Одну из крупнейших в истории рынка Узбекистана утечку персональных данных граждан республики, произошедшую в начале февраля 2026 года, комментирует ресурсу FinTech & Retail Eurasia Азиз Ахмедходжаев, директор компании C7 Cybersecurity.

2 февраля мы зафиксировали публикацию на теневом форуме о продаже персональных данных граждан Узбекистана. В течение 24 часов наша команда провела независимый анализ всех предоставленных злоумышленником образцов — 4 JSON-файла, SQL-дамп базы данных и скриншоты.

Что утекло

Персональные идентификационные номера (ПИНФЛ), ФИО, даты рождения, номера и серии паспортов, телефонные номера, домашние адреса, хеши паролей. Также в образцах присутствуют данные реестра медицинских работников — специальности и учреждения, кадровые данные с фотографиями, а также финансовые данные по ипотечным заемщикам, включая суммы и объекты недвижимости.

Как мы проверяли подлинность

Злоумышленник заявляет о 15 млн записей и более 30 скомпрометированных систем. Мы это не подтверждаем. Образцы содержат около 22 тыс. записей. Реальный объем утечки мы оцениваем в диапазоне от 500 тыс. до 2 млн записей. Это серьезно, но это не «вся страна», как пытается представить злоумышленник.

• Мы проверили подлинность данных по пяти независимым параметрам. Структура ПИНФЛ: это 14-значный код, в котором закодированы пол, дата рождения и регион — в 100% проверенных записей закодированная дата совпала с полем даты рождения.
• Демографическое распределение: пиковые годы рождения 1984–1994, гендерное соотношение 60/40, представлены все 14 регионов — это совпадает с реальной структурой населения.
• Телефонные номера: распределение по операторам — 58% Ucell, 25% Beeline, 8% Uztelecom — совпадает с рыночными долями.
• Паспортные данные: серии AA–AE соответствуют периодам выдачи, формат валиден в 100% записей.
• Дубликаты: всего 0,14% — типичный показатель для реальных баз данных с естественными ошибками ввода. Синтетические или сфабрикованные данные так не выглядят.

Итоговая оценка нашей команды: подлинность данных подтверждена с уверенностью 95%.

Что это значит для бизнеса

Если ваша компания работает с персональными данными граждан — банки, страховые, телеком, микрофинансовые организации, маркетплейсы — вот конкретные действия.

Первое: пересмотрите процедуры KYC. Утечка содержит полный набор данных для прохождения базовой верификации — ПИНФЛ, паспорт, дата рождения, телефон. Если ваша идентификация клиента построена только на проверке этих полей, мошенник с этой базой пройдёт ее без проблем. Добавляйте дополнительные факторы: биометрию, видеоверификацию, поведенческий анализ.

Второе: проверьте свою Java-инфраструктуру. По результатам нашего анализа, начальный вектор атаки связан с уязвимостью, которая была публично раскрыта четыре года назад. Если ваши серверы используют библиотеку Apache Log4j версии ниже 2.17.0, они уязвимы прямо сейчас. Это касается любой компании, которая использует Java-приложения — WebLogic, Elasticsearch, Apache Solr, Spring Framework.

Третье: проведите аудит API-доступов и токенов. Ротация ключей и секретов — это не «когда-нибудь», это сейчас. Проверьте логи за последние 6 месяцев на аномалии: массовые запросы, авторизации с нетипичных IP, активность в нерабочие часы.

Четвёртое: для финансового сектора отдельно — ожидайте волну мошеннических заявок на кредиты и микрозаймы с использованием реальных персональных данных из этой утечки. Усильте проверки на этапе одобрения.

Что это значит для граждан.

Набор утекших данных — ПИНФЛ, паспорт, телефон, адрес — это полный комплект для кражи личности.

Что может произойти: на ваше имя могут попытаться оформить кредит или микрозаём, зарегистрировать SIM-карту, подать заявку на госуслуги, получить доступ к вашим аккаунтам.

Что делать прямо сейчас. Зайдите в OneID и проверьте, каким организациям вы передали доступ к своим данным — отзовите все разрешения, которые вам не нужны. Смените пароли на всех государственных сервисах и включите двухфакторную аутентификацию. Если вам приходят SMS с кодами подтверждения, которые вы не запрашивали, — это сигнал, что кто-то пытается использовать ваши данные.

И самое важное: если вам звонят «из банка» или «из налоговой» и просят подтвердить операцию или назвать код — кладите трубку.

Тот факт, что звонящий знает ваш ПИНФЛ, номер паспорта и дату рождения, больше не является доказательством того, что он — тот, за кого себя выдаёт. Теперь эти данные доступны не только тем, кому вы их доверили.

Мы продолжаем мониторинг ситуации и готовы предоставить дополнительную аналитику по мере развития событий.