Данные на продажу

Несмотря на то, что утечек становится больше, далеко не все они попадают в паблик: часть данных уходит в закрытые каналы, выкупается владельцами сервисов «пробива» или превращается в сырье для обогащенных профилей. Для компаний это меняет характер риска: опасность представляет не только разовый слив клиентской таблицы, но и рынок, где старые, новые и скомпилированные сведения постоянно переупаковываются и перепродаются.

На сегодняшний день «серый рынок» корпоративных данных — это «сложная экосистема, где данные превратились в полноценный и ликвидный товар», говорит руководитель экспертно-аналитического центра ГК InfoWatch Михаил Смирнов. Он отмечает, что продавцы перешли на сервисные модели: «покупатель видит не просто витрину данных и ознакомительные фрагменты, как раньше, а получает комплексный сервис». Многие площадки дарквеба, говорит господин Смирнов, «обзавелись отделами маркетинга, персональными менеджерами для реальных покупателей, предлагают разные способы оплаты и даже постпродажное обслуживание».

Аналитик исследовательской группы PT Cyber Analytics Дмитрий Стрельцов описывает ту же перестройку как расслоение рынка на роли. Среди продавцов он выделяет инсайдеров, хакерские группировки и отдельных неэтичных хакеров, реселлеров и операторов Telegram-ботов-пробивщиков, которые «выкупают базы на эксклюзивных условиях для дальнейшей монетизации через запросы». Отдельный пласт, по его словам, — «приватные базы, которые не продаются в открытую и распространяются в узком кругу».

Главным источником таких баз эксперты называют не только внешние взломы. Председатель совета по противодействию технологическим правонарушениям КС НСБ России Игорь Бедеров считает, что продавцы на «сером рынке» — это «как правило, не абстрактные хакеры в балаклавах, а внутренние инсайдеры». По его словам, «львиную долю предложений формируют действующие сотрудники компаний, имеющие легитимный доступ к витринам данных», включая операторов колл-центров, менеджеров по работе с клиентами и младший технический персонал.

Михаил Смирнов также относит к поставщикам инсайдеров, сборщиков открытых данных и агрегаторов-брокеров, которые «скупают данные и объединяют их в детализированные профили для перепродажи». Директор по развитию центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Александр Вураско добавляет, что продавцами обычно выступают «профессиональные продавцы или перекупы», хотя ими могут быть и «хакерские группировки, и отдельные “темные” личности».

При этом, по словам господина Смирнова, основной спрос на этом рынке формируют не только киберпреступники, но и легитимные компании, которые, как правило, используют данные для конкурентной борьбы и пополнения базы клиентов, а также в маркетинговых целях — для расширения спектра услуг и продвижения новых продуктов.

Наибольший спрос сохраняется на персональные данные, говорит Михаил Смирнов: ФИО, даты рождения, паспортные данные, адреса регистрации, финансовую информацию, контактные листы и учетные данные — «логины и хэши паролей от корпоративных и личных сервисов». В теневом сегменте, по его словам, чаще всего встречаются SQL-дампы, JSON/BSON-выгрузки, CRM-экспорт и логи стилеров.

Господин Вураско описывает обычный набор короче: «ФИО, телефон, электронная почта, адрес. Реже — хэш пароля, паспорт, СНИЛС, ИНН». Руководитель отдела исследования и мониторинга андеграунда департамента киберразведки F6 Лада Крюкова говорит, что наибольший интерес у киберпреступников вызывают утечки, содержащие «электронные почтовые адреса, телефонные номера и пароли пользователей». Особой популярностью, по ее словам, пользуются базы, где есть не только контакты, но и персональные данные.

По отраслям картина также устойчива. Господин Смирнов говорит, что «лидером второй год подряд остается торговля», поскольку там сконцентрирован один из самых больших объемов данных из-за массовости заказов и программ лояльности. Также он выделяет госсектор — реестры недвижимости, данные ПФР и ГИБДД, и финансовый сектор, где, как правило, самые дорогие и ликвидные данные, используемые для целевого мошенничества. Кроме того, активно используются данные из сферы логистики и доставки о перемещении товаров, фактических адресах проживания и расположении точек доставки, добавил Михаил Смирнов.

«Стоит отметить, что теневой рынок движется в сторону обогащенных баз, где данные из разных отраслей. Например, сервисы доставки и банковские данные объединяются в единый профиль клиента», — отметил господин Смирнов.

Госпожа Крюкова отмечает, что в 2025 году злоумышленники чаще всего публиковали данные, связанные с коммерцией: данные крупных российских маркетплейсов, интернет-магазинов и т. д. Государственный сектор, по ее словам, занял второе место, веб-сайты компаний, предоставляющих профессиональные услуги, — третье; в зоне повышенного внимания также оказались IT и здравоохранение.

Динамика рынка неоднозначна: публичных баз становится меньше, но это не обязательно означает снижение активности. Лада Крюкова указывает, что в 2025 году аналитиками F6 было зафиксировано 250 новых случаев публичных утечек баз данных компаний из России и СНГ против 455 в 2024 году и 246 в 2023 году. При этом, подчеркивает она, объем записей с данными российских пользователей внутри них превысил 767 млн строк, что больше показателей предыдущих лет.

В то же время по данным DLBI за 2025 год в открытый и ограниченный доступ попали данные из 61 утечки. Это почти в семь раз меньше по числу утечек и в десять раз меньше по объему, чем в 2024 год, отмечает Михаил Смирнов. Но исследователи DLBI отмечали, что за прошлый год произошло еще как минимум 40 значимых утечек, которые не попали даже в ограниченный доступ: все они были выкуплены владельцами Telegram-ботов. По словам господина Стрельцова, рынок не сокращается, а уходит в тень — в приватный сегмент.

Серый рынок утечек, по оценкам экспертов, не исчезнет, но будет меняться. Дмитрий Стрельцов считает, что публичный сегмент будет сжиматься, а закрытый — расти, поскольку спрос на данные сохраняется, в том числе на старые, а механизмы монетизации становятся разнообразнее. Господин Смирнов полагает, что рынок утечек продолжит рост «до момента, пока стоимость владения данными (риски и защита) не превысит ликвидность их утечки».

Мария Арялина