Вчора у групі USW перепостили docx-файл із внутрішньою МОЗ-івською аналітичною запискою по захворюваності на COVID-19 за 30 листопада. Оскільки у тексті документу не було згадок про те, де і ким він був підготовлений, дехто з учасників групи засумнівався у походженні файла. Я із цікавості дослідив його і після цього залишив там розгорнутий коментар, у якому аргументовано пояснив, чому цей файл є справжнім документом створеним у МОЗ. Вийшов такий собі невеличкий майстер-клас по OSINT — можливо комусь буде цікаво.

Всі зауважили, що у змісті документу ніяких даних стосовно того, хто і де готував аналітичну записку, немає. Тож, власне зміст документу нам мало цікавий. Завантажуємо docx-файл і дивимося у його властивості. Документ створений користувачем NATASHA і це нам не говорить нічого, у всілякому разі поки що. Більш цікаве поле ким був змінений документ і в ньому вказано Eugene Prilipko. Гуглимо це ім'я та прізвище і швидко дізнаємося, що вказана особа має стосунок до проведення медичної реформи, але з усього видно, що вона не зі структури самого МОЗ.

Дивимося властивості далі і помічаємо цікаву абревіатуру у полі Company — CSES. Пробуємо дізнатися, яка установа чи структурний підрозділ ховається за цією абревіатурою. Животом відчуваю, що частина абревіатури SES дуже нагадує щось на зразок "санепідемслужба". Навмання гуглю запит <головний санітарний лікар "cses">, і у другій позиції пошук видає згадку Українського центру з контролю та моніторингу захворювань МОЗ України і з вказівкою, що адреса цього сайту http://www.cses.gov.ua. А ось і шукана абревіатура CSES! Спроба перейти за цією адресою нічого не дасть — сайту вже не існує, бо цей центр ліквідували у зв'язку з реорганізацією. Центр ліквідували, а комп'ютери, зрозуміло, не ліквідовують, вони залишаються в МОЗ; поле "Company", зазвичай, змінити забувають (або і взагалі пересічні користувачі про таке не знають).

Ідемо далі. Гуглимо назву аналітичної записки, причому, щоб відсіяти сміття, гуглимо за точною фразою. Для цього вбиваємо її у гугл у лапках: "ОПЕРАТИВНА ДОВІДКА про епідемічну ситуацію із захворюваності на COVID-19 в Україні". Перше ж посилання пошукової видачі свідчить, що на сайті ДУ Сумський обласний лабораторний центр лежить аналогічний документ за 24 червня 2020 р. Звертаємо увагу, що у домені сайту є літери ses — ну, тобто, все це структури, які були створені на базі ліквідованої санепідемслужби. Переходимо за посиланням і цього документу не бачимо. Це і не дивно, бо з того моменту, як гугл проіндексував цей документ, пройшов вже деякий час, і його "відсунуло" назад новими посиланнями. Трохи гортаємо сторінками сайту до шуканої дати і знаходимо на сторінці http://ses.sumy.ua/sanepdsituacya/epdemchna-situacya/1324-operativna-dovdka.html посилання на rar-архів. Завантажуємо його і розпаковуємо. У ньому міститься pdf аналітичної довідки цілком аналогічного змісту, як і у представленому доківському файлі. Хіба що пдф дещо менший за обсягом інформації, але це навряд чи має напружувати — зрозуміло, що за декілька місяців зміст довідки поступово розширювався.

А ось тепер ідемо у властивості знайденого pdf-документу і виявляємо, що він створений на комп'ютері користувачем NATASHA — коло замкнулося.

З усієї цієї знайденої інформації я роблю висновок, що злитий док-файл на 100% був підготовлений у надрах МОЗ.