Прейскурант на "пробив". Опубликованное 14 декабря расследование предполагаемого отравления оппозиционера Алексея Навального группой сотрудников ФСБ, следовавших за ним в течение нескольких лет в поездках по России, породило дискуссию о возможности получить данные об использовании телефонов и авиаперелетах без привлечения спецслужб. Опрошенные “Ъ” эксперты подтверждают, что полетные квитанции с номерами паспортов пассажиров, их номера телефонов и биллинг последних с привязкой к геотегам за несколько месяцев можно найти на черном рынке по цене 2–40 тыс. руб. за запрос.
14 декабря были обнародованы результаты совместного расследования Фонда борьбы с коррупцией Алексея Навального, портала Bellingcat, издания The Insider при участии CNN и Der Spiegel. В расследовании приводятся данные восьми граждан, якобы пытавшихся отравить Алексея Навального в августе 2020 года. Из публикации следует, что к попытке отравления могли быть причастны восемь специалистов с медицинским и химическим образованием, действовавших при поддержке Института криминалистики ФСБ.
В расследовании утверждается, что члены этой группы, чередуясь, следовали за Алексеем Навальным последние три года в поездках по тем городам России, где оппозиционер останавливался хотя бы на одну ночь. В частности, только в 2017 году Алексей Навальный насчитал 36 таких «совместных» поездок.
Напомним, господин Навальный почувствовал себя плохо 20 августа в самолете, летевшем из Томска в Москву. Самолет экстренно сел в Омске, политик был госпитализирован в местную больницу скорой помощи. Через сутки его перевезли в клинику «Шарите» в Берлине; позднее немецкие врачи заявили, что российский политик был отравлен ингибитором холинэстеразы из группы препаратов «Новичок». Россия отравление отрицает и безуспешно добивается от германской стороны правовой помощи в виде предоставления доказательств отравления. Уголовное дело в РФ в связи с происшедшим пока не возбуждалось. Господин Навальный обвиняет в своем отравлении ФСБ и высшее руководство России.
В поездку с оппозиционером в Томск в августе, по данным расследователей, отправились члены упомянутой группы Алексей Александров («Фролов»), Иван Осипов («Спиридонов») и Владимир Паняев, а руководил операцией Станислав Макшаков, которого авторы связали с войсковой частью в городе Шиханы Саратовской области — в советское время здесь производились боевые отравляющие вещества. В расследовании утверждается, что работавшие в Шиханах специалисты перешли на службу в структуры ФСБ и Минобороны. Алексей Навальный считает, что в июле 2020 года эта же группа уже пыталась отравить его и его супругу во время поездки в Калининград, где политик, например, посещал техно-вечеринку на берегу Балтийского моря.
Расследователи заявляют, что сделали свои выводы на основе анализа полетных квитанций попутчиков господина Навального, паспортных данных пассажиров соответствующих рейсов, их телефонных номеров, а также биллинга этих номеров за несколько месяцев с привязкой к геотегам. Сами данные якобы получены на черном рынке.
“Ъ” решил выяснить, можно ли получить такой массив данных без помощи российских или зарубежных спецслужб.
«Безусловно, сделать это законным путем нельзя: такие данные конфиденциальны по определению и доступны только сотрудникам правоохранительных органов. Однако купить эту информацию в даркнете можно без особого труда»,— говорит основатель сервиса разведки утечек данных DLBI Ашот Оганесян. По его словам, на форумах, посвященных «пробиву», продаются как биллинг всех мобильных операторов, так и услуги по определению местоположения телефонов и доступ к базам данных документов или системам, позволяющим отслеживать перемещение на различном транспорте. «Сделать заказ на эти данные несложно, достаточно лишь знать несколько профильных форумов да иметь пару биткойнов — любимого платежного средства продавцов "пробива"»,— поясняет господин Оганесян.
«Все расследование держится на том массиве данных, которые они купили на черном рынке, для сбора информации использовались все дыры и уязвимости государственных информационных систем,— говорит партнер Digital Right Center Саркис Дарбинян.— С точки зрения законодательства они могли нарушить тайну частной жизни и получить неавторизованный доступ к охраняемым системам. Не исключено, что упомянутые в расследовании граждане подадут к Навальному гражданский иск, но судебная практика показывает, что получить крупные выплаты истцы не смогут — максимум 10–20 тыс. руб.».
По словам Ашота Оганесяна, детализация звонков и СМС, согласно «публичным прайс-листам продавцов "пробива"», стоит в среднем до 20 тыс. руб. за номер в месяц. Услуга поиска по базам ГИБДД на черном рынке стоит 1 тыс. руб., продолжает эксперт, «пробив» актуального списка пассажиров по системе «Магистраль» обойдется от 2 тыс. руб. за одного человека, хотя по рейсам, совершенным до 2016 года, часть данных можно найти и бесплатно, уточняет он. Наконец, определение местоположения телефона, говорит господин Оганесян, обойдется в 40 тыс. за один запрос.
Для полноценного "наблюдения" за одним владельцем аппарата необходимо несколько десятков таких запросов в сутки»,— подсчитывает эксперт, добавляя, что «незаконный доступ к конфиденциальной информации будет недешев».
Впрочем, корреспондент “Ъ” убедился, что часть таких данных можно получить и бесплатно. Вбив в одном из Telegram-ботов лишь номер своего мобильного телефона, он получил свои полные паспортные данные, домашний адрес, номер, марку и VIN-номер автомобиля, информацию о его парковочных сессиях на платных стоянках, адрес одного из почтовых ящиков и даже пароль к нему. Из всего этого массива данных недействительным оказался лишь пароль к ящику, который корреспондент “Ъ” сменил несколько лет назад.
“Ъ” ранее регулярно сообщал об утечках больших массивов данных клиентов банков и телекоммуникационных компаний. «Если говорить о сливах баз данных, то у нас есть в практике реальные приговоры по ч. 4 ст. 274 УК РФ (нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей), есть уголовные приговоры по разглашению банковской тайны (ст. 184 УК РФ). Но ответственность предусмотрена для тех, кто слил данные в даркнет, а не для тех, кто ими воспользовался»,— говорит председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Журавлев. Также правоохранительные органы могут посчитать, что автор «слива» разгласил государственную тайну (ч. 1 ст. 283 УК РФ), добавляет эксперт. Даже если предположить, что господин Навальный в своем расследовании раскрыл данные действующих сотрудников спецгруппы ФСБ, его будет непросто привлечь к уголовной ответственности, уточняет Александр Журавлев: «Надо учитывать факт того, что Навальный прямо не говорил, что именно он получил эти сведения, а не другие лица, которые также вели расследование».
Оригинал этого материала
© itsmycity.ru, 22.10.2020
Сколько стоит информация о вас и ваших близких
За 3 тыс. рублей продаются данные из баз МВД, за 40 тыс. можно сделать поддельную сим-карту
Дмитрий Колезев
На черном рынке за скромную плату доступна любая информация, попавшая в какие-либо крупные базы данных — как государственные, так и корпоративные. За несколько тысяч рублей можно получить детализацию звонков или данные о пересечении границы. It’s My City ознакомился с одним из прайс-листов на такие услуги. Судя по этому документу, в России настоящая катастрофа с безопасностью данных граждан.
Прайс-лист — простая таблица в Excel. В ней несколько сотен строк и три колонки: описание услуги, стоимость и сроки. Цены варьируются от нескольких тысяч рублей до 180 тысяч. Последняя цифра — all inclusive: за эти деньги обещают составить абсолютно полное цифровое досье на персону и его родственников. На это у специалистов «черной» цифровой разведки уйдет до 10 дней, некоторые услуги готовы предоставить в течение дня.
Информация о том, что данные покупаются и продаются, вроде бы общеизвестна. Но одно дело — слышать, что где-то там в даркнете можно купить какие-то данные. Другое — видеть перед собой «меню» с полным перечнем подобных услуг.
Что предлагают клиентам?
За 3 тыс. рублей можно получить любую информацию из полицейских баз данных «ИБД-Ф» и «ИБД-Р» (информация о преступлениях, розыске, судимостях, месте отбывания наказания и т. п.), баз данных «Мигрант», «Магистраль» (перемещение по России), «Поток» (дорожные камеры), «Платон» (грузовые перевозки).
За 12 тыс. рублей доступна информация обо всех пассажирах авиарейса или железнодорожного вагона.
За 10 тыс. рублей — данные о пересечении границы с фотографией на границе.
За 10 тыс. рублей можно проверить, есть ли на то или иное лицо «флажки» на границе (например, что при пересечении границы его должны задержать).
За 15 тыс. рублей можно получить данные камер наблюдения из Москвы и Московской области — из подъезда, около дома и т. п.
За 700-1500 рублей — получить данные кредитной истории человека.
За 2500 рублей — получить детализацию сотовых звонков от мобильного оператора за один день.
За 4500 рублей — получить детализацию с базовыми станциями, то есть географией перемещения.
За 40-45 тыс. рублей доступна услуга «Восстановление сим-карты» — можно подменить сим-карту и таким образом получить возможность принимать смс или совершать/принимать звонки от имени другого человека. Это можно использовать для взлома аккаунтов, привязанных к номеру телефона.
За 10 тыс. рублей предлагают достать логин от интернет-банка.
За 6 тыс. рублей — предоставить полный список сотрудников ООО с их зарплатами.
За 10 тыс.рублей — дать информацию о всех движениях по счету любой компании, ИП или ООО за несколько месяцев.
За 20-30 тыс. рублей — достать любые налоговые декларации любых компаний.
В блоке «эксклюзивные услуги» клиентам предлагают установить личность человека по фото (10 тыс. рублей), найти телефон публичной личности (10 тыс. рублей), установить номер по нику в Telegram (15 тыс. рублей).
За 45 тыс. рублей предлагают оформить на любое третье лицо банковскую карту, симку, электронный кошелек.
Наконец, за сумму от 60 до 180 тыс. рублей в течение 10 дней вам предоставят полное досье на персону и трех его родственников, с учетом информации из всех баз. Также составят аналитическую справку.
В этом же прайс-листе есть цены на взлом почты или российских социальных сетей («ВКонтакте» и «Одноклассники»). Вероятность успешного взлома почты оценивается в 20%, «ВКонтакте» обещают взломать «гарантированно» за сумму от 18 тыс. рублей. За 45 тыс. из аккаунта обещают скачать даже удаленные сообщения.
"Все про каждого можно купить"
Один из участников рынка подобных услуг сказал It’s My City, что за последние пару лет эта сфера изменилась: данные стали доступнее. «Сейчас все это централизовалось в Москве и там реально все про каждого можно купить, вплоть до федеральных чиновников» — говорит собеседник.
Раньше подобная информация неофициально была доступна разве что службам безопасности крупных холдингов. Сегодня за несколько десятков тысяч рублей собрать досье на персону может по сути любой желающий. Не стоит даже говорить, какие угрозы это создает для граждан и насколько уязвимыми делает их для мошенников, вымогателей, грабителей или убийц.
"Все институты выродились"
Ранее в интервью It’s My City IT-консультант Владислав Здольников называл две основных причины утечек из государственных баз данных: отсутствие общественного контроля и нежелание государства заниматься безопасностью данных. «Все институты выродились. Гигантская машина чиновничьего аппарата ужасно деградировала в профессиональном плане. Если вокруг вырождение, не может быть все хорошо в одной конкретной области безопасности данных. Даже если чиновники будут очень стараться сохранить данные, ничего не получится», — говорил Здольников.
Как защитить себя?
Избежать попадания личной информации в государственные базы данных почти невозможно. Однако можно минимизировать количество данных там, реже пользуясь государственными онлайн-сервисами и давая им меньше прав для доступа к данным. Есть инструкции, которые позволяют снизить риск взлома. В частности, рекомендуется использовать двухфакторную идентификацию без привязки к российской сим-карте, а также пользоваться VPN.
Кроме того, граждане могут выбирать услуги компаний, которые меньше связаны с государством (там риск утечки данных ниже). Также в целом гражданам следует требовать от государства лучше защищать их данные. Сегодня, по выражению Владислава Здольникова, Россия в этой сфере находится «на уровне Зимбабве».