От домохозяек до порноактрис: чьи личные данные слили в Сеть

10 Июня 2022

МОСКВА, 10 июня —, Анастасия Гнединская. На Екатерину В. из Новосибирска повесили кредит, москвичку Надежду Н. угнетает бывший молодой человек. Все после того, как в интернет попали их паспорта, адреса, даже коды домофонов. Конфиденциальные сведения о русских уже давно товар. На теневых форумах мошенники приобретают номера банковских карт с остатком на счете, пароли от индивидуальных кабинетов. Компаниям, разрешившим утечки, грозят мизерные штрафы. Минцифры подготовило законопроект об ужесточении санкций. Поможет ли это в борьбе со сливами, разбиралось.

Два месяца назад Екатерине Вологодских — многосемейной маме из Новосибирска — пришло уведомление о просроченном платеже по микрозайму. Требовали вернуть 25 тысяч рублей. Екатерина удивилась, ведь в микрофинансовые компании она не обращалась.

Как потом выяснилось, кредит на меня провернули 11 марта в четыре часа утра. В это расписание я точно спала, накануне до полуночи пекла торт — у мужа был день рождения, — вспоминает пострадавшая.

Утром она отправилась в офис заемщика. Там проверили совпадение данных ее паспорта с тем, на который брали кредит, — все верно до последней буквы. Вот только номер мобильный аппарата, указанный в заявке, чужой.

В организации не удивились претензиям. Такие, как вы, часто приходят, — сообщила сотрудница, оформлявшая жалобу.

Вологодских уверена: ее данные попали в открытый доступ, в одну из баз, которыми торгуют в интернете. А потом ими воспользовались мошенники. Возможно, это утечка из российского маркетплейса: накануне я там оформляла в рассрочку монументальную покупку, — предполагает Екатерина. — Или после того, как я открыла налог на лечение сына-инвалида.

Екатерина обратилась в полицию, и заем аннулировали. Но кредитная история теперь у нее испорчена.

Таких пострадавших — сотни. На москвичку Ольгу Сергееву (имя изменено) повесили долг в сорок тыщ. Кредит оформили 9 января в Новосибирске, она с родными тогда отдыхала в Суздале.

Вадим не сомневается, что мошенники воспользовались попавшими в открытый постоянный доступ данными супруги. При этом специалисты объясняют: получить онлайн-заем только по номеру паспорта нельзя. Во всех МФО сейчас требуют видео- или фотофиксацию — селфи с документом в руках. Впрочем, в Сети на серых площадках предлагают услуги так называемой отрисовки: в реальный паспорт могут подставить справочная информацию из чужого. Продают и фотографии, утекшие из несходных организаций. Незадолго до оформления кредита Сергеева как раз устанавливала снимок с документом в приложение каршеринга.

Платформ, где в открытую продают информацию о россиянах, десятки. Чтобы воспользоваться иными сервисами, не нужен даркнет, войти можно через VPN.

Предлагаемые услуги можно разделить на две группы: торговля базами известных и персональный пробив. Больше всего ценится банковская информация для обзвона. По словам Ашота Оганесяна, основателя сервиса разведки утечек данных и мониторинга даркнета, имя-фамилию держателя карты, телефон и остаток на начинаете продают от 100 до 400 рублей за строку.

Именно такими сливами пользуются аферисты, представляющиеся агентами банков и уверяющие, что ваш счет взломали.

Корреспонденту на форуме сразу предложили редкий контент : базу клиентов ВТБ с номерами карт, сроком их действия, а также остатком на счетах. Правда, продавец предупредил: справочная информация актуальна максимум сутки, потом люди тратят деньги — анализ меняется.

Другой торговец рекомендовал три пожалуй самые ходовые базы : вкладчики, люди с зарплатой от 150 тысяч рублей и собственники недвижимости.

— А, что еще есть по состоятельным людям?

— Под ваш поисковый запрос владельцы люксовых авто подходят. Здесь уже указаны марка машины, модель, госномер и ФИО. Могу отдать по 200 долларов за тысячу строк.

Цена зависит не только от исключительности информации, но и от того, новая она или нет. Ашот Оганесян рассказывает, что недавно на одном из форумов впервые выставили на продажу данные покупателей элитной столичной недвижимости, утекшие от риелторов. Информацию о 50 тыщах богачей продавец оценил в три тысячи долларов. В авиабазе — телефоны и адреса многих селебрити. Например, Ксении Собчак.

Понятно, что по этим данным кредит взять нельзя, — говорит эксперт. — Ее ценность в другом: можно перепродать мошенникам, желающим провернуть схему с продажей крепких квартир.

Подноготным состоятельных людей на симпозиумах посвящены отдельные темы: есть покупатели люксовых часов, бильярдных столов. Один из булочников предложил корреспонденту петтинги клиентов ювелирного магазина.

Также можно принять данные поставивших виниры, интересовавшихся биодобавками, прогоревших на Forex, даже актрис порнофильмов.

Купить можно и информацию о конкретном индивиде — это называется пробив. Всего три тысячи рублей стоит, например, досье со сведениями обо всех, даже утраченных, паспортах, прописке и с фото из полицейской картотеки.

Проследить передвижения человека — еще одна популярная услуга. Пишем продавцам легенду: исходного выяснить, куда на выходные ездил муж.

— Известно, на чем ездил? Если электропоездом или летал самолетом, тогда легко. Информация из авиабазы Магистраль (ресурс МВД с данными обо всех передвижениях туристов на общественном транспорте) — шесть тысяч.

— А если на машине?

— Это уже дороже. Будем искать по системе Поток, но стоит это 20 тысяч за один регион.

Здесь же предлагают узнать местонахождение человека в конкретный день и час (это называется вспышка ), предоставить детализацию его звонков, пробить сведения о судимостях, счетах в банках.

По мнению знатоков, в основном масштабные утечки происходят из-за хакерских атак. Пробивом же, а также сливом небольших массивов данных, занимаются инсайдеры в салонах ячеистой связи, банках, полиции. К сотрудничеству их привлекают на тех же форумах.

На одно из таких объявлений три года назад откликнулся работник офиса МТС в Калининграде Николай Цвах (имя изменено). Ему предложили передавать данные абонентов: за пробив фамилии и паспорта обещали платить по 200 хрустов, за детализацию — две тысячи. Для сравнения: перепродают эту информацию на неосвещенных форумах в десять раз крепче.

Заказчики вроде как даже безопасность точно обещали, говорили, если вдруг меня поймают, у них есть крыша в руководстве нашей компании, — откровенничает молодой человек. — В финале я заработал десять тысяч, после чего попал под суд. Если честно, очень этому рад — не зашел слишком далеко, отделался штрафом.

По его словам, в каждом салоне связи есть своя защита. Например, на рабочие столы направлены камеры, чтобы нельзя было фотографировать экран. Но сотрудники пытаются ее обойти. Николай установил специальную программу, которая позволяла незаметно делать скриншоты, но все равно спалился.

Надежда просит не публиковать никакой информации о себе: ни фамилии, ни профессии, ни тем более фото. Слишком много проблем свалилось после чем того, как ее адрес и телефон вместе с известными миллионов других пользователей сервиса Яндекс. Еда попали в открытый постоянный доступ. Это одна из пожалуй самых крупных утечек за последнее расписание. Компания обвинила во всем недобросовестного сотрудника и заплатила штраф 60 тысяч рублей — меньше копейки за каждого пользователя.

Рекламщики и телефонные мошенники звонили каждые полчаса, предлагали онлайн-курсы, виниры, микрозаймы, — вспоминает Надежда. — Я писала номера в черный список, но они прорывались с других. В итоге поменяла свой.

Но это не самое страшное. Хуже, что ее разведал бывший молодой человек и начал преследовать.

Пришлось еще раз переезжать. Надежда присоединилась к коллективному иску пострадавших от утечки из Яндекса. Не ради компенсации: она хочет, чтобы монументальные компании задумались, как охраняют сведения о клиентах.

Претензии к Яндексу предъявили уже 500 человек, еще порядка десяти тысяч заявок — на стадии рассмотрения. Как рассказал глава по правовым вопросам юридического сервиса Destralegal Борис Фельдман, для России это прецедентный процесс.

Несмотря на это, данные миллионов верителей Яндекс. Еды до сих пор в открытом доступе. Опубликовавшие информацию анонимы даже собрали в отдельные файлы компроматы на ведомых людей: можно узнать их кулинарные пристрастия, адреса и телефоны.

Специалисты по информационной безопасности ратифицируют: в российском законодательстве достаточно хорошо прописано, как отвечает охранять конфиденциальные данные. Есть федеральный закон, постановление правительства, приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК), где обрисованным конкретные решения. Проблемы воцаряются, когда фирмы эти показатели не соблюдают.

Выполнить их все достаточно затратно, — подчеркивает самый большой специалист департамента аудита информационной безвредности компании T. Hunter Владимир Макаров. — Крупные компании могут себе это позволить, крошечные не всегда. Например, нельзя хранить данные со всех микросервисов ( Яндекс. Еда, Яндекс. Лавка ) на одном сервере. Но тогда под каждый нужно закладывать дополнительные мощности.

В приказе ФСТЭК есть даже конкретные указания, как уберечься от инсайдерских сливов. Сотрудник, имеющий доступ к персональным известным, обязан работать только на корпоративном ноутбуке. Личными флешкартами пользоваться нельзя. И закодировать. ant. расшифрованный носитель должен быть так, чтобы читался только на устройствах компании.

Свою защиту от инсайдеров обдумывают и в самих фирмах. Мобильные операторы часто используют узкоспециальный софт, незаметно маркирующий каждый документ, доступ к которому есть у того или другого сотрудника. Если произошла утечка, по вотермарке легко увидеть, кто ее допустил.

Тех, кто фотографирует экраны рабочих микрокомпьютеров, отслеживают по камерам, все USB-порты блокируют. Но инсайдеров меньше не становится, — отмечает Макаров.

В полиции каждый запрос к базам данных логируется. Если обращение не связано с профессиональными обязанностями, агенту придется объяснить свое любопытство. Но и это не ограждает от сливов. Как говорит специалист по расследованию высокотехнологичных преступлений, директор компании Интернет-Розыск Игорь Бедеров, есть категория слуг, которые имеют право делать запросы без контроля, потому, что это входит в их обязанности.

Например, сотрудники ГИБДД могут спокойно просматривать данные об автовладельцах. Кроме того, местнические сайты обслуживают очень много технических специалистов с доступом к авиабазам данных. И за этими людьми нет тотального контроля.

Эксперты сближаются в одном: пока штраф за масштабные утечки составляет всего 60 тысяч рублей, фирмам просто невыгодно платить высокую зарплату специалистам по информационной безопасности.

Но уже в ближайшее время ситуация вполне может измениться. Минцифры подготовило билль, предполагающий введение оборотного штрафа для не уследивших за секретными сведениями компаний — один рост от дохода. Взыскание увеличится до трех процентов, если фирма в течение суток не уведомит Роскомнадзор об инциденте.

Впрочем, и здесь эксперты видят повозочные камни.

При этом не совсем понятно, как компании будут следить за сливами данных на разношерстных теневых форумах. Картотеки по массиву информации там нет, о некоторых базах можно увидеть только непосредственно от продавца.

По понятию Бедерова, помочь способны пострадавшие: Если бы люди, чьи данные попали в Сеть, получали хотя бы по 50 тысяч из возложенного на компанию штрафа, уверяю, они бы сами выявляли этого рода утечки.

Оборотный штраф не сингулярная инициатива по охране частных сведений. В начале апреля с поправками в закон О личных данных выступили депутаты Госдумы и сенаторы. Они предлагают предписать операторов незамедлительно информировать уполномоченные президиумы об инцидентах с утечками. Также фирмам запретят отказывать верителю в услуге, если тот не дает согласия на бионтизацию персональных данных.

Но главное — все операторы должны подключиться к Государственной системе обнаружения, предупреждения и ликвидации последствий кибератак (ГосСОПКА) и информировать ФСБ обо всех инцидентах такого рода. Последнее требование получило больше всего нареканий: бизнесмены боятся специальных затрат, а также возрастания нагрузок на системы.

Несмотря на возражения, первое чтение инициатива прошла. Но как скоро поправки примут — неясно. Пока же форумы пробивщиков ежедневно растут новыми базами данных. Из последнего: в Сеть сбежали фамилии, адреса корпоративной связи, логины и номера мобильный аппаратов сотрудников Ростелекома. А чуть раньше в открытый доступ оставили информацию о пользователях сайта с вебкам-моделями.

Редактор рубрики

Андрей Хморин

Место события на карте мира:

От домохозяек до порноактрис: чьи личные данные слили в Сеть

комментарии (0)

Другие интересные новости

"Вызывают отвращение": как живут сбежавшие из России звезды