Эксперты по кибербезопасности обращают внимание, что мошенники стали чаще атаковать аккаунты пользователей «Госуслуг», пытаясь получить доступ к личным данным. Интерес хакеров неудивителен: портал государственных услуг плотно вошёл в жизни граждан -- на сайте зарегистрированы более 100 млн человек, а к 2024 году ожидается, что 7 из 10 государственных услуг будут предоставляться онлайн. Для этого «Госуслуги» собирают и хранят огромное количество персональной информации граждан: от номеров телефонов, до цифровых подписей и документов. Предполагалось, что «Госуслуги» упростят коммуникацию граждан с государственными ведомствами, однако в какой-то момент портал стал эффективным инструментом для политических манипуляций: партии воруют аккаунты, а данные почт сторонников оппозиции, зарегистрированных на «Госуслугах» используются для давления. Большой рассказ «Роскомсвободы» о том, как сервис, кажется, стал главным цифровым инструментом политического давления на прошедших выборах.
О чем этот текст?
« Государство в смартфоне» -- в России планируют полную цифровизацию госуслуг в ближайшие годы.
« Как власти защищают данные на Госуслугах» -- все данные граждан хранятся в Единой системе идентификации и аутентификации и к безопасности сохранения информации у специалистов возникает много вопросов. Кроме того, юридически власти не обязаны сообщать о происходящих утечках.
Насколько уязвимы госуслуги? Независимое тестирование сайта, его уязвимости и взлом.
« Госуслуги» -- не только справки -- как в главный государственный портал попала политика. Именно через «Госуслуги» появилась возможность скачивать записи с камер видеонаблюдения на участках, что впоследствии привело к вскрытию фактов фальсификации в 2011-2012 годах.
Как партии используют «Госуслуги» на выборах -- политические силы активно работают с персональными данными граждан. Иногда работа с данными происходит незаконно: аккаунты на «Госуслугах» взламываются в угоду одной из политических сил.
Как могли появиться слитые базы сторонников Навального -- в апреле произошёл большой слив данных с сайта free.navalny.com в поддержку Алексея Навального. В сеть попала таблица, содержащая более 500 тысяч строк с почтами сторонников политика. Кажется, именно эта база и стала основой для других утечек.
Личные данные за копейки -- как в России продают личные данные «Госуслуг» за копейки и чем взлом аккаунтов опасен для обычных граждан.
Государство в смартфоне
В ходе последнего послания Федеральному собранию, которое прошло в начале 2021 года, Владимир Путин заявил о необходимости цифровизации госуслуг в ближайшие года. Президент сообщил, что за грядущие три года власти должны перевести большую часть государственных и муниципальных услуг в онлайн и обеспечить к ним постоянный доступ -- 24 часа 7 дней в неделю. Этот же вектор поддерживает и премьер Михаил Мишустин, который заявил, что от бумажного документооборота нужно уходить.
Тренд на цифровизацию в этой сфере массово начался с запуска «Госуслуг» в 2009 году. Сайт запустили на основе предшественника -- сайта ogic.ru. Он был неудачным прообразом «Госуслуг», который закрыли после смены руководства Минкомсвязи, заказчика разработки портала. Как тогда писали СМИ, власти не очень любили вспоминать неудачный кейс: за 495 млн бюджетных средств пользователи фактически получили «доску объявлений», где можно было узнать адрес госслужб и распечатать официальные бланки. Созданием этого сайта занимался ФГУП НИИ «Восход».
После изменения в руководстве Минкомсвязи было объявлено о начале тестового периода работы уже нового портала -- «Госуслуги». Его разработкой на основе провального ОГИЦ занялся «Ростелеком» и «Энвижн груп» (дочерняя компания МТС) в рамках федеральной программы «Электронная Россия» (2002-2010 годы). Сайт обошёлся бюджету примерно в 100 млн рублей, а тестовый период работы начался 15 декабря. Тогда об этом объявил Игорь Щёголев, занимавший должность министра связи и массовых коммуникаций. Сейчас он -- полпред президента в центральном федеральном округе.
Сразу после запуска сайт столкнулся с критикой: за первые полчаса работы «Госуслуги» несколько раз «упали» от наплыва посетителей. При этом сам портал был скуден на возможности. Он, как и предшественник, был скорее «картой» с множеством инструкций о том, как получить тот или иной документ без каких-либо возможностей их заказа «онлайн». Кроме того, сама информационная база была достаточно скупой: на старте сообщалось о доступе к 110 услугам федерального уровня и более 200 -- регионального и муниципального.
Сейчас власти продолжают цифровизацию основных сфер деятельности граждан. Например, нынешний глава Минцифры Максут Шадаев, заявил, что пользователи «Госуслуг» через личный кабинет должны получить доступ ко всей электронной медицинской карте «в ближайшее время».
Как власти защищают личные данные на «Госуслугах»
Регистрация в Госуслугах проходит через Единую систему идентификации и аутентификации (ЕСИА). Она используется в качестве «электронного паспорта» граждан, а для получения учётной записи в системе необходимо пройти удостоверение личности, отправив паспортные данные и СНИЛС.
За разработку ЕСИА в разное время отвечали сразу несколько компаний: AT Consulting, R-Style, «РТ лабс» и «Реак софт». AT Consulting создавала систему с 2013 года, выиграв тендер «Ростелекома» за 70,5 млн рублей. В Сети сохранилась презентация компании о том, как компания видела развитие ЕСИА -- для идентификации и аутентификации используется электронная подпись.
AT Consulting -- крупная компания, среди клиентов которой были ВТБ, «ВымпелКом», Сбербанк, «Ростелеком», «Роснефть», «Россети», «Норильский никель». Её владельцы -- Леонид Гаврилов и Сергей Шилов. Последний, по информации «Ъ», был задержан в 2018 году вместе с врио главы НПО «Спецтехника и спецсвязь» МВД Андреем Нечаевым по обвинению в пособничестве злоупотреблению должностными полномочиями (ст. 33 и 285 УК).
Как считало следствие, Нечаев принял работы по созданию интеллектуальной системы обеспечения деятельности (ИСОД) для МВД. Система включается в себя комплекс программ, автоматизирующих работу ведомства. Сообщалось, что он оплатил работы в полной мере, отдав компании 1,4 млрд рублей, хотя фактически система готова не была. Впоследствии дело прекратили, а Шилов, Нечаев и другие фигуранты были отпущены. Сейчас AT Consulting займётся разработкой системы фиксации рекламы, размещаемой в Рунете. Об этом сообщил РБК, обнаружив соответствующий тендер -- за работу компания получит 96 млн рублей.
После этого развитием ЕСИА занялась компания R-Style которая в основном, согласно сайту, занимается разработкой банковского ПО. По данным издания CNews, работу над системой будучи субподрядчиком должна была продолжить всё та же AT Consulting. Кроме того, журналисты сообщали о переходе экспертов «Ростелекома» и AT Consulting в R-Style. В самой компании тогда сообщили, что в R-Style «перешло не больше людей, чем в другие компании»
Все персональные данные хранятся в ЕСИА. Кроме того, на «Госуслугах» сообщается, что система прошла сертификацию ФСБ и соответствует ФЗ-152 о защите персональных данных. Согласно законодательству, все вопросы об утечках данных должны решаться с оператором базы персональных данных -- в случае с «Госуслугами» это «Ростелеком». Однако в действительности оператор в большинстве случаев избегает наказания:
«К данным из ЕСИА, так же как и к данным Единой биометрической системы (ЕБС) имеет доступ огромное количество пользователей из госаппарата и правоохранительных органов», -- рассуждает глава юридической практики «РосКомСвободы» Саркис Дарбинян.
По его словам, даже если утечка произойдет на стороне одного из госслужащих и его поймают, «то вряд ли Ростелеком будет отвечать за сотрудника».
Но даже если и ответит, то на какую-либо справедливую судебную сатисфакцию за нарушение прав на защиту персональных данных вряд ли стоит надеяться. Если вина сотрудника и будет доказана, то моральная компенсация, которую потерпевший может запросить с «Ростелекома» составит не более 10-20 тысяч рублей, резюмирует Дарбинян.
Специалист поясняет, что российское законодательство фактически не обязывает компании заявлять о произошедших утечках в отличие от европейского закона GDPR (Общий регламент по защите данных ЕС), где обязанности компаний в части персональных данных прописаны строго.
«Поэтому у нас все пытаются затихарить такие ситуации и порой правду выяснить становится невозможно. Пользователи остаются в полном неведении», -- продолжает Дарбинян.
Несмотря на это, государство собирается мониторить утечки данных. Так, 12 ноября Минцифры [опубликовало](../../../../../../post/utechnaya-zakoopka-mincifry/) тендер в 68 млн рублей на сбор информации об утечках данных. Среди целей госконтракта в документации указано:
своевременное выявление информации об утечках персональных данных (ПДн);
получение статистики, связанным с покупкой и продажей ПДн, их объёму и спросу;
мониторинг утечек;
мониторинг открытых и закрытых источников (darknet) в сети Интернет на предмет выявления информации об утечках ПДн.
«Минцифры надеется, что „информация о фактах наличия утечек ПДн позволит своевременно инициировать проведение мероприятий по расследованию и реагированию на соответствующие" инциденты», -- сообщал телеграм-канал «Телеком-ревью», первым обративший внимание на тендер.
Насколько уязвимы госуслуги?
В феврале 2021 года портал ifap.ru протестировал портал государственных услуг по методикам, оценивающим надежность HTTPS-соединения с ними и уровень защиты от XSS. Результаты теста на безопасность «Госуслуг» авторы сравнили с популярным соцсетями, сайтами банков и транспортных компаний. Впоследствии исследователи опубликовали доклад с распределением баллов, которые набрал портал.
«Индекс надёжности HTTPS подмосковного портала госуслуг составил 37 баллов, всероссийского -- 12, а московского -- 11 из 108 возможных», -- резюмируют авторы. Сайт «Аэрофлота» набрал 60 баллов, а «ВК» и «Одноклассников» -- 57 и 58 соответственно.
В сентябре 2021 года эксперты по IT-безопасности обратили внимание на уязвимость, позволяющую злоумышленникам получить доступ к аккаунтам пользователей «Госуслуг». Эксперт инжинирингового центра SafeNet Игорь Бедеров обнаружил возможность «скрытой переадресации» (covert redirect) на сайт мошенников. Суть этой уязвимости в том, что после ввода «капчи» пользователь может быть перенаправлен на мошеннический ресурс. Уже оттуда у пользователя могут быть украдены данные для входа. Бедеров сообщил администрации «Госуслуг» о найденной уязвимости.
Спустя два месяца, в ноябре, наличие уязвимости решил проверить независимый исследователь Сергей Дьяконов. Он обнаружил, что после заявления Бедерова проблема не была исправлена. Более того, исследователь обнаружил ещё одну уязвимость -- она позволяет красть cookie пользователя. Это происходит с применением XSS(CSRF)-уязвимости. Дьяконов поясняет, что такая атака касается прежде всего тех пользователей у которых отсутствует двухфакторная авторизация:
«[Таких пользователей] -- процентов 70% от всех пользователей «Госуслуг», говоря по опыту. А в аккаунте можно сделать очень много: почти все государственные ведомства подключены к порталу», -- рассказывает Дьяконов.
Он поясняет, что на портале «стоит довольно сильная» защита от прямых атак. Однако некоторые атаки всё-таки возможны и «если покопаться, то можно найти достаточно» подобного рода уязвимостей. По мнению Дьяконова, специалисты в области защиты данных нацелены на работу с «Госуслугами», но есть некоторые проблемы. Например, часть из них «боится» работать с государственным сектором, а части -- просто невыгодно. Хотя портал имеет огромное количество данных граждан:
«Второй вид атаки [XSS (SSRF)] опаснее тем, что для неё не нужен фишинговый сайт. Происходит просто незаметный перехват данных -- этого могут не заметить даже некоторые специалисты», -- резюмирует Дьяконов.
Впрочем, у экспертов возникли первые вопросы к безопасности «Госуслуг» ещё в 2010 году. Выяснилось, что на тот момент любой желающий мог зарегистрироваться по данным любого человека -- для этого было достаточно иметь базу ИНН и возможность получить заказное письмо для авторизации.
Кроме того, 11 ноября 2021 года неизвестные взломали чат-бота «Госуслуг», который должен помогать в навигации на сервисе. Макс (так зовут бота) стал рассылать пользователям одну из конспирологических теорий о том, что коронавируса «не существует». Взлом бота совпал с мощной хакерской атакой, которая, по заявлениям Минцифры, длилась несколько дней.
«Госуслуги» -- это не только справки
Задача портала состояла в том, чтобы упростить доступ граждан к органам власти. Впоследствии «Госуслуги» стали охватывать всё больше сфер -- граждане получили возможность наблюдать на выборах. В 2011 году стало известно, что Минкомсвязи разработал программу по видеонаблюдению на ближайших тогда выборах президента 2012 года -- тогда же на участках впервые появились камеры. Инициатива о введении камер появилась после массовых протестов о результатах выборов в декабре 2011 года.
На разработку документации программы ушло два дня, а деньги были взяты из бюджета, выделенного на модернизацию избирательной системы. Власти рассчитывали, что видеонаблюдение поможет сделать выборы более прозрачными:
«Кроме того, там есть определённый резерв средств, который может уже непосредственно быть направлен на то, чтобы оборудовать избирательные комиссии соответствующими камерами для прозрачности подсчёта голосов, прозрачности проведения выборов. Такие ресурсы мы найдём вместе с Минкомсвязи и такие поправки в эту программу подготовим», -- заявил тогда Антон Силуанов, министр финансов на тот момент.
Получить доступ к записям с участков мог любой желающий. Это делалось удалённо: граждане могли запросить запись в Минкомсвязи через тот же портал «Госуслуг».
После президентских выборов, в марте, прошли массовые протесты -- «Марш миллионов», «Оккупай Абай» и другие акции.
Спустя четыре года, в 2016-м, получить видеозаписи с участков удалённо стало практически невозможно. «Ведомости» сообщили, что по решениям комиссий Санкт-Петербурга и Татарстана избиратель мог запросить видео только с избирательного участка, где он голосовал лично. При этом обратившийся должен был лично присутствовать в избиркоме для копирования видео. Получить их дистанционно, как было возможно в 2012 году, стало нельзя.
На сентябрьских выборах в 2021 году от свободного доступа к видеонаблюдению в ЦИК решили отказаться. Глава Центризбиркома Элла Памфилова объяснила это возможностью других стран «скачать» данные россиян и дискредитировать сами выборы:
«Представьте, что весь этот массив одновременно скачивается <…>. Если страну назначают врагом, что с ней делают? … надо любой ценой снести выборы и дискредитировать. Это [наблюдение] была одна из уязвимых точек [на выборах]», -- сообщила Памфилова в интервью «НТВ».
Основной тезис отказа от предоставления доступа к камерам: соблюдение информационной безопасности. По словам главы ЦИКа, сейчас «нет необходимости выставлять всю страну напоказ всему миру».
Как партии используют «Госуслуги» на выборах
Спустя год после запуска портала государственных услуг, в 2010 году, политические партии получили к нему доступ. Согласно реестру операторов, осуществляющих обработку персональных данных, каждая парламентская партия нового парламента имеет доступ к обработке персональных данных. Реестр ведут территориальные управления ведомства и в каждом регионе оно своё. Больше всего отделений с доступом к личной информации граждан есть у «Новых людей» (50 юрлиц). На втором месте -- «Единая Россия» (41 юрлицо). Партии имеют право собирать, хранить и обрабатывать основные данные граждан: ФИО, ИНН, СНИЛС, номера телефонов, адреса и т.д. В реестре перечислены субъекты, чья информация может обрабатываться.
Например, юрлицо «Единой России» может работать с данными очень расширенного круга лиц. Кроме сторонников, членов и самих сотрудников политического объединения, ЕР может также работать с данными и тех, кто оставил согласие на обработку данных (и в том числе передавать эти данные. Кому именно -- неясно ).
Как сообщили в Роскомнадзоре Томской области (корреспондент «Роскомсвободы» не представился журналистом), политические партии имеют доступ только к тем данным, которые граждане оставили на сайте сами. К базам «Госуслуг» имеют доступ ФНС, ПФР и прочие ведомства, которые предоставляют услуги на портале. На вопрос о доступе к данным «Госуслуг» со стороны силовых ведомств в Роскомнадзоре сообщили, что «в этой сфере не работают», однако отметили, что «скорее всего налажено межведомственное взаимодействие» и информация предоставляется «по запросу».
В период электронного голосования, 19 сентября, в Сети был опубликован ролик с названием «Видеоотчёт» Алчевского центра культуры и народного творчества ЛНР. На кадрах мужчина сообщает, что 17 сентября входит в различные аккаунты портала «Госуслуг», где голосует за «Единую Россию». Первым изданием, обратившим внимание на ролик, стала «Новая газета». Затем «Лента.ру» назвала видео «фейком», поскольку почты взломанных людей «подозрительно похожи друг на друга», а пароли -- «однотипны» и содержат инициалы владельца аккаунта, год рождения и цифры даты рождения.
В ролике видно, что мужчина заходит на официальный сайт «Госуслуг» и на портал электронного голосования vybory.gov.ru. Во всех случаях, показанных на видео, аккаунты принадлежат людям, родившимся с 1958 по 1967 год. На кадрах также видно, что на ящиках есть всего около 10 писем, а регистрация на «Госуслугах» была примерно летом 2021 года. Остаётся неясным, чьи это данные и как мужчина смог получить к ним доступ.
Во время предварительного голосования «Единой России» граждане сообщали о массовых взломах своих аккаунтов на «Госуслугах». Злоумышленники изменяли место голосования в «Госуслугах» с настоящего адреса взломанного пользователя на любой другой и регистрировали его на праймериз партии. Как рассказала «Роскомсвободе» Юлия (Томск), её аккаунт использовался для регистрации на предварительном голосовании. В аккаунте девушки был изменен адрес прописки на другой, также в черте города. Однако проголосовать за неё в итоге не удалось:
«Сайт затребовал подтверждение прописки, оно не было дано», -- рассказала Юлия «Роскомсвободе».
Кроме того, «Роскомсвобода» получала сообщения о том, что на праймериз заставляли регистрироваться бюджетников с последующим обязательным голосованием за конкретных кандидатов. Подобные кейсы происходили по всей России, а одной из задач была проверка степени мобилизации бюджетников.
В некоторых случаях хакеры попадали в «Госуслуги» через сторонний сервис -- «Центр обработки персональных данных Всероссийской политической партии "ЕДИНАЯ РОССИЯ"». Проблему взлома «Госуслуг» также признали и в Минцифры, сообщив «Ъ» о фиксировании «попытки совершения мошеннических действий в отношении отдельных учётных записей».
Как пояснила «Роскомсвободе» доцент ТГУ, кандидат исторических наук Татьяна Ширко , основной взлом аккаунтов на «Госуслугах» впоследствии мог быть выгоден «Единой России». Это делалось для того, чтобы достичь конкретных показателей зарегистрированных в праймериз выборщиков, а во время взломов место жительства в «Госуслугах» изменяли на те регионы, где голосование проходило в электронной форме, рассуждает Татьяна Ширко, кандидат исторических наук и доцент ТГУ.
«Всего таких регионов [с электронным голосованием] было определено 43. Остальные 42 региона использовали смешанную форму голосования - очную и электронную и там задачи соответствия контрольным цифрам зарегистрированных и голосовавших решали за счет манипуляций с бумажными бюллетенями», -- рассуждает Ширко.
Как могли появиться слитые базы сторонников Навального
В 2021 году манипуляции с Госуслугами проводились не только во время выборов. Например, в апреле произошла утечка с сайта free.navalny.com -- в ней фигурировали данные с «Госуслуг». Тогда в сеть попала база почт людей (более 500 тысяч строк), зарегистрированных на сайте в поддержку Алексея Навального. На сайте было возможно оставить только почту без каких-либо персональных данных. Впоследствии появилось несколько слитых баз данных с зарегистрированными на сайте: таблица с обезличенными данными и документ с персональной информацией (ФИО, телефон, почта, прописка, иногда учебное заведение/место работы).
Как писала «Медуза», организаторами взлома могли выступать сотрудники администрации президента, его управделами и ФСБ. Последняя, согласно расследованию «Медузы», могла участвовать в работе по наполнению слитой базы. По информации близкого к силовикам источника, сотрудники спецслужбы обращались в даркнет с подобными просьбами.
В Томске ещё 23 апреля, за сутки до акции в поддержку Алексея Навального, полиция вызвала «на профилактическую беседу» множество студентов ТГУ. Как тогда выяснила «Медуза», почты этих учащихся удалось найти минимум в одной из баз. По словам собеседников издания, студенты использовали эти электронные почты для регистрации на free.navalny.com и учётной записи «Госуслуг».
19 июля в свободном доступе появилась база зарегистрированных сторонников Навального из Москвы и Московской области, составленная якобы из зарегистрировавшихся на сайте «Умного голосования». Файл содержит 191,540 строк с электронными ящиками. Как сообщил телеграм-канал «Утечки информации», упоминания о продаже подобного массива данных были опубликованы на одном из форумов даркнета. Продавец утверждал, что базы «постоянно пополняемые» и кроме персональных данных содержат также IP-адреса пользователей. Директор ФБК (организация объявлена экстремистской) Иван Жданов прокомментировал слив и заверил, что IP пользователей у них не хранятся. В последующих утечках IP-адреса пользователей также замечены не были.
17 августа в сети также появилась и другая таблица с личной информацией. Новый документ содержал 10 тысяч строк с персональными данными людей, которые якобы регистрировались в приложении и на сайте «Умного голосования». Таблица содержит ФИО, номера телефонов, дату рождения и место работы. «Роскомсвобода» побеседовала с некоторыми пользователями, чьи данные утекли в сеть и выяснила, что часть данных в этой базе уже фигурировала в апрельской утечке. Кроме того, в некоторых случаях в новой базе место работы было изменено или отсутствовало вовсе, т.е. не соответствовало актуальному. Само приложение «Навальный» и сайт «Умного голосования» не собирали таких данных с пользователей.
Ближе к выборам стали появляться якобы новые слитые базы данных, состоящие из данных пользователей, установивших приложение для «Умного голосования». 3 сентября стало известно о появившейся базе «донаторов» ФБК (организация объявлена экстремистской), содержащей сведения о более чем 71 тысяче человек с той же персональной информацией, что и в базе от 17 августа: ФИО, номера телефонов и места работы. После этого к оказавшимся в базе жителям Москвы пришла полиция с требованием объяснить, как граждане попали в эту слитую базу данных. В некоторых случаях полицейские требовали написать заявление на Алексея Навального за незаконную передачу персональных данных.
16 сентября у «Русской службы Би-Би-Си» вышел текст про слитую базу «донаторов ФБК» (организация объявлена экстремистской) -- она появилась в сети 2 сентября. Журналисты отметили, что данные о работодателях могли быть взяты из других слитых баз -- Федеральной налоговой службы (ФНС) и Пенсионного фонда России (ПФР). Например, корреспонденту «Би-би-си» Андрею Захарову удалось обнаружить собственные данные о местах, где он получал доход и платил налоги (такая информация могла быть получена из базы данных ФНС). При этом журналисты отмечали, что большая часть данных базы «донаторов ФБК» (организация объявлена экстремистской) получена в результате обогащения информацией. Это значит, что к уже имеющейся информации (электронным адресам) в результате поисках в других базах были добавлены ФИО, адреса и место работы.
В этой слитой базе были и обновления. У людей были добавлены места работы, актуальные на 2020-21 года. Как рассказал «Би-Би-Си» Даниил Беловодьев, автор телеграм-канала об утечках данных DR417 и журналист Daily Storm, на чёрном рынке такой информации нет ни в одной из утекших баз. Таким образом авторы расследования «Би-би-си» приходят к выводу, что эта утечка обогащалась иным способом. Можно предположить, что дополнительные сведения о месте работы и ФИО могут быть взяты с «Госуслуг» или из ФНС -- именно там есть актуальные данные. Эту же гипотезу высказывает Беловодьев в тексте «Би-Би-Си».
В материале издания также приводится комментарий Леонида Волкова. Он уверен, что слитая база взята из государственных систем:
«Зачем им что-то покупать и взламывать, если у них и так все это есть?!» -- сообщал Волков.
Однако на рынке пробива не все согласны с такими выводами, следует из разговора «Роскомсвободы» с крупным поставщиком подобных услуг в России. Утечки из ФНС и ПФР «носят точечный характер», сообщает собеседник издания и отмечает: в этих ведомствах базы «закрыты», а масштабных сливов оттуда не было.
Гораздо вероятнее, что данные о месте работы и появившаяся впоследствии база «донатеров» могли быть взяты из банковской сферы, предполагает участник рынка пробива:
«ПФР и ФНС не виноваты [в сливе данных, использующихся в опубликованных базах сторонников Навального]. Виновата дальнейшая цепочка тех, кто использует их [ведомств] данные, -- рассуждает собеседник «Роскомсвободы», имея в виду работников банковской сферы. -- Банкам необходимо проверять контрагентов и для этого им нужна свежая информация. А откуда её брать? Только из госорганов, -- продолжает пробивщик. По его словам, банки добывают эту информацию на чёрных рынках».
На чёрных рынках базы данных обычно запускаются при помощи одной из нескольких систем управления базами данных (СУБД): например «Кронос». По сути СУБД -- это программа (как Microsoft Access), позволяющая открывать специальный формат файлов, который используют базы данных с черных рынков . В разных СУБД запускаются разные базы данных. Как правило, базы данных на чёрные рынки попадают через коррумпированных сотрудников госорганов, заверяет «Роскомсвободе» собеседник с рынка пробива и «скорее всего поддерживаются МВД». Либо же -- через таких же коррумпированных сотрудников банков или силовых ведомств, которые становятся одновременно потребителями и распространителями нелегальных баз данных. Именно они впоследствии сливают данные пробивщикам на чёрный рынок.
Если клиенту требуется точечный пробив по отдельным структурам (по той же базе ФНС или ПФР), то пробивщики предоставляют такую возможность через отдельных сотрудников. Об этом «Роскомсвободе» рассказал сам продавец данных. Он пояснил, что на черном рынке большие массивы данных можно получить через слитые базы, а «точечный пробив» (актуальную и подробную информацию об одном человеке) можно добыть при помощи сотрудников конкретных ведомств (например, ФНС и ПФР), имеющих доступ к действующим базам.
Впоследствии слитые данные использовались для угроз и манипуляций на выборах. Ещё в апреле пользователи, чьи почты попали в слитую базу, получали угрозы. Злоумышленники обещали направить данные пользователей работодателям, в места учёбы, за поддержку оппозиционера. Доцент кафедры социологии ТГУ рассказала «Роскомсвободе», что это делается для обеспечения контроля за голосующими:
«Политическая выгода подобного рода манипуляций заключается в обеспечении контроля за поведением голосующих. Это происходит путём насаждения страха. Нагнетание страха -- классический вариант циничной манипулятивной политики авторитарного режима, позволяющий ощутить человеку в атоминизированном обществе его беспомощность перед государством», -- рассказывает кандидат исторических наук, доцент ТГУ Татьяна Ширко.
Сколько утечек сторонников Навального было всего
За несколько дней до выборов пользователи стали получать сообщения на почту и в WhatsApp с фейковыми рекомендациями «Умного голосования» в разных регионах. «Роскомсвобода» связалась с десятью получателями таких писем и в каждом из случаев рассылка происходила на почты, привязанные к «Госуслугам».
Поэтому можно предположить, что в действительности утечка именно с проектов Алексея Навального была только одна -- апрельская 500 тысячами почт на free.navalny.com (об этом также заявлял Леонид Волков). В дальнейшем взломщики несколько раз выкладывали обогащенные новыми данными куски базы сторонников Навального. Для идентификации пользователей они, судя по всему, использовали почтовые адресы, которые пользователи сами оставляли на сайте free.navalny.com.
При помощи почтовых адресов возможно соотнести пользователей free.navalny.com с пользователями «Госуслуг» -- и за счёт этого добавить в утечку новые данные. То есть использовалась «основа» почт, которую злоумышленники могли соотносить с почтами, привязанными к «Госуслугам» на основе ранее слитых баз и специальных сервисов вроде «Солярис» и «Кронос». С каждым разом количество строк с персональными данными в слитых базах сокращалось -- от 500 тысяч в апреле до 10 тысяч (Москва и Мособласть) и 70 тысяч «донаторов». Утечка «донаторов» могла появиться не только за счёт «Госуслуг», но и в результате обогащения через актуальные данные, доступные сотрудникам ФНС или ПФР. Благодаря пробиву через действующих сотрудников ФНС или ПФР, но не через слитые базы самих ведомств -- в доступных к покупке слитых базах попросту нет настолько актуальных данных, говорит собеседник на рынке пробива.
Личные данные за копейки
В даркнете свободно продаются личные данные пользователей «Госуслуг». «Роскомсвободе» удалось обнаружить нескольких действующих продавцов данных от этого портала. Чаще всего к покупке предлагаются только доступ к аккаунтам (пароль + ФИО, адрес, телефон и прочее) без сканов паспорта. Их предлагают купить за дополнительную плату либо «начертить», используя редакторы изображений. Такие аккаунты -- самые дешёвые на рынке, их цена составляет около 20 рублей за штуку, в зависимости от дальнейших целей.
Злоумышленники предлагают различные варианты продажи данных в зависимости от целей покупателя. Например, аккаунты могут использоваться для подтверждения работы в ЦУПИС (Центр учёта переводов интерактивных ставок). Государственный сервис предоставляет легальный доступ к букмекерам, беря процент с клиента за сделанные ставки. Злоумышленники получают верификацию на сайте через ворованные аккаунты «Госуслуг», чтобы увеличить лимиты по выводу средств.
Также нелегальным доступом к «Госуслугам» могут пользоваться для идентификации в сервисе QIWI. Эта процедура позволяет увеличить лимиты перевода/вывода денег. В некоторых случаях аккаунт можно купить со специальной кредитной историей.
«Роскомсвобода» связалась с женщиной, чьи данные с сайта Госуслуг оказались в продаже. Она сообщила, что ей «по барабану» на слив личных данных и положила трубку. Однако пользователи форумов в даркнете по продаже персональных данных поясняют, что информация может быть использована для оформления кредитов/микрозаймов через ворованные аккаунты «Госуслуг», поскольку финансовые организации требуют верификацию.
Канал «Редакция» рассказывал о случае незаконной передачи квартиры с предположительным использованием ворованного аккаунта «Госуслуг». Сделка произошла благодаря созданию электронной подписи, вся процедура происходила онлайн. Потерпевшему удалось вернуть квартиру через суд спустя полгода.
На чёрном рынке продают не только аккаунты «Госуслуг», но и сопутствующие услуги. Например, за 3-4 тысячи рублей можно получить пробив по данным, верификацию полученного аккаунта. Чуть дороже -- от 5000 рублей -- восстановление/взлом действующих аккаунтов.
В некоторых случаях для верификации данных используются фотографии лица с паспортом в развёрнутом виде. В среднем за такие фотографии платят около 1500 рублей, а за приведённого человека обещают выплату в 500 рублей. «Роскомсвобода» связалась с одним из тех, кто продавал свои данные.
Собеседник «Роскомсвободы», работавший в сфере продажи аккаунтов госуслуг и сопутствующих данных сообщил, что фотографии делаются для верификации аккаунтов на букмекерских сайтах с последующей целью вывода денег. В некоторых случаях людям, к кому обращались за продажей своих фотографий, также предлагали разделить сумму при выводе с электронного кошелька букмекерской компании.
«Я продавал свои фото несколько раз и получал выплаты. Дальнейших проблем [с персональными данными] у меня не было, а услугами букмекеров я не использую. Когда мы пытались вывести деньги по моим данным, QIWI заблокировал счёт и все деньги, отказав в выплате», -- рассказывает собеседник «Роскомсвободы».
Андрей Серафимов
#lang_ru #ru #roskomsvoboda #роскомсвобода
