Злоумышленники выставили на продажу личные данные около 1 млн водителей Москвы и Подмосковья, оценив базу данных в $1,5 тыс. В ней содержатся VIN-коды и номера паспортов транспортного средства (ПТС), а также имена и телефоны владельцев автомобилей. Специалисты в области информационной безопасности считают, что базой могут заинтересоваться автоугонщики и мошенники, занимающееся социальной инженерией. Из-за участившихся масштабных утечек персональных данных в Госдуме обсуждают введение уголовной ответственности не только для продавцов, но и для покупателей таких баз.
Рисунок: Виктор Чумачев, Коммерсантъ
На одном из форумов, специализирующихся на продаже баз данных и организации утечек информации, 24 июля выставлен на продажу архив с базой данных автомобилистов, обнаружил “Ъ”. В нем содержатся файлы Excel в целом примерно на 1 млн строк с личными данными водителей по Москве и Московской области, актуальными на конец 2019 года. Начальная цена — $1,5 тыс. Продавец также приложил скриншот таблицы. Из него следует, что в файле следующие строки: дата регистрации автомобиля, государственный регистрационный знак, марка, модель, год выпуска, фамилия, имя и отчество владельца, его телефон и дата рождения, регион регистрации, VIN-код, серия и номер свидетельства о регистрации и ПТС. В МВД не ответили на вопросы “Ъ”.
Это не первая утечка баз данных автовладельцев. В даркнете на профильных форумах и онлайн-биржах можно найти аналогичные базы с информацией за 2017 и 2018 годы, 14 мая «Ведомости» сообщали об утечке схожей базы на 129 млн строк. Но в ней были только данные автомобиля без привязки к автовладельцу. Хакеры продавали ее на бирже за 1,5 биткойна (на тот момент — около $14 тыс.). Основатель DeviceLock Ашот Оганесян предполагает, что на этот раз базу продает инсайдер в крупной страховой компании или союзе, которого «никто особенно не ищет»:
«Судя по сочетанию данных автомобиля, владельца и его мобильного телефона, база создавалась для продаж страховых полисов».
По оценке партнера и директора компании «Интеллектуальный резерв» Павла Мясоедова, одна строка в схожем архиве продается по цене 6–300 руб. в зависимости от количества содержащихся данных. Целиком утечка может стоить около 1 биткойна ($11,1 тыс. по актуальному курсу).
База заинтересует угонщиков и «мастеров» социальной инженерии — получения ценной информации с помощью психологических уловок. «Жертва может сама сообщить пароли, контактные данные, информацию о карте и расположении автомобиля, считая, что говорит с сотрудником ГИБДД или банка. Информация о расположении машины нужна тем, кто хочет украсть конкретную модель авто или сделать машину-дубликат с идентичными номерами, которая нужна для преступлений»,— поясняет господин Мясоедов. По словам менеджера по развитию направления DLP Solar Dozor компании «Ростелеком-Солар» Алексея Кубарева, знание VIN-номера позволяет получить информацию об установленной на авто сигнализации, а данные владельца помогают определить место парковки:
«Возможны различного рода мошенничества с участием в ДТП, с оплатой штрафов, с оформлением поддельных номеров на транспортное средство, поддельных прав на автомобили и так далее».
На фоне участившихся скандалов с масштабными утечками данных граждан, в Госдуме уже задумались об ужесточении ответственности за распространение такой информации. «Утечки из МВД происходят регулярно. Это говорит, с одной стороны, о низкой степени информационной защищенности, а с другой — о высокой коррумпированности. Мы с коллегами прорабатываем изменения существующих норм за заведомо незаконные использования таких материалов. Те, кто покупает такие базы данных, должны понимать, что они совершают преступление, состав которого начинается со скачивания таких баз»,— заявил “Ъ” председатель комитета по информационной политике Госдумы Александр Хинштейн. Депутат добавил, что нынешние нормы Кодекса об административных нарушениях и Уголовного кодекса уже не охватывают все цифровые сферы, в которых совершаются преступления.