На теневых форумах появилось объявление о продаже базы данных Комиссии по государственной службе Уганды vacancies.psc.go.ug. Хакер под ником Daku выставил ценник в $300 за архив объемом 7.5 ГБ, утверждая, что в нем содержатся полные анкеты, национальные ID и личные фото соискателей.
Мы получили образцы данных и провели их технический анализ. Результаты показывают, что заявленный взлом, это результат масштабного скрапинга (парсинга) веб-портала.
Что внутри:
Мы изучили структуру текстовых записей и метаданные изображений.
- Текстовые данные, настоящие. В файлах содержатся полные имена, даты рождения, названия деревень и номера национальных удостоверений личности (National ID). Формат записи (простой текст «ключ-значение») и временные метки вида
12:00:00 AMуказывают на автоматизированный сбор данных с веб-страниц, а не на прямой экспорт из базы данных SQL. - Фотографии, веб-миниатюры. Анализ метаданных показал, что изображения имеют низкое разрешение (от 74x96 до 225x289 пикселей). В файлах найдены следы библиотеки
gd-jpeg v1.0, которая используется веб-серверами для генерации превью. Данных о камерах или геолокации в снимках нет.
Инцидент с Uganda PSC, это классический пример атаки через IDOR (незащищенные прямые ссылки на объекты) или скрапинг публичного интерфейса. Злоумышленник не взламывал внутренние сервера с документами. Он просто выкачал все, что сайт показывал в профилях пользователей.
Для биометрических атак или подделки паспортов (KYC) база непригодна из-за низкого качества фото. Текстовый массив содержит критические PII (национальные ID). Это создает серьезный риск мошенничества и таргетированного фишинга для граждан Уганды.
