Кому вы нужны. Как мошенники используют слитые базы данных

Фото: Getty Images
Фото: Getty Images

Нарушение правил использования персональных данных для Украины — обычное дело. Государство не спешит защищать приватность своих граждан

В самый неподходящий момент из телефона раздается писк — пришла СМС с предложением воспользоваться услугами очередной службы такси. Через час все повторяется, но теперь предлагают купить шубу на распродаже в непонятном магазине. Не успели вы успокоиться, как вайбер оповещает о месте, в котором можно недорого приобрести натяжные потолки.

У большинства украинцев получение нежелательных сообщений с рекламой вызывает негодование. Однако юристы говорят, что в этом случае человек может пенять только на себя. "Для успешной защиты своих персональных данных их надо самому надежно хранить — только тогда в случае их разглашения и/или несанкционированного использования третьими лицами у вас будет возможность не только наказать нарушителя, но и получить компенсацию за "неудобство", — говорит юрист компании "Ильяшев и Партнеры" Ирина Кириченко.

На острие ножа

Сегодня трудно представить человека, который бы не пользовался социальными сетями. Однако зачастую открытого профиля достаточно, чтобы стать добычей ловцов данных и жертвой навязчивого внимания такси.

Специалисты по массовым рассылкам используют специальные сканирующие программы — парсеры, которые шерстят социальные сети на предмет наличия подходящей целевой аудитории. "С помощью такой программы можно прицельно собирать информацию. К примеру, меня интересуют люди 1990–1995 годов рождения, проживающие в Киеве и имеющие доступный номер телефона. Информация автоматически собирается, и формируется база данных", — говорит SMM-эксперт Роман Русанов.

Но такие базы "открытых" данных далеко не всегда используются для вполне безобидных рекламных рассылок. В Нацполиции говорят, что хоть и реже, чем в 2013–2015 годах, но и сегодня бывают случаи, когда звонят людям и говорят, что, к примеру, их ребенок напал на полицейского и тот находится в реанимации, поэтому срочно нужны деньги на лечение. Иначе, мол, сына посадят за убийство. "Такие данные в большинстве случаев собираются мошенниками по пересечениям слитых баз данных социальных сетей (например, "ВК" за 2014 год) и самих страничек социальных сетей с данными родственников, которые очень распространены в даркнете", — рассказывает руководитель киберполиции Сергей Демедюк.

3 млн записей с личными данными людей злоумышленники крадут каждый день по всему миру

Часто промышляют таким "хулиганством", по словам Демедюка, заключенные или же недавно освободившиеся. Нередко подобные звонки поступают с территории ОРДЛО.

Помимо этого, сбором и последующей продажей баз данных зачастую подрабатывают вполне пристойные ресурсы, например, поисковики дешевых билетов. "Вы оставляете минимальные данные о себе, к примеру, e-mail, телефон, делаете какие-то действия внутри сайта. Система запоминает, чем вы интересуетесь", — поясняет, как это работает, Роман Русанов и добавляет, что таким образом к данным, оставленным клиентом, прибавляется описание его профиля.

Такие базы данных интересны в первую очередь для рекламных целей, в частности для точечной таргетированной рекламы. Спрос на услуги специалистов, которые занимаются обработкой больших массивов данных, достаточно большой. Одна из самых востребованных и хорошо оплачиваемых профессий — аналитик bigdata, зарплата таких специалистов на украинском рынке начинается от $1 тыс.

Для компаний же, ориентированных на массовые рассылки, есть вполне легальные сервисы от мобильных операторов. Стоимость одного СМС-сообщения в таких программах около 20 копеек. Как неоднократно поясняли мобильные операторы, если клиент им напрямую не запретил присылать рекламные СМС, у них нет оснований прекращать рассылку. Впрочем, как показывает практика, даже в случае обращения клиента операторы закрывают рассылки крайне неохотно.

Нелегальные добытчики

Впрочем, можно найти и немало примеров откровенно незаконного использования персонализированной информации. Наиболее часто "сливают" информацию о клиентах медики. "К врачам скорой помощи регулярно подходят сотрудники похоронных бюро, оставляют визитки и просят сообщать им телефоны и имена родственников умерших на вызове пациентов", — на условиях анонимности рассказывает один из врачей столичной скорой. Как поясняет наш собеседник, в случае смерти близкого родственники дезориентированы. Поэтому обычно соглашаются на услуги первого же позвонившего им агента. Именно врачи скорой и патологоанатомы в моргах сообщают о большей части клиентов в похоронные бюро. Среди ритуальных агентств конкуренция за лояльность медиков достаточно высока.

Врачу за помощь в поиске клиентов дают около 200 грн. Немного, но при нищенских зарплатах украинских врачей неплохое подспорье к жалованью. По словам нашего собеседника, точно такая же ситуация и в моргах. Только "ставки" у патологоанатомов выше. Естественно, официально передача телефонов третьим лицам запрещена, но наш визави не помнит случаев, чтобы из-за этого у него или его коллег возникали проблемы.

"На жаргоне таксистов, диспетчерские службы, которые вам шлют спам, называются "жлоб-такси"

Кроме того, как поясняет врач одной из киевских больниц, в некоторых случаях персонал передает посредникам контакты пациентов, нуждающихся в незарегистрированных в стране лекарствах, которые можно купить только на черном рынке.

По частоте злоупотреблений использования персональных данных за пальму первенства с медиками борются таксисты. "На рынке еженедельно открываются и умирают десятки таксопарков, они могут продавать оборудование вместе с какой-то базой", — говорит директор по маркетингу сервиса Uklon Даниил Ваховский.

"На жаргоне таксистов, диспетчерские службы, которые вам шлют спам, называются "жлоб-такси", — рассказывает столичный извозчик Василий, получающий заказы через Uber. Как утверждает таксист, среди его коллег всегда есть люди, недовольные высокими комиссиями, которые взимают с таксистов крупные сервисы вызова такси. "Вот он ездит и думает: "И зачем мне Uber или "Яндекс.Такси", четвертую часть заработка отдавать? Жена все равно ничего не делает, скинусь с друзьями на мини-АТС и базу данных, пусть заказы принимает", — поясняет наш собеседник логику спамеров. В итоге такой человек покупает за 3–5 тыс. грн на черном рынке базу номеров клиентов других служб такси и рассылает спам. Однако уже спустя пару дней выясняется, что такой метод "маркетинга" не работает, и незадачливый предприниматель ищет, кому бы дальше перепродать мини-АТС и базу данных. "В свое время у меня была точка с инструментами на рынке "Юность", и я был обеспеченным человеком. Квартиру двухкомнатную на Оболони с видом на набережную купил. Но эта "тема" прошла. Точно так же уже прошла "тема" с множеством мелких служб такси. Однако до сих пор есть люди, которые не могут этого понять", — сокрушается наш герой.

Да и в целом сегодня в интернете можно найти базы данных любого объема и наполнения: авто, паспортные данные, коммерческая информация о деятельности компаний. Более того, десятки компаний предлагают сформировать базу под заказ. Расценки варьируются в зависимости от сложности и актуальности базы — от пары сотен гривен до $5–10 тыс.

Можно без проблем найти и базы данных номеров и платежных карт, которые незадачливые пользователи оставляют на маскирующихся под сервисы пополнения мобильных фишинговых сайтах или во время покупок в интернет-магазинах с сомнительной репутацией. "По банковским картам рынок баз данных довольно большой. В даркнете выставлены на продажу данные где-то по 5 тыс. выпущенных украинскими банками карт. С каждым днем актуальность базы падает, так как данные по картам меняются. Поэтому базы всегда востребованы. Правда, структура списания средств с карт очень сложная. Занимаются таким вещами, как правило, международные группы хакеров", — рассказывает Роман Русанов.

Fullscreen

Снять банк

"Возвращаюсь я из тяжелой командировки. Сижу дома и в 19:57 вижу СМС: с вашей карты сняты деньги в сумме такой-то, с банкомата ПриватБанка по адресу пр-т Воздухофлотский, 42. Сняты все деньги, которые были на карте, до копейки. Карта у меня в сумке, коды, пароль не знает никто, кроме меня, подозрительные звонки посторонних с просьбой сообщить пин-код — ничего такого не было. Картой сегодня не пользовалась, никому ее не показывала", — это цитата из поста на странице в Facebook киевской журналистки Ирины Глотовой.

Далее последовало ее обращение в Нацполицию и общение с представителями ПриватБанка.

"Мне как журналистке предоставили видео с камер наблюдения возле банкомата. Запись зафиксировала, как неизвестный мужчина в шапке и очках снимал деньги с 6 или 7 карт подряд. И все это были не карты банка", — рассказывает подробности Ирина Глотова.

В Соломенском райуправлении ей честно сказали: скорее всего, это "висяк", хотя следователь изымет видео с камеры, установленной непосредственно в банкомате.

"Я в такой ситуации оказалась не одна, в очереди из шести человек, которые пришли подавать заявление в тот вечер, трое обратились в полицию из-за мошенничества с их картами", — добавляет Глотова. Журналистку возмущает тот факт, что информация по ее карте непонятным образом попала к злоумышленнику. Возможность использования специального считывающего оборудования в банкоматах Глотова считает маловероятной. Она снимает наличные в одном банкомате возле дома, проблем с этим банкоматом до ее случая в полиции зафиксировано не было.

Масштабы незаконного использования персональной информации поражают. Сергей Демедюк говорит, что нелегальный рынок баз данных представлен как данными, ворованными из государственных ресурсов (в том числе Государственной фискальной службы, Пенсионного фонда, Государственной миграционной службы, реестра персональных идентификационных кодов физических лиц, реестра пересечения товаров государственной границы таможенной службы, реестра транспортных средств, реестра информации о преступлениях и событиях подразделений Национальной полиции Украины, реестра земельного кадастра Украины, реестров избирателей), так и частных компаний кредитно-финансовой сферы (база данных неблагонадежных кредиторов), перевозчиков (база данных заказчиков доставки), операторов мобильной связи (база данных номеров и их пользователей), и здесь перечислены только большие базы данных с количеством записей более 10 млн. Если перечислять мелкие базы, то нужно создавать отдельную базу только с названиями.

"Вы будете нести ответственность за то, что делает вор при использовании вашей личной информации. Возможно, вам придется заплатить за то, что покупает вор"

Предупреждение Федеральной торговой комиссии США об ответственности граждан за небрежное отношение к персональным данным

Слишком мелко

Несанкционированное использование персональных данных — глобальная проблема. Однако в нашей стране ее масштабы особенно велики. По мнению старшего партнера адвокатской компании "Кравец и Партнеры" Ростислава Кравца, это происходит по причине того, что хоть действующее законодательство формально защищает персональные данные граждан Украины, но по факту государство не препятствует их незаконному распространению. В Украине никто не боится ответственности за продажу личных данных. "Компенсация пострадавшим от подобных нарушений в Украине будет мизерной. Можно лишь требовать возмещения морального ущерба, а украинские суды моральный ущерб возмещают в суммах не более 5 тыс. грн. При этом в судах придется провести не менее года", — говорит Кравец.

Из-за этого украинцы не спешат преследовать лиц, незаконно использующих их данные. Как подсчитали в юридической фирме "Ильяшев и Партнеры", в Едином государственном реестре судебных решений можно найти не более 4 тыс. дел касательно защиты персональных данных.

Характерный пример. В Днепропетровской области был случай, когда истец выиграл дело против компании "Экология Украины", которая незаконно получила и использовала персональные данные. В частности, истцу звонили по ночам и напоминали о задолженности. В результате ему присудили 1 тыс. грн в качестве возмещения морального ущерба.

Теоретически можно отстоять свои права и подав жалобу в офис омбудсмена, Уполномоченного Верховной Рады по правам человека. Как сообщили Фокусу в секретариате омбудсмена, в 2016 году граждане и юрлица подали 1,3 тыс. жалоб по этому поводу. Главным образом обращения касались обработки персональных данных банками, коллекторскими компаниями, медучреждениями, ЖЭКами, Пенсионным фондом и органами соцзащиты. Заявители сообщали о неправомерном распространении персональных данных, блокировке доступа к ним или же сборе слишком большого объема данных для незначительных целей. Однако по всем этим заявлениям офис Лутковской составил всего 45 админпротоколов.

Спасение утопающих — дело рук самих утопающих

15,4 млн американцев пострадали от незаконного использования их персональных данных за прошлый год

В Украине, по словам Сергея Демедюка, наиболее активно использует украденные базы данных бизнес с большим потоком потенциально опасных клиентов (банки, кредитно-финансовая сфера), на втором месте — бизнес с большим потоком кадров (производство, торговля), на третьем — детективные агентства, чья работа связана с постоянным анализом информации.

"Если же говорить о тех, кто халатно относится к хранению вверенных им баз данных, то все зависит от уровня оплаты труда администраторов и их связей в среде потенциальных заказчиков", — добавляет Демедюк. По его словам, руководство частных и государственных компаний, как правило, обеспечено на должном уровне и не занимается сливами баз. "Ни одного такого случая мы не задокументировали", — говорит он.

Помимо нерадивых администраторов, "сливают" базы и пользователи, которым халатно предоставили бесконтрольный доступ со значительно преувеличенными привилегиями. Или же базы данных получают через несанкционированный доступ путем взлома, с использованием брешей в системах информационной безопасности. "Есть базы данных, преимущественно государственные дампы (резервные копии. — Фокус), которые сливают каждый квартал или полгода, но в большей степени сливы ситуативны", — поясняет Сергей Демедюк.

В Нацполиции предлагают несколько вариантов борьбы с незаконным распространением баз данных. Для этого стоит обеспечить достойную оплату администраторам баз данных, максимально ограничить привилегии пользователей, тщательно логировать действия пользователей, использовать систему глубокого анализа передаваемых сетью пакетов, постоянный контроль состояния защищенности инфраструктуры, на законодательном уровне усилить ответственность за такого рода злодеяния, дабы у правоохранителей появилась возможность по ходу документирования использовать весь арсенал гласных и негласных средств. Но пока это все лишь прожекты. По факту в вопросе защиты персональных данных стоит полагаться только на себя. Образно говоря, защита персональных данных — то же самое, что и безопасный секс. Чтобы избежать негативных последствий, делиться информацией необходимо ответственно.