Компьютерра - Журнал «Компьютерра» № 11 от 20 марта 2007 года

В ноябре 2005 года в продаже появилась еще одна база, с налоговыми декларациями почти 10 млн. москвичей за 2004 год. Стоил диск с этими данными относительно дешево - 1500 рублей. Следует отметить, что это был уже не первый случай, когда налоговики допустили утечку. Ранее в Москве можно было приобрести аналогичную информацию за 1999-2002 гг. Правда, стоила она 1000 рублей. Но инфляция есть инфляция.

Помимо собственно информации о доходах, любой покупатель мог ознакомиться с местом работы и адресами налогоплательщиков. Базы оказались достоверными. По слухам, чиновников, организовавших слив в 2005 году, органы нашли и даже выяснили, что некие заинтересованные лица заплатили им за выдачу данных $2,5 млн. Вероятно, именно этот случай стал последней каплей, после которой в Думу был внесен первый вариант законопроекта "О защите персональных данных".

Ну и наконец, весной прошлого года серьезно подмочили репутацию московской паспортно-визовой службе. Выяснилось, что некий Московский центр экономической безопасности (МЦЭБ) уже около года открыто принимает на своем сайте заказы на базу паспортных данных москвичей. За $1200 предлагалась соответствующая информация о 16,5 млн. бывших и нынешних жителей столицы. После того как страсти улеглись, выяснилось, что никаких юридических оснований для привлечения представителей МЦЭБ к ответственности нет, поскольку распространение чужих персональных данных в нашей стране до последнего времени было легальным делом. Незаконными были действия сотрудников службы, сливавших эту информацию продавцам, но установить виновных не удалось, так как МЦЭБ вовсе не обязан называть своего "поставщика".

Из вышеописанных инцидентов можно сделать вывод, что особого пиетета по поводу защиты персональной информации органы не испытывают и считать сложившуюся ситуацию ненормальной не готовы. Кстати, новоиспеченный закон как раз и должен привить бизнесменам и чиновникам уважение к личным данным клиентов/граждан. Хотя согласитесь, что поверить в чудодейственное влияние на умы одного-единственного закона непросто.

С продажей личных данных абонентов пару лет назад произошла история, аналогичная случаю с МЦЭБ. Представители Вымпелкома сообщили в милицию о существовании сайта sherlok.ru, функционирующего по сей день, на котором предлагалась информация о московских и петербургских клиентах "большой тройки" - Вымпелкома, МегаФона и МТС. Органы правопорядка отреагировали на сигнал и даже задержали семерых подозреваемых, в том числе трех сотрудников самого Вымпелкома. Решением суда они были признаны виновными и приговорены к различным штрафам.

Хотелось бы напомнить, что утечки свойственны не только и не столько госструктурам, но и бизнесу. Просто в России необычно велика доля государственных учреждений, допустивших кражу персональных данных, тогда как за рубежом подобное ротозейство - удел в основном корпоративных сотрудников. Да и масштабы там не те. Воруют все больше не базы целиком, а некие группы записей. Хотя "миллионные" инциденты и там бывали. Самым вопиющим случаем стала утечка 40 млн. записей о владельцах кредитных карт в позапрошлом году. Большая часть записей приходилась на MasterCard и Visa, но пострадали и владельцы карт American Express и Discover.

Руководство MasterCard обвинило в случившемся компанию CardSystems Solutions, крупного обработчика информации для банков и фирм (оборот процессинга составлял около $15 млрд. в год). В MasterCard заявили, что система обеспечения безопасности в проштрафившейся фирме была далека от совершенства, так что хакеры без особого труда смогли получить доступ к сведениям о владельцах кредитных карт. Злоумышленники получили информацию об именах кардхолдеров, номерах счетов и кодах подтверждения. Для некоторых форм мошенничества этого вполне достаточно, хотя более распространенные среди кардеров трюки с ложной идентификацией пользователей требуют также номер социального страхования, адрес и дату рождения. Эту информацию преступникам выудить не удалось.

Выяснилось, что компания продолжала хранить записи, подлежащие удалению, а данные о транзакциях не шифровались. Преступники смогли установить в сети компании трояна, перехватывающего данные о кредитных картах в процессе проведения финансовых транзакций. Вскоре от банков стали поступать сообщения о новых способах мошенничеств. Тогда приглашенные специалисты из Cybertrust приступили к расследованию и выяснили, что перехват происходит на участке CardSystems.