Не банкрот, не должник, в розыске не числится
«Согласие на обработку персональных данных» — в банке, больнице, магазине, при установке приложений на телефон и регистрации на сайтах мы подписываем их десятками. Где-то — «живой» подписью, где-то лишь ставим галочку. Многочисленные конторы и сервисы обещают хранить и оберегать данные своих клиентов и пользователей, используя их только в случае прямой необходимости. Но информация массово «утекает», формируя огромный черный рынок данных.
В Сети существуют ресурсы, заявляющие, что возможна полная проверка человека — действителен ли паспорт, есть ли долги по налогам, какой ИНН и какой кредитный рейтинг. Не будем рекламировать сервис, он легко ищется в поисковых системах. Поставщики такой услуги заявляют, что они «единственные в России» и гарантируют возврат средств, если в отчете будет недостоверная информация. На сайте указывают якобы благие цели работы сервиса — проверка продавца перед покупкой автомобиля или недвижимости, сотрудника перед наймом на работу, партнера перед заключением контракта либо бизнес-конкурента, а также расплывчатая формулировка «проверка граждан в частных интересах».
Мы проверили, как это работает. Автор «Московских новостей» жертвует своими персональными данными. По легенде (она, кстати, не пригодилась — продавец не вступал в диалог), у нас на руках документы потенциального сотрудника и мы хотим удостовериться в его добропорядочности. Вводим фамилию, имя и отчество, паспортные данные и дату рождения. Платим 450 рублей. Ждем несколько минут, и на почту получаем PDF-досье. Здесь — ИНН, сведения об отсутствии долгов и оформленных юридических лиц, рейтинг финансового здоровья и даже данные о том, что автор этой публикации не находится в розыске и не числится в базе террористов.
Генеральный директор юридической компании «Достигация» Артем Баранов поясняет, что такой анализ данных «основан на web-scraping (парсинге)». Это сбор данных с различных интернет-ресурсов с помощью специального алгоритма: некий автоматизированный код выполняет запросы на целевой сайт и, получая ответ, создает готовый документ. Директор российского производителя системы борьбы с утечками данных DeviceLock DLP Олеся Ярмоленко поясняет, что такое «досье» — достаточно стандартный отчет, который предоставляют кредитные бюро и скоринговые сервисы, а данные в нем в основном собираются из открытых источников, таких как сайт ФНС или службы судебных приставов, и сами по себе законны.
Однако сам запрос к такому сервису нарушает закон, если вы не получили от человека специальное согласие на обработку его персональных данных, включая ФИО, данные паспорта, ИНН и других, как того требует закон «О персональных данных». Кроме того, правила части сервисов, например сервиса «Узнать ИНН», требуют, чтобы запрос делался исключительно самим субъектом, но на практике этот факт никто не проверяет. А вот получение данных о кредитных историях незаконно в принципе. Большинство продавцов такой информации — банки, МФО или специализированные сервисы, подключенные к бюро кредитных историй, которые должны иметь согласие субъекта кредитной истории на доступ к ней, наличие которого опять же на практике никто не проверяет.
Олеся Ярмоленко
Директор российского производителя системы борьбы с утечками данных DeviceLock DLP
Бот в помощь
Адрес человека, его телефон, страницы в соцсетях и номер автомобиля — далеко не полный перечень того, что можно получить с помощью Telegram-ботов. Это программные роботы, умеющие выполнять определенную последовательность действий по запросу. В случае с персональными данными за небольшую плату (в зависимости от объема желаемой информации, иногда ее можно получить и бесплатно) они выдают подборку по имени и фамилии либо по номеру телефона. Недавно Роскомнадзор потребовал от администрации мессенджера заблокировать подобные сервисы, но пока никаких реальных действий не было предпринято ни со стороны регулятора, ни со стороны самого Telegram.
Наиболее раскрученные боты — «Глаз Бога», AVinfoBot, «Архангел» и Smart_SearchBot. Пока их не заблокировали, на одном из примеров проверяем, как это работает. Вводим номер телефона — и получаем верные имя и фамилию, регион прописки, адрес электронной почты и логин в Skype, ссылки на Facebook и «Одноклассники» и даже когда-то опубликованное объявление на «Авито». Все это — примерно за минуту, не потратив ни копейки. Забиваем адрес личной электронной почты, которым пользуемся чаще всего, — и бот выдает имя и фамилию, страницу «ВКонтакте», которая привязана к этому e-mail. Видим в отчете информацию даже о том, что «слито» восемь паролей.
Если информации не хватает, можно запустить расширенный поиск всего за 15 рублей. В случае автора «Московских новостей» он, правда, не дал результата. Но мы проверили еще нескольких людей — и получили отчеты с паспортными данными, информацией о перелетах человека за несколько лет, номерами автомобилей и даже сведениями о парковке. Все это можно выгрузить в единый файл-отчет.
В подобных Telegram-ботах можно оплатить разовый запрос, а можно купить подписку на определенный период — день, месяц или год. Стоимость подписок — от 65 до 2500 рублей за день. Можно также купить пакет из нескольких запросов.
Бот-сервисы уже начали предпринимать меры, чтобы избежать блокировки. «Глаз Бога», например, с 6 по 9 марта перестал принимать платежи и временно предоставил пользователям бесплатный доступ ко всем запросам. Официальное объяснение таких действий от сервиса — «в связи с вступлением новых поправок, и пока мы не внесем изменения в наши текущие документы и страницы… Мы уже работаем с юристами над решением всех этих вопросов». Вечером 9 марта администрация бота опубликовала заявление, которым фактически слагает с себя ответственность за использование персональных данных, перекладывая ее на пользователей. «Сервис «Глаз Бога» в юридическом смысле является поисковой системой. Сервис является инструментом, для использования которого каждый пользователь должен иметь согласие на обработку персональных данных от лица, чьи данные он планирует искать», — отмечается в сообщении о внесении поправок в документы.
Обновлено 12.03.2021 в 15:00. Менее чем через сутки после публикации этого материала Telegram заблокировал бот «Глаз Бога». Однако сервис по «пробиву» данных уже создал «зеркало» с теми же функциями, которые пока доступны только старым подписчикам.
«Никакого криминала!»
«На меня оформили кредит без моего ведома», «банк оформил кредит без меня только по копии паспорта» — подобных жалоб множество в соцсетях и на форумах. Причина всех этих жалоб — утечка данных и их перепродажа на черном рынке. Проводим еще один эксперимент и пытаемся выяснить, действительно ли возможно купить копии чужих документов. Беглый поиск приводит на сайт, обещающий «реальные, не юзаные, настоящие сканы паспортов». Продажа осуществляется через бот в Telegram. Выбираем женские паспорта в каталоге товаров. Простой разворот стоит 75 рублей, комплект из паспорта, ИНН и СНИЛС — 320. Заказываем, оплачиваем и получаем ссылку на покупку — сканы документов некой Светланы Александровны О. из Тюменской области.
Если бы на нашем месте были злоумышленники, то на Светлану Александровну уже мог бы быть оформлен кредит. Эксперты говорят, что «слив» данных идет из многих источников — государственных органов, компаний, банков и операторов связи. По словам Олеси Ярмоленко, иногда хакеры взламывают принадлежащие им сервера баз данных, но чаще всего информацию им продают сами сотрудники, обычно называемые «инсайдерами»: «Базы в формате Excel по всем регионам России, содержащие ФИО, пол, телефон, паспортные данные, СНИЛС, адрес регистрации и проживания продаются в среднем по 20–30 копеек за одну запись». Специалисты отмечают, что большую роль играет «человеческий фактор».
Распространены случаи, когда бывшие работники банков или кредитных организаций из личных побуждений (месть, желание показать себя и т.д.) или за вознаграждение, пользуясь техническими или организационными несовершенствами порядка обработки персональных данных на бывшей работе, крадут данные из систем и либо лично выкладывают подобные сведения в даркнет, либо перепродают кому-то.
Василиса Скидан
Старший специалист департамента консалтинга и аудита компании «Информзащита»
В подтверждение слов экспертов находим скрин из закрытого чата для банковских работников. Здесь, правда, речь идет не о массовых базах. Сотрудникам предлагают «подработку» — предоставление данных на указанного человека. Один «заказ» стоит до $500, в месяц — неограниченное количество заказов. «Никакого криминала!» — обещает заказчик, заведомо нарушающий закон.
Что грозит за «слив»
Все юристы, опрошенные «Московскими новостями», говорят о незаконности использования и распространения персональных данных без ведома владельца. По словам адвоката, члена экспертного совета при уполномоченном по правам человека в Москве Игоря Кима, сбор данных пользователей из открытых источников нарушает положения федерального закона «О персональных данных» и может вызвать правовые последствия.
Статья 13.11 КоАП РФ: нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах влечет наложение административного штрафа на граждан в размере от 300 до 500 рублей, на должностных лиц — от 500 до 1000 рублей, на юридические лица — от 5000 до 10 000 рублей.
Адвокат Екатерина Антонова отмечает, что работник, в чьем ведении — хранение персональных данных, может быть привлечен к ответственности, если выяснится, что он виновен в «сливе» информации. А в случае когда утечка произошла, например, из банка, пользователь имеет право требовать возмещение ущерба с организации.
В соответствии со ст. 1068 Гражданского кодекса РФ юридическое лицо несет ответственность за вред, причиненный его работником при исполнении трудовых обязанностей. То есть убытки и моральный вред, причиненный субъекту персональных данных, будет возмещать работодатель. В свою очередь, работодатель на основании ст. 1081 ГК РФ вправе в регрессном порядке требовать возмещения причиненных ему убытков со своего работника.
Екатерина Антонова
Адвокат
Артем Баранов отмечает, что «практика по таким делам небольшая, но резонансная: одно из громких за последнее время — это утечки данных клиентов Сбербанка за 2019 год». В сентябре 2020 года Красногорский городской суд Московской области вынес приговор бывшему начальнику сектора управления прямых продаж Московского банка ПАО «Сбербанк» Сергею Зеленину за незаконное получение и разглашение сведений, составляющих банковскую тайну. Суд приговорил его к лишению свободы на срок 2 года и 10 месяцев в колонии-поселении и обязал выплатить 25,8 млн рублей Сбербанку за нанесение ущерба деловой репутации.
Выяснилось, что Зеленин воспользовался правами администратора и скачал файл из внутренней сети банка, а затем с помощью почты и флеш-карты переправил его на домашний ноутбук. Архив содержал записи об операциях по картам, остатках по счетам, сгруппированные по территориальным банкам, а также персональные данные клиентов: фамилия, имя, отчество, паспортные данные, дата рождения, адрес места жительства, номер мобильного телефона, полный номер кредитной карты, место работы и остаток собственных средств. Содержимое файлов было выставлено на продажу по 5 рублей за данные одного клиента, для бесплатного ознакомления в интернет было закачано не менее 200 записей.
Специалисты считают, что имеющихся законодательных мер недостаточно и решить проблему «слива» информации в нашей стране можно только комплексными мерами.
Рынок «пробива» и продажи персональных данных так хорошо развит именно в России потому, что в нашей стране небольшая уголовная ответственность; низкая заработная плата сотрудников, имеющих доступ к ценной информации; слабый контроль со стороны служб безопасности. Подходить к решению этих проблем стоит комплексно.
Павел Кириллов
Генеральный директор инновационной компании по ИБ «Элефус»
Защита: сложно, но возможно
Эксперты констатируют: полностью обезопасить себя от утечек и «пробива» невозможно. Пользователь никак не контролирует, как хранится и обрабатывается информация о нем, а также кто имеет к ней доступ. Руководитель отдела информационных технологий ИТ-компании Custodian Владимир Причина для минимизации рисков предлагает радикальные способы: «Можно задать себе тяжелые условия и отказаться от телефона, отказаться от жизни в современном социуме, переехать в тайгу. Пользоваться только лишь аналоговыми вещами: огород и продукты, которые вы выращиваете сами, ружье для охоты. Но у нас всегда остается паспорт, СНИЛС, ИНН. Только если вы инсценируете свою смерть, только так, наверное, можно уйти от сбора данных».
Однако, даже не прибегая к настолько крайним мерам, снизить вероятность того, что ваши данные утекут и будут использованы в чужих интересах, все же можно. Олеся Ярмоленко рекомендует не пользоваться услугами микрофинансовых организаций, мелких интернет-магазинов или служб доставки, имеющих испорченную репутацию. Главное — постоянно помнить, что ваши данные могут быть украдены. Василиса Скидан дает еще несколько рекомендаций.
Необходимо проявлять осмотрительность и внимательность при подписании согласия на обработку персональных данных, не регистрироваться на сомнительных веб-сайтах и не публиковать лишний раз в сети Интернет, например, паспортные данные и другие сведения о себе. Также можно использовать различные адреса электронной почты, логины и другие данные о себе при регистрации на разных веб-сайтах — это затруднит сопоставление таких сведений с уже имеющимися о каком-либо человеке. В случае если вы отчетливо понимаете, что персональные данные были переданы третьим лицам без вашего ведома (например, участились спам-звонки, появились новые СМС-рассылки и т.д.), следует обратиться в Роскомнадзор и сообщить о недобросовестном ресурсе.
Василиса Скидан
Старший специалист департамента консалтинга и аудита компании «Информзащита»