Разношенные боты. Путь к персональным данным россиян прошел через Telegram

Никита Королев 21.02.2021 21:25 | Общество 78

Российские власти начали проявлять серьезное беспокойство в связи с распространением в Telegram ботов, которые за относительно небольшую плату позволяют получить подробную информацию почти о любом жителе страны. Раньше такие возможности были только у опытных пользователей даркнета или силовиков, а теперь доступны любому зарегистрировавшемуся в мессенджере. Рынок ботов активно растет. По мнению юристов, их деятельность незаконна. Но механизмов противодействия ни у государства, ни у граждан пока нет. На ситуацию может прямо повлиять только сам Telegram, но его основатель Павел Дуров неохотно сотрудничает с властями.

Пробить за 60 секунд

В 2020 году в Telegram активизировалось создание ботов (робот, который может выполнять последовательность действий и имеет встроенный поисковый механизм), позволяющих пользователю мессенджера получить информацию практически о любом человека. Впервые такие сервисы появились еще несколько лет назад, но если раньше их были единицы, то сейчас можно найти уже пару десятков. В числе старейших и самых крупных — «Глаз Бога», «Архангел», Smart_SearchBot и AVinfoBot.

Используя их и элементарную логику можно узнать очень многое об объекте интереса. Если загрузить в бот, например, имя человека, он выдаст подборку из 10–20 номеров телефонов, привязанных к этому имени. По номеру телефона можно получить уже фото владельца, ссылки на его соцсети, выгрузку объявлений из сервиса «Авито», адрес электронной почты и номер автомобиля. По номеру автомобиля можно узнать еще больше: адрес прописки, паспортные данные, информацию о машине и ее фотографии. В некоторых случаях в перечне информации по запросу могут быть пароли от электронной почты и социальных сетей, а иногда даже подробное досье на человека отдельным файлом. Корреспондент “Ъ”, например, нашел с помощью одного из ботов свои персональные данные и пароли от e-mail.

Как правило, владельцы таких сервисов скупают или получают бесплатно утекшие базы данных ведомств и компаний, говорит основатель компании «Интернет Розыск» (разрабатывает решения по информационной безопасности) Игорь Бедеров (см. интервью). Все утечки собираются в СУБД (система управления базами данных), поясняет он. Так, благодаря утекшей в 2020 году базе пользователей «ВКонтакте» можно по адресу страницы в соцсети узнать номер телефона, а база ГИБДД поможет выяснить данные об автомобиле и его владельце (см. инфографику).

Также разработчики ботов используют программы для парсинга — сбора данных из открытых источников. Парсинг сервисов бесплатных объявлений, например «Авито», позволяет объединить имя объекта поиска, его почту и номер телефона. Боты также могут собирать данные юридических лиц, подключившись к легальным информационно-аналитическим системам, например «СПАРК-Интерфакс» или Kartoteka.ru.

Задействованы и возможности самого Telegram. Осенью 2020 года в мессенджере появилась новая функция: можно отправить боту геоточку, и он в радиусе 100 м от нее покажет аккаунты всех пользователей, которые находятся там в данный момент или были какое-то время назад.

Мы пробиваем, нас пробивают

Боты для поиска информации о людях в основном работают по трем бизнес-моделям. Это может быть подписка на определенный период (день, месяц или год), в рамках которого число запросов неограниченно. Стоимость подписок варьируется от 65 руб. до 2,5 тыс. руб. за день. Другой вариант — розничная покупка запросов (например, 1, 100 или 500). Есть и тарифные планы, в которые входят, например, пакет из 500 запросов на месяц и полное досье на человека. Тариф подходит для служб безопасности, юридических компаний, финансовых организаций и людей, «чей образ мышления требует знать больше обычного», следует из его описания.

Опрошенные “Ъ” эксперты сходятся во мнении, что для запуска подобных сервисов не требуется серьезных вложений. В первую очередь нужен виртуальный облачный сервер для хранения баз данных и их обработки, поясняет господин Бедеров. Покупать физические серверы для этого не нужно. В среднем, по оценке эксперта, таким сервисам нужно 200–300 Тбайт пространства для стабильной работы. Объем баз данных «Архангела» составляет сотни терабайтов, анонимно рассказали “Ъ” его администраторы. В числе прочих затрат — покупка утечек баз данных, многие из которых зачастую можно найти и в свободном доступе, разработка программ-парсеров и зарплаты сотрудникам.

По усредненным оценкам экспертов, для старта работы бота достаточно 1 млн руб. Эти средства пойдут на привлечение команды из десяти человек, покупку баз данных и аренду облачных хранилищ. По словам представителя Smart_SearchBot, в первый год работы проект потребовал от его создателей не более $10 тыс. (примерно 730 тыс. руб. по курсу ЦБ на 18 февраля).

Потенциальная годовая маржа подобных ботов может оцениваться в 200 млн руб. в год, полагает господин Бедеров. Эту оценку подтверждает собеседник “Ъ” на рынке.

Инвестиции в запуск «Архангела» окупились в первый же месяц, говорят его администраторы. По их словам, первые полгода проект работал в закрытом режиме, был доступен только определенным клиентам и в публичное поле вышел только в середине 2020 года. Зато теперь месячные обороты «Архангела», по словам его представителя, исчисляются «далеко не несколькими миллионами рублей».

Стратегия продвижения таких площадок не отличается от таковой у обычных Telegram-каналов. Это могут быть покупка постов, перекрестных ссылок и другое сотрудничество. По словам расследователя «Роскомсвободы» Андрея Каганских, в конце 2020 года «Глаз Бога» закупал рекламу в Telegram-канале «Двач» (542 тыс. подписчиков), пытаясь расширить аудиторию.

Основными пользователями ботов для пробива людей один из участников рынка называет ревнивых супругов и автолюбителей, которые хотят, например, найти владельца подрезавшей их на дороге машины. Также, добавляет он, сервис может представлять интерес, например, для владельцев недвижимости, которые хотят узнать больше о потенциальном арендаторе. Чаще всего люди пытаются выяснить через бот номера телефонов, электронную почту или найти аккаунты человека в социальных сетях, добавляют в Smart_SearchBot.

Рынок таких решений продолжит расти, уверен аналитик центра мониторинга и реагирования на кибератаки Solar JSOC «Ростелекома» Александр Ненахов, поскольку боты «дают простой инструмент поиска широкому кругу лиц: если раньше подобные сервисы приходилось искать в даркнете и это было непросто, то сейчас для этого просто нужен Telegram».

Основное преимущество Telegram как канала для роста нового бизнеса в его анонимности, считает руководитель технологической практики КПМГ в России и СНГ Николай Легкодимов. Другие мессенджеры, по его мнению, не вызывают высокого доверия у пользователей. Сервис WhatsApp, принадлежащий американской соцсети Facebook, в январе, например, обновил пользовательское соглашение, обязав всех пользователей делиться с ней данными. По новому пользовательскому соглашению, Facebook получит сведения о номере телефона, трансакциях и IP-адресах.

Брешь, пробитая в законодательстве

Законность работы ботов и действий их клиентов вызывает очевидные сомнения. Владельцы и пользователи подобных ботов попадают под действие административного кодекса и могут быть оштрафованы за нарушение правил обработки персональных данных на сумму 3 тыс. руб., говорит преподаватель Moscow Digital School Вадим Перевалов.

Теоретически они могут попасть под действие и Уголовного кодекса за нарушение неприкосновенности частной жизни, допускает доцент факультета права ВШЭ Александр Савельев. В таком случае штраф, по его словам, уже составит до 200 тыс. руб., но в отношении злоумышленников может быть принято решение и о лишении свободы до двух лет.

Владельцы таких сервисов фактически перекладывают ответственность с себя на пользователя. «При использовании бота человек подтверждает, что он получил письменное согласие на обработку персональных данных от человека, чьи данные он хочет проверить»,— говорят в «Архангеле». Если такого согласия нет, человек нарушил закон, отмечают представители сервиса.

Но на деле наказать человека за использование бота практически невозможно. «Органам сложно выявить факт использования бота конкретным человеком, установить его личность, а потом собрать формальные доказательства нарушения с его стороны, если только речь не идет о проверке уже изъятого мобильного телефона»,— говорит господин Перевалов. По его мнению, единственный возможный способ наказывать пользователей таких площадок — выяснять, кто переводил денежные средства на счета владельцев бота. «В таком случае можно было бы выписывать штрафы всем пользователям, которые совершали платежи, но сейчас таких законодательных механизмов просто не существует»,— добавляет эксперт.

Власти и госорганы обратили внимание на деятельность ботов в Telegram только в начале 2021 года, когда в одном из каналов появились персональные данные полицейских и росгвардейцев, участвующих в задержаниях на митингах в поддержку Алексея Навального (см. “Ъ” от 30 января). После публикации в “Ъ” Роскомнадзор потребовал от Telegram прекратить распространение персональных данных граждан, поскольку это угрожает их безопасности. 6 февраля основатель Telegram Павел Дуров заявил о блокировке этих каналов.

В Госдуме неохотно признают, что сегодня фактически нет механизмов, чтобы остановить работу подобных площадок. «Пользователи и администраторы ботов, конечно, совершают преступление, если в их работе используются слитые базы данных. Но эта область юридически попадает в серую зону»,— говорит депутат фракции «Единой России» Антон Горелкин. Он констатирует, что запрет или регулирование работы таких площадок сегодня зависит исключительно от воли Павла Дурова, который пока неохотно идет на контакт с российскими властями. Сам господин Дуров и официальный представитель Telegram в России обсуждать этот вопрос с “Ъ” не захотели.

Фото: Игорь Иванко / Коммерсантъ

Подробнее на: kommersant.ru

Сейчас на главной
Статьи по теме
Статьи автора