Кто, за сколько и где торгует вашими персональными данными
В рунете работает множество форумов и телеграм-каналов, посредством которых можно заказать пробив любого человека или организации. Данные о вашем местонахождении в режиме реального времени и сведения о перемещениях по городу за последний месяц, информация о телефонных звонках и выписка со счета в Сбербанке, а также вся ваша подноготная от кредитной истории до автомобильного номера за символическую сумму могут оказаться доступны мошенникам. Рассказываем, кто занимается торговлей персональными данными в России и сколько стоит информация о нас.
В знаменитом расследовании отравления Алексея Навального журналисты Bellingcat уведомляли читателя, что большую часть использованной ими информации было бы невозможно получить на Западе, «однако в России она общедоступна либо бесплатно, либо по довольно скромной цене. <…> Для записей, содержащихся в многогигабайтных файлах баз данных, которые пока не попали в интернет через торренты, имеется процветающий черный рынок купли-продажи данных. Обычно эти данные поставляют вручную сотрудники низшего звена в банках, телефонных компаниях и отделениях полиции».
Регулярные утечки персональных данных создали огромный рынок личной информации, шлейф из которой тянется за каждым из россиян. Чтобы получить к ней доступ, необязательно быть частным детективом или журналистом-расследователем, ведь это даже не требует компьютерной грамотности или серьезных вложений.
«Глаз Бога» и «Антимигалки»
Долгое время самым популярным и авторитетным ресурсом среди интересующихся пробивом считался «теневой форум» «Мигалки», но в марте 2020 года на сервисе начались «технические работы», после которых сайт не ожил уже никогда (сейчас на этом домене находится галерея автомобильных номеров). Высказывались разные объяснения случившегося (от побега администрации с деньгами участников до того, что владельцы сайта были сотрудниками спецслужб, «сливавшими» информацию о пользователях, и в определенный момент форум выполнил свою задачу), но все они остались неподтвержденными.
Уже в мае 2020 года активные участники старого проекта запустили новый ресурс «Антимигалки» с прежним дизайном и функционалом. Чтобы доказать серьезность своих намерений, команда сайта даже выкупила финансовые обязательства «Мигалок» перед пользователями. Несмотря на это ресурсу все еще далеко до старой популярности: количество пользователей на форуме лишь немногим превышает 2 500.
В то же время в сети легко найти посвященные пробиву форумы с десятками тысяч участников. На этих интернет-барахолках продается и покупается все: от баз с персональными данными, кредитных карт и электронных кошельков до хакерских услуг и огнестрельного оружия. Все эти форумы устроены аналогичным образом: продавцы создают темы в соответствующих разделах и предлагают свои услуги, а администрация предоставляет площадку для торговли и гарантирует безопасность сделок.
Для тех, кому лень регистрироваться на форумах, давно существует рынок автоматического пробива через боты в телеграм-каналах. Самым крупным из них (более 530 000 подписчиков) является канал «Глаз Бога». С его помощью любой желающий может загрузить фотографию автомобильного номера и узнать ФИО и дату рождения владельца полиса ОСАГО, которым застраховано транспортное средство. Нажатия пары клавиш достаточно, чтобы узнать по номеру телефона о зарегистрированных на него аккаунтах в социальных сетях. Зная чьи-то ФИО, можно получить информацию о купленных этим человеком авиабилетах и пассажирах, летевших с ним одним рейсом.
Основные потребители такой информации — это, как нетрудно догадаться, подозрительные мужья или жены, желающие узнать, с кем их супруг летал в одном самолете. Журналистам Bellingcat, однако, удалось воспользоваться аналогичными сервисами, чтобы узнать о перемещениях отравителей Алексея Навального, регулярно покупавших билеты на параллельные с ним рейсы.
Базовый доступ к функциям «Глаза Бога» стоит всего 65 рублей в сутки. За сбор расширенной информации придется платить дополнительно. На своем сайте создатели бота без ложной скромности заявляют, что им доступно более 40 источников информации в реальном времени, и свыше миллиона пользователей уже воспользовалось их услугами.
Даркнет: найдется все
Цены на пробив телефонных номеров в Даркнете разнятся в зависимости от оператора связи и сложности услуги. Дешевле всего (от 500 до 6 000 рублей) предлагается заплатить за информацию о том, какому абоненту принадлежит конкретный телефонный номер, или наоборот – какие sim-карты зарегистрированы на такого-то человека. Несколько дороже (от 3 000 до 4 500 рублей) обойдется блокировка чужой sim-карты.
Помесячная детализация звонков абонента (биллинг) в зависимости от оператора может стоить от 1 500 до 26 000 рублей. За 90 000 рублей можно заказать детализацию звонков абонента на протяжении полугода с указанием ближайших к месту совершения вызова базовых станций сотовой связи. Именно этой услугой воспользовались журналисты, расследовавшие отравление Алексея Навального, для определения передвижений следивших за ним ФСБшников.
Дешевле всего традиционно стоят пробив и детализация абонентов «Билайн». Тематический блог Data Leakage & Breach Intelligence объясняет эту разницу тем, что в «Вымпелкоме» упомянутая информация доступна самим сотрудникам, а для остальных операторов ее приходится заказывать через МВД.
Наконец, услуга «вспышка» (или триангуляция) позволяет установить с помощью геолокации местонахождение владельца телефона в режиме реального времени. Стоимость «вспышки» может составлять от 3 000 до 45 000 рублей.
Как пишет DLBI, практически во всех уголовных делах, связанных с телефонным пробивом, виновными оказываются работники сотовых компаний и салонов связи, получившие неограниченный доступ к персональным данным клиентов. В 90% случаев преступников ловят правоохранительные органы, а не служба безопасности компании. Приговор, как правило, составляет 1-2 года условного лишения свободы, крупный денежный штраф (100 000 – 250 000 рублей) или исправительные работы.
«Типичный портрет осужденного за продажу данных — молодой человек или девушка из провинции, с невысоким доходом, малолетним ребенком и мечтой о красивой жизни», — пишет ВВС в своем исследовании рынка онлайн-пробива.
На втором месте после «инсайдеров» из сотовых компаний по количеству возбужденных уголовных дел за торговлю чужими данными, согласно статистике DLBI, находятся сотрудники банков.
«Сбербанк» — самая доступная в плане пробива из российских кредитных организаций, только для него предложения о покупке персональных данных актуальны в любой момент. Сбор статистики по другим банкам затруднен из-за того, что предложения не всегда существуют на рынке.
По данным DLBI, выписка о движении средств по счету или карте физического лица стоит 12-15 000 рублей за месяц и 30-35 000 рублей за полгода. Журнал «Хакер» утверждает, что за 8000 рублей в даркнете можно получить адреса банкоматов, которыми недавно пользовался клиент, за 15 000 – узнать кодовое слово и всего за 2500 – навсегда заблокировать чужую карту.
Еще один популярный тип услуг – это «государственный пробив». На интернет-форуме с немудрящим названием Probiv существуют разделы для желающих пробить человека по данным МВД, ГИБДД, ФСПП, ФМС, Федеральной налоговой службы, ЕГРН, Пенсионного фонда и других государственных организаций. В каждом из этих разделов созданы десятки тем с предложениями быстро и дешево «слить» покупателю чьи-то персональные данные из этих реестров.
За 1000 рублей, например, предлагаются данные из системы «Роспаспорт» (фото, места регистрации, данные о смене ФИО и образец подписи). За 2000 рублей – из системы учета сведений об иностранных гражданах «Мигрант» (дата и место пересечения границы, миграционные карты, фотография). Столько же стоит пробив по системе «Магистраль», содержащей информацию об авиаперелетах и железнодорожном сообщении: за эти деньги предлагается информация обо всех билетах, купленных человеком с момента получения паспорта.
Бухгалтерская отчетность предприятий, выписки по счетам юридических лиц, информация о судимостях, правонарушениях и зарегистрированном оружии, номера IP-адресов, кредитная история, сведения о семье из ЗАГСов и об имуществе – из Росреестра… Не существует, кажется, той информации, которую нельзя было бы при желании получить о наших согражданах, как не существует и пределов жадности у тех людей, кто по идее должен отвечать за ее сохранность.
В сентябре 2020 года «Роскомсвобода» подала судебный иск к Департаменту информационных технологий Москвы с требованием остановить работу уличной системы по распознаванию лиц. Дело в том, что данные этой системы точно также нашлись в даркнете. Всего за 16 000 рублей волонтерка «Роскомсвободы» Анна Кузнецова, загрузив свою фотографию, получила от анонимного спекулянта отчет о собственных передвижениях по Москве за месяц с детальной информацией о местах, где камерами было зафиксировано ее лицо. Суд не обнаружил в этом никакого нарушения.
«Некогда вводить пароли»
Покупателями персональной информации часто становятся мелкие мошенники, ревнивые супруги, коллекторы, работники служб безопасности, бизнесмены, собирающие сведения о конкуренте – а также частные детективы, с разумной наценкой продающие эти данные тем представителям вышеупомянутых категорий, кто совсем уж не владеет поиском в интернете.
В роли создателей баз данных, как отмечает DLBI, часто выступают сотрудники госорганов, многие из которых являются компетентными IT-специалистами. Впрочем, нередко для этого даже не требуется особых технологических познаний. «Базы государственных ведомств защищены очень плохо во всех смыслах. Многие из них торчат в интернете без паролей или с простыми паролями, и их тихонько используют все, кто нашёл. Чаще всего, к ним нет никаких разграничений доступа, и к данным, при определённом упорстве (или даже без него) имеют доступ почти все сотрудники ведомства», — пишет создатель телеграм-канала IT и COPM Владислав Здольников.
Полицейские очень часто выступают в обеих ролях: и торговцев персональными данными, и их покупателей. Издание Daily Storm со ссылкой на собственные источники в полиции утверждает, что российские участковые являются ежедневными клиентами телеграм-бота «Глаз Бога»: они «берут информацию из отчета, меняют шрифт на Times New Roman и несут начальству. В ведомственные базы они не смотрят — некогда пароли вводить и основание для поиска указывать».
В то же время, в отчете DLBI за 2019 год приводятся несколько случаев, когда сотрудники полиции стали обвиняемыми по делам о продаже персональных данных. Двое из них передавали сведения о недавно умерших россиянах ритуальным агентствам, остальные просто торговали на сторону информацией из баз МВД о россиянах: паспортными данными, номерами телефонов, сведениями о судимости. Наказание для новосибирского полицейского, ставшего сообщником ритуальных агентов, оказалось самым суровым: его приговорили к 7,5 годам лишения свободы.
Уже нашли подозреваемого и в сливе информации о следивших за Навальным силовиках. Им стал самарский полицейский Кирилл Чупров, который, по версии следствия предоставил частному лицу информацию из базы данных “Розыск Магистраль”. Чупрова отправили под домашний арест, ему грозит до 10 лет лишения свободы.
Количество уголовных дел, которые возбуждают против полицейских, конечно же, абсолютно несоразмерно с тем, сколько информации из закрытых баз оказывается слито в интернет. Самарский страж порядка Чупров со своим желанием немного подзаработать на доступе к хранилищам информации тоже вряд ли бы вызвал интерес у контролирующих органов, не окажись настолько резонансным дело, к которому он был причастен.
В нашем предыдущем тексте мы рассказывали о том, что в декабре 2020 года Госдума приняла закон, разрешающий засекречивать персональные данные чиновников и работников силовых ведомств. Эта мера явно направлена на противодействие борцам с коррупцией и журналистам-расследователям, но вызывает больше ехидную усмешку: все выписки из реестров, которые власти объявят секретными, наверняка останутся доступны в тех же онлайн-базах по символической цене в пару тысяч рублей. Расследование Bellingcat и The Insider с предельной наглядностью показало, что российское государство не способно защитить даже персональные данные сотрудников ФСБ, что уж говорить о простых коррупционерах.
В то же время, нельзя забывать, что журналистские расследования – это чрезвычайно редкий случай, когда торговля персональными данными используется с благими намерениями. Доступ к тем же базам данных или истории перемещений по городу можно использовать для планирования тяжких преступлений. Именно поэтому наказание на Западе предусмотрено гораздо более серьезное наказание за торговлю персональными данными, чем в России.
Евгений Ветров
Комменты