Как данные утекают в Сеть
До этого в открытом доступе появилась подробная налоговая база ещё 20 миллионов граждан России
Не успел затихнуть скандал с появлением в интернете в открытом доступе базы с персональными налоговыми данными аж двух десятков миллионов граждан России, то есть приблизительно трети всего экономически активного населения страны, как грянул новый.
В Сети, на заблокированном в России специализированном сайте (в остальных государствах, где работают другие провайдеры, доступ к нему, впрочем, открыт), появилось объявление о продаже «свежей базы крупного банка». Речь, как сообщают эксперты, идёт о 60 млн кредитных карт Сбербанка — как уже закрытых, так и действующих.
Как сообщил «Коммерсанту» основатель компании DeviceLock Ашот Оганесян, «это самая большая и подробная банковская база данных, которая когда-либо попадала с чёрного рынка, и размах действительно поражает. До этого, напомним, стало известно о том, что в течение целого года в интернете находилась огромная база данных с налоговыми сведениями миллионов граждан РФ. Причём владелец её находится на Украине.
И это вам даже не громкий прошлогодний скандал с утечкой информации о 50 млн пользователей Facebook. Помните? Тогда история вызвала целый международный скандал, потому что в дело, как это водится в США, вмешали политику, утверждая, что эти сведения повлияли на президентскую кампанию Трампа. Марк Цукерберг факт нехотя признал и пообещал усилить меры безопасности в своей соцсети.
Сбербанк утечку признал. ФНС причастность к сливу отрицает
Вечером 2 октября 2019 года Сбербанку стало известно о возможной утечке учётных записей по кредитным картам, которая затрагивает как минимум 200 клиентов банка. В настоящий момент производится служебное расследование, и о его итогах будет сообщено дополнительно. Основная версия инцидента — умышленные преступные действия одного из сотрудников, так как внешнее проникновение в базу данных невозможно в силу её изолированности от внешней сети. Похищенная информация в любом случае никак не угрожает сохранности средств клиентов.
То есть всё-таки с большой долей вероятности это «проделки» кого-то из тех, кто имел доступ к секретной банковской информации.
А вот с данными граждан России получилось иначе: в Сети оказались, по утверждению британской исследовательской компании Comparitech, фамилии и имена, адреса, номера паспортов, организации, в которых они трудятся, телефоны, ИНН и суммы уплаченных налогов.
Эксперты не исключают, что если это добро попало в распоряжение злоумышленников, то они могут воспользоваться им для проведения всевозможных афер, включая, в частности, фишинговые атаки (это выманивание пин-кодов, паролей и прочих секретов), открытое хищение денег со счетов, ну и, само собой, получения доступа к прочим персональным данным.
В Федеральной налоговой службе между тем полагают, что опубликованный расследователями материал вполне тянет на провокацию.
Проверить подлинность якобы утёкших данных и существование ресурса, указанного в статье, невозможно в связи с отсутствием на него ссылки. Информация, изложенная в статье, может являться провокацией. ФНС России уже направила официальное письмо об инциденте в Организацию международного сотрудничества и развития,
— заявили в ФНС.
Как отмечают в налоговом ведомстве, ни формат, ни структура данных, описанных в публикации, не соответствуют тому, как всё это хранится в реальных базах данных службы, а часть из них и вообще не имеет отношения к налоговой сфере.
Кто за этим стоит: украинские спецслужбы или хакеры?
История, впрочем, действительно выглядит в определённой мере странной. Сам Comparitech признаёт, что они не знают, кто именно владел этой базой. Точно известно лишь, что он дислоцируется на Украине. А вообще, саму утечку обнаружил независимый специалист в области кибербезопасности по имени Боб Дьяченко, обнаруживший эту базу в середине сентября, после чего он сообщил об этом владельцу, и уже через три дня доступ к ней был закрыт.
Как контактировал Дьяченко с собственником столь ценной информации, почему она вообще оказалась на Украине, и кто в принципе ей владел и по какому праву?
Раз речь в публикации идёт о двух больших группах наших сограждан (в первой — данные 14 миллионов за 2010-2016 годы, во второй — данные 6 млн человек за 2009-2015 годы), значит, было как минимум две передачи информации,
— рассуждает IT-специалист Василий Черкасов, занимающийся разработкой систем безопасности.
«По всей видимости, утечки (если всё так, как указывают авторы) — это не просто утечки, а сливы, то есть перепродажа сведений, похищенных хакерами или же проданных кем-то изнутри ведомств. То, что ФНС отрицает свою причастность к утечке, логично, и, в общем-то, вполне может быть, что информация реально ушла не от них, а, например, из банковской сферы — кредитных клиентов, там ведь требуется примерно такой же набор личных сведений о человеке», — уточнил эксперт.
По словам Черкасова, тот ресурс, на котором вроде как находилась информация, — это, по сути, поисковик, использующий технологию облачного сервиса, с его помощью осуществляется сбор данных и их обработка для пользователей, желающих получать статистику и аналитику по заданным ими параметрам.
А попасть на ту же Украину — хотя, по большому счёту, вообще не важно, в какой именно стране находится собственник, и я вполне допускаю совпадения — база персональных данных могла путём копирования для дальнейшей перепродажи, — продолжил экспрет. — В принципе, можно поискать и конспирологические версии типа работы украинских спецслужб, но, полагаю, они действовали бы тоньше.
Здесь, предполагает он, всё больше похоже на методы хакеров, поставляющих украденные базы для так называемого Даркнета, теневой стороны всемирной паутины, где происходят незаконные сделки. А Украина как место дислокации владельца могла быть выбрана по одной весомой причине — ввиду отсутствия взаимодействия между правоохранительными органами на межгосударственном уровне.
Как воруют базы данных и чем это грозит тем, кто в них оказался
На самом деле, каждый желающий хоть сию секунду может поэкспериментировать: задать в поисковике фразу «купить базу персональных данных» и в ответ получить обширный перечень торговцев информацией. Есть и группы в социальных сетях, которые уже в своём названии указывают на то, что они занимаются именно этим. Некоторые пользователи скрываются под псевдонимами, а иные действуют вполне открыто.
Вот, допустим, буквально сегодня в одном из таких пабликов появилось сообщение, размещённое некоей Еленой из Санкт-Петербурга:
«Каждый день — свежие выгрузки вновь зарегистрированных ООО и ИП из ФНС, а также различные базы, банки, 2018-19 годы, физические и юридические лица, данные по КАСКО, ОСАГО, ВИП-персонам, ГИБДД, миллиардерам, операторам, провайдерам, должникам, состоятельным людям, их электронные адреса. Пишите в личных сообщениях. Обращайтесь я всегда на связи! Действуют гибкие скидки. Пишите, подберём любую базу по вашим критериям», — призывает 37-летняя жительница северной столицы.
Подобная смелость, однако, имеет своё логическое объяснение: в России нет как таковой уголовной или хотя бы административной ответственности конкретно за саму утечку — наказывается только нарушение требований к мерам безопасности, которые стали её причиной, и только.
Да, существует статья 137 УК РФ, предусматривающая до двух лет лишения свободы (для частного лица) за "Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну", вот только её применяют больше по отношению к должностным лицам или тем, кто выкладывает компромат, скажем, в интернете. И главный момент — должен быть пострадавший, то есть тот, против кого совершено преступление, — объясняет наш эксперт Василий Черкасов. — А где он, этот субъект в конкретном случае? Его нет. К тому же все эти ребята используют "облачные сервисы", которые как раз и регистрируются где угодно. Хотя при желании, думаю, наши правоохранители могли бы открыть несколько сотен уголовных дел и провести "контрольные закупки". Другой вопрос, что это серьёзные заморочки, сбор доказательств и прочее.
Он не сомневается, что за сливами нередко стоят бывшие или действующие сотрудники «ответственных хранителей» — структур, занимающихся сбором персональных данных.
Теперь о том, чем может грозить попадание к злоумышленникам этих сведений.
Это при наличии такого набора, приводится в публикации Comparitech, позволяет аферистам оформить кредит в банке или микрофинансовой организации, нагрузить чужими долгами или даже зарегистрировать фирму, совершать нелегальные сделки по недвижимости, получить доступ к банковским картам и счетам, регистрироваться на различных сайтах, например, для онлайн-игр, шантажировать, делать подставы от имени жертвы, ну и наиболее часто случающееся — навязывать услуги или действовать по схеме упоминавшегося выше фишинга.
Понятно, что каждая из схем требует проработки и привлечения дополнительных ресурсов и информации, но если игра стоит свеч, разве кто-то в состоянии гарантировать, что такого не произойдёт, верно?
Кстати
За рубежом к теме утечки персональных и платёжных данных относятся очень серьёзно. По данным доклада компании InfoWatch, в 2017-м было зафиксировано почти четыре десятка таких случаев, за которые государственные и коммерческие структуры заплатили около $45 млн в виде штрафных санкций, а в 2018-м число выявленных инцидентов выросло почти в полтора раза, и объём наказаний в денежном эквиваленте поднялся уже до более чем $320 млн. При этом самым крупным инцидентом называется утечка персональных данных компании Uber, заплатившей $148 млн за «сбежавшие» налево сведения о свыше чем 57 миллионах клиентов и водителей.
Крупные случаи утечки данных в России в 2019 году
Апрель:
В Даркнете появилось предложение о продаже базы данных свыше ста тысяч бывших банковских клиентов, которым было отказано в обслуживании во втором полугодии 2017-го в соответствии с федеральным законом «О противодействии отмыванию доходов, полученных преступным путём, и финансированию терроризма»: и частным лицам, и индивидуальным предпринимателям, и компаниям.
Центробанк, который является государственным регулятором, отверг свою причастность к случившемуся. Тем не менее эксперты считают, что утечка произошла в цепочке контактов между ЦБ, банками и Росфинмониторингом.
Июнь:
Утечка данных почти миллиона клиентов из трёх крупных отечественных банков. Тогда в интернете оказались в открытом доступе фамилии и имена, паспортные данные, телефоны, адреса регистрации и места работы.
Есть версия, что слить информацию могли уволенные сотрудники одной из этих кредитно-финансовых организаций, а остальные две выступали в качестве её партнёров.
Сентябрь:
На чёрном рынке выставлена на продажу база данных по 60 млн кредитных карт Сбербанка, и такого хищения, утверждают эксперты, в России не было ещё никогда. Источником утечки, предполагает сам крупнейший государственный банк РФ, мог стать один из сотрудников.
Ссылка
- Подпись автора
По всем вопросам, касаемо работы форума, пишите в тему без регистрации или в чат
