2 февраля в социальных сетях распространились сообщения об утечке персональных данных граждан Узбекистана из некоторых государственных информационных систем. Неизвестный злоумышленник разместил на теневых форумах объявление о продаже конфиденциальной информации.

По словам хакера, был скомпрометирован основной правительственный OAuth-сервер аутентификации, что заразило все клиентские системы, использующие государство как доверенный центр аутентификации. Из взломанных OAuth-серверов, как утверждается, было извлечено 15 млн пользователей, а также произведена «полномасштабная утечка данных» Национального агентства по социальной защите, содержащего все медицинские данные.

В распоряжении Spot оказался отчет, анализирующий достоверность опубликованных данных и потенциальные векторы атаки, подготовленный специалистами группы компаний кибербезопасности C7 Cybersecurity. Эксперты подтвердили утечку и достоверность части опубликованных данных.

Реакция госорганов

3 февраля Центр кибербезопасности МВД прокомментировал возможную утечку. В ведомстве заявили, что в данный момент по этому факту ведется расследование, по итогам которого будет предоставлена дополнительная информация о ситуации.

Реклама на Spot.uz

Ряд госорганов, включая Центральный банк, Национальный комитет по статистике, Национальное агентство социальной защиты, Министерство внутренних дел и Налоговый комитет, выступил с официальным заявлением и заверил в полном обеспечении безопасности персональных данных.

5 февраля депутат партии «Адолат» Мухаммад Валиев направил депутатский запрос в Министерство цифровых технологий, Министерство внутренних дел и Национальный комитет по статистике в связи с возможной утечкой персональных данных граждан.

В запросе в Минцифры депутат поинтересовался, подтвердился ли факт утечки данных, насколько надежно защищены персональные данные граждан, какие факторы привели к возникшей ситуации, а также какие технические и организационные меры принимаются для предотвращения подобных инцидентов в дальнейшем — в том числе в правительственной инфраструктуре аутентификации (сервер OAuth) и на портале my.gov.uz.

В адрес МВД были направлены вопросы о проводимой совместно с другими уполномоченными органами оперативно-розыскной работе, мерах по усилению профилактики преступлений в сфере кибербезопасности, выявлению лиц, причастных к кибератакам и распространению персональных данных, а также о предложениях министерства по совершенствованию законодательства и правоприменительной практики в этой области.

Нацкомстату депутат задал вопросы, касающиеся разработки мер по обеспечению сохранности и защиты статистических данных, собранных в ходе переписей населения и сельского хозяйства, а также уровня соблюдения требований закона «О персональных данных».

После сообщений об утечке персональных данных на единой системе идентификации OneID ограничили доступ персональных данных по умолчанию. Пользователям необходимо вручную дать разрешение на передачу персональных данных конкретным организациям.

Как произошла атака

Специалисты C7 Cybersecurity на основе данных, опубликованных злоумышленником, восстановили вероятный сценарий кибератаки. По их данным, хакер получил первоначальный доступ к системе, воспользовавшись известной уязвимостью Log4Shell, обнаруженной еще в декабре 2021 года. Эта уязвимость позволяет удаленно проникнуть на сервер и запустить на нем вредоносные программы, просто отправив специально подготовленный запрос. В результате сервер сам загружает и выполняет вредоносный код без ведома владельцев системы.

Особенно уязвимыми оказались системы, работающие на базе Java-приложений, в том числе WebLogic, которые широко используются в корпоративных и государственных информационных системах.

В Узбекистане сервер sso.egov.uz — цифрового правительства — является центральным поставщиком идентификации для множества государственных и коммерческих систем.

Взлом такого сервера представляет классическую «атаку на цепочку поставок», то есть все системы, доверяющие этому OAuth-провайдеру, автоматически становятся уязвимыми. При получении контроля над центральным сервером авторизации появляется возможность автоматически генерировать валидные токены доступа для любой подключенной системы без необходимости взламывать каждую из них отдельно.

Достоверность утекших данных

Злоумышленник выставил на продажу базу данных более 15 млн записей. В качестве доказательств о наличии соответствующей базы он привел 9 файлов, большинство из которых были верифицированы с уверенностью до 95%.

Из них идентифицированы следующие государственные информационные системы:

  • Единый OAuth-сервер E-Gov — свыше 5522 записей;
  • Министерство внутренних дел — больше 24 фото сотрудников;
  • Национальное агентство соцзащиты — 15 874 записей;
  • Компания по рефинансированию ипотеки — 446 записей.

В утечку попали следующие данные: персональные идентификационные номеры физического лица (ПИНФЛ), ФИО, дата рождения, телефонные номера и паспортные данные, включая номер, серию и дату выдачи паспорта.

C7 Cybersecurity проверили подлинность данных и пришли к следующим выводам: данные ПИНФЛ — уникальный 14-значный код — высоко аутентичны, минимальный процент дубликатов, демографическое распределение реалистично, телефонные данные соответствуют рыночным долям, а паспортные данные валидны и отвечают принятому формату.

В компании подчеркнули, что заявление злоумышленника о получении 15 млн записей не верифицируемо, так как представлена только выборка из 5522 записей. Однако были верифицированы 24 фотографии сотрудников МВД, 15 874 медицинских работников из данных Нацагентства соцзащиты, 446 ипотечных записей из финансовых данных Компании по рефинансированию ипотеки.

Кроме того, злоумышленник не привел прямых доказательств взлома Нацкомстата, поэтому специалисты не смогли подтвердить утечку.

Один из опубликованных файлов содержит временные метки загрузки — 28 января 2026 года. В C7 Cybersecurity предполагают, что компрометация системы и выгрузка данных произошли примерно за неделю до публикации объявления о продаже.

Оценивая мотивацию злоумышленника, в компании считают низкой вероятность хактивизма для продвижения политических посылов и шпионажа. Вероятными причинами называются финансовая выгода и известность.

«Вероятно, финансово мотивированный индивидуум или небольшая группа с продвинутыми техническими навыками, ищущие как прибыль, так и признание», — говорится в отчете.

Оценка ущерба

Эксперты C7 Cybersecurity проанализировали публикации и заключили, что злоумышленник хотел произвести впечатление на потенциальных покупателей и общественность. Компания назвала заявление о «полной национальной компрометации» преувеличением для драматического эффекта.

По ее данным, объем утекших данных оценивается от 500 тыс. до 2 млн пользователей при заявленных 15 млн, но реальный размер установить невозможно. Также не подтверждается получение доступа к свыше 30 государственным сайтам, так как доказательства приводятся лишь для 4−5.

Кроме того, невозможно верифицировать точную продолжительность доступа и его сохранение в настоящий момент, компрометацию всех заявленных систем, продажу данных до публичного объявления и истинную личность злоумышленника.

В C7 Cybersecurity предупреждают, что утечка ПИНФЛ и номеров паспортов может привести к краже личности и подделке документов. Фото госслужащих, реестр медработников и ипотечные данные могут быть использованы для целевых атак на чиновников, нарушений конфиденциальности и финансового мошенничества. Тысячи слитых телефонных номеров и домашних адресов создают риски мошенничества и физической безопасности. Кроме того, хеши паролей могут привести к захвату аккаунтов.

Среди последствий для национальной безопасности:

  • экспозиция госслужащих: данные персонала могут позволить провести целевые атаки на чиновников;
  • система аутентификации: компрометация OAuth может обеспечить постоянный доступ;
  • паттерн жизни: комбинированные данные позволяют комплексное профилирование;
  • картирование инфраструктуры: скриншоты раскрывают внутреннюю сетевую топологию.

Рекомендации

На основании проведенного анализа C7 Cybersecurity разработала комплекс рекомендаций для минимизации последствий утечки и предотвращения подобных атак в будущем.

Специалисты рекомендуют исходить из предположения, что из-за компрометации центрального сервера авторизации sso.egov.uz все системы, использующие этот OAuth-провайдер, могут быть скомпрометированы. В качестве немедленных действий рекомендуется провести ротацию всех токенов и секретов, а также аудит журналов доступа за последние полгода.

Рекомендации для государства:

  • ротация всех OAuth-учетных данных и токенов;
  • аудит всех Java-приложений на наличие патчей Log4j;
  • сегментация сети между ведомствами;
  • усиленный мониторинг выявленных конечных точек;
  • пересмотр архитектуры OAuth-доверия.

Пострадавшим гражданам, чьи персональные данные могли быть скомпрометированы в результате утечки, необходимо проявлять повышенную бдительность на предмет возможных попыток мошенничества. Утечка ПИНФЛ, номеров паспортов, телефонов и адресов дает полный набор информации для кражи личности, оформления кредитов на чужое имя и фишинговых атак.

Особую осторожность рекомендуется проявлять при получении звонков и сообщений от лиц, представляющихся сотрудниками госорганов или банков.

Рекомендации для граждан:

  • мониторинг признаков кражи личности;
  • рассмотрение возможности замены паспорта при подтверждении утечки;
  • включение дополнительной защиты на госуслугах;
  • повышенная бдительность в отношении мошенничества.

Ранее Spot писал, что ущерб от киберпреступлений в Ташкенте достиг 2 трлн сумов за год.