Откуда взялся сайт phonenumber.to, который содержит данные миллионов россиян Роскомнадзор собирается заблокировать базу данных
12 октября Роскомнадзор сообщил, что намерен заблокировать сайт phonenumber.to, на котором якобы хранятся персональные данные 80 миллионов жителей России. Об этой базе было известно как минимум с лета 2016 года, но в социальных сетях и на имиджбордах ее начали обсуждать только сейчас — некоторые пользователи находят данные о себе и родственниках, другие отмечают, что информация в архиве устаревшая. «Медуза» рассказывает, что известно о phonenumber.to, и как к этой базе относятся эксперты по информационной безопасности.
Откуда взялся сайт phonenumber.to?
Первым из российских СМИ о телефонной базе, содержащей данные миллионов жителей РФ, 11 октября написал TJournal. Позже «Коммерсант» сообщил, что Роскомнадзор подал иск к хостинг-провайдеру сайта; ведомство собирается заблокировать базу, поскольку тот «предоставил неограниченному кругу лиц доступ к персональным данным граждан без их согласия». Проверку Роскомнадзор проводил на основании двух жалоб.
Сколько записей в базе, неизвестно, но поиск по случайному символу выдает более 78 миллионов результатов. Многие пользователи подтверждают, что их актуальные данные есть в архиве; отдельные отмечают, что им удалось найти «номер бабушки, которая нигде оставить [его] не могла». На сайте есть не только информация о мобильных телефонах, но и о месте регистрации граждан и предыдущих местах работы.
Судя по другим сообщениям, некоторые сведения в базе устарели, взяты с фейковых страниц в социальных сетях или просто неточны. Никакой связи между актуальностью информации в архиве, мобильным оператором или сроком работы сим-карты «Медузе» обнаружить не удалось.
Первые записи в блоге сайта датированы началом 2015 года, при этом, по данным similarweb.com, на сайте не было посетителей до июня 2016-го (в сентябре — около 140 тысяч уникальных посетителей). Ранее сайт, очевидно, располагался в доменной зоне .obl — в сети его есть упоминания от 3 июня 2016-го, а также жалобы на него, датированные январем. Страница в фейсбуке у сайта появилась в мае 2015-го.
Раздел «О сайте» сообщает, что база создавалась из «ностальгии по телефонным книгам, которые были раньше» — как альтернатива мошенническим сервисам, где для получения информации из телефонной базы приходится отправить SMS на платный номер. «Кроме того, сайт сделан для поддержки и роста популярности биткоинов», — говорится в том же разделе. Впрочем, сайт ведет коммерческую деятельность: он принимает криптовалюту в качестве оплаты за исключение из базы.
Данных о создателях сайта «Медузе» найти не удалось.
Откуда сайт берет персональные данные и насколько это легально?
Авторы сайта сообщают, что персональные данные они получают по-разному: из общедоступных источников, с помощью API других сайтов (программные интерфейсы доступа к базе данных сторонних сервисов), от поставщиков данных («специализируются на сборе личных данных с целью дальнейшей перепродажи»); некоторых абонентов добавляют сами пользователи.
«С помощью общедоступных источников реально собрать большую базу данных. Взять тот же Findface (сервис поиска пользователей по фотографии, подробный текст о нем читайте тут — прим. „Медузы“) — они не только текстовую информацию получили, но и изображения, аватары всех пользователей „ВКонтакте“, на базе которых строят свой поиск», — отметил в разговоре с «Медузой» ведущий исследователь информационной безопасности отдела аудита защищенности Digital Security Сергей Белов. Поиск в такой базе по степени легальности он сравнил с индексацией публичных данных «Гуглом» или «Яндексом».
Специалист по информационной безопасности, сотрудник Cisco Systems Алексей Лукацкий согласен с тем, что собирать «незакрытые данные» несложно. «Многие пользователи в социальных сетях указывают свои данные, включая номер телефона, и с помощью обычного сканера и разборщика веб-страниц можно вытащить эту информацию, а затем автоматизировать сбор», — рассказал Лукацкий «Медузе».
Однако, по его словам, несмотря на общедоступность данных, претензии пользователей, которые обнаружили свой телефон в базе, могут быть обоснованными. «С одной стороны, по закону человек, разместивший данные в общедоступном источнике, например, в социальной сети — если профиль не закрыт, — тем самым дал разрешение на доступ к ним неограниченному кругу лиц. С другой стороны, закон о персональных данных говорит, что даже для общедоступных данных надо уточнять цели сбора и обработки. То, что соцсеть собирает сведения для своих целей, не значит, что кто-то другой может воспользоваться ими для целей, которые пользователь не предусматривал, публикуя свой номер телефона», — говорит Лукацкий.
По его мнению, сбор данных с помощью API сторонних сайтов также вызывает вопросы: «Откуда у тех сайтов данные пользователей? Если это, например, профиль человека в интернет-магазине, такая информация непублична. Те, кто ее каким-то образом получил, нарушают закон о персональных данных, который требует согласия на ее обработку».
Таких архивов данных много?
Базы с разными данными жителей России периодически оказываются в открытом доступе в интернете. В апреле 2009 года закрылся сайт radarix.com, до этого в течение года продававший информацию о миллионах граждан РФ; после ликвидации на его главной странице возникла ссылка, ведущая на сайт ФСБ. В мае 2016-го появилась база автовладельцев (заблокирована Роскомнадзором через три месяца); в сентябре утекла база данных расформированной ФСКН, содержащая сведения о сотнях тысяч людей с ВИЧ, наркотической зависимостью, склонностью к суицидам (сведений о реакции Роскомнадзора нет), в октябре — база должников банков, засекреченных сотрудников правоохранительных органов и высокопоставленных чиновников (Роскомнадзор не отреагировал).
Специалист по информационной безопасности Алексей Лукацкий отмечает, что методы сбора баз остаются прежними: «Как правило, это слив какого-то оператора с дальнейшим дополнением информацией из интернета или использование баз нескольких ведомств — кадастры, данные ГИБДД — с последующей попыткой объединения по ключевым словам или общим полям. Но всегда остается вопрос актуальности. Я пользовался некоторыми базами в интернете, пытался проверять себя — они далеко не все актуальны».
Сергей Белов из Digital Security уверен, что архивов, аналогичных phonenumber.to, будет появляться все больше: «Чем популярнее становится Data Mining (глубинный анализ сырых данных с целью нахождения в них ранее неизвестных, полезных и доступных знаний — прим. „Медузы“), тем больше будет таких баз. Исходных данных для сбора уже предостаточно, просто стало чуть удобнее искать их по открытым источникам. Если холодно глянуть на эту новость [о сайте phonenumber.to], не произошло ровным счетом ничего».