База сданных
Как устроена нелегальная торговля персональными данными
В последние месяцы известия о масштабных утечках клиентских баз данных из скандальных новостей превратились в рутинную хронику: счет эпизодов идет на многие десятки, в числе фигурантов неприятных историй возникают даже компании с безупречной прежде репутацией, в открытом доступе оказываются чувствительные сведения о миллионах людей. Взрывной рост новостей такого рода — вовсе не сезонное обострение, а свидетельство бурного развития рынка теневой торговли персональными данными. Последствия уже сегодня ощущает на себе едва ли не каждый, обладающий телефоном, компьютером и банковским счетом: число обращений с предложениями «эксклюзивных сервисов» (банковских, медицинских, юридических, страховых, по замене счетчиков и окон, санобработке помещений и пр.) растет день ото дня, и это подчас отнюдь не безобидные «заходы» на клиента — в мутном потоке мошенников не счесть. А формируется этот поток как раз нелегальным рынком данных, который питают нечистые на руку сотрудники госучреждений и коммерческих структур, торгующие ими. «Огоньку» удалось узнать, как устроен этот рынок.
В редакцию пришло письмо. Отправитель, сотрудник силовых структур, предлагал «оперативно достать информацию о полных установочных данных граждан РФ и Украины, о пересечениях границы, о транспортных средствах, о данных известных персон, компрометирующую информацию». «Огонек» предложил ему рассказать, как устроен и как работает рынок персональных данных. Этот человек согласился и попросил называть его Иваном, администратором Telegram-канала «Плохой лейтенант».
—Иван, рынок персональных данных у нас реально существует?
— И очень давно. Потому что всегда были и есть люди, которые решают свои вопросы без привлечения государственных структур. А для этого им нужна информация, которая в тех самых государственных, а также частных организациях хранится. Эта информация продается и покупается. С точки зрения государства этот рынок — черный. Во-первых, потому что его участники не платят налогов. А во-вторых, потому что в результате государство, и в том числе его силовые структуры теряют монополию на хранение и использование этой информации. А следовательно, ставится под угрозу безопасность граждан, если их данные оказываются доступными любому человеку. Например, вы кого-то «подрезали» на дороге. Если тот водитель окажется человеком злым и мстительным, запомнив ваш номер и марку автомобиля, он может «пробить» ваш домашний адрес, телефон, имена жены, детей, родителей. Если, конечно, знает, к кому за этой информацией обратиться. Последствия для вас могут быть очень неприятными.
— Могу догадаться, что эта информация пойдет из ГИБДД. А какие есть другие источники персональных данных?
Крупнейшие утечки баз данных в России за последние годы
— Да все, что угодно. У всех организаций, и государственных, и частных, есть базы данных. Есть Информационный центр МВД. Информационными массивами обладают все спецслужбы, МЧС, больницы, ЗАГСы. Огромная база данных у пограничников — очень хорошо структурированная, с фотографиями и отпечатками пальцев всех, кто выезжает за границу. Очень удобно с этой базой работать. Есть базы данных у операторов мобильной связи — они обладают информацией практически обо всем населении страны. У банков, у сетевых фитнес-клубов… Да всюду, где люди сообщают свой адрес, телефон, возраст, паспортные данные, номера кредитных карт, место работы и при этом ставят галочку в пункте, подтверждающем согласие на обработку персональных данных. Вот сегодня делал покупки в интернет-магазине, тоже заполнял анкету — может, кто-то эту информацию продаст и купит.
— Но у нас ведь есть закон о персональных данных…
— Не заставляйте меня говорить банальности об исполнении законов.
Для нас информация — это некий продукт, который можно продавать. Причем продукт замечательный. Он невесомый. Для его хранения не нужны склады, не нужна логистика для доставки потребителям. Он не уменьшается от употребления, его можно продавать несколько раз или сразу нескольким покупателям.
Есть у него и много других достоинств. Недостаток, кажется, один, известный еще из школьного учебника по информатике: информация быстро устаревает, становится неактуальной, теряет в цене.
— Например?
— Скажем, номер мобильного телефона. Есть люди, которые годами сохраняют номер, а другие меняют его несколько раз в году. Если нам нужен номер за 2014 год, возникает большой вопрос, действует ли он сейчас. Или, например, когда требуются основные установочные данные на человека (контрразведывательный термин, обозначающий совокупность биографических и других данных, характеризующих личность. Установочные данные бывают краткими и полными. — «О»). Женщина может выйти замуж и сменить фамилию. Вообще в нашем деле важны актуальность и своевременность.
— А кто следит за тем, чтобы информация была актуальной, — держатели баз данных?
— Держателями их назвать нельзя… Скорее, люди, имеющие доступ к базам данных. Если точно отвечать на ваш вопрос, никто за этим не следит, информация меняется в автоматическом режиме. Информационные потоки огромны, и вручную ими управлять невозможно. Скажем, если человек меняет номер телефона, у оператора связи делается соответствующая отметка, и она автоматически выгружается, например, в Информационный центр МВД.
— И эти люди, которые имеют доступ к базам данных, ими же и торгуют?
— Нет. Одновременно иметь доступ к информации и торговать ею — это сложно. Если человек служит, например, в ГИБДД Самары, его информация мало кого заинтересует в Москве или в Чернигове, спрос будет небольшой. На этом рынке, как и на любом другом, есть посредники, есть информационная биржа, которая работает, как, например, товарно-сырьевая биржа. То есть знание о том, где какая информация хранится и как ее получить. И есть посредники — это, как правило, бывшие или действующие сотрудники силовых структур. У них наработаны обширные связи со многими ведомствами и учреждениями. Я сам из таких посредников, и у меня есть небольшая информационная биржа. Здесь главную роль играют связи. Нередко посредники содержат на окладах людей, имеющих доступ к базам данных в разных информационных центрах, в силовых структурах или других учреждениях. И если появляется запрос, они его быстро «пробивают». Я знаю, что многие автоугонщики имеют на зарплате людей в ГИБДД. Получив информацию о владельце машины, уже несложно отследить его передвижения и режим работы. А значит, выяснить, где и когда удобнее угнать машину.
— Кто еще интересуется базой данных ГИБДД?
— Очень распространены запросы от частных детективов. Их основная клиентура — супруги, подозревающие друг друга в неверности. Муж увидел, что жена села в чужую машину и куда-то уехала. Записал номер или часть номера… А уж если услышал, что жена по телефону называет собеседника уменьшительно-ласкательным именем, это уже серьезное дополнение к номеру машины.
— Какие расценки на персональные данные?
— Самую высокую цену имеет грифованная информация — секретная или сверхсекретная. Это, как правило, информация о человеке, попавшем в поле зрения силовых структур, на которого ведется оперативный учет — особо опасные рецидивисты, преступники-гастролеры и т.д. Тот, кто будет сливать такую информацию, очень сильно рискует, его несложно вычислить, потому что любой вход в базу данных фиксируется. Поэтому и цена очень высокая — от 50 до 100 тысяч рублей. Но получить нужные сведения можно. Очень сложно складываются отношения с представителями ЗАГСов. Не могу сказать, почему. Но даже я по своей служебной деятельности не раз к ним обращался, и это было нелегко. Здесь «пробив» тоже очень дорогой. А, например, «пробив» у операторов мобильной связи — сущие копейки. Знаете, все определяется количеством людей, которые согласны сотрудничать. Если там сотня людей имеет доступ к базе данных — цена падает. А если в учреждении появляется один человек, который имеет возможность «пробивать» то, что раньше было недоступно, то цена будет выше.
— А банковская информация?
— Ну, это отдельная тема. Там информация специфическая. Ее на стороне, то есть вне банков, никто не собирает. Это ни к чему. Недавно вот из Сбербанка выгрузили данные на 60 миллионов клиентов (сам Сбербанк, отметим, это категорически опровергает – «О»). Не представляю, кому это может понадобиться и что с этим массивом можно делать. Если поступит персональный запрос о счетах какого-то человека, то эти данные можно получить, но они дорого стоят. Обычно банковскими «пробивами» интересуются предприятия, которым нужно, например, узнать состояние счетов контрагентов. Причем, как правило, узнать быстро и достоверно. И за это они готовы хорошо платить. Порядка десятков тысяч рублей за одну позицию.
— Мы подошли к покупателям персональных данных. Кто они?
— О, самые разные люди. Рынок у нас живой, всегда найдутся те, кому это нужно. Я уже говорил, что посредники держат на зарплате людей, имеющих доступ к базам данных. Но, например, точно так же автоугонщики постоянно платят сотрудникам ГИБДД, чтобы в сжатые сроки узнать, на кого оформлен автомобиль, фамилию и адрес владельца. Очень часто запрашивают информацию прорабы, которые возят на стройки в Москву рабочих из Средней Азии. Когда они формируют бригады на следующий рабочий сезон, им важно знать, кому из мигрантов закрыт въезд в Россию за какие-то нарушения, у кого виза будет, у кого нет. «Пробив» такой информации стоит три тысячи рублей.
— За весь список?
— Нет, за одного человека. Но если прораб подает список в 300 человек — это уже приятный заказ для «пробивщика». Пятнадцать минут работы, а деньги прилипают вполне эффективно. И таких прорабов могут быть десятки, а то и сотни.
— Вы спрашиваете у клиента, зачем ему эта информация?
— Нет, это ни к чему.
— А кто интересуется установочными данными на известных персон?
— В первую очередь ваши коллеги-журналисты. Как только известные личности попадают в сводку новостей, тут же идут запросы на «пробивку» установочных данных, то есть не только фамилия, имя отчество, но и сведения о родственниках, материальном положении, о соответствии его расходов доходам, о поведении по месту жительства и работы, свойствах характера, психическом и физическом состоянии и так далее. Спрос довольно высокий, и цена тоже — до сотни тысяч рублей. Если речь идет о высокопоставленных чиновниках или крупных бизнесменах, то не всякий возьмется их «пробивать». Это очень рискованно. Если информация вызовет общественный резонанс, придется отвечать за слив. Вычислить виновника не составит труда. Надо провести аудит и понять, с какого рабочего места был запрос, потом посмотреть, кто был в это время на смене, и по этому человеку работать.
— Кто еще интересуется установочными данными?
— Мошенники разного рода и различной специализации. Они очень часто интересуются полными данными людей. Причем нередко заказывают информацию не по одному человеку, а им нужны списки с телефонами для прозвонов. Например, звонят, называют человека по имени-отчеству и предлагают проверку или регулировку пластиковых окон: «Мы сейчас работаем в вашем районе. Когда вам было бы удобно принять нашего мастера?» А потом квартиру обворовывают. Это особый вид бизнеса с хорошими деньгами. Базу данных какого-нибудь фитнес-клуба можно купить за 5 тысяч рублей. Там будет, например, тысяча позиций, цена каждой 5 рублей. Если покупать данные на отдельного человека, это будет значительно дороже, от тысячи рублей и выше, потому что надо делать выборку.
Другая категория клиентов — это представители торговых компаний, маркетологи и рекламщики. Про персонализированную рекламу, наверное, все знают уже — она делается на основе пользовательских данных. Скажем, если компания занимается продажей запчастей к снегоходам, ей нужны списки и телефоны людей, владеющих этими транспортными средствами. Но это дело более сложное. Потому что нелегко залезать в базы данных каждого магазина. Такие выборки делают определенные люди в даркнете («темный интернет»). Они сосредотачивают у себя массивные базы данных, структурируют их, например, по полу, возрасту, профессии, наличию транспортных средств и т.д. И потом продают такие выборки клиентам.
— Даркнет — это нелегальная сеть?
— Ну да. Точнее — анонимная файлообменная сеть. В обычном интернете при наличии настойчивости и желании любая спецслужба может найти любого абонентского пользователя, его компьютер или мобильный телефон, как бы его ни защищали VPN, «каскады» и прочее. «Белый» интернет, как известно, придумали американские военные. И «темный» интернет — они же. В этом секторе Сети информация передается в зашифрованном виде, и для каждого «туннеля» связи между абонентами применяется свой шифр. Вычислить шифры невозможно. Так вот, сейчас вся наркоторговля и торговля оружием перешли в даркнет. Там есть специальные площадки, где это все происходит. Обороты — на миллиарды долларов в месяц. И оборот персональных данных осуществляется там же.
Даркнет вообще объединил по всему миру людей, занимающихся незаконной деятельностью. Человек, находясь во Владивостоке, может «пробить» информацию в Калининграде, продать ее в Екатеринбург и получить за это деньги. Нет проблем. И никто этого не увидит.
Ну, не пользуемся мы ни голубиной почтой, ни «Почтой России». Цифровизация очень двинула вперед и наркоторговлю, и наш бизнес. Мы получили эффективное средство связи, быстро работающее и, самое главное, сохраняющее анонимность.
— И вас никто не может вычислить?
— В России — нет. А американцы могут, потому что, к примеру, тот же Telegram базируется в США. Но мы не торгуем наркотиками, не занимаемся вербовкой террористов и не ведем шпионскую работу против наших потенциальных противников. Если торговать информацией в рамках СНГ, то Telegram нам никаких проблем не несет, мы американцам неинтересны.
— У нас хотели запретить Telegram, потому что он американский?
Мировые утечки баз данных поражают своими масштабами
— Его не пытались закрыть. Вообще, кампания против Telegram была очень странная. Наши власти хотели получить от Павла Дурова шифровальные ключи. Но они, подозреваю, не у Дурова, а у американских спецслужб. И понятно, что нашим властям он ничего не передаст. Но и к нашему Роскомнадзору тоже вопросов много. Что это было? Абсолютная некомпетентность в вопросе? Или, наоборот, злой умысел, потому что фактически лили воду на мельницу Дурова, сделали ему рекламу и число пользователей резко выросло. В Telegram сидят и наши законодатели, и чиновники, у них там есть свои каналы общения, они проводят официальные информационные мероприятия. Но Telegram у нас как бы в «сером» цвете. Я этого понять не могу.
— Государство регулирует рынок персональных данных?
— Конечно, нет. Да и как его можно регулировать? Он ведь сродни наркоторговле. Ее можно запрещать, можно пытаться уничтожить. Правда, пока это никому не удалось. Также и рынок персональных данных. Продажа информации — вещь не такая вредная, как наркоторговля. Но государственные служащие, в том числе и силовики, и все гражданские, занятые в сфере оборота информации, на ней зарабатывают — вот какая штука! Поэтому в отличие от рынка наркоторговли с нашим рынком никто не борется, даже вопрос такой не стоит. Этот рынок — саморегулируемый, у него два основных ограничения — это спрос и предложение.
— Каков объем этого рынка в России?
— Боюсь, что никто этого не скажет. Трудно посчитать. У меня доход около 200 тысяч рублей в месяц. Но это очень мало, есть люди, у которых доходы в десятки раз больше.
— Это рискованное занятие?
— Не слишком. Конечно, это вторжение в частную жизнь человека. Но против нас не работают ни ФСБ, ни МВД. Поймать человека, который кому-то продал информацию о чьем-то телефоне? Поставят тебе «галочку». Но людям хочется ловить шпионов и террористов, а мы — мелочь. Накрыть крупную партию наркотиков — это круто. А поймать человека с жестким диском — ну кому это интересно? Может, начальство и похвалит, но орденов и звездочек не дадут.
— Этим бизнесом занимаются специалисты по ИТ?
— Нет, прежде всего специалисты по социальной инженерии. То есть люди, которые умеют устанавливать контакты, общаться. Айтишники нужны там, где требуется взломать базу. Но это низшее звено в цепочке нашего бизнеса. У нас добиваются успеха и люди без образования, и с двумя дипломами. Скорее, нужен определенный склад ума. Наверное, самое главное — порядочность. Рынок же анонимный. И если ты хочешь на нем занять достойное место, ты не должен никого обманывать. Должен уметь корректно разрешать спорные ситуации. Когда ты всем этим владеешь, к тебе идут клиенты. У нас тоже работает «сарафанное радио». Если вы, ничего не зная, зайдете в Telegram и захотите купить какую-то информацию, вероятность, что вас кинут, — 70 процентов. Потому что вокруг все кишит мошенниками. И у нас в том числе. Нужно знать, где искать — и людей, и информацию. А это удается людям с развитым интеллектом, не глупым.
— Почему вы занялись этим бизнесом?
— Это одно из направлений моей деятельности. Помимо этого, я консультирую людей в различных сложных ситуациях. У меня на связи есть несколько специалистов, обеспечивающих техническую подготовку информации. Отвечая на ваш вопрос, не буду хитрить: это прибыльно. Торговать наркотиками, может, еще прибыльнее, но травить сограждан — это за рамками добра и зла. Торговля информацией — это паллиатив, мы не портим карму и получаем деньги.
— Почему согласились рассказать об этом?
— А почему нет? Хотя… добыча информации — это тоже труд. Не по щелчку пальцев она появляется. Надо тратить время, силы. Это только издали кажется — легко, два клика мышкой, и тебе переписывают деньги на счет. Но ты делаешь в день тысячу кликов, а деньги переводят один раз. Бывает, и ночью сидишь, особенно если клиент в другом часовом поясе. И думать надо, если какой-то сложный случай выпадает. Иногда требуется восстановить картину по отрывочной информации. Я просто хотел внести ясность.