Справа № 761/4883/18
Провадження № 1-кс/761/3430/2018
15 лютого 2018 року слідчий суддя Шевченківського районного суду м. Києва ОСОБА_1 , при секретарі ОСОБА_2 , розглянувши клопотання Старшого слідчого в ОВС слідчого управління Головного управління Національної поліції в Київській області капітан поліції ОСОБА_3 , про надання міжнародної правової допомоги у кримінальній справі за фактом несанкціонованого доступу до комп'ютерної мережі американської компанії, яка працює у сфері споживчого кредитування, у відповідності до вимог Кримінального процесуального кодексу України, з урахуванням кримінального процесуального порядку Сполучених Штатів Америки, отриманого запиту компетентних органів Сполучених Штатів Америки про надання міжнародної правової допомоги, слідчий суддя
Старший слідчий в ОВС слідчого управління Головного управління Національної поліції в Київській області капітан поліції ОСОБА_3 подала до суду клопотання, погоджене із прокурором відділу прокуратури Київської області ОСОБА_4 , про тимчасовий доступ до речей і документів.
Клопотання мотивоване тим, що Слідчим управлінням Головного управління Національної поліції в Київській області на підставі листа ГСУ НП України від 29.11.2017 здійснюється виконання запиту компетентних органів Сполучених Штатів Америки про надання міжнародної правової допомоги у кримінальній справі за фактом несанкціонованого доступу до комп'ютерної мережі американської компанії, яка працює у сфері споживчого кредитування, відповідно до вимог Кримінально процесуального кодексу України з урахуванням Кримінального процесуального порядку Сполучених Штатів Америки.
Органи юстиції США проводять розслідування діяльності однієї або кількох осіб, які в період з 13 травня 2017 року (приблизно) по 30 липня 2017 року (приблизно) неодноразово робили спроби здійснити протиправне проникнення і викрадення особистої ідентифікаційної інформації, яка стосувалася понад 100 мільйонів людей і зберігалася в американській компанії що працює в сфері споживчого кредитування і базується в м. Атланта, Джорджія ( далі Компанія). Кіберзлочинці використали вразливість в одному з серверів Компанії, який був під'єднаний до Інтернету, і здійснили пошук для виявлення місця, де розташовувалася база даних з конфіденційною приватною інформацією. Кіберзлочинці дістали доступ до бази даних Компанії, в якій зберігалися ці дані, і протягом кількох днів, приблизно в липні 2017 року, здійснювали експорт викрадених особистих даних.
На підставі інформації, що була надана Компанією та групою реагування на надзвичайні ситуації цієї Компанії, була проведена експертиза мереж Компанії, яка показала, що кіберзлочинці використали вразливість у платформі ІНФОРМАЦІЯ_1 , яка була встановлена на веб-сервері Компанії і є веб-програмою для розробки Java-додатків. Приблизно 13 травня 2017 року кіберзлочинці створили і завантажили на зазначений веб-сервер кілька несанкціонованих веб-оболонок (малі програми або код, які можна завантажувати на веб-сервера), що були призначені для ввімкнення функції дистанційного адміністрування сервера. Потім кіберзлочинці почали вивчати мережу.
Після того, як кіберзлочинці дістали доступ до веб-серверу, вони отримали доступ до бази даних Компанії, яка не доступна для широкої громадськості. Для цього вони використали команди платформи ІНФОРМАЦІЯ_1 і команди мови структурованих запитів (" ІНФОРМАЦІЯ_2 "), які надсилалися до бази даних Компанії. За допомогою команд платформи ІНФОРМАЦІЯ_1 , зловмисних веб-оболонок (створених на базі платформи Struts) та команд SQL, кіберзлочинці змогли зібрати ідентифікаційну персональну інформацію, включаючи імена, номера соціального забезпечення, дати народження та інші ідентифікаційні реквізити, які зберігалися в базах даних Компанії. Потім кіберзлочинці записали викрадену інформацію в тимчасові файли, стиснули цю інформацію і розділили великі файли з даними на файли меншого розміру, щоб їх можна було надіслати. Потім вони подали команди протоколу передачі гіпертексту (" ІНФОРМАЦІЯ_3 ") для того, щоб переслати ці файли з даними. В цілому, з середини липня і до того часу, доки зламаний сервер Компанії не був від'єднаний (приблизно до 3О липня 2017 року), з серверу Компанії було викрадено понад 100 мільйонів імен, номерів соціального страхування та іншої ідентифікуючої конфіденційної персональної інформації.
Приблизно 10 серпня 2017 р. ця Компанія звернулася до ФБР із заявою про те, що було здійснене протиправне проникнення до їх бази даних. В ході подальших обговорень з працівниками ІНФОРМАЦІЯ_4 (та група реагування на надзвичайні ситуації цієї Компанії) надали їм докази протиправного проникнення до зламаного серверу (які базувалися на виявленому ними підозрілому трафіку IP). На підставі проведеного аналізу група реагування на надзвичайні ситуації встановила, що з адреси IP НОМЕР_1 здійснювалося під'єднання до веб-серверу Компанії (не маючи дозволу на це під'єднання) і з цієї адреси робилися спроби використати вразливість ІНФОРМАЦІЯ_5 (приблизно 26 травня 2017 року).
На підставі відкритої інформації про виділені веб-ресурси органами юстиції США було встановлено, що адресі IP НОМЕР_1 забезпечує хостинг компанія ІНФОРМАЦІЯ_6 (Інтернет-провайдер, який розташований в Україні).
Органами юстиції США необхідна інформації від компанії ІНФОРМАЦІЯ_6 , щодо IP адреси « НОМЕР_1 »:
1.відомості про реєстрацію, включаючи ім'я клієнта(іт), дату народження (або іншу ідентифікуючу інформацію), адресу, адресу електронної пошти, ім'я користувача, номер телефону та адресу Інтернет-протоколу;
2.описання всіх послуг, на які був підписаний клієнт(и), включаючи дату початку надання послуг і тривалість їх отримання;
3.інформацію про оплату, включаючи ім'я клієнта(ів), адресу та інформацію щодо кредитної картки або банківського рахунку, біллінгові дані та інформацію про будь-які інші компанії, через які проводилися будь-які такі платежі;
4.всі журнали під'єднань та дані про діяльність користувачів з облікового запису, включаючи:
4.1дані про час, коли здійснювалися під'єднання, їх тривалість та метод(и) під'єднання (наприклад: telnet, ftp, http);
4.2обсяг переданих/прийнятих даних;
4.3назва користувача(ів), що має відношення то під'єднання, та інша інформація про з'єднання, включаючи адресу IP джерела з'єднання.
5.ідентифікаційні дані про телефонні дзвінки, інформацію про під'єднання до інших комп'ютерів, до яких будь-яким чином під'єднувався користувач вищезазначених облікових записів під час періодів під'єднання, включаючи адресу IP місця призначення, час та дати під'єднання, час та дати від'єднання, методи під'єднання з комп'ютером в місці призначення, ідентифікаційні реквізити (облікові записи і псевдоніми) та інформація про абонента, якщо вона відома, щодо будь-якої фізичної або юридичної особи, яка має відношення до такої інформації щодо під'єднання, а також будь-яка інша інформація, яка має відношення до зазначених під'єднань через провайдера Інтернету або його дочірніх компаній;
6.інформацію щодо будь-яких пристроїв (чи приладів, включаючи мобільні телефони, планшети та комп'ютери), з яких здійснювався доступ до відповідного облікового запису;
7.кореспонденцію, що надсилалася клієнту та отримувалася від нього (включаючи кореспонденцію, що здійснювалася через портал на Інтернет або інші системи "тікетування");
8.всі наявні журнали реєстрації, включаючи (серед всього іншого) підключення до мережі, журнали реєстрації Інтернет серверів, маршрутизатора, файєрвол, анти-вірусні журнали реєстрації та журнали реєстрації системи виявлення проникнень;
9.функціональну схему мережі; та Інформацію про те, чи була зазначена адреса IP виділена для окремого серверу чи для віртуальної псевдосистеми.
10.електронний логічний образ із серверу, а саме копію з комп'ютерного серверу ("логічний образ"), який забезпечується хостингом адресу IP НОМЕР_1 , але якщо сервер є окремим сервером то необхідно здійснити зняття образу без відімкнення (тобто зі збереженням оперативної пам'яті для проведення експертизи) з цього сервера і отримати дані з оперативної пам'яті. Це необхідно зробити внаслідок суті цього правопорушення і вірогідності того, що на сервері можуть бути встановлені засоби безпеки. Якщо неможливо провести отримання образу без відмикання - просимо забезпечити мінімально можливе відмикання серверу. Після закінчення будь-яких дій просимо знову відновити експлуатацію цього серверу. Просимо після створення експертного логічного образу отримати значення хеш-коду цього логічного образу, щоб його можна було ототожнювати, і просимо передати значення хеш-коду разом з вказаним логічним образом. "Значення хеш-коду" це унікальна цифра, яка отримується в результаті алгоритмічного вивчення логічного образу.
Окрім викладеного вище, у зв'язку з висловленням іноземною державою про застереження щодо конфіденційності інформації, акцентуємо увагу на необхідність дотримання вимог ст. 556 КПК України, щодо забезпечення конфіденційності факту отримання запиту про міжнародну правову допомогу, його змісту та відомостей, отриманих у результаті його виконання, зокрема, необхідно винести рішення суду за запитом до реєстру з обмеженим доступному відповідності п. 4 ст. 4 Закону України «Про доступ до судових рішень».
На виконання листа ГСУ НП України, працівниками Департаменту кіберполіції НП України встановлено сервер, який забезпечує хостингом адресу Інтернет-протоколу «IP» НОМЕР_1 , що надається ТОВ « ІНФОРМАЦІЯ_7 », інтернет провайдером, знаходиться на території України, де із вказаної IP-адреси здійснювались спроби використовувати вразливість платформи веб-програм Apache в мережі потерпілої компанії, а саме на перших стадіях втручання у травні 2017 року.
Отже, для продовження розслідування кримінальної справи органи юстиції США намагаються отримати на території України інформацію про клієнта та його анкетні відомості, використовувані при з'єднаннях з сервером, що робилися з вказаної вище IP, про дані та логічний образ для проведення експертизи з сервера (серверів), що забезпечують хостинг для цієї адреси ІР.
Відповідно з Єдиного державного реєстру юридичних осіб, фізичних осіб-підприємців та громадських формувань, є зареєстрована компанія ТОВ « ІНФОРМАЦІЯ_7 », а саме товариство з обмеженою відповідальністю « ІНФОРМАЦІЯ_7 », ідентифікаційний код юридичної особи (ЄДРПОУ) НОМЕР_2 , яке знаходиться за адресою: АДРЕСА_1 , керівником є ОСОБА_5 .
В судове засідання слідчий не з'явилась, подала через загальну канцелярію суду заяву про розгляд клопотання за її відсутності.
Так, відповідно до ст. 159 КПК України, тимчасовий доступ до речей і документів полягає у наданні стороні кримінального провадження особою, у володінні якої знаходяться такі речі і документи, можливості ознайомитися з ними, зробити їх копії та, у разі прийняття відповідного рішення слідчим суддею, судом, вилучити їх.
Тимчасовий доступ до речей і документів здійснюється на підставі ухвали слідчого судді, суду.
За таких обставин, вважаю, що клопотання підлягає задоволенню, виходячи з того, що речі, які необхідно вилучити, мають суттєве значення для встановлення важливих обставин у кримінальному провадженні.
Враховуючи викладене та керуючись ст.ст. 110, 163-165, 309 та 395 КПК України, слідчий суддя, -
Клопотання Старшого слідчого в ОВС слідчого управління Головного управління Національної поліції в Київській області капітан поліції ОСОБА_3 , про надання міжнародної правової допомоги у кримінальній справі за фактом несанкціонованого доступу до комп'ютерної мережі американської компанії, яка працює у сфері споживчого кредитування, у відповідності до вимог Кримінального процесуального кодексу України, з урахуванням кримінального процесуального порядку Сполучених Штатів Америки, отриманого запиту компетентних органів Сполучених Штатів Америки про надання міжнародної правової допомоги - задовольнити частково.
Надати тимчасовий доступ до речей і документів, які перебувають у володінні Товариства з обмеженою відповідальністю « ІНФОРМАЦІЯ_7 », ідентифікаційний код юридичної особи (ЄДРПОУ) НОМЕР_2 , який знаходиться за адресою:
АДРЕСА_1 , шляхом надання можливості ознайомитись із ними та вилучити (здійснити виїмку) належним чином завірених копій, копій електронних систем, оскільки відомості в них можуть бути використані як доказ, а іншим способом їх отримати не представляється можливим та довести обставини, які передбачається використати як доказ органами юстиції США у розслідувані справи, а саме надати доступ до наступних речей і документів, що відносяться до IP адреси « НОМЕР_1 » в період часу з 01.01.2017 по 05.01.2018, а саме:
1.1 відомості про реєстрацію, включаючи ім'я клієнта(ів), дату народження (або іншу ідентифікуючу інформацію), адресу, адресу електронної пошти, ім'я користувача, номер телефону та адресу Інтернет-протоколу;
1.2описання всіх послуг, на які був підписаний клієнт, включаючи дату початку надання послуг і тривалість їх отримання;
1.3інформацію про оплату, включаючи ім'я клієнта, адресу та інформацію щодо кредитної картки або банківського рахунку, біллінгові дані та інформацію про будь-які інші компанії, через які проводилися будь-які такі платежі;
1.4всі журнали під'єднань та дані про діяльність користувачів з облікового запису, включаючи:
1.4.1дані про час, коли здійснювалися під'єднання, їх тривалість та метод(и) під'єднання (наприклад: telnet, ftp, http);
1.4.2обсяг переданих/прийнятих даних;
1.4.2назва користувача, що має відношення то під'єднання, та інша інформація про з'єднання, включаючи адресу IP джерела з'єднання;
1.5ідентифікаційні дані про телефонні дзвінки, інформацію про під'єднання до інших комп'ютерів, до яких будь-яким чином під'єднувався користувач вищезазначених облікових записів під час періодів під'єднання, включаючи адресу IP місця призначення, час та дати під'єднання, час та дати від'єднання, методи під'єднання з комп'ютером в місці призначення, ідентифікаційні реквізити (облікові записи і псевдоніми) та інформація про абонента, якщо вона відома, щодо будь-якої фізичної або юридичної особи, яка має відношення до такої інформації щодо під'єднання, а також будь-яка інша інформація, яка має відношення до зазначених під'єднань через провайдера Інтернету або його дочірніх компаній;
1.6інформацію щодо будь-яких пристроїв (чи приладів, включаючи мобільні телефони, планшети та комп'ютери), з яких здійснювався доступ до відповідного облікового запису;
1.7кореспонденція, що надсилалася клієнту та отримувалася від нього (включаючи кореспонденцію, що здійснювалася через портал на Інтернеті або інші системи "тікетування");
1.8всі наявні журнали реєстрації, включаючи (серед всього іншого) підключення до мережі, журнали реєстрації Інтернет серверів, маршрутизатора, файєрвол, анти-вірусні журнали реєстрації та журнали реєстрації системи виявлення проникнень;
1.9функціональну схему мережі та інформацію про те, чи була зазначена адреса IP виділена для окремого серверу чи для віртуальної псевдосистеми.
1.10електронний логічний образ із серверу, а саме копію з комп'ютерного серверу ("логічний образ"), який забезпечується хостингом адреси IP НОМЕР_1 , але якщо сервер є окремим сервером то необхідно здійснити зняття образу без відімкнення (тобто зі збереженням оперативної пам'яті для проведення експертизи) з цього сервера і отримати дані з оперативної пам'яті.
Строк дії ухвали встановити 1 (один) місяць з дня її проголошення.
Роз'яснити посадовим особам ТОВ « ІНФОРМАЦІЯ_7 », що у відповідності до ч.1 ст. 166 КПК України, у разі невиконання ухвали про тимчасовий доступ до речей і документів слідчий суддя, суд за клопотанням сторони кримінального провадження, якій надано право на доступ до речей і документів на підставі ухвали, має право постановити ухвалу про дозвіл на проведення обшуку згідно з положеннями цього Кодексу з метою відшукання та вилучення зазначених речей і документів.
Ухвала оскарженню не підлягає.
Слідчий суддя : ОСОБА_1 .