Как в интернет утекают базы данных пользователей?

  • 20 мая 2016
Сайт Правообладатель иллюстрации autonum.info
Image caption Так выглядит поисковая строка Autonum.info

Российские соцсети бурно отреагировали на запуск сайта autonum.info, где по номеру автомобиля можно узнать информацию о том, кому он принадлежит. Днем в пятницу сайт уже не работал.

"Предупреждение об эвакуации. Если Вы видите, что чей-то авто эвакуируют, найдите владельца и предупредите его.Вас загородил чей-то авто. И его владелец не оставил контактных данных.Увидели хама и есть что ему сказать.Хотите что-то сообщить владельцу авто. Спущено колесо, не закрыта дверь, выключены фары и т.д.У припаркованного авто случилось ДТП, виновник скрылся. Сообщите владельцу.Приглянулся водитель, отправьте ему комплемент" [орфография сохранена], - так говорилось на сайте в разделе "как использовать полученные данные", пока он еще работал.

Из регистрационных данных сайта следует, что его зарегистрировали 1 апреля этого года через посредников. Сервер ресурса расположен в Нидерландах. Связаться с создателями сайта, как и схожих баз данных по телефонным номерам, Русская служба Би-би-си не смогла.

В описании страницы утверждалось, что базу данных составляют сами пользователи, однако владельцы авто, обнаружившие на autonum свои номера, писали, что не давали согласия на публикацию их персональных данных на этом ресурсе.

Создатели сайта также запустили бота в мессенджере Telegram под названием @AntiParkonBot, который должен был находить авто по номерам. Однако он работает с перебоями.

Так, при попытке проверить номер автомобиля одного из сотрудников Русской службы Би-би-си бот выдал сообщение следующего содержания: "Водитель не оставил телефона. Попробуйте спросить в чате @antiparkon". В чате же, тем временем, нет ничего кроме спама и порнографического контента.

За три дня, предшествующие 20 мая, сайт в сутки пополнялся в среднем на более чем 7 тыс. номеров.

Ранее на этой неделе официальный представитель Роскомнадзора Вадим Ампелонский заявил, что его организация "знает про autonum.info", однако не сообщал о том, какие действия надзорный орган намерен предпринимать по отношению к владельцам сайта, и намерен ли вообще.

При этом в интернете существует масса баз данных граждан России, которые легко находятся при помощи поисковых систем.

"Элементарно найти"

По словам руководителя отдела "Ботнет-мониторинг" компании Group-IB Никиты Кислицина, информация для autonum.info могла быть собрана про различным базам

"База там довольно полная, она, скорее всего, собрана из нескольких источников: не секрет, что до сих пор [по сети] бродят базы ГИБДД разных годов, плюс есть база страховых компаний, и, в принципе, собрав из нескольких источников, то, что доступно легко, можно ее собрать. Как контролировать? У людей просто оказывается файлик на жестком диске. Это важный вопрос, но не думаю, что Роскомнадзор в состоянии это контролировать. С этим сталкиваются не только страховые компании, но и банки порой - к сожалению, проблема инсайда актуальна довольно сильно", - заметил в беседе с Русской службой Би-би-си эксперт по кибербезопасности.

"Скомпилировать базы в принципе элементарно", - подтверждает председатель совета директоров компании SearchInform Лев Матвеев, ссылаясь на законодательную лазейку, благоприятствующую утечкам.

Правообладатель иллюстрации AP
Image caption Специалисты по кибербезопасности стараются быть на шаг впереди хакеров, но им не всегда это удается

"Проблема в том, что [закон о защите персональных данных] реально не исполняется. Самый простой пример: я много езжу по стране, соответственно, живу в гостинице. Что делает гостиница первым делом? - Сканирует ваш паспорт. А потом мы идем в интернет и видим, как паспорта продаются за 6-7 долларов за штуку. А потом мы спрашиваем, почему организована масса фирм-одноневок, оформленных на непонятных людей. И если мой паспорт утек в интернет, я в это охотно поверю", - рассказал эксперт Русской службе Би-би-си.

Лев Матвеев полагает, что при должном усилии законодателей эту проблему можно было бы преодолеть.

"А решается это элементарно, небольшими средствами - нужно обязать гостиницы ставить системы информационной безопасности, и можно контролировать, что с того устройства, на котором [паспорт] копируется, он не записывается на флешку и не уходит в интернет. А так - для админа гостиницы - почему бы не подработать пару тысяч рублей ни на чем: все равно сканы он делает, а тут ему доплатят. То, что базы ГИБДД утекли - тоже ничего удивительного - все-таки автоматизация России шагнула далеко вперед", - отметил специалист, посетовав, что при переходе к цифровым технологиям российские ведомства не сильно озаботились вопросами кибербезопасности.

Хакерский самопиар

Как говорят эксперты, значительную часть подобных баз можно собрать и без взлома аккаунтов. Так, например, очень многие пользователи оставляют свои данные в соцсетях, на сайтах поиска работы или на сайтах онлайн-продаж.

Американская группа кибербезопасности Hold Security в начале мая опубликовала расследование, в котором сообщила об обнаружении массива из 272 млн аккаунтов электронной почты, большинство которых - свыше 57 млн - принадлежали пользователям российской mail.ru, пострадали и базы Yahoo, Microsoft и Google.

При этом 272 млн - это только число уникальных аккаунтов: если считать повторы, юный хакер собрал 1,17 млрд аккаунтов.

Согласно расследованию, российский подросток, компилировавший базу, выставил ее на продажу онлайн за 50 рублей (75 центов США).

При этом молодой человек охотно согласился поделиться с Hold Security своими контактами в обмен на создание его позитивного образа на специализированных форумах хакеров.

Правообладатель иллюстрации Science Photo Library
Image caption Недостаточное внимание пользователей к защите своих данных может стать причиной массовых утечек информации

Такую мотивацию при создании утечек подтверждает и Лев Матвеев.

"Существует две мотивации - имиджевая и финансовая. Для молодых это - способ заработать небольшие деньги: выложить сайт, заработать на Google-рекламе, чтоб от мамы не зависеть. А второе - это имиджевый момент, чтоб продать себя подороже среди хакеров: вот я могу по щелчку пальцев за день скомпилировать базу. Это способ набить себе цену, показать, что они могут", - отметил председатель совета директоров компании SearchInform в беседе с Би-би-си.

"Все, что можно монетизировать"

Но бывают случаи, когда финансовую выгоду для хакеров и вовсе сложно оценить со стороны.

"Хакеры подбирают пароли, но в случае с этой информацией, в случае с миллионами профилей одни пароли, собранные одним хакером, будут совпадать для других аккаунтов. Хакеры ищут абсолютно все, что они могут монетизировать, - те же базы номеров автомобилей могут цениться в " темном интернете", как ценится и информация о "контрольных вопросах", с помощью которых проверяется вход в аккаунт", - сказал основатель Hold Security Алекс Холден Русской Службе Би-би-си.

По словам специалиста по кибербезопасности, утечки в больших компаниях могу происходить по иным причинам, нежели те, из-за которых взламывают индивидуальных юзеров.

"Мы видели, как бывшие сотрудники сдавали базы данных своих компаний - иногда с целью возвращения на место в компании. Они даже более опасны, чем хакеры, которые что-то там вслепую взламывают, поскольку экс-сотрудники знают, куда больнее ударить", - добавил Холден.

В мире эти утечки - отнюдь не редкость: только в апреле группа хакеров выложила в сеть базу данных, в которой, по их заявлениям, содержатся персональные данные 50 миллионов граждан Турции, в том числе личные данные президента и премьера страны.

Особо крупная утечка данных россиян произошла в 2010 году, когда в свободной онлайн-продаже появились данные о 847 тысячах российских пользователей, разместивших резюме через кадровые агентства в интернете.

Новости по теме