Изображение [анг] Герда Альтмана, Pixbay.

[Прим.ред.: оригинал материала на английском языке был опубликован 21 октября 2020 года, информация могла устареть.]

После ряда нашумевших утечек личной информации граждан, украинцы стали осознавать важность защиты своих персональных данных. Тем не менее, в преддверии местных выборов, запланированных на 25 октября, множество личных данных избирателей уже оказались доступными в интернете. Как внутренние, так и внешние политические силы могут воспользоваться этими сведениями для распространения дезинформации или любого другого вредоносного контента.

В мае 2020 года украинский активист Владимир Фльонц предупредил общественность [рус] об анонимном чат-боте @UA_baza, продающем персональные данные украинцев в популярном мессенджере Telegram. Этот бот, появившись всего несколькими месяцами ранее, сообщал, что собрал 900 ГБ данных, включая номера паспортов, личные идентификационные коды, прописку, водительские права, пароли социальных сетей и даже банковские реквизиты [рус] миллионов украинцев. Любой пользователь мог бесплатно сделать пять запросов, а за 500 долларов получить доступ ко всей базе [рус]. Список доступных данных ясно показывает, что информация не могла быть собрана только из открытых источников. Тогда откуда она «утекла»?

Скриншот 1: возможные варианты запроса данных от Telegram-бота @UA_baza, включая конфиденциальные персональные данные, такие как номер паспорта или ИНН. Скриншот 12.05.2020, аккаунт отключён в тот же день.

В Украине существует большое количество официальных и неофициальных баз данных, содержащих персональные данные граждан. Среди них государственные реестры, составляемые и управляемые различными ведомствами для предоставления государственных услуг, клиентские базы данных и другие наборы данных коммерческого характера, происхождение которых трудно  определить. Например, Государственный реестр избирателей является одной из основных официальных баз данных, содержащих конфиденциальную информацию миллионов граждан, которая ведется специальным органом в составе Центральной избирательной комиссии (ЦИК). Доступ к реестру регулируется настолько строго, что один из кандидатов в президенты в 2019 году, как известно, пожаловался, что ему потребуется 6000 лет, чтобы должным образом изучить его на предмет любых нарушений. Однако, несмотря на кажущиеся строгими процедуры безопасности, украинские хактивисты [рус] ранее указывали на уязвимости сайта реестра, а члены ЦИК публично признавали нехватку квалифицированных кадров в области ИТ/кибербезопасности среди госслужащих из-за большого разрыва в оплате труда между государственным и коммерческим секторами.

В свою очередь, коммерческие организации, такие как телекоммуникационные компании, интернет-магазины [рус], банки [рус] и логистические операторы [рус], поддерживают свои собственные клиентские базы. Кроме того, эти базы объединяются и совместно используются в рамках нескольких общенациональных программ лояльности — некоторые из них включают сеть из более чем 90 интернет-магазинов и миллионов клиентов по всей Украине. Малые предприятия обычно используют собственные клиентские базы данных. В то время как крупные компании предоставляют доступ к своим данным третьим лицам только в рекламных целях, среди небольших фирм гораздо более распространено продавать свои клиентские базы онлайн. И хотя закон «О защите персональных данных» запрещает продажу данных потребителей без их согласия, в Украине отсутствуют эффективные нормативные акты и механизмы для расследования подобных случаев или привлечения виновных к ответственности.

Объём и характер данных, доступных для покупки в чат-боте @UA_baza, вызвали общественный резонанс и побудили к официальному расследованию. Бот сразу же отключили, ясно, что либо его создатели, либо Telegram. Однако позже несколько аккаунтов с похожим названием снова появились в Telegram. Журналистское расследование этого инцидента показало, что утекшие данные включали данные из коммерческих баз данных, социальных сетей и государственных реестров, включая более старые версии государственного реестра избирателей [рус] и Единого демографического реестра.

Хотя раньше ни один источник не собирал воедино столько данных, это не первый слив личной информации украинских граждан в интернете. В 2018 году произошла утечка данных 18 миллионов клиентов [сайт недоступен на территории РФ] крупнейшей логистической компании страны «Нова пошта». В 2019 году правоохранительные органы задержали человека, продававшего базу данных Таможенной службы Украины [рус]. А в июне 2020 года журналисты подтвердили утечку клиентской базы из Приватбанка — одного из крупнейших банков Украины. До появления пресловутого Telegram-бота такие большие базы данных продавались онлайн на малоизвестных ресурсах, в то время как простой поиск в интернете выдавал более мелких торговцев данными, которые предлагали по запросу составить собственные базы данных, содержащие ФИО, пол, номера телефонов и адреса электронной почты.

Скриншот 2: возможные варианты запроса от рабочего Telegram-бота, предлагающего данные граждан для продажи. Скриншот 15.10.2020

25 октября в Украине стартуют местные выборы, а онлайн-торговля личными данными граждан продолжается. Совсем недавно Telegram-аккаунт с тем же названием, что и у отключенного бота @UA_baza, предлагал приобрести базы данных избирателей. И хотя этот аккаунт, очевидно, мошеннический, на него подписано более 16 тысяч пользователей. Есть и другие Telegram-боты, которые торгуют меньшими наборами персональных данных и работают по крайней мере с 2018 года. Один из таких ботов (см. скриншот № 2) сопоставляет телефонный номер с именем и ищет другие связанные части данных, такие как адрес электронной почты, фотография, аккаунты в социальных сетях, зарегистрированный бизнес или номер автомобиля. Результаты по индивидуальному запросу предоставляются бесплатно или в обмен на телефонные номера из личных контактов, что побуждает пользователей отправлять данные других людей без их ведома или согласия. Более крупный набор данных продаётся за небольшую плату в размере 50 долларов США. Создатели бота остаются анонимными и утверждают, что собрали свои базы данных из «открытых источников», таких как сайты для поиска работы. Однако некоторые пользователи распознали информацию, которую они ранее предоставляли частным организациям, что указывает на то, что мошенники также могут использовать слитые в сеть базы данных клиентов [рус].

И хотя чат-бот, продававший самые большие базы данных, отключился, и первоначальное общественное возмущение утихло, множество граждан всё ещё могут стать жертвами потенциально вредоносного контента, так как часть личных данных до сих пор доступна в интернете. Например, не так давно в небольшом посёлке Новые Санжары прошли беспорядки, связанные с прибытием украинских граждан из поражённого коронавирусом китайского города Ухань. Массовая паника была спровоцирована через группы Viber, посты в Instagram и Facebook. Этот инцидент показал, как несанкционированный доступ к тысячам телефонных номеров может быть использован для распространения дезинформации и разжигания беспорядков в определённой местности с помощью популярных мессенджеров и социальных сетей. Трудно предсказать, где утекшие данные появятся в следующий раз, поскольку многие из них содержат конфиденциальную личную и коммерческую информацию. Однако очевидно, что такие данные могут быть легко использованы как внутренними, так и внешними силами в различных сферах, в том числе в политике.