25 января 2022 года на сайте RaidForums было опубликовано предложение о продаже базы данных 48 миллионов вакцинированных россиян. База данных содержала, кроме всего прочего, дату рожения, инициалы, и, главное, QR код сертификата вакцинации гражданин России. Первым об этом сообщил телеграм-канал "Утечки информации":
Выборочная проверка показала, что QR-коды действительные, ведут на сайт Госуслуг и данные в образце полностью совпадают с тем, что указано на официальной странице проверки QR-кодов (gosuslugi.ru/covid-cert/verify/)
Скриншот записи из телеграм-канала "Утечки информации"
В качестве дополнительного доказательства валидности базы автор предоставил веб-интерфейс к части базы данных по адресу qarusel.com. Судя по результатам поиска через этот веб-интерфейс, в нем содержатся базы вакцинированных Москвы, Московской области и Санкт-Петербурга.
В тот же день, 25 января 2022 года ближе к ночи появились новости о том, что "Минцифры проверит сообщения об утечке данных о привитых от COVID-19", и "в базе нет персональных данных граждан".
Чем опасна такая база, если в ней нет персональных данных?
Благодаря большому объему базы в ней почти для каждого человека можно найти сертификат о вакцинации с совпадающими инициалами и датой рождения. Например, для меня (Лапенко Антон Вячеславович, 1 сентября 1986) нашлось 54 сертификата, из которых два совпадали до дня:
Скриншот с сайта qarusel.com
Таким образом любой человек мог подобрать себе сертификат о вакцинации. Номер паспорта не имеет значения, так как вместо него можно предоставить водительское удостоверение или другое удостоверение личности.
Как устроены QR-коды
Как все знают, QR-код о вакцинации содержит ссылку на проверку сертификата на сайте gosuslugi.ru. Но среди них есть свои отличия:
немного деталей о кодах
Версия 1. До июня 2021 года.
Эта версия может содержать только сертификат о вакцинации, не поддерживает сертификаты о переболевании или ПЦР-тесте. Имеет следующий вид:
https://www.gosuslugi.ru/vaccine/cert/verify/{{uuid}}Версия 2. C июня 2021 до 9 ноября 2021
Поддерживает сертификаты разных видов:
VACCINE_CERT- One-year vaccination certificateILLNESS_FACT- Previous disease certificate ("attrs" field includes recovery date info)TEMPORARY_CERT- Temporary vaccination certificateCOVID_TEST- PCR test result certificate
Ссылка имеет вид:
https://www.gosuslugi.ru/covid-cert/verify/{{unrz}}?lang={{lang}}&ck={{hash}}Версия 3
Текущая версия, но, как и первая, не различает вакцинацию/переболевание/тест и ссылка похожа на первую версию:
https://www.gosuslugi.ru/covid-cert/status/{{uuid}}?lang=ru
Так какие сертификаты слиты?
Судя по всему, слиты сертификаты всех вакцинаций, сделанных до ноября 2021 года, так как все QR-коды в базе имеют формат второй версии: https://www.gosuslugi.ru/covid-cert/verify/{{unrz}}?lang={{lang}}&ck={{hash}}
До ноября 2021 года по официальной статистике было привито около 45 млн человек. На данный момент это большая часть их всех привитых в России. Заявлено, что в слитой базе содержится 48 миллионов записей. Внимательное изучение примеров и веб-интерфейса к базе показало, что некоторые записи в базе дублируются. Можно предположить, что в слитой базе около 45 миллионов уникальных записей, что и соответствует официальной статистике, и, в свою очередь, подтверждает оригинальность базы.
Фейком оказалась не слитая база, а сообщения Минцифры и Ростелекома
Утром 26 января Ростелеком объявил о том, что данная база данных является фейком и QR коды в ней не рабочие. Каково же было моё удивление, когда вчера еще работающие QR-коды действительно оказались нерабочими. Неужели слитая база действительно оказалась фейком? А каким образом тогда в ней еще вчера были рабочие QR-коды? Фокус в том, что Минцифры перестало принимать собственные сертификаты, выданные до 25 января 2022 года!
Сертификат не найден
26 января посыпались новости о проблемах с QR-кодами у жителей Омска, Уфы, Амурчан, Самарской области и т.д:
Новости за 26 января
Бинго! Минцифры провозгласило нерабочими собственные QR коды, выданные до 26 января 2022 года! И всё только ради того, чтобы не признавать утечку!
FAQ
Минцифры заявило, что выборочная проверка опубликованных QR-кодов показала их неработоспособность. В связи с этим Минцифры не может подтвердить валидность этих данных.
Действительно, у QR-кодов теперь есть некоторая неработоспособность, в том числе у обычных кодов обычных людей, которые сохранили их как скиншот, PDF или Wallet.
Основатель сервиса DLBI Ашот Оганесян пояснил для Хабра, что вчера вечером в «Ростелекоме» отключили возможность сверки QR-кодов по номеру УНРЗ. Все QR-коды из утекшей базе содержат ссылки на УНРЗ. Пример: https://www.gosuslugi.ru/covid-cert/verify/9780000015059666
Нет, все QR-коды из утекшей базы содержат ссылки на УНРЗ+HASH: https://www.gosuslugi.ru/covid-cert/verify/954000008736523?ck=13e4b5b6a3ca5a44365764215b73452c
Выводы
Судя по тому, что Минцифры сломали собственные QR-коды, слитая база была настоящей.
Большинству людей придется заново генерировать сертификат, а для пенсионеров без смартфона придется заново распечатывать бумажку
Власти в очередной раз держат нас за дураков
Бонус
Теперь можно без опасений предъявлять поддельные сертификаты или QR-коды из чека на курицу-гриль, а в случае претензий говорить, что у тебя старый код, всё равно они почти у всех поломаны.
