истории

Откуда взялся сайт phonenumber.to, который содержит данные миллионов россиян Роскомнадзор собирается заблокировать базу данных

Источник: Meduza

12 октября Роскомнадзор сообщил, что намерен заблокировать сайт phonenumber.to, на котором якобы хранятся персональные данные 80 миллионов жителей России. Об этой базе было известно как минимум с лета 2016 года, но в социальных сетях и на имиджбордах ее начали обсуждать только сейчас — некоторые пользователи находят данные о себе и родственниках, другие отмечают, что информация в архиве устаревшая. «Медуза» рассказывает, что известно о phonenumber.to, и как к этой базе относятся эксперты по информационной безопасности.


Откуда взялся сайт phonenumber.to?

Первым из российских СМИ о телефонной базе, содержащей данные миллионов жителей РФ, 11 октября написал TJournal. Позже «Коммерсант» сообщил, что Роскомнадзор подал иск к хостинг-провайдеру сайта; ведомство собирается заблокировать базу, поскольку тот «предоставил неограниченному кругу лиц доступ к персональным данным граждан без их согласия». Проверку Роскомнадзор проводил на основании двух жалоб.

Сколько записей в базе, неизвестно, но поиск по случайному символу выдает более 78 миллионов результатов. Многие пользователи подтверждают, что их актуальные данные есть в архиве; отдельные отмечают, что им удалось найти «номер бабушки, которая нигде оставить [его] не могла». На сайте есть не только информация о мобильных телефонах, но и о месте регистрации граждан и предыдущих местах работы.

Судя по другим сообщениям, некоторые сведения в базе устарели, взяты с фейковых страниц в социальных сетях или просто неточны. Никакой связи между актуальностью информации в архиве, мобильным оператором или сроком работы сим-карты «Медузе» обнаружить не удалось.

Первые записи в блоге сайта датированы началом 2015 года, при этом, по данным similarweb.com, на сайте не было посетителей до июня 2016-го (в сентябре — около 140 тысяч уникальных посетителей). Ранее сайт, очевидно, располагался в доменной зоне .obl — в сети его есть упоминания от 3 июня 2016-го, а также жалобы на него, датированные январем. Страница в фейсбуке у сайта появилась в мае 2015-го.

Раздел «О сайте» сообщает, что база создавалась из «ностальгии по телефонным книгам, которые были раньше» — как альтернатива мошенническим сервисам, где для получения информации из телефонной базы приходится отправить SMS на платный номер. «Кроме того, сайт сделан для поддержки и роста популярности биткоинов», — говорится в том же разделе. Впрочем, сайт ведет коммерческую деятельность: он принимает криптовалюту в качестве оплаты за исключение из базы.

Данных о создателях сайта «Медузе» найти не удалось.

Откуда сайт берет персональные данные и насколько это легально?

Авторы сайта сообщают, что персональные данные они получают по-разному: из общедоступных источников, с помощью API других сайтов (программные интерфейсы доступа к базе данных сторонних сервисов), от поставщиков данных («специализируются на сборе личных данных с целью дальнейшей перепродажи»); некоторых абонентов добавляют сами пользователи.

«С помощью общедоступных источников реально собрать большую базу данных. Взять тот же Findface (сервис поиска пользователей по фотографии, подробный текст о нем читайте тут — прим. „Медузы“) — они не только текстовую информацию получили, но и изображения, аватары всех пользователей „ВКонтакте“, на базе которых строят свой поиск», — отметил в разговоре с «Медузой» ведущий исследователь информационной безопасности отдела аудита защищенности Digital Security Сергей Белов. Поиск в такой базе по степени легальности он сравнил с индексацией публичных данных «Гуглом» или «Яндексом».

Специалист по информационной безопасности, сотрудник Cisco Systems Алексей Лукацкий согласен с тем, что собирать «незакрытые данные» несложно. «Многие пользователи в социальных сетях указывают свои данные, включая номер телефона, и с помощью обычного сканера и разборщика веб-страниц можно вытащить эту информацию, а затем автоматизировать сбор», — рассказал Лукацкий «Медузе».

Однако, по его словам, несмотря на общедоступность данных, претензии пользователей, которые обнаружили свой телефон в базе, могут быть обоснованными. «С одной стороны, по закону человек, разместивший данные в общедоступном источнике, например, в социальной сети — если профиль не закрыт, — тем самым дал разрешение на доступ к ним неограниченному кругу лиц. С другой стороны, закон о персональных данных говорит, что даже для общедоступных данных надо уточнять цели сбора и обработки. То, что соцсеть собирает сведения для своих целей, не значит, что кто-то другой может воспользоваться ими для целей, которые пользователь не предусматривал, публикуя свой номер телефона», — говорит Лукацкий.

По его мнению, сбор данных с помощью API сторонних сайтов также вызывает вопросы: «Откуда у тех сайтов данные пользователей? Если это, например, профиль человека в интернет-магазине, такая информация непублична. Те, кто ее каким-то образом получил, нарушают закон о персональных данных, который требует согласия на ее обработку».

Таких архивов данных много? 

Базы с разными данными жителей России периодически оказываются в открытом доступе в интернете. В апреле 2009 года закрылся сайт radarix.com, до этого в течение года продававший информацию о миллионах граждан РФ; после ликвидации на его главной странице возникла ссылка, ведущая на сайт ФСБ. В мае 2016-го появилась база автовладельцев (заблокирована Роскомнадзором через три месяца); в сентябре утекла база данных расформированной ФСКН, содержащая сведения о сотнях тысяч людей с ВИЧ, наркотической зависимостью, склонностью к суицидам (сведений о реакции Роскомнадзора нет), в октябре — база должников банков, засекреченных сотрудников правоохранительных органов и высокопоставленных чиновников (Роскомнадзор не отреагировал).

Специалист по информационной безопасности Алексей Лукацкий отмечает, что методы сбора баз остаются прежними: «Как правило, это слив какого-то оператора с дальнейшим дополнением информацией из интернета или использование баз нескольких ведомств — кадастры, данные ГИБДД — с последующей попыткой объединения по ключевым словам или общим полям. Но всегда остается вопрос актуальности. Я пользовался некоторыми базами в интернете, пытался проверять себя — они далеко не все актуальны».

Сергей Белов из Digital Security уверен, что архивов, аналогичных phonenumber.to, будет появляться все больше: «Чем популярнее становится Data Mining (глубинный анализ сырых данных с целью нахождения в них ранее неизвестных, полезных и доступных знаний — прим. „Медузы“), тем больше будет таких баз. Исходных данных для сбора уже предостаточно, просто стало чуть удобнее искать их по открытым источникам. Если холодно глянуть на эту новость [о сайте phonenumber.to], не произошло ровным счетом ничего».

Евгений Берг

Москва

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.