Популярный сервис для «пробива» людей собрал значительное количество приватной информации беларусов. Среди утекших данных «Зеркало» обнаружило базу «Клиенты Белгосстрах 2022» — с фамилиями, номерами телефонов и адресами. Ранее о возможной утечке в этой компании не было известно. Рассказываем, что попало в общий доступ, как это комментирует компания и какие еще данные клиентов беларусских фирм есть в сети. Мы публикуем материал издания без сокращений.
Популярный российский бот «Глаз Бога» обычно используют для «пробива» (поиска информации о конкретном человеке) тех или иных людей. Именно в нем «Зеркало» обнаружило данные из базы «Клиенты Белгосстрах 2022».
Что за информацию из базы выдает бот? Это фамилии, имена и отчества, даты рождения, номера телефонов, домашние адреса и какие-то «номера карты».
С большой долей вероятности эти данные верны. «Зеркало» проверило эту информацию как минимум по десяти людям. Мы сопоставили информацию бота с тем, что люди сами указывали на своих страницах в соцсетях и мессенджерах — у всех совпали имена, номера телефонов и даты рождения. Также в одном случае мы проверили адрес человека. И он оказался верным.
Что за «номера карты»?
Все «номера карты», которые мы нашли в доступе, похожи между собой. Они 16-значные и начинаются с цифр 9112 19… Но что это за номера? За помощью «Зеркало» обратилось к представителям OSINT-проекта Digital Intelligence Team.
— Первые четыре цифры 9112 указывают на внутреннюю платежную систему Республики Беларусь «БЕЛКАРТ», — объяснил представитель OSINT-проекта. — Но вот какой именно банк их выпустил — верифицировать не удалось ни по одному сервису. BIN-номера 9112 19 не существует.
Банковский идентификационный номер (BIN) — это первые шесть цифр номера банковской карты. Они обычно используются в кредитных и дебетовых картах, картах с предоплатой, подарочных картах и других подобных картах. BIN используется для идентификации бренда карты, эмитента или банка, страны выпуска, типа карты и категории карт.
Кроме того, как отметил наш собеседник, «номера карты» из утечки не проходят проверку по «контрольной цифре», которой обычно соответствуют номера действительных платежных карт. В связи с этим сложно сказать, что за номера попали в доступ и насколько они достоверны.
— Есть некоторые моменты, которые наталкивают на гипотезу, что эта утечка, возможно, связана с утечкой данных конца 2022 года (речь об утечке данных «Белгазпромбанка» и интернет-магазина nlstar.by. — Прим. ред.), — пояснил один из участников инициативы.
К тому же восемь из десяти проверенных нами беларусов есть не только в базе «Клиенты Белгосстрах», но и еще в одной — «Клиенты банков 2021». Это может натолкнуть на мысль, что две утечки связаны между собой.
Что говорит «Белгосстрах»?
Сколько данных содержится в базе «Клиенты Белгосстрах 2022», выяснить не удалось (полного списка клиентов в открытом доступе нет). Но для понимания масштабов «Белгосстраха»: по данным на 2023-й год, компания заключила более 6,4 миллиона договоров страхования.
Собственником предприятия является Министерство финансов Республики Беларусь. При этом о каких-либо утечках данных клиентов ничего ранее не сообщалось.
Журналистка «Зеркала» под видом обычной беларуски, которая нашла в сети личные данные своего родственника, позвонила в минский филиал «Белгосстраха».
— Вы в курсе, что данные ваших клиентов в доступе?
— Нет, мы не в курсе, — ответил директор филиала Павел Чернов.
— А можно какую-то жалобу написать?
— С чего вы взяли, что жалобу нужно именно в «Белгосстрах» писать?
— Там данные клиента, данные его страховой карты.
— Страховой карты?
— Написано «номер карты».
— Давайте данные, мы разберемся, наш ли это клиент и что мы можем прокомментировать по этому вопросу.
Представитель предприятия записал информацию и пообещал: «С вами свяжутся».
Есть шанс, что мои данные утекли?
Даже если вы не были клиентом «Белгосстраха», шанс этого очень велик. За последние годы в Беларуси произошло множество утечек персональных данных, среди которых были очень масштабные. Вот лишь некоторые, о которых сообщали представители Национального центра защиты персональных данных или сами компании:
- сайты ООО «РиэлтБай» — realt.by и kvartirant.by — утечка затронула около 900 тысяч пользователей;
- интернет-магазин «Остров чистоты и вкуса» — более 730 тысяч;
- программа лояльности торговой сети «Соседи» — около 635 тысяч;
- платформа онлайн-петиций «Удобный город» Petitions.by — по предварительной информации, 600 тысяч;
- интернет-магазин belbazar24.by — более 300 тысяч;
- интернет-магазин buslik.by — 220 тысяч;
- интернет-магазин nlstar.by — 85 тысяч;
- «Белгазпромбанк» — около 42 тысяч;
- салоны цифровой техники «АЛЛО» — 16 тысяч;
- предприятие «Юркас» — около пяти тысяч;
- сервис автоперевозчиков «Атлас» (ООО «Онлайн Маршрутки») — количество затронутых пользователей неизвестно;
- ТК Банк — количество затронутых пользователей неизвестно;
- сервис доставки еды Just-eat — количество затронутых пользователей неизвестно.
Многие из компаний, которые стали жертвами атак хакеров, сейчас фигурируют в выдаче сервисов по «пробиву».
Кстати, доступные данные не ограничиваются теми утечками, о которых было известно раньше. Также есть базы, подписанные как «Клиенты магазинов 2022», «Пользователи 5element.by 2024», «Евроопт 2020», «Белоруссия клиенты Алми 2014», «Документы Беларусь 2010», «Прописка Гомель». «Зеркалу» не удалось установить происхождение этой информации.
Как можно себя проверить и куда жаловаться, если мои данные попали в сеть?
Если решите «пробить» себя через российские боты — помните об осторожности. Те запросы, которые вы отправляете в «Глаз Бога», также сохраняются в боте и продолжают храниться. При этом, как в 2021 году говорил его основатель Евгений Антипов, данные находятся на серверах в России.
В теории ваши запросы могут раскрыть некоторую информацию о вас. К примеру, если вы впишете свои паспортные данные со своего аккаунта в Telegram, сервис сможет связать ваш аккаунт, номер телефона и имя и использовать эту информацию при следующем запросе. Поэтому лучше всего для такой проверки создать совершенно новый аккаунт, который вы не будете использовать больше нигде.
Можно ли пожаловаться, если данные утекли в сеть? Да. В Беларуси работает Национальный центр защиты персональных данных. Если вы считаете, что нарушены ваши права, связанные с личной информацией, вы можете подать жалобу на это. По ссылке — детали того, как это можно сделать.