Микрозаёмщиков слили. Базы клиентов МФО стали достоянием сетевых пиратов
https://otr-online.ru/programmy/segodnya-v-rossii/mikrozayomshchikov-slili-bazy-klientov-mfo-stali-dostoyaniem-setevyh-piratov-41161.html 
Константин Чуриков: Все продается и покупается в нашем циничном мире. Предметом купли-продажи являемся мы с вами, дорогие граждане. Вот произошел очередной слив базы данных заемщиков. На сей раз это касается клиентов микрофинансовых организаций. И речь идет о 1 млн. 200 человек. Вот теперь кто угодно может узнать их фамилии, имена, отчества, паспортные данные, номера телефонов, все что хотите. Интересно еще, конечно, названия компаний, клиенты которых пострадали. Сколько музыки в этих словах: «Быстроденьги», «Займер», «Е-капуста», «Микроклад»!.. Вот что делать, если информация через эти организации о вас утекла? Чего ждать дальше?
Оксана Галькевич: Какая неожиданность: «Е-капуста». «Капуста-Е», я бы так сказала.
Константин Чуриков: «Е-капуста», да, да, да.
Оксана Галькевич: Но давайте подключим к нашей беседе экспертов. Но, уважаемые друзья, призываем и вас участвовать. Звоните, пишите. Телефоны для связи с нами на экранах. Всего 15 минут на обсуждение этой темы, поэтому, пожалуйста, торопитесь. Андрей Масалович с нами на связи, президент консорциума «Инфорус», специалист по кибербезопасности. Андрей Игоревич, здравствуйте. Так, это Скайп. Мы вас видим уже.
Андрей Масалович: Здравствуйте.
Константин Чуриков: Андрей Игоревич, расскажите, пожалуйста, что дальше будет с теми, кто в общем-то засвечен в Интернете?
Андрей Масалович: В этой новости, во-первых, главное слово не «слив». Главное слово – «очередной».
Константин Чуриков: Да.
Андрей Масалович: В общем, не первый, не последний, таких сливов будет еще много.
Оксана Галькевич: Вы умеете успокоить, надо сказать.
Андрей Масалович: Ну, понимаете, если бы я был журналистом, я бы это обозвал все «Пираты Цифрового океана». Помните, были пиратские диски с пиратскими базами лет 20 назад?
Оксана Галькевич: Да.
Андрей Масалович: Вот сейчас вторая волна. Только уже без дисков, а просто в Интернете. И соответственно, когда появляется такая волна, появляются перекупщики. Вот эта база содержит очень интересное явление. Она не от одного источника. Это попытка сынтегрировать базы, слитые из разных мест. Значит, ваш вопрос: чего ждать? Ну, как у всякого человека, у которого теряются личные данные, первое: если их достаточно для совершения юридически значимых действий, попробовать от вашего имени это сделать.
Оксана Галькевич: Андрей Игоревич, а вот алгоритм, так скажем, исчезновения, попадания этих баз данных в Интернет, он каков? Это сотрудники вот этих перечисленных нами компаний недобросовестные кому-то продали? Или есть какой-то, скажем, один злоумышленник, имевший доступ к базам этих компаний? Как это все происходит?
Андрей Масалович: Механизмов, по большому счету, 2. Это либо сливают сами сотрудники, пытаясь заработать свои 2 копейки. Ну, а потом кто-то это обрабатывает, делает так называемое «обогащение данных» и пытается это уже продавать на рынок. Либо это делают хакеры просто из-за плохой защищенности. Но защищенность не просто никакая, а чудовищная, то есть…
Константин Чуриков: На шаг назад давайте вернемся. Какие юридически значимые действия можно по этим данным осуществить? О чем вы говорите? Взять кредит можно на имя этого человека, от имени этого человека?
Андрей Масалович: Нет, есть сейчас достаточно большое количество действий, правда, не очень, как бы, не очень проблемных по деньгам, которые можно делать просто зная ваш номер телефона, номер паспорта и фамилию, имя, отчество. Просто представляясь вашим именем. Сделки размером до 1000 или 2000 руб.
Константин Чуриков: Но какие сделки? Например, о чем идет речь?
Андрей Масалович: Например, товарные кредиты у некоторых из Интернет-магазинов. Такое сейчас бывает, если это постоянный клиент.
Оксана Галькевич: Товарные кредиты, надо же.
Андрей Масалович: Вот. Но это все-таки экзотика. Т. е. самое опасное, чего им стоит ждать: во-первых, это неприятно, там все-таки не просто данные, а еще данные о том, что человек брал микрокредит, это его характеризует и финансово, и с точки зрения образа жизни. Т. е. это потенциальная жертва для других подобных бизнесменов. Это раз. Второе: ждите, что ваш телефон сейчас оживет и вас начнут бомбить всякими очень заманчивыми предложениями. Т. е. это просто первый шаг к телефонному спаму.
Константин Чуриков: Вы знаете, я еще вот читал (извини, Оксана), мнение одного из экспертов, что можно попасть в подобную базу, если просто-напросто пришел в какой-то магазин, не знаю, там, бытовой техники, и тебе предлагают оформить просто скидочную карту, назвать свой номер телефона, какие-то данные, заполнить анкету, – и, в общем, дальше ты уже тоже можешь быть в этой базе, в подобной.
Андрей Масалович: Это так. Но таких путей не 2, не 5, а десятки. База очередников на гаражи. База многодетных семей. База очередников на льготные лекарства. Т. е. любые базы сейчас защищены плохо. Любые базы являются объектом охоты. И сейчас те, кто этим занимаются… Вы, наверное, в сегодняшней новости увидели слова, что сами пострадавшие организации говорят, что использовать эти базы не очень получится, потому что они неполны. Данные неполны. Поэтому сейчас появляются посредники, которые эти базы, пытаются данным делать так называемое обогащение. Т. е. делать их более удобными для тех, кто потом будет нам по голове плясать.
Оксана Галькевич: Т. е. получается, что кибербезопасность у нас в широком смысле – она на нуле практически. Ну, где-то очень-очень низко расположена. Компании как раз, которые собирают такие личные данные у многочисленных клиентов.
Андрей Масалович: Понимаете, здесь есть все-таки не одна сторона, а несколько. С точки зрения компании все, что требует регламентации, регламентируется. И там порядок худо-бедно наводят. Это касается…
Оксана Галькевич: Ну, а какой порядок наводят? Вот смотрите, микрофинансовая организация, она что – по закону обязана, не знаю, устанавливать какую-то программу, защищающую личные данные клиентов, последнего поколения? Обновлять ее каждый месяц? Или что-то еще. Каким образом?
Андрей Масалович: Нет-нет-нет, я просто хотел сказать, что вот они попадают в такую серую зону. Есть всем уже набивший оскомину 152-й федеральный закон, по которому операторы персональных данных имеют достаточно четкий набор обязанностей и достаточно четкую регламентацию, как это проверять и что им грозит. И там более-менее порядок сейчас устанавливается. А вот все, кто туда не попадает, кто себя еще не объявил оператором персональных данных, но тем не менее базу о нас копит, они находятся в серой зоне и их данные не защищены никак. Потому что это требует усилий, это требует квалификации. Ну, и – там, где нет ответственности, результатов тоже не будет.
Константин Чуриков: Андрей Игоревич, а подскажите адресок, что это за сайт такой? Просто, я думаю, каждому интересно там узнать, его данные в сети или не в сети.
Андрей Масалович: Это не сайт. Вы имеете в виду место, где это распространяется?
Константин Чуриков: Да.
Андрей Масалович: Ну, дойдите до своего ноутбука, наберите там «купить базу данных клиентов по Москве» или «банковских»…
Константин Чуриков: А, т. е. это на расстоянии одного клика всего-навсего, да?
Андрей Масалович: Да-да-да. И там выскочит очень много предложений. Но, правда, могу сразу сказать: большая часть – мошенничества. Кстати, в сегодняшней новости элементом мошенничества является слово «миллион». Потому что, по моей практике, правдой является только первая часть, первая цифра, что вот 800 записей отдали на проверку, они есть. А вот сколько их больше – тысяча, 100 тыс. или миллион, – это… Чаще всего те, кто продавцы, подвирают.
Оксана Галькевич: Андрей Игоревич, слушайте, но а вот вы говорите: на расстоянии одного клика, как сказал Костя, вы говорите: это можно легко найти в любом поисковике. А почему же, собственно, поисковые системы-то не ставят заграждения на пути таких поисков? Почему выдают поисковые системы по запросу тысячи вариантов? Странно, казалось бы. Явно же, что это криминальная история.
Константин Чуриков: Оксана хотела спросить: где Роскомнадзор, да?
Оксана Галькевич: Но я не знаю, кто, вот пусть нам Андрей Игоревич расскажет. Кто-нибудь. Да хоть сам Яндекс или Гугл или кто-то еще.
Андрей Масалович: Смотрите, хорошо, что вас двое, вы назвали две совершенно разных проблемы. Первая проблема – это встроенный интеллект в поисковой системе. Его не хватит, чтобы различить статью про мошенничество и само предложение мошенничества. Ему придется все статьи на эту тему тоже блокировать. И, например, если я попытаюсь написать какие-то советы, чтобы этого избежать, там будут те же самые словосочетания, как у мошенников. Это одна сторона. Т. е. поисковик сам по себе технически пока сделать это не может.
Константин Чуриков: Так.
Андрей Масалович: Но другая сторона – это Роскомнадзор, который просто, ну, честно, в последние полгода не знаю, как он живет, а раньше он реально захлебывался. Т. е. сейчас столько платформ для творческих людей, для приложения сил в Интернете для разных новых видов мошенничества, что этот вал будет только нарастать.
Константин Чуриков: Назовем их творческими людьми, хорошо, так мягко.
Андрей Масалович: Да.
Константин Чуриков: Спасибо. Андрей Масалович, президент консорциума «Инфорус», специалист по кибербезопасности. До нас дозвонилась Татьяна, Республика Коми. Татьяна, здравствуйте.
Оксана Галькевич: Здравствуйте, Татьяна.
Константин Чуриков: Как вас это все касается?
Зритель: Здравствуйте. Я хочу сказать вот про этот микрозайм. Вы знаете, я должна в один микрозайм деньги, и они мне, короче, ну, прислали, сколько я должна, и прислали все-все фамилии должников, которые им должны.
Константин Чуриков: Заодно?
Оксана Галькевич: Нормально.
Зритель: Понимаете, вот…
Константин Чуриков: А зачем они это сделали? Они думают, что вы с ними как-то связаны?
Оксана Галькевич: По ошибке.
Зритель: Я не знаю, почему они мне прислали эту бумагу, всех-всех должников, кто им должен. Вот если б я, как говорится, была, там, блогер какой-то или что-то, вот я бы нашла, это самое, адреса бы это и слила бы в эфир. Вот я не пойму, для чего они мне это прислали.
Константин Чуриков: Татьяна, все впереди, еще, конечно, и блогером станете. Я думаю, что просто никто не парился. Как у нас обычно бывает: общее письмо, общая рассылка, и там, значит, поищите свою фамилию, вот вы там указаны, значит, у вас долг вот такая сумма.
Оксана Галькевич: Доска позора такая: еще знай своих соседей-должников в лицо, получается так.
Константин Чуриков: Грустно это все, Татьяна, да.
Оксана Галькевич: Спасибо, Татьяна.
Константин Чуриков: Да, спасибо. Желаем вам выплатить кредит поскорей.
Оксана Галькевич: Как показывает практика, оказаться в какой-нибудь там, я не знаю, базе или быть подписанным на что-то, – совершенно необязательно быть заемщиком микрофинансовой организации. У меня вот перед Новым годом, например, была такая история. С меня списали деньги с карты за какую-то подписку чего-то там, каких-то фильмов в Интернете. У меня этого даже близко вообще нет.
Константин Чуриков: Оксана между эфирами, как известно, активно заходит на сайты онлайн-торговли…
Оксана Галькевич: …Смотрит, да, да.
Константин Чуриков: Сейчас у нас на связи Владимир Ульянов, руководитель Аналитического центра ZECURION. Владимир Владимирович, здравствуйте.
Оксана Галькевич: Здравствуйте.
Владимир Ульянов: Добрый день.
Оксана Галькевич: Владимир Владимирович, первый вопрос у нас, конечно: не родственник ли вы вот того самого Владимира…
Константин Чуриков: Но он был Владимир Ильич.
Оксана Галькевич: …Но мы спрашивать об этом не будем. У нас к вам другие вопросы.
Константин Чуриков: Да. Вы нам скажите, пожалуйста, это чисто наше российское заболевание? Или в мире тоже такая эпидемия этих сливов?
Владимир Ульянов: Конечно же, это история, которая не имеет какой-то явно географической привязки. И нельзя сказать, что в какой-то конкретной отрасли информация утекает, а в другой не утекает. Нет, это действительно общая международная проблема. И если говорить глобально, то проблема вот именно в собственных сотрудниках компаний, которые сливают данные. Т. е., если мы говорим об угрозах информационной безопасности, то прежде всего не хакеры и не какие-то программы-шпионы, которые, конечно же, существуют тоже и их нужно принимать во внимание, но самая большая проблема – это собственные сотрудники организаций, которые сидят на рабочих местах, имея доступ к данным, и могут их своровать. На флешках, через электронную почту, через мессенджеры. Вариантов на самом деле очень много. Хотя бы даже на телефон – сфотографировать экран и вынести с собой, пожалуйста.
Оксана Галькевич: Владимир Владимирович, но все-таки. Вариантов, конечно, много, мы понимаем. Но тем не менее должны быть и ответные много вариантов, чтобы как-то этим опасностям противодействовать. Разве нет? Тем более что вы назвали такие вещи, слушайте, сфотографировать с экрана – по крайней мере, это видно, что сотрудник вот что-то фотографирует, какими-то камерами наблюдения. Флешка – флешку нужно как-то вставить. Ну, должны быть способы, согласитесь. Неужели их нет? Недостаточно? Почему?
Владимир Ульянов: Способы есть. Но нужно понимать, что каждый способ стоит каких-то своих денег. И нельзя посадить на каждого человека, который работает с информацией, отдельного специалиста по безопасности, который за ним будет следить через камеру. Поэтому нужно средства автоматизации. Или те же самые программы, которые следят. Какая флешка подключена, что на нее копируется, данные открытые и закрытые, можно, нельзя. И т. д. Но, понятное дело, что это стоит денег. А компании не всегда заинтересованы в том, чтобы вести свой бизнес не только эффективно с точки зрения самого бизнеса, но и безопасно с точки зрения защиты данных, защиты своих клиентов.
Константин Чуриков: Мы ничего не можем сделать с этими ушлыми менеджерами этих компаний. Но какие конкретные рекомендации вы можете дать нам, потребителям, потенциальным заемщикам? Может быть, есть какой-то способ все-таки смягчить риски эти все, снизить?
Владимир Ульянов: Ну, смотрите, есть, безусловно, общая рекомендация. Но нужно понимать, что самая главная проблема – это уровень доверия. В любом случае, когда мы пользуемся каким-то сервисом, в какую-то организацию приходим и отдаем свои данные, мы не знаем, каким образом они будут обрабатываться. Должным ли образом, будут ли защищаться или нет. Вот в конце концов, мы пришли в бизнес-центр – первым делом у нас спрашивают паспорт. Переписали его в тетрадочку, и вот куда он дальше пойдет, в какую базу попадет, где он всплывет – большой вопрос. Еще хуже, если делают какую-то ксерокопию паспорта. Это уже действительно как бы чревато самыми неприятными последствиями. Поэтому…
Оксана Галькевич: А это же вообще вопрос еще того, а закон-то позволяет вот охранникам, работникам охранных агентств снимать наши данные, записывать куда-то? Вот это тоже вопрос интересный. Мы никогда его не задавали ни себе, ни этим людям.
Владимир Ульянов: Одно дело закон, другое дело – его выполнение. И третье дело – опять же, сложившаяся практика. Вот сейчас практика сложилась так, что фактически, если вы придете без паспорта, вас не пустят. Ну, или, в лучшем случае, возьмут водительские права или какой-то другой документ перепишут. Иначе вы фактически не получаете услугу. Точно так же как в любом приложении или сервисе, когда вы регистрируетесь, если вы не согласны с условиями, и даже там мелким шрифтом будет написано, что ваши данные будут передаваться третьим лицам…
Константин Чуриков: Я вижу решение: а просто не надо шастать по бизнес-центрам. Спасибо. Владимир Ульянов у нас был на связи, руководитель Аналитического центра ZECURION.
Оксана Галькевич: Работать в гаражах у … Никакого пропускного режима.
Константин Чуриков: А чего? Там честные ребята, по крайней мере.
Оксана Галькевич: Меняем тему, друзья.