Более миллиарда записей из коммерческих баз данных продаются на черном рынке в России. Их общая стоимость — 30 млн руб., подсчитала компания "МФИ Софт". Вполне публичными и доступными оказались данные клиентов 18 крупных российских банков, в том числе из топ-10. Могут ли быть в этих базах и ваши данные? Кто и за сколько их продает? Разбирался Алексей Соколов.
Фото: Владислав Лоншаков, Коммерсантъ
SMS с предложениями от банка, где ты никогда не кредитовался, или приглашение в спа-салон, где ты никогда не был, — подобный спам никого не удивляет уже много лет. Данные человека можно не просто найти в интернете, но и купить. И гораздо хуже, если вместо SMS-спама поступит звонок от коллекторов с просьбой оплатить кредит, который взял кто-то другой. 78% информации попадает на черный рынок от сотрудников самих компаний, сообщается в исследовании "МФИ софт". Различные фирмы очень часто распространяют контакты своих клиентов. Но по-настоящему опасна торговля информацией, позволяющей принести дискомфорт, в том числе финансовый. Ее на черном рынке примерно 8%, рассказал "Коммерсантъ FM" эксперт по информационной безопасности "МФИ Софт" Александр Суханов.
"Есть две категории покупателей. Спамеры покупают широкодоступные базы данных, которых очень много в сети. Там только контактная информация, эти базы дешевые. Есть другой тип — те, которые занимаются финансовым мошенничеством. Их интересуют совсем другие базы, где присутствуют паспортные данные, СНИЛС, данные водительского удостоверения. И они уже эти данные используют в разнообразных мошеннических схемах. Эти базы стоят гораздо дороже, но их очень мало, потому что такие базы можно собрать только путем именно утечки из серьезных организаций, где вопросами безопасности люди все-таки озабочены", — отметил Суханов.
Средняя стоимость базы данных — около 15 тыс. руб., а каждый контакт обойдется примерно в 2 коп. Зачастую эти деньги платят не злоумышленники, а абсолютно некриминальные структуры, сообщил директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.
"Следующая категория — это сведения о судимостях. Сама по себе информация не очень полезная, но каждый десятый кадровик считает своим долгом пробивать кандидатов, которые приходят на работу, а не судимы ли они. Действие абсолютно незаконное, но, тем не менее, такой кадровик готов платить на черном рынке за базу и даже за ее регулярное обновление. Точно так же популярна база выданных кредитных карт и кредитных историй. Банк может, конечно, обратиться в бюро кредитных историй и выяснить, но, во-первых, это время, а, во-вторых, за это надо заплатить небольшие деньги. Гораздо проще купить на черном рынке такую базу и посмотреть, какие кредиты получал человек", — считает Кузнецов.
Самый досадный факт — если данные о человеке находятся в одной из баз черного рынка, удалить их оттуда не удастся. В погоне за справедливостью можно попробовать найти первоисточник — откуда именно была украдена информация. Но даже если учреждение будет установлено, обнаружить конкретного виновного почти невозможно, заявил независимый IT-эксперт Михаил Дьяков.
"Понять, откуда сливали, можно. Но проблема в том, что найти виновного, доказать эту вину практически нереально. Сам банк как юрлицо может отвечать перед своим клиентом за сохранность данных. Если же с помощью этих данных вам нанесли какой-то реальный ущерб, провели какие-то мошеннические действия, то тут уже органам придется искать конкретного человека, ответственного за утечку. И не просто его найти, а доказать его вину. Я таких случаев не знаю", — сказал Дьяков.
Но впадать в паранойю не нужно: основное назначение этих баз — все же спам, а для финансовых махинаций мошенникам нужно приложить немало усилий. Авторы исследования отмечают, что более трети черного рынка персональных данных составляют досье клиентов финансовых организаций, 19% — информация из баз покупателей интернет-магазинов, 18% — это данные брокеров, а 6% — операторов связи.