База проданных: как злоумышленники получают личные данные россиян
В России наблюдается тенденция популяризации онлайн-ботов, с помощью которых можно получить персональные данные, рассказали опрошенные «Известиями» эксперты. Источником информации для преступников могут быть также коррумпированные сотрудники правоохранительных органов либо специализированные конторы-пробивщики. При этом выйти на след организаторов пробивки данных практически невозможно, отмечают эксперты. Какими еще способами преступники получали доступ к личной информации россиян в минувшем 2023 году — в материале «Известий».
В чем опасность для граждан
Покупка или утечка персональных данных нередко помогает в совершении преступлений. Так, в ноябре 2023 года приговором завершилось громкое уголовное дело о продаже украинским диверсантам личных данных семьи философа и публициста Александра Дугина. Используя данные, полученные с помощью пробивки, диверсанты с помощью самодельного взрывного устройства подорвали автомобиль, на котором ехала его дочь Дарья Дугина.
Следователи помимо исполнителей установили личности тех, кто продал им информацию об автомобиле Дугиных. На скамье подсудимых оказался бывший сотрудник технического отдела ГИБДД Иван Рыбин, а также ранее судимый Даниил Чоудхури. Он систематически сотрудничал с Telegram-каналами, занимавшимися пробивами личных данных.
Рыбин в своих показаниях подтвердил, что продавал личную информацию людей регулярно, однако даже не задумывался, может ли она попасть в руки преступников. Из материалов дела следует, что стоимость данных Дугиной экс-сотрудник ГИБДД оценил всего в 3350 рублей. Рыбин получил четыре года лишения свободы, а его сообщнику дали год колонии.
Иван Рыбин
Однако уголовные дела в отношении контор-пробивщиков возбуждаются крайне редко, рассказал «Известиям» адвокат бюро «Халимон и партнеры» Борис Митрофанский.
— Достаточно сложно идентифицировать лицо, которому принадлежит Telegram-канал либо сайт с услугами пробивщиков номеров. Расследование подобных уголовных дел представляет особую сложность, — сказал он.
Специалист по противодействию мошенничеству Илья Разумов отметил, что схемы слива личных данных упростились за последнее время.
— Сейчас наблюдается тенденция популяризации онлайн-ботов, с помощью которых практически бесплатно можно получить персональные данные граждан: номера телефонов, адреса электронной почты, адреса мест пребывания и многое другое, — пояснил «Известиям» эксперт.
По его словам, еще несколько лет назад для этого были необходимы специализированные контакты с конкретными людьми — источниками утечек или покупки баз данных на черном рынке. Сейчас же «любой домохозяйке достаточно лишь иметь нужную ссылку в мессенджере».
— Полученные незаконным путем персональные данные могут стать инструментом совершения преступлений разной тяжести, — рассказал Илья Разумов. — В том числе и с самыми драматическими последствиями, начиная от социальной инженерии с последующей кражей денежных средств со счета жертвы и заканчивая планированием убийства.
За последнее время участились атаки и на инфраструктуру хранения данных коммерческих и государственных организаций, добавил наш собеседник.
— Если раньше целью большинства атак было извлечение злоумышленниками коммерческой выгоды (хакеры вымогали денежные средства за отказ публикации похищенной информации. — «Известия»), то сейчас целью самых крупных атак является нанесение репутационного ущерба российским компаниям, — пояснил Разумов. — Цель этих атак — попытка снижения уровня доверия потребителя к этим организациям.
Спорные инициативы
Злоумышленники в основном используют доступ к различным базам данных государственных органов, а также иных организаций, накапливающих различную информацию, рассказал адвокат Андрей Гривцов.
— Информация может быть от службы такси, телефонных операторов, служб приобретения билетов, доставки еды и прочих организаций, — пояснил он «Известиям». — Чаще всего получают такую информацию через работников этих компаний, а также покупая архивные баз данных. Однако существует и более редкие способы вроде подделки запросов правоохранительных органов или судебных решений.
По данным Роскомнадзора, в 2022 году было зарегистрировано около 150 крупных утечек персональных данных. За первую половину 2023-го — 75, в Сеть попало более 200 млн записей о россиянах.
При этом попытки решить проблемы с незащищенностью персональных данных продолжаются. В августе 2023 года МВД подготовило поправки в закон «Об оперативно-разыскной деятельности». Авторы документа предложили расширить полномочия сотрудников правоохранительных органов, чтобы те могли получать информацию с мобильных устройств и компьютеров без судебного решения.
Инициатива направлена на «возможность оперативного исследования сведений», говорится в пояснительной записке. А проводиться эти мероприятия будут в рамках оперативно-разыскной деятельности.
Но принятие таких поправок может повлечь злоупотребление полномочиями и дальнейшие утечки конфиденциальных данных и личной переписки, считает бывший следователь прокуратуры, адвокат Вадим Багатурия.
— К утечкам данных это приведет, потому что некоторые сотрудники полиции торгуют ими, — отметил он. — Любая база данных — это огромный массив информации, соответственно, люди, имеющие туда доступ, будут рисковать, но распространять их.
Вместе с тем, по его словам, противодействие подобным преступлениям среди сотрудников правоохранительных органов усиленно ведется на протяжении последних шести месяцев.
— Сейчас четко отслеживаются журналы по посещению этих баз данных, — сказал эксперт. — Кроме бумажного следа остается еще и цифровой. По нему можно отследить, кто из сотрудников и когда запрашивал данные. И если они эти где-то всплывут, то его обязательно пригласят для дачи объяснений, а дальше будет ставиться вопрос о следственной работе либо оперативно-разыскных мероприятиях.
В марте 2023 года источники «Известий» сообщали, что правоохранителям удалось выйти на трех бывших оперативников отдела полиции по Таганскому району Москвы и бывшего инженера ГУ МВД. Им были предъявлены обвинения в превышении должностных полномочий «в рамках расследования дела о неправомерном доступе к информационной базе МВД». Экс-полицейских отправили под стражу.
Борьба с утечками также ведется и на законодательном уровне. «Известия» писали, что правительство разработало несколько поправок в КоАП и УК РФ, согласно которым предлагается ужесточить наказание за утечки персональных данных вплоть до сотен миллионов рублей.
Наиболее жесткие штрафы назначат при утечке чувствительных данных, таких как медицинская информация. В случае принятия законопроекта, размер штрафов для должностных лиц составит от 800 тыс. до 2 млн руб., а для юридических — 3–15 млн. При повторном нарушении организация уже может заплатить оборотный штраф — определенный процент от годовой выручки компании.
