Contact us in messengers or by phone.

whatsapp telegram viber phone email
+79214188555

The path to personal data of Russians went through Telegram

root

СисАдмин Форума
Staff member
Full members of NP "MOD"
Joined
Feb 17, 2007
Messages
677
Reaction score
1,022
Points
93
Age
57
Разношенные боты
Газета "Коммерсантъ" №30 от 19.02.2021, стр. 10

1614684702512.png


Российские власти начали проявлять серьезное беспокойство в связи с распространением в Telegram ботов, которые за относительно небольшую плату позволяют получить подробную информацию почти о любом жителе страны. Раньше такие возможности были только у опытных пользователей даркнета или силовиков, а теперь доступны любому зарегистрировавшемуся в мессенджере. Рынок ботов активно растет. По мнению юристов, их деятельность незаконна. Но механизмов противодействия ни у государства, ни у граждан пока нет. На ситуацию может прямо повлиять только сам Telegram, но его основатель Павел Дуров неохотно сотрудничает с властями.

Пробить за 60 секунд

В 2020 году в Telegram активизировалось создание ботов (робот, который может выполнять последовательность действий и имеет встроенный поисковый механизм), позволяющих пользователю мессенджера получить информацию практически о любом человека. Впервые такие сервисы появились еще несколько лет назад, но если раньше их были единицы, то сейчас можно найти уже пару десятков. В числе старейших и самых крупных — «Глаз Бога», «Архангел», Smart_SearchBot и AVinfoBot.
Используя их и элементарную логику можно узнать очень многое об объекте интереса. Если загрузить в бот, например, имя человека, он выдаст подборку из 10–20 номеров телефонов, привязанных к этому имени. По номеру телефона можно получить уже фото владельца, ссылки на его соцсети, выгрузку объявлений из сервиса «Авито», адрес электронной почты и номер автомобиля. По номеру автомобиля можно узнать еще больше: адрес прописки, паспортные данные, информацию о машине и ее фотографии. В некоторых случаях в перечне информации по запросу могут быть пароли от электронной почты и социальных сетей, а иногда даже подробное досье на человека отдельным файлом. Корреспондент “Ъ”, например, нашел с помощью одного из ботов свои персональные данные и пароли от e-mail.

Как правило, владельцы таких сервисов скупают или получают бесплатно утекшие базы данных ведомств и компаний, говорит основатель компании «Интернет Розыск» (разрабатывает решения по информационной безопасности) Игорь Бедеров (см. интервью). Все утечки собираются в СУБД (система управления базами данных), поясняет он. Так, благодаря утекшей в 2020 году базе пользователей «ВКонтакте» можно по адресу страницы в соцсети узнать номер телефона, а база ГИБДД поможет выяснить данные об автомобиле и его владельце (см. инфографику).
Также разработчики ботов используют программы для парсинга — сбора данных из открытых источников. Парсинг сервисов бесплатных объявлений, например «Авито», позволяет объединить имя объекта поиска, его почту и номер телефона. Боты также могут собирать данные юридических лиц, подключившись к легальным информационно-аналитическим системам, например «СПАРК-Интерфакс» или Kartoteka.ru.
Задействованы и возможности самого Telegram. Осенью 2020 года в мессенджере появилась новая функция: можно отправить боту геоточку, и он в радиусе 100 м от нее покажет аккаунты всех пользователей, которые находятся там в данный момент или были какое-то время назад.


Также разработчики ботов используют программы для парсинга — сбора данных из открытых источников. Парсинг сервисов бесплатных объявлений, например «Авито», позволяет объединить имя объекта поиска, его почту и номер телефона. Боты также могут собирать данные юридических лиц, подключившись к легальным информационно-аналитическим системам, например «СПАРК-Интерфакс» или Kartoteka.ru.

Задействованы и возможности самого Telegram. Осенью 2020 года в мессенджере появилась новая функция: можно отправить боту геоточку, и он в радиусе 100 м от нее покажет аккаунты всех пользователей, которые находятся там в данный момент или были какое-то время назад.



Мы пробиваем, нас пробивают


Боты для поиска информации о людях в основном работают по трем бизнес-моделям. Это может быть подписка на определенный период (день, месяц или год), в рамках которого число запросов неограниченно. Стоимость подписок варьируется от 65 руб. до 2,5 тыс. руб. за день. Другой вариант — розничная покупка запросов (например, 1, 100 или 500). Есть и тарифные планы, в которые входят, например, пакет из 500 запросов на месяц и полное досье на человека. Тариф подходит для служб безопасности, юридических компаний, финансовых организаций и людей, «чей образ мышления требует знать больше обычного», следует из его описания.


Опрошенные “Ъ” эксперты сходятся во мнении, что для запуска подобных сервисов не требуется серьезных вложений. В первую очередь нужен виртуальный облачный сервер для хранения баз данных и их обработки, поясняет господин Бедеров. Покупать физические серверы для этого не нужно. В среднем, по оценке эксперта, таким сервисам нужно 200–300 Тбайт пространства для стабильной работы. Объем баз данных «Архангела» составляет сотни терабайтов, анонимно рассказали “Ъ” его администраторы. В числе прочих затрат — покупка утечек баз данных, многие из которых зачастую можно найти и в свободном доступе, разработка программ-парсеров и зарплаты сотрудникам.


По усредненным оценкам экспертов, для старта работы бота достаточно 1 млн руб. Эти средства пойдут на привлечение команды из десяти человек, покупку баз данных и аренду облачных хранилищ. По словам представителя Smart_SearchBot, в первый год работы проект потребовал от его создателей не более $10 тыс. (примерно 730 тыс. руб. по курсу ЦБ на 18 февраля).


Потенциальная годовая маржа подобных ботов может оцениваться в 200 млн руб. в год, полагает господин Бедеров. Эту оценку подтверждает собеседник “Ъ” на рынке.





Инвестиции в запуск «Архангела» окупились в первый же месяц, говорят его администраторы. По их словам, первые полгода проект работал в закрытом режиме, был доступен только определенным клиентам и в публичное поле вышел только в середине 2020 года. Зато теперь месячные обороты «Архангела», по словам его представителя, исчисляются «далеко не несколькими миллионами рублей».


Стратегия продвижения таких площадок не отличается от таковой у обычных Telegram-каналов. Это могут быть покупка постов, перекрестных ссылок и другое сотрудничество. По словам расследователя «Роскомсвободы» Андрея Каганских, в конце 2020 года «Глаз Бога» закупал рекламу в Telegram-канале «Двач» (542 тыс. подписчиков), пытаясь расширить аудиторию.


Основными пользователями ботов для пробива людей один из участников рынка называет ревнивых супругов и автолюбителей, которые хотят, например, найти владельца подрезавшей их на дороге машины. Также, добавляет он, сервис может представлять интерес, например, для владельцев недвижимости, которые хотят узнать больше о потенциальном арендаторе. Чаще всего люди пытаются выяснить через бот номера телефонов, электронную почту или найти аккаунты человека в социальных сетях, добавляют в Smart_SearchBot.


Рынок таких решений продолжит расти, уверен аналитик центра мониторинга и реагирования на кибератаки Solar JSOC «Ростелекома» Александр Ненахов, поскольку боты «дают простой инструмент поиска широкому кругу лиц: если раньше подобные сервисы приходилось искать в даркнете и это было непросто, то сейчас для этого просто нужен Telegram».


Основное преимущество Telegram как канала для роста нового бизнеса в его анонимности, считает руководитель технологической практики КПМГ в России и СНГ Николай Легкодимов. Другие мессенджеры, по его мнению, не вызывают высокого доверия у пользователей. Сервис WhatsApp, принадлежащий американской соцсети Facebook, в январе, например, обновил пользовательское соглашение, обязав всех пользователей делиться с ней данными. По новому пользовательскому соглашению, Facebook получит сведения о номере телефона, трансакциях и IP-адресах.





Брешь, пробитая в законодательстве

Законность работы ботов и действий их клиентов вызывает очевидные сомнения. Владельцы и пользователи подобных ботов попадают под действие административного кодекса и могут быть оштрафованы за нарушение правил обработки персональных данных на сумму 3 тыс. руб., говорит преподаватель Moscow Digital School Вадим Перевалов.

Теоретически они могут попасть под действие и Уголовного кодекса за нарушение неприкосновенности частной жизни, допускает доцент факультета права ВШЭ Александр Савельев. В таком случае штраф, по его словам, уже составит до 200 тыс. руб., но в отношении злоумышленников может быть принято решение и о лишении свободы до двух лет.

Владельцы таких сервисов фактически перекладывают ответственность с себя на пользователя. «При использовании бота человек подтверждает, что он получил письменное согласие на обработку персональных данных от человека, чьи данные он хочет проверить»,— говорят в «Архангеле». Если такого согласия нет, человек нарушил закон, отмечают представители сервиса.

Но на деле наказать человека за использование бота практически невозможно. «Органам сложно выявить факт использования бота конкретным человеком, установить его личность, а потом собрать формальные доказательства нарушения с его стороны, если только речь не идет о проверке уже изъятого мобильного телефона»,— говорит господин Перевалов. По его мнению, единственный возможный способ наказывать пользователей таких площадок — выяснять, кто переводил денежные средства на счета владельцев бота. «В таком случае можно было бы выписывать штрафы всем пользователям, которые совершали платежи, но сейчас таких законодательных механизмов просто не существует»,— добавляет эксперт.

Власти и госорганы обратили внимание на деятельность ботов в Telegram только в начале 2021 года, когда в одном из каналов появились персональные данные полицейских и росгвардейцев, участвующих в задержаниях на митингах в поддержку Алексея Навального (см. “Ъ” от 30 января). После публикации в “Ъ” Роскомнадзор потребовал от Telegram прекратить распространение персональных данных граждан, поскольку это угрожает их безопасности. 6 февраля основатель Telegram Павел Дуров заявил о блокировке этих каналов.

В Госдуме неохотно признают, что сегодня фактически нет механизмов, чтобы остановить работу подобных площадок. «Пользователи и администраторы ботов, конечно, совершают преступление, если в их работе используются слитые базы данных. Но эта область юридически попадает в серую зону»,— говорит депутат фракции «Единой России» Антон Горелкин. Он констатирует, что запрет или регулирование работы таких площадок сегодня зависит исключительно от воли Павла Дурова, который пока неохотно идет на контакт с российскими властями. Сам господин Дуров и официальный представитель Telegram в России обсуждать этот вопрос с “Ъ” не захотели.

Никита Королев

Источник
 
Original message
Разношенные боты
Газета "Коммерсантъ" №30 от 19.02.2021, стр. 10

1614684702512.png


Российские власти начали проявлять серьезное беспокойство в связи с распространением в Telegram ботов, которые за относительно небольшую плату позволяют получить подробную информацию почти о любом жителе страны. Раньше такие возможности были только у опытных пользователей даркнета или силовиков, а теперь доступны любому зарегистрировавшемуся в мессенджере. Рынок ботов активно растет. По мнению юристов, их деятельность незаконна. Но механизмов противодействия ни у государства, ни у граждан пока нет. На ситуацию может прямо повлиять только сам Telegram, но его основатель Павел Дуров неохотно сотрудничает с властями.

Пробить за 60 секунд

В 2020 году в Telegram активизировалось создание ботов (робот, который может выполнять последовательность действий и имеет встроенный поисковый механизм), позволяющих пользователю мессенджера получить информацию практически о любом человека. Впервые такие сервисы появились еще несколько лет назад, но если раньше их были единицы, то сейчас можно найти уже пару десятков. В числе старейших и самых крупных — «Глаз Бога», «Архангел», Smart_SearchBot и AVinfoBot.
Используя их и элементарную логику можно узнать очень многое об объекте интереса. Если загрузить в бот, например, имя человека, он выдаст подборку из 10–20 номеров телефонов, привязанных к этому имени. По номеру телефона можно получить уже фото владельца, ссылки на его соцсети, выгрузку объявлений из сервиса «Авито», адрес электронной почты и номер автомобиля. По номеру автомобиля можно узнать еще больше: адрес прописки, паспортные данные, информацию о машине и ее фотографии. В некоторых случаях в перечне информации по запросу могут быть пароли от электронной почты и социальных сетей, а иногда даже подробное досье на человека отдельным файлом. Корреспондент “Ъ”, например, нашел с помощью одного из ботов свои персональные данные и пароли от e-mail.

Как правило, владельцы таких сервисов скупают или получают бесплатно утекшие базы данных ведомств и компаний, говорит основатель компании «Интернет Розыск» (разрабатывает решения по информационной безопасности) Игорь Бедеров (см. интервью). Все утечки собираются в СУБД (система управления базами данных), поясняет он. Так, благодаря утекшей в 2020 году базе пользователей «ВКонтакте» можно по адресу страницы в соцсети узнать номер телефона, а база ГИБДД поможет выяснить данные об автомобиле и его владельце (см. инфографику).
Также разработчики ботов используют программы для парсинга — сбора данных из открытых источников. Парсинг сервисов бесплатных объявлений, например «Авито», позволяет объединить имя объекта поиска, его почту и номер телефона. Боты также могут собирать данные юридических лиц, подключившись к легальным информационно-аналитическим системам, например «СПАРК-Интерфакс» или Kartoteka.ru.
Задействованы и возможности самого Telegram. Осенью 2020 года в мессенджере появилась новая функция: можно отправить боту геоточку, и он в радиусе 100 м от нее покажет аккаунты всех пользователей, которые находятся там в данный момент или были какое-то время назад.


Также разработчики ботов используют программы для парсинга — сбора данных из открытых источников. Парсинг сервисов бесплатных объявлений, например «Авито», позволяет объединить имя объекта поиска, его почту и номер телефона. Боты также могут собирать данные юридических лиц, подключившись к легальным информационно-аналитическим системам, например «СПАРК-Интерфакс» или Kartoteka.ru.

Задействованы и возможности самого Telegram. Осенью 2020 года в мессенджере появилась новая функция: можно отправить боту геоточку, и он в радиусе 100 м от нее покажет аккаунты всех пользователей, которые находятся там в данный момент или были какое-то время назад.



Мы пробиваем, нас пробивают


Боты для поиска информации о людях в основном работают по трем бизнес-моделям. Это может быть подписка на определенный период (день, месяц или год), в рамках которого число запросов неограниченно. Стоимость подписок варьируется от 65 руб. до 2,5 тыс. руб. за день. Другой вариант — розничная покупка запросов (например, 1, 100 или 500). Есть и тарифные планы, в которые входят, например, пакет из 500 запросов на месяц и полное досье на человека. Тариф подходит для служб безопасности, юридических компаний, финансовых организаций и людей, «чей образ мышления требует знать больше обычного», следует из его описания.


Опрошенные “Ъ” эксперты сходятся во мнении, что для запуска подобных сервисов не требуется серьезных вложений. В первую очередь нужен виртуальный облачный сервер для хранения баз данных и их обработки, поясняет господин Бедеров. Покупать физические серверы для этого не нужно. В среднем, по оценке эксперта, таким сервисам нужно 200–300 Тбайт пространства для стабильной работы. Объем баз данных «Архангела» составляет сотни терабайтов, анонимно рассказали “Ъ” его администраторы. В числе прочих затрат — покупка утечек баз данных, многие из которых зачастую можно найти и в свободном доступе, разработка программ-парсеров и зарплаты сотрудникам.


По усредненным оценкам экспертов, для старта работы бота достаточно 1 млн руб. Эти средства пойдут на привлечение команды из десяти человек, покупку баз данных и аренду облачных хранилищ. По словам представителя Smart_SearchBot, в первый год работы проект потребовал от его создателей не более $10 тыс. (примерно 730 тыс. руб. по курсу ЦБ на 18 февраля).


Потенциальная годовая маржа подобных ботов может оцениваться в 200 млн руб. в год, полагает господин Бедеров. Эту оценку подтверждает собеседник “Ъ” на рынке.





Инвестиции в запуск «Архангела» окупились в первый же месяц, говорят его администраторы. По их словам, первые полгода проект работал в закрытом режиме, был доступен только определенным клиентам и в публичное поле вышел только в середине 2020 года. Зато теперь месячные обороты «Архангела», по словам его представителя, исчисляются «далеко не несколькими миллионами рублей».


Стратегия продвижения таких площадок не отличается от таковой у обычных Telegram-каналов. Это могут быть покупка постов, перекрестных ссылок и другое сотрудничество. По словам расследователя «Роскомсвободы» Андрея Каганских, в конце 2020 года «Глаз Бога» закупал рекламу в Telegram-канале «Двач» (542 тыс. подписчиков), пытаясь расширить аудиторию.


Основными пользователями ботов для пробива людей один из участников рынка называет ревнивых супругов и автолюбителей, которые хотят, например, найти владельца подрезавшей их на дороге машины. Также, добавляет он, сервис может представлять интерес, например, для владельцев недвижимости, которые хотят узнать больше о потенциальном арендаторе. Чаще всего люди пытаются выяснить через бот номера телефонов, электронную почту или найти аккаунты человека в социальных сетях, добавляют в Smart_SearchBot.


Рынок таких решений продолжит расти, уверен аналитик центра мониторинга и реагирования на кибератаки Solar JSOC «Ростелекома» Александр Ненахов, поскольку боты «дают простой инструмент поиска широкому кругу лиц: если раньше подобные сервисы приходилось искать в даркнете и это было непросто, то сейчас для этого просто нужен Telegram».


Основное преимущество Telegram как канала для роста нового бизнеса в его анонимности, считает руководитель технологической практики КПМГ в России и СНГ Николай Легкодимов. Другие мессенджеры, по его мнению, не вызывают высокого доверия у пользователей. Сервис WhatsApp, принадлежащий американской соцсети Facebook, в январе, например, обновил пользовательское соглашение, обязав всех пользователей делиться с ней данными. По новому пользовательскому соглашению, Facebook получит сведения о номере телефона, трансакциях и IP-адресах.





Брешь, пробитая в законодательстве

Законность работы ботов и действий их клиентов вызывает очевидные сомнения. Владельцы и пользователи подобных ботов попадают под действие административного кодекса и могут быть оштрафованы за нарушение правил обработки персональных данных на сумму 3 тыс. руб., говорит преподаватель Moscow Digital School Вадим Перевалов.

Теоретически они могут попасть под действие и Уголовного кодекса за нарушение неприкосновенности частной жизни, допускает доцент факультета права ВШЭ Александр Савельев. В таком случае штраф, по его словам, уже составит до 200 тыс. руб., но в отношении злоумышленников может быть принято решение и о лишении свободы до двух лет.

Владельцы таких сервисов фактически перекладывают ответственность с себя на пользователя. «При использовании бота человек подтверждает, что он получил письменное согласие на обработку персональных данных от человека, чьи данные он хочет проверить»,— говорят в «Архангеле». Если такого согласия нет, человек нарушил закон, отмечают представители сервиса.

Но на деле наказать человека за использование бота практически невозможно. «Органам сложно выявить факт использования бота конкретным человеком, установить его личность, а потом собрать формальные доказательства нарушения с его стороны, если только речь не идет о проверке уже изъятого мобильного телефона»,— говорит господин Перевалов. По его мнению, единственный возможный способ наказывать пользователей таких площадок — выяснять, кто переводил денежные средства на счета владельцев бота. «В таком случае можно было бы выписывать штрафы всем пользователям, которые совершали платежи, но сейчас таких законодательных механизмов просто не существует»,— добавляет эксперт.

Власти и госорганы обратили внимание на деятельность ботов в Telegram только в начале 2021 года, когда в одном из каналов появились персональные данные полицейских и росгвардейцев, участвующих в задержаниях на митингах в поддержку Алексея Навального (см. “Ъ” от 30 января). После публикации в “Ъ” Роскомнадзор потребовал от Telegram прекратить распространение персональных данных граждан, поскольку это угрожает их безопасности. 6 февраля основатель Telegram Павел Дуров заявил о блокировке этих каналов.

В Госдуме неохотно признают, что сегодня фактически нет механизмов, чтобы остановить работу подобных площадок. «Пользователи и администраторы ботов, конечно, совершают преступление, если в их работе используются слитые базы данных. Но эта область юридически попадает в серую зону»,— говорит депутат фракции «Единой России» Антон Горелкин. Он констатирует, что запрет или регулирование работы таких площадок сегодня зависит исключительно от воли Павла Дурова, который пока неохотно идет на контакт с российскими властями. Сам господин Дуров и официальный представитель Telegram в России обсуждать этот вопрос с “Ъ” не захотели.

Никита Королев

Источник

НСК-СБ

Staff member
Private access level
Full members of NP "MOD"
Joined
Jul 14, 2011
Messages
3,170
Reaction score
2,159
Points
613
Location
Новосибирск
Telegram blocked the "Eye of God" bot to search for leaked data

15:00 / March 12, 2021

Currently, other bots have also been disabled, including Archangel, Smart_SearchBot and Mailsearchbot.
image


Administrators of the Telegram messenger blocked the "Eye of God" bot, which was used to search for personal data of people in various leaked and open databases.

The lock is associated with requirement Roskomnadzor to remove bots designed to collect confidential information of citizens from leaked databases of various departments and companies. The creation of such bots violates the legislation on the protection of personal data, and their use violates the rights of data subjects.

At the request of Roskomnadzor, other bots were also disabled, including Archangel and Smart_SearchBot, which allowed searches by name and phone number, and Mailsearchbot, which looked for logins and passwords from email addresses.

An hour after the blocking, the Eye of God bot became available at a new address.
More details
 
Original message
Telegram заблокировал бот «Глаз бога» для поиска утекших данных

15:00 / 12 Марта, 2021

В настоящее время также были отключены и другие боты, включая «Архангел», Smart_SearchBot и Mailsearchbot.
image


Администраторы мессенджера Telegram заблокировали бот «Глаз бога», который использовался для поисках персональных данных людей в различных утекших и открытых базах данных.

Блокировка связана с требованием Роскомнадзора удалить ботов, разработанных для сбора конфиденциальной информации граждан из утекших баз данных различных ведомств и компаний. Создание таких ботов нарушает законодательство о защите персональных данных, а их использование — права субъектов данных.

По запросу Роскомнадзора также были отключены и другие боты, включая «Архангел» и Smart_SearchBot, позволявшие искать по имени и номеру телефона, а также Mailsearchbot, искавший логины и пароли от почтовых адресов.

Спустя час после блокировки бот «Глаз Бога» стал доступен по новому адресу.
Подробнее

David Mamedov

Зарегистрированный
Joined
May 21, 2021
Messages
392
Reaction score
228
Points
43
Age
27
Location
Джалал Абад
Telegram заблокировал бот «Глаз бога» для поиска утекших данных

15:00 / 12 Марта, 2021

В настоящее время также были отключены и другие боты, включая «Архангел», Smart_SearchBot и Mailsearchbot.
image


Администраторы мессенджера Telegram заблокировали бот «Глаз бога», который использовался для поисках персональных данных людей в различных утекших и открытых базах данных.

Блокировка связана с требованием Роскомнадзора удалить ботов, разработанных для сбора конфиденциальной информации граждан из утекших баз данных различных ведомств и компаний. Создание таких ботов нарушает законодательство о защите персональных данных, а их использование — права субъектов данных.

По запросу Роскомнадзора также были отключены и другие боты, включая «Архангел» и Smart_SearchBot, позволявшие искать по имени и номеру телефона, а также Mailsearchbot, искавший логины и пароли от почтовых адресов.

Спустя час после блокировки бот «Глаз Бога» стал доступен по новому адресу.
Подробнее
Правильно все делают.