Что же протекло на 500 миллионов записей. Попытка поиска (неудачная) и теория заговора (обыкновенная)
Что было объявлено
23 февраля 2024 РКН сообщил, что они не только опять заблокировали себе всем то, что смотреть нельзя, но и где-то нашли 500 млн. утекших записей — вот новость на Хабре, из которой не понятно ничего.
26 февраля 2024 года представитель Роскомнадзора сообщил СМИ, что специалисты ведомства проверяют скомпилированный файл с утечкой с 500 млн записей, выложенный в общий доступ в этом году, но определить, к какому периоду относится информация, сложно. (Новость на Хабре)
Понятнее не стало, и вот почему
Очевидно что 500 миллионов записей — это не 500 миллионов жителей, столько в России не живет. Значит, речь идет о какой-то выгрузке баз со связями «один ко многим» или «многие ко многим» — про что можно прочитать на хабре же в статье Связи между таблицами базы данных. Или о какой-то компиляции ранних утечек с обогащением.
Просмотр русскоязычного телеграмма
https://t.me/dataleak — никаких новостей про такую огромную утечку нет. Есть свежая утечка из какой-то МФО — 17,9 млн уникальных номеров телефонов, из больницы Татарстана — 4.3 млн записей.
В конце ноября 2023 были выложены следующие базы, из крупного:
Гемотест Заказы — более 550 млн. результатов анализов. База с данными клиентов давно находится в свободном доступе, а результаты анализов из той же самой утечки, до вчерашнего дня считались «приватом».
fotostrana.ru 2020 — известный в узких кругах парсинг профилей социальной сети от 04.2020, содержащий более 63 млн записей (имя, дата рождения, пол, город, ссылка на аватар и профиль).
Антикредит 2015 — черный список физлиц, неофициально использующийся службами безопасности различных банков при проверке заемщиков. Содержит 22,9 млн строк (ФИО, паспорт, дата рождения, телефон, место работы, описание заемщика). Реальная актуальность — 10.2016.
Гемотест — это базы еще от 2022 года:
По заявлению продавца в базе 31 млн строк, содержащих: ФИО, дату рождения, адрес, телефон, адрес эл. почты, серию/номер паспорта и т.п.
Судя по приведенному продавцом образцу данных, эта база была выгружена не раньше 22.04.2022, что может говорить о наличии до сих пор открытой уязвимости.
Но это все 2023 год.
Канал https://t.me/data1eaks
обновляется гораздо реже, и там из крупного указана только утечка в сентябре 2023 из МТС — банк, на 21 миллион строк, из них в открытый доступ выложили 1.351.982 номеров телефонов. Подлинность и уникальность базы, и вообще существование утечек никто в канале не проверял.
Иностранные агрегаторы утечек
Тоже молчат.
Есть новости от 8 января 2024 года про выкладывание базы на 30 миллионов клиентов Альфа банка —
Перевод: KibOrg, украинская группа журналистов и ИТ-специалистов, 8 января опубликовала, как они утверждали, полную базу данных клиентов крупнейшего российского коммерческого банка Альфа-Банка, содержащую личные данные более 30 миллионов клиентов, начиная с 2004 года. Банк опроверг и назвал утечку данных дезинформацией.
Оригинал: KibOrg, a Ukrainian group of journalists and IT specialists, released, on January 8,
what they claimed was the full customer database of Russia’s largest commercial
bank, Alfa-Bank, containing personal details of over 30 million clients dating
back to 2004. Alfa-Bank denied and dismissed the data leak as misinformation. Источник
Сама база — как пишут — появилась в продаже еще 19 октября 2023.
Есть новости про Малазию, Бразилию, Австралию. Есть общая статистика утечек за 2020–2024.
Пишут про топ-5 утечек — какая-то МЕГА-утечка, Планета (РФ), Индия, Бразилия, Малайзия.
Пишут про утечку на 28 миллионов учетных записей из Moscow International Higher Business School MIRBIS Allegedly Breached A database — например, тут, но без деталей.
И про нее же в X-твиттере —
Перевод: На хакерском форуме была размещена база данных, состоящая из почти 28 миллионов строк, принадлежащая Московской международной высшей школе бизнеса (МИРБИС).
Киберпреступник, известный как «Инниан», утверждает, что 5,4 ГБ данных включают в себя имена, адреса электронной почты, номера телефонов, физические адреса, должности и другие подробности, и опубликовал образец данных.
A database consisting of nearly 28 million lines belonging to the Moscow International Higher Business School (MIRBIS) has been posted on a hacking forum.
The cybercriminal, identified as «Ynnian», claims that the 5.4 GB of data includes names, email addresses, phone numbers, physical addresses, job titles, among other details, and has published a sample of the data. Источник.
Все вышеперечисленное не соответствует заявленным »500 миллионам записей» — в них или указан существенно меньший объем, или они обнаружены ранее, или все сразу.
Кто мог протечь?
Таким объемом информации, как легко заметить, не располагает даже Альфа-Банк. Остаются следующие возможные варианты:
Самый простой и очевидный вариант, поскольку новостей нет нигде, даже в иностранном и не цензурируемом инфополе, это то, что вся ситуация не то чтобы придумана, а додумана — что не 500 миллионов записей \ строк, а 40, или что это выше упомянутый гемотест, но новая база. Главное дайте денег.
Если же рассматривать заявление как реально произошедшее событие, то такой объем данных может быть у нескольких организаций — это Сбербанк, налоговая, государственный пенсионный фонд, совокупная база данных кого-то из сотовых операторов, фонд ОМС, ГИБДД, и такой агрегатор как госуслуги. Сюда же можно включить и крупнейший оператор данных — МВД с базой внутренних паспортов и вернувшейся под видом «постоянной регистрации» старой доброй прописки, со штрафом за ее отсутствие. Стоит вспомнить Российский союз автостраховщиков — единый оператор ОСАГО. Качество его работы знает любой, попытавшийся застраховать 2 колесное транспортное средство, хотя и все страховые по ОСАГО — без исключений — давно должны были бы быть призваны к финансовому ответу за который год проблемы по ОСАГО.
Все остальные банки, негосударственные пенсионные фонды, ДМС, больницы, прочие субъекты обработки персональных данных, от Пятерочки до московского метро (куда, если кто забыл, совсем недавно надо было подавать заявки на поездку через гос.услуги) — не оперируют такими объемами данных. Тот же гемотест — как показано выше — оперирует такими объемами анализов (записей), но не учетных данных (уникальных клиентов). Добавлю российские социальные сети — ВК, одноклассники, и, очевидно, Телеграм — в котором очевидно, что пользователей достаточно много, но в таком случае утечка, скорее всего, не была бы объявлена российской.
РЖД и система АСУ «Экспресс» тоже должна оперировать огромным объемом данных.
Чуть не забыл торжественно введенную в строй в 2022 году систему собачьих паспортов от Министерства спорта, куда добровольно-принудительно прописали Ростелеком и потач — Москва (148 тыс.), Санкт-Петербург (132 тыс.), Краснодар (123 тыс.), Нижегородская (88 тыс.) и Ростовская области (78 тыс.), совокупно больше миллиона записей. Проект настолько финансово интересен, что итоговые цифры убытков по нему находятся под негласным запретом на написание статей. Может еще Яндекс.Разное — как агрегатор такси, доставки итд. Кстати, сервисы знакомств, но крупных российских таких остался один, мамба.
Анализ слухов
Со слухами в российском публичном поле все очень хорошо, или плохо — смотря для кого.
Без всяких слухов, масса информации копится и обогащается через СОРМ-2, СОРМ-3 с дополнением от Яровой.
Без всяких слухов, Минкомсвязи в 2019 году фактически признали локальную утечку с госуслуг.
Без всяких слухов, Сбербанк еще в 2020 году указал на размещение колл-центров уполномоченных всех банков сразу, включая ЦБ.
Поэтому анализировать разнообразные слухи, в целом, бессмысленно.
Что делать
Да, особо, сделать ничего нельзя. Можно внепланово сменить пароль на основных сервисах — банки, госуслуги, соцсети, что-то еще крупное, и на электроную почту. Поставить лимиты на банковские карты, особенно учитывая последнюю моду Тинькова и ВТБ проводить платежи по два раза или кому попало. Хотя и Альфа банк Россия и Альфа банк Белоруссия такие же, потому что 3dsecure в пуше \смс запрашивают не они, а банк «с той стороны», а он ничего никому не должен. Запретить (подается заявление) замену сим карт без визита в офис оператора сотовой связи. Запретить регистрационные действия в Росреестре без личного визита.
Разумеется, не забыть слить в праведном гневе карму автору и рейтинг статье с выбором пункта «не для Хабра и автор мне не нравится».
PS. Хаба «Государство, его инициативы и персональные данные» — нет.
