bildirgan barcha tizimlar avtomatik tarzda zaif holatga tushib qoladi. Markaziy autentifikatsiya serverini nazorat qilish imkoniyati qo‘lga kiritilganda, har bir tizimni alohida buzishga hojat qolmay, ulangan barcha tizimlarga haqiqiy kirish tokenlarini avtomatik ravishda yaratish imkoniyati paydo bo‘ladi.

Sizib chiqqan ma’lumotlarning ishonchliligi

Jinoyatchi 15 mln yozuvdan ortiq ma’lumotlar bazasini sotuvga qo‘ygan va ularning mavjudligini isbotlash uchun 9 ta fayl taqdim etgan. Bu ma’lumotlarning aksariyati 95% gacha aniqlik bilan tasdiqlangan.

Ulardan quyidagi davlat axborot tizimlari identifikatsiya qilindi:

E-Gov yagona OAuth-serveri — 5522 dan ortiq yozuv;
Ichki ishlar vazirligi — xodimlarning 24 dan ortiq fotosurati;
Ijtimoiy himoya milliy agentligi — 15 874 ta yozuv;
Ipotekani qayta moliyalashtirish kompaniyasi — 446 ta yozuv.

Quyidagi ma’lumotlar tarqalgan: jismoniy shaxsning shaxsiy identifikatsiya raqami (JSHSHIR), F.I.O., tug‘ilgan sanasi, telefon raqamlari va pasport ma’lumotlari, jumladan pasport raqami va seriyasi hamda berilgan sanasi.

C7 Cybersecurity bu ma’lumotlarning haqiqiyligini tekshirib, shunday xulosalarga keldi: JSHSHIR ma’lumotlari — 14 raqamli noyob kod — juda ishonchli, takrorlanishlar foizi juda past, demografik taqsimot haqiqatga yaqin, telefon ma’lumotlari bozor ulushlariga mos, pasport ma’lumotlari esa haqiqiy va belgilangan formatga to‘g‘ri keladi.

Kompaniyada ta’kidlanishicha, jinoyatchining 15 mln yozuvni olgani haqidagi bayonotini verifikatsiya qilib bo‘lmaydi, chunki faqat 5522 ta yozuvdan iborat namuna taqdim etilgan. Biroq, Ichki ishlar vazirligi xodimlarining 24 ta fotosurati, Ijtimoiy himoya milliy agentligi ma’lumotlaridan 15 874 nafar tibbiyot xodimi, Ipotekani qayta moliyalashtirish kompaniyasining moliyaviy ma’lumotlaridan 446 ta ipoteka yozuvlari verifikatsiya qilingan.

Bundan tashqari, jinoyatchi Milliy statistika qo‘mitasi ma’lumotlari buzilgani bo‘yicha to‘g‘ridan-to‘g‘ri dalillarni keltirmagan, shuning uchun mutaxassislar axborot sizib chiqishini tasdiqlay olmadi.

E’lon qilingan fayllardan birida yuklash vaqti sifatida 2026-yil 28-yanvar ko‘rsatilgan. C7 Cybersecurity’da tizimning buzilishi va ma’lumotlarning olinishi sotuv e’loni chiqarilishidan taxminan bir hafta oldin sodir bo‘lgan deb taxmin qilinadi.

Jinoyatchining motivatsiyasini baholaganda, kompaniya siyosiy g‘oyalarni targ‘ib qilish va josuslik uchun xaktivizm ehtimolini past deb hisoblamoqda. Ehtimoliy sabablar sifatida moliyaviy manfaat va mashhurlik ko‘rsatilmoqda.

“Ehtimol, bu daromad olish bilan birga e’tirofga erishishni ko‘zlagan, yuqori texnik ko‘nikmalarga ega yakka shaxs yoki kichik guruh bo‘lishi ham mumkin”, — deyiladi hisobotda.

Zararni baholash

C7 Cybersecurity ekspertlari e’lon qilingan materiallarni tahlil qilib, xaker potensial xaridorlar va jamoatchilikda taassurot qoldirishni maqsad qilgan degan xulosaga keldi. “To‘liq milliy obro‘sizlanish” haqidagi bayonot dramatik ta’sir yaratish maqsadida bo‘rttirilgan baho sifatida qayd etildi.

Kompaniya ma’lumotlariga ko‘ra, sizib chiqqan ma’lumotlar hajmi da’vo qilingan 15 mln emas, balki 500 mingdan 2 mln nafargacha foydalanuvchini qamrab olishi mumkin. Biroq real ko‘lamni aniq belgilashning imkoni yo‘q. Shuningdek, 30 dan ortiq davlat saytlariga kirish holati tasdiqlanmadi — dalillar faqat 4−5 ta sayt bo‘yicha keltirilgan.

Bundan tashqari, kirishning aniq davomiyligi va hozir ham saqlanib qolgan-qolmagani, barcha e’lon qilingan tizimlarning obro‘sizlanishi, ma’lumotlar ommaga e’lon qilinishidan oldin sotilgani hamda xakerning haqiqiy shaxsini aniqlash imkonsiz.

C7 Cybersecurity JSHSHIR va pasport raqamlarining sizib chiqishi shaxsiy ma’lumotlarni o‘g‘irlash va hujjatlarni qalbakilashtirishga olib kelishi mumkinligidan ogohlantirmoqda.

Davlat xizmatchilarining fotosuratlari, tibbiyot xodimlari reyestri va ipoteka ma’lumotlari mansabdor shaxslarga qarshi maqsadli hujumlar, maxfiylikni buzish va moliyaviy firibgarlik uchun ishlatilishi mumkin.

Minglab sizdirilgan telefon raqamlari va uy manzillari firibgarlik va jismoniy xavfsizlikka tahdidlarni kuchaytiradi. Bundan tashqari, parol xeshlari akkauntlarning egallanishiga olib kelishi mumkin.

Milliy xavfsizlik uchun oqibatlar qatorida quyidagilar qayd etiladi:

davlat xizmatchilarining ekspozitsiyasi: xodimlar haqidagi ma’lumotlar mansabdor shaxslarga maqsadli hujumlar uyushtirish imkonini berishi mumkin;
autentifikatsiya tizimi: OAuth’ning komprometatsiyasi doimiy kirish huquqini ta’minlab berishi ehtimoli bor;
hayot tarzi: kombinatsiyalangan ma’lumotlar kompleks profillash imkonini beradi;
infratuzilmani xaritalash: skrinshotlar ichki tarmoq topologiyasini ochib beradi.

Tavsiyalar

O‘tkazilgan tahlillar asosida C7 Cybersecurity sizib chiqish oqibatlarini minimallashtirish va kelajakda bu kabi hujumlarning oldini olish bo‘yicha tavsiyalar majmuasini ishlab chiqdi.

Mutaxassislar markaziy avtorizatsiya serveri — sso.egov.uz komprometatsiya qilingani ehtimolidan kelib chiqib harakat qilishni tavsiya etadi. Ya’ni, ushbu OAuth-provayderdan foydalanuvchi barcha tizimlar xavf ostida bo‘lishi mumkin. Shoshilinch choralar sifatida barcha tokenlar va maxfiy ma’lumotlarni rotatsiya qilish, shuningdek, so‘nggi olti oy ichida kirish jurnallarini tekshirish tavsiya etiladi.

Davlat uchun tavsiyalar:

barcha OAuth-hisob ma’lumotlari va tokenlarini rotatsiya qilish;
Log4j patchlari mavjudligi bo‘yicha barcha Java ilovalarini auditdan o‘tkazish;
idoralar o‘rtasida tarmoq segmentatsiyasini joriy etish;
aniqlangan yakuniy nuqtalarning kuchaytirilgan monitoringi;
OAuth ishonch arxitekturasini qayta ko‘rib chiqish.

Ma’lumotlar sizib chiqishi natijasida shaxsiy ma’lumotlari xavf ostida qolgan fuqarolarga ehtimoliy firibgarlik urinishlariga nisbatan yuqori hushyorlik tavsiya etiladi. JSHSHIR, pasport ma’lumotlari, telefon raqamlari va manzillarning tarqalishi shaxsiy ma’lumotlar o‘g‘irlanishi, o‘zganing nomiga kredit rasmiylashtirish va fishing hujumlari uchun to‘liq ma’lumotlar to‘plamini beradi.

O‘zlarini davlat organlari yoki banklar xodimlari deb tanishtirgan shaxslardan qo‘ng‘iroqlar va xabarlarni qabul qilishda alohida ehtiyotkorlik bilan munosabatda bo‘lish tavsiya etiladi.

Fuqarolar uchun tavsiyalar:

shaxsiy ma’lumotlarni o‘g‘irlash alomatlari monitoringi;
ma’lumotlar sizib chiqishi tasdiqlansa, pasportni almashtirish imkoniyatini ko‘rib chiqish;
davlat xizmatlari platformalarida qo‘shimcha himoya choralarini yoqish;
firibgarlikka nisbatan hushyorlikni oshirish.

Avvalroq Spot Toshkentda kiberjinoyatlardan ko‘rilgan zarar bir yilda 2 trln so‘mga yetgani haqida yozgandi.

«Spot»