' style='fill:%23c4c4c4;fill-opacity:1'%3E%3Cpath d='M93.28-57.4h2.52l-6.33 11.74h-2.6l6.41-11.75zM98.5-57.4h2.52L94.7-45.67h-2.6l6.4-11.75zM103.78-57.4h2.52l-6.33 11.74h-2.6l6.4-11.75z'/%3E%3C/a%3E%3C/svg%3E)
Утечка на миллион. Почему хакеры так часто крадут данные россиян, а власти ничего не могут с этим сделать
Номера паспортов оптом и в розницу. «Коммерсантъ» узнал об утечке данных участников электронного голосования по поправкам в Конституцию. В даркнете на продажу выставили базу с номерами паспортов, всего более миллиона строчек. Это уже вторая новость об утечке данных на этой неделе, а ведь сегодня только вторник. 3 августа стало известно об еще одной утечке — в сеть попали номера ПТС, VIN‑коды, а также имена и телефоны водителей. О том, как происходят утечки, получится ли на этом разбогатеть, и почему это опасно, рассказал Антон Баев.
В этот раз к злоумышленникам утекли данные избирателей, которые участвовали в дистанционно‑электронном голосовании по поправкам в Конституцию — оно проходило в Москве и Нижегородской области.
На одном известном форуме, посвященном мошенническим схемам, некто с ником lancelot предлагал базу данных с сериями паспортов по доллару за каждую строку. В качестве подтверждения он указал частично закрашенные скриншоты. Несложные математические действия подсказывают, что lancelot хотел выручить — ни много, ни мало — миллион долларов.
Речь идет о той самой базе данных паспортов, которую в середине июля обнаружила «Медуза». С ее помощью председатели столичных территориальных избирательных комиссий проверяли данные избирателей. Мосгоризбирком разослал копии базы во все ТИКи, но защитить архив так и не смогли.
Программа сверяла введенные серию и номер паспорта со всей базой данных и указывала, допущен ли человек к голосованию или нет. Около пяти тысяч паспортов, согласно базе МВД, оказались недействительными. От них продавец lancelot базу очистил.
Сделать это было несложно — «Медуза» тогда же опубликовала список недействительных номеров. Однако несмотря на труд lancelot‑мошенника, такие данные на черном рынке ничего не стоят, считают специалисты. Оформить на «голые» номера паспортов, например, кредит не получится, а сопоставление этой базы с другими, где содержатся имена и фамилии, не даст злоумышленникам ничего нового.
Ашот Оганесян, основатель сервиса поиска утечек и мониторинга даркнета «DLBI»: На этом же форуме, в соседней ветке, эта база лежит в открытом виде. Там на этой ветке в форуме тусуются люди, которые изготавливают сканы поддельных документов. Он просто решил по-быстрому заработать, что называется «на дурачка». Реальную стоимость эта база не имеет.
Артем Костырко, который отвечал за разработку электронной системы голосования, с нами поговорить не смог, однако в колонке на сайте «Эхо Москвы» назвал опубликованную базу данных «пустышкой».
Артем Костырко, начальник управления по развитию смарт-проектов правительства Москвы: Непонятно, что это за база и откуда в ней данные помимо номеров паспортов. Тем более не ясно, как в нее попали люди, которые не могли участвовать в электронном голосовании из-за отсутствия прописки в Москве.
Несмотря на то, что сама по себе эта база не представляет ценности (и найти ее бесплатно на просторах обычного, а не даркнета не проблема), прецедент опасный. В конце июля в сети появились данные миллиона московских автомобилистов. В ней содержались VIN‑коды, номера паспортов транспортного средства, мобильные телефоны и имена. Стоит такая информация полторы тысячи долларов. По формату продаваемая база напоминает данные страховых компаний, однако источник утечки до сих пор не обнаружен. Использовать эти данные можно для мошенничества со страховками и социальной инженерии, когда данные человека нужны для того, чтобы втереться в доверие. Классический пример — мошенники, которые представляются службой безопасности банка, и уже знают ваше имя, фамилию, телефон и, например, номер карты.
Саркис Дарбинян, глава юридической практики «Роскомсвобода»: У нас нет обязанности сообщать об этих утечках и на самом деле подобное положение дел есть в модифицированном протоколе 108 конвенции (Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера. — Прим. ред.), которую Россия подписала, но пока она не ратифицирована. Эти штрафы не будут работать, пока не будет выстроена надлежащая система контроля над неавторизованном доступом к данным. Соответственно, будет усилен надзор в государственном секторе.
Российские законодатели уже предлагают новые штрафы. Речь идет о наказании не только тех, кто незаконно публикует данные, пользуясь служебным положением, но и тех, кто эти базы скачивает. Сейчас доступ к личной информации будет стоить злоумышленнику немного — до нескольких десятков тысяч рублей, если он выступает как юридическое лицо. В отдельных случаях, правда, может грозить и арестом.
Ашот Оганесян, основатель сервиса поиска утечек и мониторинга даркнета «DLBI»: Очень много в пабликах и СМИ информации об западных утечках, потому что они по закону вынужденны разглашать информацию, если произошло что-то связанное с пользовательскими данными. Они помимо штрафа обязаны оповестить каждого, поэтому еще это все всплывает. А у нас нет никаких обязанностей по оповещению, соответственно все предпочитают скрывать и отрицать утечку.
Торговцев данных редко задерживают, да и в основном это не поставщики, а перекупщики. На вооружение можно взять европейский опыт — там с 2018 года работает «Общий регламент по защите данных» (GDPR). Согласно нему компании, допустившие утечку, должны сообщить об этом публично и заплатить процент с оборота — что делает наказание существенным и для крупных IT‑гигантов и для небольших компаний. В России же пока даже сообщения об утечках, в основном, приходят из СМИ и таких вот хакерских форумов.
Фото: Агенство «Москва»
Не бойся быть свободным. Оформи донейт.
