«Личные данные каждого из нас покупают за копейки»: Кто похищает информационные базы с телефонами россиян Аналитик Городилова: Пользователь никак не может предотвратить слив своих данных

На модерации Отложенный

Александр РОГОЗА  


Как говорится, у меня зазвонил телефон. А дальше всем известная история: «Здравствуйте… - называют ваши полные ФИО. - Вас беспокоят из службы безопасности банка/ МВД/ ФСБ» и так далее. До кучи человек с того конца провода может назвать дату вашего рождения, адрес прописки и еще какие-нибудь личные данные.
С такими звонками сталкивался каждый из нас. И не по одному разу. Будем надеяться, что вы всегда сразу понимали, что ваш собеседник - мошенник, который сейчас будет разводить вас на деньги, поэтому резко прекращали разговор. А затем наверняка думали: «Откуда эти люди все обо мне все знают ?

На днях Роскомнадзор сообщил о масштабной утечке - неизвестные украли 500 млн строк персональных данных россиян. (Для понимания, в самых примитивных информационных базах 1 строка = 1 человек, в более подробных на каждого гражданина может быть 3-5 строк, - Авт.).
Еще лет 10-12 назад компакт-диск с подобными базами можно было купить на Савеловском и любом другом московском радиорынке. Не скажу, что запросто, из-под полы, но тем не менее. Теперь, кажется, этот товар рынки покинул. Брожу по рядам «Савелы», между прилавками, заваленными бэушными телефонами с ноутбуками, спрашиваю про «базы». Продавцы изучающе зыркают на меня и отрицательно машут головами.
- Году в 2012-м здесь начались рейды и контрольные закупки, - рассказывает один из старожилов Савеловского. - Полицейские в штатском и другие структуры начали искать те самые информационные базы с личными данными людей. Несколько человек увозили в отделы полиции. Не помню, дошло ли до уголовных дел, но все наши довольно быстро все поняли, что с таким товаром связываться не стоит.
К слову, сам закон «О персональных данных» приняли еще в 2006 году, по которому все компании и организации должны были привести свои базы в порядок к 2011 году. Вот тогда и начали активно искать нарушителей.

- Что из себя представляли базы на дисках? Система была такая - ты грузишь на свой компьютер специальную программу, довольно тяжелую, и потом уже можешь искать в ней людей по ФИО - их адреса, телефоны и так далее, - объясняет мой собеседник. - Та информация, что я видел, была, судя по всему, украдена из каких-либо органов или у операторов сотовой связи.
До начала эпохи высокоскоростного интернета базы данных с телефонами можно было купить на пиратских компакт-дисках.

«ИНСАЙДЕРЫ» И «ПРОБИВЩИКИ»

Специалисты объясняют, что система утечек личных данных за последние несколько лет сильно изменилась. Если раньше львиную долю этой информации похищали для перепродажи так называемые «инсайдеры», люди изнутри компаний, то теперь абсолютное большинство таких случаев связано с хакерами.
- Нечестных на руку сотрудников компаний и банков становится меньше, потому что растут шансы, что их поймают. Изменился подход к безопасности - теперь есть системы контроля, которые позволяют увидеть, если кто-то из сотрудников попытается скопировать даже часть базы, - рассказывает «КП» руководитель службы мониторинга внешних цифровых угроз Solar Aura группы компаний Solar, бывший замначальника Управления «К» МВД России Александр Вураско.


Собеседник отмечает, что лет 10-15 назад был настоящий расцвет бизнеса «пробивщиков» - людей, которые по неофициальным запросам сливали данные людей. За деньги, конечно.
- Обычно это был человек, связанный с органами и имеющий доступ к информационным базам. Оборотень в погонах, словом. Цены? Все зависело от глубины информации и уникальности данных. Ценный запрос мог стоить и десятки тысяч рублей. Пробивщики, конечно, никуда не делись. Но их стало намного меньше, потому что стоимость пробивов повысилась из-за рисков. А большинство утечек персональных данных в наше время - дело рук хакеров.


УКРАИНСКИЙ СЛЕД

По словам младшего аналитика Threat Intelligence компании F.A.С.С.T. Дарьи Городиловой, хакеры воруют данные компаний, получая доступ к их системе или взламывая сторонние ресурсы вроде облачных хранилищ.- Чаще всего это целенаправленные сливы с целью понизить репутацию компании, так как большинство баз данных потом публикуются совершенно бесплатно. Хотя есть и случаи продаж, когда преступники решают заработать, перепродав базу. И если еще в начале 2010-х базы покупали на физических носителях, то теперь условный «Савеловский рынок» перешел в новую форму - даркнет и подпольные форумы.Специалисты отмечают, что в последние два года большинство атак связано так или иначе с Украиной.

Обычно хакеры воруют данные компаний, получая доступ к их системе или взламывая сторонние ресурсы вроде облачных хранилищ.
Фото: Shutterstock
- Именно в 2022-2023 годах случился резкий рост числа инцидентов с утечками личных данных. Это связано с тем, что у атакующих изменилась мотивация, - объясняет Александр Вураско. - Если раньше большая часть атак совершалась, чтобы заработать, то теперь их львиная доля объясняется желанием навредить, нанести максимальный вред. Это если скажем, группа хакеров взламывает сервера крупной российской компании с клиентской базой, выкачивают всю эту информацию, уничтожают ее на сервере и вываливают в общий доступ.
К слову, по данным F.A.С.С.T. только в 2023 году в Интернете были выложены 246 новых баз данных, украденных из российских организаций.
ГДЕ ПРЯЧУТСЯ ПРОДАВЦЫКонечно, один из самых важных вопросов - насколько много преступники могут узнать о каждом из нас после очередной утечки личных данных?


- Кроме ФИО, адресов электронных почт, и номеров телефонов в открытый доступ могут попасть паспортные данные, даты рождения, сканы паспортов, записанные телефонные разговоры, номера счетов, кредитных карт, информация о ваших родственниках, - говорит Дарья Городилова. - Например, в результате утечек баз данных медицинских компаний в сеть могут попасть данные о хронических заболеваниях, группах крови, результатов анализов пациентов. Если говорить об утечках интернет-магазинов, то в руках преступников окажутся адреса проживания (страна, город, улица, дом, подъезд, этаж, квартира) и комментарии к заказам.
Еще несколько лет назад считалось, что торговля личными данными людей происходит исключительно в так называемом «теневом интернете». Здесь почти невозможно отследить местоположение продавцов и покупателей, потому что все соединения зашифрованы.
- Да, на таких форумах данными по-прежнему торгуют. Но на самом деле частью «даркнета» теперь стал и Телеграм, - отмечает Александр Вураско. - Он по своему функционалу банально удобнее, а прятаться там можно не хуже.
- И сколько данные каждого из нас стоят на этом черном рынке?
- Возможно, я вас разочарую, но в пересчете на каждого из нас это прямо копейки. Взломанную базу из миллионов, десятков миллионов строк могут продавать, скажем, за 2 тысячи рублей. Максимум - 200-300 тысяч. Цена зависит от уникальности данных.
Впрочем, для того, чтобы собрать личные данные тысяч человек иногда даже не обязательно что-то взламывать. Мы порой сами рассказываем о себе в публичном пространстве слишком многое.
- Есть люди, которые указывают в своих профилях в соцсетях или на сайтах знакомств всю необходимую злоумышленникам информацию: ФИО, номер телефона, электронный адрес, дату рождения, семейный статус, город, страну и так далее, - объясняет эксперт Городилова. - Там же можно найти, где и кем работает человек, какие у него интересы, как зовут его друзей и родственников. Так что некоторые преступники просто собирают данные и из соцсетей, формируя базы и так же продавая на подпольных форумах.
Можем ли мы защититься от утечек?- Разумеется, цифровая гигиена всегда была, есть и будет наиважнейшей привычкой, которую должен соблюдать совершенно каждый человек, который пользуется интернетом, - объясняет Дарья Городилова - Но предотвратить слив базы пользователь никак не может. Здесь все зависит от компании или сайта, которым вы предоставляете свои данные. Однако какие именно данные попадут в руки злоумышленников - решать вам.


Итак, советы бывалых:
1. Важно использовать надежные, сложные пароли, которые преступники не смогут взломать или подобрать.
2. Если есть возможность использования многофакторной аутентификации - используйте ее. При попытке проникнуть в ваш аккаунт, вы сразу об этом узнаете, а в случае утечки пароля предотвратите получение доступа к нему.
3. Никогда не указывайте корпоративные электронные адреса на сторонних ресурсах. Иначе преступники могут проводить в том числе фишинговую рассылку по вашим коллегам, в результате которой вся компания может оказаться под угрозой.
4. Не указывайте дополнительную информацию о себе, чтоб ваш профиль в руках злоумышленника не был углубленным. Иначе в случае взлома ему будет проще обмануть ваших друзей и близких.
5. Используйте на разных сайтах или форумах разные никнеймы - чтобы в случае поиска вас по другим базам злоумышленники не смогли сопоставить данные.
6. Для регистрации на сайтах можно использовать специально созданные email-адреса и отдельный номер телефона, чтобы ваши реальные личные данные не попали в утечки.


ПРЕСТУПЛЕНИЕ И НАКАЗАНИЕ

Сажают ли взломщиков?

Конечно, привлечь к уголовной ответственности хакеров, которые живут где-то за тысячи километров от границ России и ломают наши базы, сложновато. Но это не значит, что их не ищут. И тем не менее в последние годы было несколько громких случаев, когда «специалисты», которые организовывали утечки личных данных, были осуждены.
2023 год. Задержан хакер, взломавший в 2022-м корпоративную систему компании «Гемотест», которая предоставляет услуги по проведению медицинских анализов. Некий Фуад Алекперов вошел в базу, взломав аккаунт сотрудника. Молодого человека судили по двум статьям - «Неправомерный доступ к компьютерной информации» и «Использование вредоносных компьютерных программ». Ему грозил реальный срок до 10 лет. Однако суд приговорил его… к 1,5 годам ограничения свободы.
2022 год. 

В Новосибирске вынесли приговор двум сотрудникам мобильного оператора, которые за деньги передавали посторонним личные данные абонентов и детализацию их звонков. Приговор: по 1 году условно.
2019 год. Снова Новосибирск и снова сотрудники мобильного оператора. На этот раз похищены данные 500 тысяч абонентов. Итог - одному 1,5 год условно, второму 1 год и 3 месяца.


До реальных посадок, как мы видим пока не доходило.
Тем временем в Госдуме вовсю обсуждают ужесточение наказания за утечки персональных данных. В конце января 2024-го этот законопроект уже был принят в первом чтении. Спикер Госдумы Вячеслав Володин раскрыл некоторые подробности. Например, компанию, которая допустила утечку, предлагают штрафовать на 3% ее выручки.


- За нарушение, допущенное впервые, должностных лиц могут оштрафовать на сумму до 2 млн рублей, юридических - до 15 миллионов, - уточнил Володин. - Одновременно вводится уголовная ответственность за использование, передачу, сбор и хранение персональных данных, полученных незаконным путем, а также за создание информационных ресурсов, распространяющих такие данные. Максимальный срок лишения свободы - до 10 лет.