Издание «Медуза» опубликовало расследование, связанное с деанонимизацией пользователей соцсетей. Как пишет автор расследования, разработкой систем мониторинга и деанонимизации занимается Научно-исследовательский вычислительный центр при управлении делами президента России (ГлавНИВЦ). Разработки центр предлагает на продажу государству и частным лицам.
Как выяснила «Медуза», центр уже разработал несколько систем: «Медиамонитор», «ПСКОВ», «Шерлок» и «Посейдон». Они помогают страховым компаниям и службам безопасности проверять недобросовестных сотрудников и кандидатов на работу, а сотрудникам МВД — искать экстремистов в интернете. «Медиамонитор» позволяет отслеживать репосты новостей в соцсетях.
Стоимость пользования сервисами достигает нескольких миллионов рублей. Так, как пишет «Медуза», «Шерлок» будет стоить покупателю 11 миллионов в месяц. За эти деньги можно осуществить «идентификацию аккаунтов по минимально известным данным».
Возможности «Шерлока» продемонстрировал собеседник «Медузы», сотрудник крупной страховой компании. Сервис он проверил на знакомом.
«В ответ на поисковый запрос с его именем и фамилией сервис составил досье. Там было все — и все совпало: родился, женился, умер; страницы в фейсбуке и инстаграме — а других страничек у него и нет; прописка, судимости, паспортные данные», — отмечает издание.
Чтобы выполнить запрос, сервису нужен адрес страницы в соцсети или электронная почта. «После нажатия кнопки «Составить досье» система якобы выдает ФИО, адрес, телефон, дату рождения, ИНН, ОГРН, зарегистрированные человеком компании и домены, IP-адрес, идентификатор пользователя, VIN-номер авто и паспортные данные. На другом слайде в качестве примера поисковой выдачи приведены данные телефонного номера: оператор и IMSI (международный идентификатор мобильного абонента).
При этом система собирает не только открытые данные, которые пользователи сами выкладывают в Сеть», — пишет «Медуза».
«Очевидно, что свой номер паспорта или VIN-номер автомобиля люди в интернете сообщают редко. И если программа позволяет получать такой набор персональных данных гарантированно и на постоянной основе, то это значит, что она подключена к базам данных госуслуг, налоговой, ГИБДД, паспортных столов и прочим. И это, конечно, не соответствует закону о персональных данных», — приводит издание слова директора по стратегическим проектам Института исследований интернета Ирины Левовой.
Свои продукты, утверждает автор расследования со ссылкой на бывших сотрудников ГлавНИВЦ, центр поставляет, в основном, в администрацию президента, ФСБ и Минобороны.
«Какой-нибудь чиновник назначается на большую должность — и нам его дают на проверку. Начинаешь копаться, находишь его детей, а у ребенка в инстаграме фото с ключами от нового дорогущего автомобиля и подписью: „Папа подарил на день рождения“. Когда глав региональных управлений Росгвардии назначали, целый ряд кандидатур сняли по результатам [нашей проверки]», — прокомментировал собеседник издания.
Как отмечает «Медуза», в США есть похожая система под названием Palantir. Главным отличием американского Palantir от «ПСКОВа» и «Шерлока» была его абсолютная легальность. «В Штатах базы данных велись достаточно единообразно — и многие создавались с целью будущей привязки к системе Palantir. Взаимная работа государства и айтишников».
Российские ведомства такого доступа к своим данным не предоставляют. «Шерлок» просто напрямую подключен к одному из существующих в стране нелегальных массивов персональных данных, рассказывают собеседники «Медузы». «Работали в серой зоне, — признает бывший сотрудник ГлавНИВЦ.
Созданный бывшими силовиками «серый» рынок торговли персональными данными охватывает всю страну — и менять это невыгодно сейчас никому, утверждают собеседники «Медузы».
Легкий доступ к таким сведениям необходим и в службах безопасности предприятий («профессиональное владение» «серыми» СУБД упоминается во многих объявлениях о найме), и в банках или страховых компаниях, и даже в тех ведомствах, которые имеют доступ к собственным, гораздо более актуальным базам.
