Чьи личные данные слили в Сеть
На Екатерину В. из Новосибирска повесили кредит, москвичку Надежду Н. преследует бывший молодой человек. Все после того, как в интернет попали их паспорта, адреса, даже коды домофонов. Конфиденциальные сведения о россиянах уже давно товар. На теневых форумах мошенники приобретают номера банковских карт с остатком на счете, пароли от личных кабинетов. Компаниям, допустившим утечки, грозят мизерные штрафы. Минцифры подготовило законопроект об ужесточении санкций. Поможет ли это в борьбе со "сливами", разбиралось РИА Новости.
Кредит от аферистов
Два месяца назад Екатерине Вологодских — многодетной маме из Новосибирска — пришло уведомление о просроченном платеже по микрозайму. Требовали вернуть 25 тысяч рублей. Екатерина удивилась, ведь в микрофинансовые организации она не обращалась.
"Как потом выяснилось, кредит на меня оформили 11 марта в четыре часа утра. В это время я точно спала, накануне до полуночи пекла торт — у мужа был день рождения", — вспоминает пострадавшая.
Утром она отправилась в офис заемщика. Там проверили совпадение данных ее паспорта с тем, на который брали кредит, — все верно до последней буквы. Вот только номер телефона, указанный в заявке, чужой.
В организации не удивились претензиям. "Такие, как вы, часто приходят", — сообщила сотрудница, оформлявшая жалобу.
Вологодских уверена: ее данные попали в открытый доступ, в одну из баз, которыми торгуют в интернете. А потом ими воспользовались мошенники. "Возможно, это утечка из российского маркетплейса: накануне я там оформляла в рассрочку крупную покупку, — предполагает Екатерина. — Или после того, как я открыла сбор на лечение сына-инвалида".
Екатерина обратилась в полицию, и заем аннулировали. Но кредитная история теперь у нее испорчена.
Таких пострадавших — сотни. На москвичку Ольгу Сергееву (имя изменено) повесили долг в сорок тысяч. Кредит оформили 9 января в Новосибирске, она с родными тогда отдыхала в Суздале.
"У нас довольно состоятельная семья, в микрозаймах точно не нуждаемся, — говорит Вадим Сергеев, муж Ольги. — Сначала подумали, это какая-то ошибка, запросили информацию в бюро кредитных историй. Выяснилось, что от имени моей жены кто-то не менее двадцати раз подавал заявки в разные МФО".
Вадим не сомневается, что мошенники воспользовались попавшими в открытый доступ данными супруги. При этом специалисты объясняют: получить онлайн-заем только по номеру паспорта нельзя. Во всех МФО сейчас требуют видео- или фотофиксацию — селфи с документом в руках. Впрочем, в Сети на серых площадках предлагают услуги так называемой отрисовки: в реальный паспорт могут подставить информацию из чужого. Продают и фотографии, утекшие из разных организаций. Незадолго до "оформления кредита" Сергеева как раз загружала снимок с документом в приложение каршеринга.
"Достану базу любого банка"
Платформ, где в открытую продают информацию о россиянах, десятки. Чтобы воспользоваться некоторыми сервисами, не нужен даркнет, войти можно через VPN.
Предлагаемые услуги можно разделить на две группы: торговля базами данных и персональный "пробив". Больше всего ценится банковская информация для обзвона. По словам Ашота Оганесяна, основателя сервиса разведки утечек данных и мониторинга даркнета, имя-фамилию держателя карты, телефон и остаток на счете продают от 100 до 400 рублей за строку.
Объявление о продаже банковских баз
Именно такими "сливами" пользуются аферисты, представляющиеся сотрудниками банков и уверяющие, что ваш счет взломали.
Корреспонденту РИА Новости на форуме сразу предложили "редкий контент": базу клиентов ВТБ с номерами карт, сроком их действия, а также остатком на счетах. Правда, продавец предупредил: информация актуальна максимум сутки, потом люди тратят деньги — баланс меняется.
Другой торговец рекомендовал "три самые ходовые базы": вкладчики, люди с зарплатой от 150 тысяч рублей и собственники недвижимости.
— А что еще есть по состоятельным людям?
— Под ваш запрос владельцы люксовых авто подходят. Здесь уже указаны марка машины, модель, госномер и ФИО. Могу отдать по 200 долларов за тысячу строк.
Цена зависит не только от эксклюзивности информации, но и от того, новая она или нет. Ашот Оганесян рассказывает, что недавно на одном из форумов впервые выставили на продажу данные покупателей элитной московской недвижимости, утекшие от риелторов. Информацию о 50 тысячах богачей продавец оценил в три тысячи долларов. В базе — телефоны и адреса многих селебрити. Например, Ксении Собчак.
"Понятно, что по таким данным кредит взять нельзя, — говорит эксперт. — Ее ценность в другом: можно перепродать мошенникам, желающим провернуть схему с продажей дорогих квартир".
Переписка с продавцом баз данных
Подноготным состоятельных людей на форумах посвящены отдельные темы: есть покупатели люксовых часов, бильярдных столов. Один из продавцов предложил корреспонденту РИА Новости контакты клиентов ювелирного магазина.
Также можно приобрести данные поставивших виниры, интересовавшихся биодобавками, прогоревших на Forex, даже актрис порнофильмов.
Проследить передвижения — шесть тысяч
Купить можно и информацию о конкретном человеке — это называется "пробив". Всего три тысячи рублей стоит, например, досье со сведениями обо всех, даже утраченных, паспортах, прописке и с фото из полицейской картотеки.
Документ из базы МВД, который "пробивщик" прислал корреспонденту РИА Новости
Проследить передвижения человека — еще одна популярная услуга. Пишем продавцам легенду: нужно выяснить, куда на выходные ездил муж.
— Известно, на чем ездил? Если поездом или летал самолетом, тогда легко. Информация из базы "Магистраль" (ресурс МВД с данными обо всех передвижениях граждан на общественном транспорте) — шесть тысяч".
— А если на машине?
— Это уже дороже. Будем искать по системе "Поток", но стоит это 20 тысяч за один регион.
Здесь же предлагают узнать местонахождение человека в конкретный день и час (это называется "вспышка"), предоставить детализацию его звонков, "пробить" сведения о судимостях, счетах в банках.
По мнению специалистов, в основном масштабные утечки происходят из-за хакерских атак. "Пробивом" же, а также "сливом" небольших массивов данных, занимаются инсайдеры в салонах сотовой связи, банках, полиции. К "сотрудничеству" их приглашают на тех же форумах.
На одно из таких объявлений три года назад откликнулся работник офиса МТС в Калининграде Николай Цвах (имя изменено). Ему предложили передавать данные абонентов: за "пробив" фамилии и паспорта обещали платить по 200 рублей, за детализацию — две тысячи. Для сравнения: перепродают эту информацию на теневых форумах в десять раз дороже.
"Заказчики вроде как даже безопасность гарантировали, говорили, если вдруг меня поймают, у них есть крыша в руководстве нашей компании, — откровенничает молодой человек. — В итоге я заработал десять тысяч, после чего попал под суд. Если честно, очень этому рад — не зашел слишком далеко, отделался штрафом".
Примеры баз данных, которые прислал продавец
По его словам, в каждом салоне связи есть своя защита. Например, на рабочие столы направлены камеры, чтобы нельзя было фотографировать экран. Но сотрудники пытаются ее обойти. Николай установил специальную программу, которая позволяла незаметно делать скриншоты, "но все равно спалился".
Персональная информация за копейку
Надежда просит не публиковать никакой информации о себе: ни фамилии, ни профессии, ни тем более фото. Слишком много проблем свалилось после того, как ее адрес и телефон вместе с данными миллионов других пользователей сервиса "Яндекс.Еда" попали в открытый доступ. Это одна из самых крупных утечек за последнее время. Компания обвинила во всем "недобросовестного сотрудника" и заплатила штраф 60 тысяч рублей — меньше копейки за каждого пользователя.
"Рекламщики и телефонные мошенники звонили каждые полчаса, предлагали онлайн-курсы, виниры, микрозаймы, — вспоминает Надежда. — Я заносила номера в черный список, но они прорывались с других. В итоге поменяла свой".
Но это не самое страшное. Хуже, что ее выследил бывший молодой человек и начал преследовать.
"У него и раньше были проблемы с агрессией, поэтому мы расстались, — объясняет девушка. — Я даже переехала. Но из-за утечки он нашел мой новый адрес".
Пришлось еще раз переезжать. Надежда присоединилась к коллективному иску пострадавших от утечки из "Яндекса". Не ради компенсации: она хочет, чтобы крупные компании задумались, как охраняют сведения о клиентах.
Претензии к "Яндексу" предъявили уже 500 человек, еще порядка десяти тысяч заявок — на стадии рассмотрения. Как рассказал РИА Новости директор по правовым вопросам юридического сервиса Destralegal Борис Фельдман, для России это прецедентный процесс.
"Нарушено право людей на частную жизнь. Кто-то начал беспокоиться за собственную безопасность. В нескольких случаях утечка повлияла на отношения между супругами: выяснилось, что глава семьи на протяжении долгого времени заказывал еду по неизвестному адресу", — говорит юрист.
Несмотря на это, данные миллионов клиентов "Яндекс.Еды" до сих пор в открытом доступе. Опубликовавшие информацию анонимы даже собрали в отдельные файлы компроматы на известных людей: можно узнать их кулинарные пристрастия, адреса и телефоны.
Вотермарки и заклеенные USB-порты
Специалисты по информационной безопасности утверждают: в российском законодательстве достаточно хорошо прописано, как следует охранять конфиденциальные данные. Есть федеральный закон, постановление правительства, приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК), где описаны конкретные решения. Проблемы начинаются, когда фирмы эти нормативы не соблюдают.
"Выполнить их все достаточно затратно, — подчеркивает главный специалист департамента аудита информационной безопасности компании T.Hunter Владимир Макаров. — Крупные компании могут себе это позволить, мелкие не всегда. Например, нельзя хранить данные со всех микросервисов ("Яндекс.Еда", "Яндекс.Лавка") на одном сервере. Но тогда под каждый нужно закладывать дополнительные мощности".
В приказе ФСТЭК есть даже конкретные указания, как уберечься от инсайдерских "сливов". Сотрудник, имеющий доступ к персональным данным, обязан работать только на корпоративном ноутбуке. Личными флешками пользоваться нельзя. И зашифрован носитель должен быть так, чтобы читался только на устройствах компании.
Свою защиту от инсайдеров продумывают и в самих фирмах. Мобильные операторы часто используют специальный софт, незаметно маркирующий каждый документ, доступ к которому есть у того или иного сотрудника. Если произошла утечка, по вотермарке легко определить, кто ее допустил.
"Тех, кто фотографирует экраны рабочих компьютеров, отслеживают по камерам, все USB-порты блокируют. Но инсайдеров меньше не становится", — отмечает Макаров.
В полиции каждый запрос к базам данных логируется. Если обращение не связано с профессиональными обязанностями, сотруднику придется объяснить свое любопытство. Но и это не оберегает от "сливов". Как объясняет специалист по расследованию высокотехнологичных преступлений, директор компании "Интернет-Розыск" Игорь Бедеров, есть категория служащих, которые имеют право делать запросы без контроля, потому что это входит в их обязанности.
"Например, сотрудники ГИБДД могут спокойно просматривать данные об автовладельцах. Кроме того, ведомственные сайты обслуживают очень много технических специалистов с доступом к базам данных. И за этими людьми нет тотального контроля".
Три процента от дохода
Эксперты сходятся в одном: пока штраф за масштабные утечки составляет всего 60 тысяч рублей, фирмам просто невыгодно платить высокую зарплату специалистам по информационной безопасности.
Но уже в ближайшее время ситуация может измениться. Минцифры подготовило законопроект, предполагающий введение оборотного штрафа для не уследивших за конфиденциальными сведениями компаний — один процент от дохода. Взыскание вырастет до трех процентов, если фирма в течение суток не уведомит Роскомнадзор об инциденте.
Впрочем, и здесь эксперты видят подводные камни.
"Скорее всего, коммерческие структуры будут скрывать такие эпизоды. Либо создадут третьи юридические лица с минимальным оборотом, которые получат статус оператора персональных данных. В случае утечек штраф снова окажется копеечным", — считает Игорь Бедеров.
При этом не совсем понятно, как компании будут следить за "сливами" данных на всевозможных теневых форумах. Картотеки по массиву информации там нет, о некоторых базах можно узнать только непосредственно от продавца.
По мнению Бедерова, помочь способны пострадавшие: "Если бы люди, чьи данные попали в Сеть, получали хотя бы по 50 тысяч из возложенного на компанию штрафа, уверяю, они бы сами выявляли такого рода утечки".
Оборотный штраф не единственная инициатива по охране частных сведений. В начале апреля с поправками в закон "О персональных данных" выступили депутаты Госдумы и сенаторы. Они предлагают обязать операторов незамедлительно информировать уполномоченные органы об инцидентах с утечками. Также фирмам запретят отказывать клиенту в услуге, если тот не дает согласия на обработку персональных данных.
Но главное — все операторы должны подключиться к Государственной системе обнаружения, предупреждения и ликвидации последствий кибератак (ГосСОПКА) и информировать ФСБ обо всех инцидентах такого рода. Последнее требование получило больше всего нареканий: бизнесмены боятся дополнительных затрат, а также увеличения нагрузок на системы.
Несмотря на возражения, первое чтение инициатива прошла. Но как скоро поправки примут — неясно. Пока же форумы "пробивщиков" ежедневно пополняются новыми базами данных.
Из последнего: в Сеть утекли фамилии, адреса корпоративной почты, логины и номера телефонов сотрудников Ростелекома. А чуть раньше в открытый доступ выложили информацию о пользователях сайта с вебкам-моделями.