Российские власти начали проявлять серьезное беспокойство в связи с распространением в Telegram ботов, которые за относительно небольшую плату позволяют получить подробную информацию почти о любом жителе страны. Раньше такие возможности были только у опытных пользователей даркнета или силовиков, а теперь доступны любому зарегистрировавшемуся в мессенджере. Рынок ботов активно растет. По мнению юристов, их деятельность незаконна. Но механизмов противодействия ни у государства, ни у граждан пока нет. На ситуацию может прямо повлиять только сам Telegram, но его основатель Павел Дуров неохотно сотрудничает с властями.

Пробить за 60 секунд

В 2020 году в Telegram активизировалось создание ботов (робот, который может выполнять последовательность действий и имеет встроенный поисковый механизм), позволяющих пользователю мессенджера получить информацию практически о любом человека. Впервые такие сервисы появились еще несколько лет назад, но если раньше их были единицы, то сейчас можно найти уже пару десятков. В числе старейших и самых крупных — «Глаз Бога», «Архангел», Smart_SearchBot и AVinfoBot.

Используя их и элементарную логику можно узнать очень многое об объекте интереса. Если загрузить в бот, например, имя человека, он выдаст подборку из 10–20 номеров телефонов, привязанных к этому имени. По номеру телефона можно получить уже фото владельца, ссылки на его соцсети, выгрузку объявлений из сервиса «Авито», адрес электронной почты и номер автомобиля. По номеру автомобиля можно узнать еще больше: адрес прописки, паспортные данные, информацию о машине и ее фотографии. В некоторых случаях в перечне информации по запросу могут быть пароли от электронной почты и социальных сетей, а иногда даже подробное досье на человека отдельным файлом. Корреспондент “Ъ”, например, нашел с помощью одного из ботов свои персональные данные и пароли от e-mail.

Как правило, владельцы таких сервисов скупают или получают бесплатно утекшие базы данных ведомств и компаний, говорит основатель компании «Интернет Розыск» (разрабатывает решения по информационной безопасности) Игорь Бедеров (см. интервью). Все утечки собираются в СУБД (система управления базами данных), поясняет он. Так, благодаря утекшей в 2020 году базе пользователей «ВКонтакте» можно по адресу страницы в соцсети узнать номер телефона, а база ГИБДД поможет выяснить данные об автомобиле и его владельце (см. инфографику).

Также разработчики ботов используют программы для парсинга — сбора данных из открытых источников. Парсинг сервисов бесплатных объявлений, например «Авито», позволяет объединить имя объекта поиска, его почту и номер телефона. Боты также могут собирать данные юридических лиц, подключившись к легальным информационно-аналитическим системам, например «СПАРК-Интерфакс» или Kartoteka.ru.

Задействованы и возможности самого Telegram. Осенью 2020 года в мессенджере появилась новая функция: можно отправить боту геоточку, и он в радиусе 100 м от нее покажет аккаунты всех пользователей, которые находятся там в данный момент или были какое-то время назад.

источник: im.kommersant.ru

Мы пробиваем, нас пробивают

Боты для поиска информации о людях в основном работают по трем бизнес-моделям. Это может быть подписка на определенный период (день, месяц или год), в рамках которого число запросов неограниченно. Стоимость подписок варьируется от 65 руб. до 2,5 тыс. руб. за день. Другой вариант — розничная покупка запросов (например, 1, 100 или 500). Есть и тарифные планы, в которые входят, например, пакет из 500 запросов на месяц и полное досье на человека. Тариф подходит для служб безопасности, юридических компаний, финансовых организаций и людей, «чей образ мышления требует знать больше обычного», следует из его описания.

Опрошенные “Ъ” эксперты сходятся во мнении, что для запуска подобных сервисов не требуется серьезных вложений. В первую очередь нужен виртуальный облачный сервер для хранения баз данных и их обработки, поясняет господин Бедеров. Покупать физические серверы для этого не нужно. В среднем, по оценке эксперта, таким сервисам нужно 200–300 Тбайт пространства для стабильной работы. Объем баз данных «Архангела» составляет сотни терабайтов, анонимно рассказали “Ъ” его администраторы. В числе прочих затрат — покупка утечек баз данных, многие из которых зачастую можно найти и в свободном доступе, разработка программ-парсеров и зарплаты сотрудникам.

По усредненным оценкам экспертов, для старта работы бота достаточно 1 млн руб. Эти средства пойдут на привлечение команды из десяти человек, покупку баз данных и аренду облачных хранилищ. По словам представителя Smart_SearchBot, в первый год работы проект потребовал от его создателей не более $10 тыс. (примерно 730 тыс. руб. по курсу ЦБ на 18 февраля).

Потенциальная годовая маржа подобных ботов может оцениваться в 200 млн руб. в год, полагает господин Бедеров. Эту оценку подтверждает собеседник “Ъ” на рынке.

источник: im.kommersant.ru

Инвестиции в запуск «Архангела» окупились в первый же месяц, говорят его администраторы. По их словам, первые полгода проект работал в закрытом режиме, был доступен только определенным клиентам и в публичное поле вышел только в середине 2020 года. Зато теперь месячные обороты «Архангела», по словам его представителя, исчисляются «далеко не несколькими миллионами рублей».

Стратегия продвижения таких площадок не отличается от таковой у обычных Telegram-каналов. Это могут быть покупка постов, перекрестных ссылок и другое сотрудничество. По словам расследователя «Роскомсвободы» Андрея Каганских, в конце 2020 года «Глаз Бога» закупал рекламу в Telegram-канале «Двач» (542 тыс. подписчиков), пытаясь расширить аудиторию.

Основными пользователями ботов для пробива людей один из участников рынка называет ревнивых супругов и автолюбителей, которые хотят, например, найти владельца подрезавшей их на дороге машины. Также, добавляет он, сервис может представлять интерес, например, для владельцев недвижимости, которые хотят узнать больше о потенциальном арендаторе. Чаще всего люди пытаются выяснить через бот номера телефонов, электронную почту или найти аккаунты человека в социальных сетях, добавляют в Smart_SearchBot.

Рынок таких решений продолжит расти, уверен аналитик центра мониторинга и реагирования на кибератаки Solar JSOC «Ростелекома» Александр Ненахов, поскольку боты «дают простой инструмент поиска широкому кругу лиц: если раньше подобные сервисы приходилось искать в даркнете и это было непросто, то сейчас для этого просто нужен Telegram».

Основное преимущество Telegram как канала для роста нового бизнеса в его анонимности, считает руководитель технологической практики КПМГ в России и СНГ Николай Легкодимов. Другие мессенджеры, по его мнению, не вызывают высокого доверия у пользователей. Сервис WhatsApp, принадлежащий американской соцсети Facebook, в январе, например, обновил пользовательское соглашение, обязав всех пользователей делиться с ней данными. По новому пользовательскому соглашению, Facebook получит сведения о номере телефона, трансакциях и IP-адресах.

источник: im.kommersant.ru

Брешь, пробитая в законодательстве

Законность работы ботов и действий их клиентов вызывает очевидные сомнения. Владельцы и пользователи подобных ботов попадают под действие административного кодекса и могут быть оштрафованы за нарушение правил обработки персональных данных на сумму 3 тыс. руб., говорит преподаватель Moscow Digital School Вадим Перевалов.

Теоретически они могут попасть под действие и Уголовного кодекса за нарушение неприкосновенности частной жизни, допускает доцент факультета права ВШЭ Александр Савельев. В таком случае штраф, по его словам, уже составит до 200 тыс. руб., но в отношении злоумышленников может быть принято решение и о лишении свободы до двух лет.

Владельцы таких сервисов фактически перекладывают ответственность с себя на пользователя. «При использовании бота человек подтверждает, что он получил письменное согласие на обработку персональных данных от человека, чьи данные он хочет проверить»,— говорят в «Архангеле». Если такого согласия нет, человек нарушил закон, отмечают представители сервиса.

Но на деле наказать человека за использование бота практически невозможно. «Органам сложно выявить факт использования бота конкретным человеком, установить его личность, а потом собрать формальные доказательства нарушения с его стороны, если только речь не идет о проверке уже изъятого мобильного телефона»,— говорит господин Перевалов. По его мнению, единственный возможный способ наказывать пользователей таких площадок — выяснять, кто переводил денежные средства на счета владельцев бота. «В таком случае можно было бы выписывать штрафы всем пользователям, которые совершали платежи, но сейчас таких законодательных механизмов просто не существует»,— добавляет эксперт.

Власти и госорганы обратили внимание на деятельность ботов в Telegram только в начале 2021 года, когда в одном из каналов появились персональные данные полицейских и росгвардейцев, участвующих в задержаниях на митингах в поддержку Алексея Навального (см. “Ъ” от 30 января). После публикации в “Ъ” Роскомнадзор потребовал от Telegram прекратить распространение персональных данных граждан, поскольку это угрожает их безопасности. 6 февраля основатель Telegram Павел Дуров заявил о блокировке этих каналов.

В Госдуме неохотно признают, что сегодня фактически нет механизмов, чтобы остановить работу подобных площадок. «Пользователи и администраторы ботов, конечно, совершают преступление, если в их работе используются слитые базы данных. Но эта область юридически попадает в серую зону»,— говорит депутат фракции «Единой России» Антон Горелкин. Он констатирует, что запрет или регулирование работы таких площадок сегодня зависит исключительно от воли Павла Дурова, который пока неохотно идет на контакт с российскими властями. Сам господин Дуров и официальный представитель Telegram в России обсуждать этот вопрос с “Ъ” не захотели.

Никита Королев

Цена вопроса

Александр Журавлев — о защите своих прав в случае утечки персональных данных

Персональные данные граждан — лакомый товар, и их незаконный оборот с годами только растет. Последствия этого для граждан могут быть разными: от назойливой рекламы и возможности «пробить» человека до мошенничества в банковской и других сферах. Но сейчас российское законодательство не готово адекватно ответить на растущие вызовы.

Владельцы Telegram-ботов, позволяющих за плату получить данные о конкретном человеке, с юридической точки зрения занимаются обработкой персональных данных. Таким образом, и клиенты таких ботов, и их владельцы выступают операторами персональных данных. Но законно обрабатывать их они могут лишь при согласии гражданина, то есть субъекта персональных данных. Получение и распространение информации без его согласия — нарушение закона.

Конечно, российское законодательство формально позволяет пострадавшим защитить себя, если данные распространяются без их ведома: можно взыскать моральный вред или убытки. Но на практике взыскать убытки не удавалось пока никому, поскольку невозможно доказать причинно-следственную связь, которая к этим потерям привела. В случае с анонимными ботами и ответчика-то найти зачастую невозможно.

Пострадавший может обратиться в Роскомнадзор, который вправе начать проверку и, если найдет владельца бота, может оштрафовать его и обратиться в суд. Но штрафы от таких разбирательств идут в бюджет, а не гражданину.

Наконец, остается вариант обратиться в правоохранительные органы. Но уголовных дел, в которых фигурируют Telegram-боты, еще не было. В целом по простым делам с утечками данных виновные, как правило, отделываются незначительным штрафом или условным сроком.

Получается, что у наших граждан фактически нет эффективных инструментов защиты своих прав в случае утечки и распространения персональных данных. А у российских операторов, обрабатывающих такие данные, нет стимула их защищать. Но россияне понимают, что так быть не должно: по данным ВЦИОМа, увеличение штрафов для интернет-площадок за нарушения, допущенные при обработке персональных данных, одобряют 58% опрошенных.

В отличие от России, действующее в Евросоюзе законодательство по защите персональных данных сформировало прозрачный оборот данных граждан на практике и стимулирует операторов данных их защищать. Это стало возможным, поскольку над нарушителями закона фактически висит «дамоклов меч» в виде штрафов до 4% от оборота компании.

Российская система ответственности за такие нарушения, на мой взгляд, нуждается в кардинальных реформах с опорой на европейский опыт. Административным штрафам необходима прогрессивная шкала, а граждане должны иметь право взыскивать фиксированную компенсацию за утечку их данных. Наказание должно учитывать характер нарушения, масштаб оператора данных и принимаемые им меры для их защиты.

Ключевую роль будет играть правоприменение, поэтому для таких дел нужен специальный суд, ведь масштабы незаконной добычи «новой нефти», то есть данных, с годами будут лишь расти. Параллельно следует совершенствовать законодательство о регулировании подобных ботов, которые уже в ближайшее время могут стать главным оружием киберпреступников. Первые шаги для этого должны быть сделаны со стороны государства.

Александр Журавлев, председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России.

«Все прошлые утечки покажутся нам ничтожными»

Игорь Бедеров, основатель компании «Интернет Розыск»

О перспективах рынка Telegram-ботов для поиска данных о людях рассказал “Ъ” основатель информационно-аналитической компании по предупреждению и расследованию преступлений «Интернет Розыск» Игорь Бедеров.

— Как появился рынок ботов для «пробива» людей?

— Еще в 1980-е годы в КГБ впервые задумались о сборе данных на советских электронно-вычислительных машинах (ЭВМ). Тогда появились СУБД (системы управления базой данных). Это были базы ГАИ и прототип «Розыск-Магистрали» (государственная база данных, в которой собираются данные о перемещении россиян.— “Ъ”). Уже после развала Союза базы данных стали физически утекать: продавались на дисках всем желающим. Это был первый этап формирования рынка.

Второй начался примерно в 2009 году вместе с развитием скоростного интернета, социальных сетей и государственных открытых информационных систем. На рынке появились сервисы-агрегаторы, которые собирали открытую информацию и сводили ее в один массив, формируя на людей своеобразные досье. Здесь особенно помогали соцсети: раньше пользователи «ВКонтакте», например, часто оставляли открытыми номера телефонов, и подобные программы собирали их. Сейчас 90% сервисов на рынке — агрегаторы данных.

Третий этап начался в 2019 году. К уже имеющимся решениям добавляется глубокий автоматизированный анализ информации на основе искусственного интеллекта (ИИ). Теперь каждый выгруженный элемент данных о человеке подвергается анализу: система, например, находит номер телефона, а затем по цепочке добавляет к нему больше информации. То есть то, что раньше делала группа аналитиков, теперь делает бот, написанный, например, на языке программирования Python.

— Вы используете утекшие базы данных в своей работе?

— Нет, мы работаем строго в рамках законодательства и сотрудничаем с правоохранительными органами.

— Как именно сотрудничаете?

— У нас есть несколько решений, частичный доступ к которым мы открыли всем. Правоохранителям мы открыли доступ полностью. Например, мы запустили сеть Telegram-ботов — деанонимайзеров. Их пользователи дают согласие на передачу своих данных: номера телефона, страницы в соцсети, геолокации, информации о смартфоне и так далее. В обмен они получают доступ к уже сформированной базе людей. Все данные собраны в СУБД, доступ к которой мы бесплатно предоставляем силовым структурам, потому что считаем это правильным.

— То есть вы сделали добровольный троян, только внутри Telegram?

— По сути — да, приманку для злоумышленников.

— Я слышал, что правоохранители используют боты, которые выгружают информацию о членах разных открытых каналов и чатов, а потом ищут корреляцию. Это возможно?

— Такие сервисы действительно есть, силовики пользуются ими. Мне известно о существовании трех ботов, которые постоянно выгружают из разных чатов списки участников, а затем сопоставляют их по интересам. В выгрузку по человеку идет, например, его номер телефона и список каналов и чатов, на которые он подписан.

— Как дальше будет развиваться рынок таких ботов?

— Сервисы будут эволюционировать в сторону аналитики с использованием ИИ. Параллельно будут развиваться технологии идентификации на основе информации, собранной для таргетированной рекламы. Представьте, какие сумасшедшие массивы данных о нас собрали Google или Apple: психологический и виртуальный портрет, запросы, предпочтения, половые, возрастные, социальные характеристики. Осталось разработать сервисы, которые будут сопоставлять эти данные с конкретными людьми. С учетом развития ИИ и технологий больших данных до этого остается сделать маленький шаг. Как только он будет сделан, все прошлые утечки персональных данных покажутся нам ничтожными.

Интервью взял Никита Королев