Залишити свій номер телефону, адресу та інші персональні дані під різними приводами зараз просять майже усюди –​ в торгових мережах, спортзалах, ресторанах, на пошті і в банках. Згодом деякі з таких клієнтів починають отримувати безліч нав’язливих смс та дзвінків із невідомих номерів із пропозицією щось купити або скористатися якоюсь послугою. Журналісти Радіо Свобода вирішили дослідити, як зберігаються персональні дані українців та як вони потрапляють до рук зловмисників.

За оголошеннями в інтернеті можна знайти чимало пропозицій щодо можливості придбання клієнтських баз будь-якої тематики. Наприклад, усього 100 гривень коштує список тисячі контактів, у якому, як стверджує автор оголошення, зазначені імена, телефонні номери та місця проживання потенційних клієнтів – громадян з дітьми, котрі є власниками автомобілів чи нерухомості.

За тисячу гривень пропонують уже бази з шістьма тисячами таких позицій. Щоправда, у цих списках є лише електронні адреси. Як зазначає автор оголошення, інформація зібрана ним на одному з сайтів, де люди залишали свої запити на купівлю автозапчастин.

Щоб дізнатися більше, журналіст Радіо Свобода спробувала зателефонувати за одним із таких оголошень і розпитати його автора, чи може він допомогти з пошуком нових клієнтів для салону краси. Продавець, який представився Олексієм, охоче погодився посприяти у цій справі: «Якщо ми візьмемо у розрізі Києва певний район, який вам потрібен, то є номери телефонів (мобільні і стаціонарні). Якщо брати e-mail-адреси, то вони зі всієї України, розбивки за містами, на жаль, немає».

Більш детальну інформацію чоловік пообіцяв надати протягом дня, максимум – ввечері. При цьому зазначив, що може запропонувати не лише номери, а й імена їхніх власників, яких, у свою чергу, може сегментувати за статевою ознакою.

Хто ж ці люди? Як пояснює Олексій, – це ті, хто користується послугами доставки продуктів харчування додому. Їхня вікова категорія – від 18 до 50 років. Однак є можливість знайти і дані клієнтів з інших сфер, додає продавець персональної інформації.

Для тисячі номерів, думаю, гривень за 300 зможемо домовитись

«Для тисячі номерів, думаю, гривень за 300 зможемо домовитись», – підсумовує він, пояснюючи, що після оплати покупцем його послуг надішле усі дані або електронною поштою у форматі Excel-таблиці, або через месенджер Viber.

База на 18 мільйонів

Інформація про продаж у багато разів масштабніших клієнтських баз в Україні з’являється регулярно. Одним із останніх гучних скандалів став випадок з нібито витоком персональної інформації клієнтів одного з найбільших поштових операторів: йшлося про те, що до мережі потрапили дві бази на 500 тисяч і 18 мільйонів користувачів. Ймовірний «злив» неабияк обурив соцмережі. Однак тоді представники вказаної компанії заявили, що бази даних, виставлені на продаж онлайн, можуть належати будь-якому іншому підприємству, а первинний аналіз скріншоту, мовляв, показує, що в таблиці є дані, «які відсутні в поточній базі» цієї компанії.

Одним із тих, кому запропонували купити одну з таких баз, був Олександр, який погодився розповісти про свій досвід за умови, що його прізвище і посада не будуть опубліковані в матеріалі. Листа про це він отримав з домену mail.ru на корпоративну скриньку. Жодних контактних даних у цьому повідомленні не було, тож чоловік не знає, хто саме надіслав інформацію.

«Ці «торговці» просто розкидають пропозиції тим, хто може теоретично ними зацікавитись, – підприємствам. Раз на 3–5 місяців мені приходять пропозиції купити митну базу даних. Вона вже давно зливається з митниці і якось не викликала в мене подиву. Я просто відправляв такі листи у спам. Але цього разу додатково ще запропонували купити базу цієї поштової компанії за 2017 рік», – розповів він Радіо Свобода.

А от пропозиція, яку отримав Сергій (ім’я змінене на прохання співрозмовника з міркувань безпеки – ред.), стосувалася персональної інформації клієнтів одного з відомих провайдерів телекомунікаційних послуг. Першоджерелом цього «зливу» він вважає співробітника кол-центру, «якому банально були потрібні гроші».

«Це було приблизно у 2009–2010 році. Посередником міг виступати співробітник PR-відділу (назвімо його Х). Я з цим Х працював разом, він курував мене як кадровий співробітник компанії. І одному, й іншому просто банально були необхідні гроші», – пояснює Сергій.

За його словами, інформацію пропонували надати у вигляді документу у форматі Excel, у якому мали бути прізвища та імена абонентів, їхні адреси, email’и, а також службова інформація щодо підключення. За це від нього хотіли отримати близько 100–150 доларів, однак чоловік відмовився.

На думку Сергія, такі бази поширюють переважно для спам-розсилки. Водночас він сподівається, що наразі провайдер посилив захист своєї внутрішньої CRM-системи від «банального копіювання будь-яким співробітником».

А ось як відповіли перехожі з вулиць Києва на питання, чи залишають вони свої дані у публічних місцях:

Месенджери і соцмережі теж «зливать» персональну інформацію?​

Приватний підприємець Володимир є власником взуттєвого бізнесу. Зокрема, має магазин у одному з районних центрів. Клієнти можуть отримати у нього дисконтну картку, вказавши ПІПб і контактний номер телефону, а також давши письмову згоду на отримання рекламних і акційних повідомлень (їх він потім особисто надсилає у вигляді смс чи Viber-сповіщень). За словами бізнесмена, розсилка ведеться конкретно для кожного клієнта, «щоб унеможливити використання даних». При цьому в електронному вигляді інформація про покупців є лише у нього.

Чи можуть його клієнти під час заповнення цієї форми відмовитись вказувати частину даних (наприклад, телефон) і все одно отримати дисконтну картку? Підприємець стверджує, що можуть.

Він також займається і гуртовою торгівлею в обласному центрі. Про цих клієнтів, особливо тих, з ким довго співпрацює, він збирає значно більший обсяг інформації («і не тільки щодо роботи»). Усю її він зберігає в електронному вигляді.

Володимир запевняє, що ніколи не купував клієнтських баз, адже наразі великий об’сяг персональних даних можна дізнатись через Viber, Whatsapp чи, наприклад, Instagram. Водночас, зазначає він, клієнтські бази продають організатори тематичних виставок, а також несумлінний персонал, «який на сто відсотків не проконтролювати».

Де аудит і ліміти?

IT-спеціаліст Макс Фрай – сам жертва зливу персональної інформації. Він стверджує: дані віддають, гублять чи продають майже всі компанії. Причина банальна – гроші. «У більшості випадків злив бази – це бажання її власників заробити. Просто коли виявляють це, їм не лишається нічого іншого, як пояснити все зламом», – пояснює він і додає, що поширенням даних клієнтів займаються навіть банки.

​Однією з причин такої ситуації програміст називає відсутність адекватної реакції з боку суспільства, яке звикло до того, що персональні дані кожного є доступними усім та усюди.

Чи можна якось захистити свої дані? На думку Фрая, це наразі неможливо зробити в Україні, адже за порушення чинного законодавства у цій сфері «ніхто навіть не намагається карати».

Кожний бізнес зараз сам вигадує де і як зберігати ці дані і найчастіше цим займаються студенти за відповідну оплату

Але чи можна щось змінити, щоб поліпшити ситуацію? ІТ-спеціаліст пропонує ввести незалежну комісію та аудит. Наприклад, щоб бази клієнтів зберігалися в єдиному форматі і тільки після аудиту, бо «виходить, що кожний бізнес зараз сам вигадує, де і як зберігати ці дані, і найчастіше цим займаються студенти за відповідну оплату». До такої інформації нерідко пускають навіть найбільшого новачка, констатує спеціаліст.

На законодавчі проблеми у питанні захисту персональних даних звертає увагу громадський діяч у галузі інформаційних технологій та президент холдингу Internet Invest Group Олександр Ольшанський. Він каже, що питання, яку саме інформацію мають право вимагати від користувачів, а яку – ні, наразі не врегульоване. Відтак про клієнтів спочатку збирають дані, які не потрібні для надання послуг, а потім не можуть їх адекватно охороняти.

У законі повинна бути стаття, що ніхто не має права збирати дані, які йому не є необхідними безпосередньо для послуги

«У законі повинна бути стаття, що ніхто не має права збирати дані, які йому не є необхідними безпосередньо для послуги. А якщо такі дані вимагаються, то замовник може відмовитись, і йому не мають права відмовити у цій послузі», – пояснює експерт і додає, що таким чином це функціонує у багатьох європейських країнах.

Журналіст Радіо Свобода спробувала отримати дисконтну картку, не заповнюючи частину даних. В одному з магазинів їй повідомили, що анкету, у якій не вказано рік народження, а тільки число і місяць, не приймуть. На питання, чому, пояснили: «Це – обов’язково». Однак уточнити, чим саме зумовлена така вимога, не змогли: «Просто керівництво вимагає».

Злочин і покарання

Тим часом у кіберполіції наголошують: розповсюдження персональних даних – кримінальний злочин. За це, згідно з чинним українським законодавством, можна отримати до п’яти років позбавлення волі.

Виявленням таких протиправних дій займається спеціальний відділ моніторингу цього департаменту. Однак, як пояснили Радіо Свобода у відомстві, окрема статистика щодо таких злочинів не ведеться, є лише загальні показники щодо хакерських втручань.

Серед нещодавніх випадків у кіберполіції пригадують справу екс-співробітника фінансової установи, яка надавала громадянам кредитні послуги. Він намагався продати близько 100 Гб клієнтської бази цієї компанії за 4 тисячі доларів США.

Окрім того, 28 лютого за продаж клієнтської бази поштового перевізника у Харкові засудили колишнього оператора цього підприємства. Персональні дані йому вдалося зібрати під час роботи на посаді ризик-аналітика. Після звільнення доступу до клієнтської бази він не мав, але мав доступ до закритої групи підприємства у одній із заборонених на території України соцмереж. У ній він отримав логін і пароль іншого працівника, які потім використовував для доступу до бази. Чоловік отримав три роки позбавлення волі з випробувальним терміном у два роки.

Гучним випадком, пов’язаним із витоком персональних даних, у 2016 році стала ситуація, коли переселенці почали отримувати дзвінки від компанії «Дельта М Юкрейн» на номери телефонів, які вони повідомляли органам соціального захисту під час взяття їх на облік:

То що ж робити, щоб персональна інформація не потрапила до рук зловмисників? Експерти радять уникати надмірної деталізації даних про себе у різноманітних анкетах, а також уважно ознайомлюватись з умовами використання даних клієнтів, які пропонують компанії та фірми.