- Global Voices по-українськи - https://uk.globalvoices.org -

Хто і з якою метою продає персональні дані українців в Інтернеті?

Категорії: Україна, громадські медіа, політика, права людини, технології, RuNet Echo, Advox

Фото [1] Ґерда Альтмана, Pixabay.

Після низки гучних витоків особистої інформації, українці почали усвідомлювати важливість захисту своїх персональних даних. Тим не менш, напередодні місцевих виборів, запланованих на 25 жовтня, багато персональних даних виборців з’явились в Інтернеті. Як внутрішні, так і зовнішні політичні сили можуть скористатись цими відомостями для поширення дезінформації чи будь-якого іншого шкідливого контенту.

У травні 2020 року український активіст Володимир Фльонц попередив суспільство [2] [рос] про анонімний чат-бот @UA_baza, який продає персональні дані українців у популярному месенджері Telegram. Цей бот, який з’явився кілька місяців тому, повідомляв, що зібрав 900 Гб даних, зокрема номери паспортів, ідентифікаційні коди, прописку, водійські посвідчення, паролі соціальних мереж та навіть банківські реквізити [3] [рос] мільйонів українців. Будь-який користувач міг безкоштовно зробити п’ять запитів, а за 500 доларів отримати доступ до всієї бази [2] [рос]. Перелік доступних даних чітко свідчить, що інформацію не отримували лише із відкритих джерел. Тоді звідки відбувся «витік»?

Скріншот 1: можливі варіанти запиту даних від Telegram-бота @UA_baza, зокрема конфіденційні персональні дані – номер паспорту чи ідентифікаційний код. Скріншот 12.05.2020, акаунт видалили в цей же день.

В Україні існує величезна кількість офіційних та неофіційних баз даних, які містять персональні дані громадян. Серед них – державні реєстри, які складаються та керуються різними відомствами для надання державних послуг, бази даних клієнтів та інший інструментарій комерційних даних, походження яких важко визначити. Наприклад, Державний реєстр виборців є однією з основних офіційних баз даних [4] [укр], які містять конфіденційну інформацію мільйонів громадян, яку формує спеціальний орган у складі Центральної виборчої комісії (ЦВК). Доступ до реєстру регулюється настільки суворо [5] [укр], що один із кандидатів у президенти у 2019 році, як відомо, поскаржився [6] [укр], що йому знадобиться 6000 років для його належного вивчення на предмет будь-яких порушень. Втім, незважаючи на суворі процедури безпеки, українські хактивісти [7] [укр] раніше вказували на вразливості [8] [укр] сайту реєстру, а члени ЦВК публічно визнавали дефіцит кваліфікованих кадрів у галузі ІТ/кібербезпеки серед держслужбовців через велику прірву в оплаті праці між державними та комерційним секторами.

А такі комерційні організації, як телекомунікаційні компанії, інтернет-крамниці [9] [укр], банки [10] [укр] та лоґістичні оператори [11] [укр], підтримують власні бази даних. Крім того, ці бази об’єднуються і спільно використовуються в межах кількох загальнонаціональних програм лояльності – деякі з них нараховують понад 90 інтернет-крамниць [12] [укр] та мільйони клієнтів по всій Україні. Малі підприємства зазвичай використовують власні бази даних клієнтів. В той час, як великі компанії надають доступ до своїх даних третім особам лише з рекламною метою, серед невеликих компаній набагато популярнішим є онлайн-продаж баз клієнтів. І хоча закон «Про захист персональних даних» [13] [укр] забороняє продаж даних споживачів без їх згоди, в Україні немає ефективних нормативних актів та механізмів для розслідування аналогічних випадків чи притягнення винуватців до відповідальності.

Обсяги й тип даних, які можна придбати у чат-боті @UA_baza, викликали суспільний резонанс та спонукали до офіційного розслідування [14] [укр]. Бот одразу ж вимкнули, або його творці, або ж Telegram. Проте, згодом декілька акаунтів з аналогічною назвою знову з’явились у Telegram. Журналістське розслідування цього інциденту засвідчило, що трапився витік даних з комерційних баз, соціальних мереж та державних реєстрів, зокрема старішої версії державного реєстру виборців [15] [рос] та Єдиного демографічного реєстру.

Хоча раніше жодне джерело не акумулювало стільки даних, це не перший злив особистої інформації українських громадян в інтернеті. У 2018 році трапився витік даних 18 мільйонів клієнтів [16] [укр] величезної лоґістичної компанії України «Нова пошта». У 2019 році правоохоронні органи затримали людину, яка продавала базу даних Митної служби України [17] [рос]. А у червні 2020 року журналісти підтвердили витік бази даних клієнтів ПриватБанку [18] [укр] – одного з найбільших банків України. До появи горезвісного Telegram-бота, такі великі бази даних продавались онлайн на маловідомих ресурсах, в той час, як елементарний пошук в інтернеті дозволяв отримати інформацію про значно дрібніших продавців даних, які пропонували скласти власні бази даних [19] [укр], що містять прізвище, ім’я та по-батькові, стать, телефонні номери та електронні скриньки.

Скріншот 2: можливі варіанти запиту від робочого Telegram-бота, який пропонує дані громадян для продажу. Скріншот 15.10.2020

25 жовтня в Україні стартують місцеві вибори, а онлайн-торгівля персональними даними громадян триває. Зовсім нещодавно Telegram-акаунт з аналогічною назвою пропонував придбати бази даних виборців. І хоча цей акаунт, ймовірно, шахрайський, на нього підписані понад 16 000 користувачів. Є й інші Telegram-боти, які продають менші бази персональних даних та працюють, принаймні з 2018 року. Один з таких ботів (див. скріншот №2) зіставляє телефонний номер з іменем та шукає інші пов’язані частини даних, зокрема адресу електронної пошти, світлину, акаунти у соціальних мережах, зареєстрований бізнес чи номер автомобіля. Результати за індивідуальним запитом надаються безкоштовно чи в обмін на телефонні номери з особистих контактів, що спонукає користувачів відправляти дані інших людей без їх згоди. Значно більша база даних продається за невелику платню в розмірі 50 доларів США. Творці бота залишаються анонімними і стверджують, що зібрали свої бази даних з «відкритих джерел», зокрема із сайтів пошуку роботи. Проте, деякі користувачі розпізнали інформацію, яку вони раніше надавали приватним організаціям і це вказує на те, що шахраї також можуть використовувати злиті в мережу бази даних клієнтів [20] [рос].

І хоча чат-бот, який продавав великі бази даних, вимкнули, початкове суспільне обурення стихло, багато громадян надалі можуть стати жертвами потенційно шкідливого контенту, оскільки частина персональних даних досі є в інтернет-доступі. Наприклад, нещодавно у невеликому селищі Нові Санжари відбулись безлади, пов’язані з прибуттям українських громадян з ураженого коронавірусом китайського міста Ухань. Масова паніка була спровокована через групи у Viber, пости в Instagram та Facebook [21] [укр]. Цей інцидент засвідчив, яким чином несанкціонований доступ до тисяч телефонних номерів може бути використаний для поширення дезінформації та розпалювання безладу в певній місцевості за допомогою популярних месенджерів та соціальних мереж. Важко спрогнозувати, де злиті дані з’являться наступного разу, оскільки багато з них містять конфіденційну особисту та комерційну інформацію. Проте, очевидно, що такі дані можуть легко використати як внутрішні, так і зовнішні сили у різноманітних сферах, зокрема й у політиці.