Пострадать может любой. Как по сканам паспортов из каршеринга на россиян оформляют кредиты
Коллаж © LIFE. Фото © ТАСС / Александр Река, ТАСС / Дмитрий Феоктистов, ТАСС / Елена Никитченко
Документы из каршерингов утекают целыми пакетами, и защитить персональные данные невозможно.
Удаление не поможет
История с хранением персональных данных в России полна сюрпризов. Каршеринги в этом смысле — индикатор того, насколько всё может быть хорошо или, наоборот, плохо. Операторов каршеринга по уровню безопасности и методике хранения данных часто сравнивают с банками — похожие правила и процедуры. Но это только внешне. В глубине процесса — скрытые возможности, которыми пользуются злоумышленники.
Завершить отношения с банком крайне просто. Заявление о закрытии счёта можно сформировать даже онлайн, без визита в офис. После того как банк рассмотрит его и переведёт деньги на любой другой счёт, официальное взаимодействие банка с клиентом закончится. С сервисами краткосрочной аренды всё обстоит сложнее. Важно понимать, что ни один каршеринг в России на данный момент не предоставляет услугу дистанционного закрытия аккаунта. Такая процедура просто не предусмотрена в пользовательском соглашении.
Если для банка клиент перестаёт существовать после расторжения договора, то удаление приложения каршеринга, даже с удалением всех персональных данных в личном кабинете, не приведёт ни к каким изменениям. Проще говоря, удаляя приложение со смартфона, вы всё равно остаётесь для агрегатора активным пользователем и числитесь во всех базах данных.
По словам нашего источника в одном из крупнейших каршерингов России, персональные данные на серверах компаний по краткосрочной аренде автомобилей живут бессрочно. Если пользователь сам не обращается в компанию для их удаления, то скан паспорта, селфи с документом и скан водительских прав будут храниться вечно, и неизвестно, кто и когда воспользуется этой информацией в преступных целях.
Удалить персональные данные можно только по письменному заявлению, составленному на обычной бумаге и отправленному заказным письмом в центральный офис каршеринга. Удалять персональные данные будут примерно полтора месяца, но пока письмо дойдёт до адресата и его рассмотрением займётся профильный отдел, есть риск оказаться втянутым в серьёзные неприятности.
Зачем воровать персональные данные?
Парсинг (накопление) персональных данных из каршерингов — выгодный бизнес для злоумышленников. Он удобен — все документы, включая паспорт и водительские права, хранятся в одном месте и часто защищены существенно хуже, чем аналогичные хранилища в банках. За каждый пакет данных, проданный в Даркнете, злоумышленники получают неплохую прибыль. Например, набор из действительного паспорта и водительского удостоверения на "живого" человека (активного пользователя каршеринга) может стоить 10–15 тыс. рублей.
По словам собственного источника Life.ru в одном из крупнейших каршерингов России, полный пакет документов на пользователей каршеринга покупают с абсолютно разными целями.
В основном это делают, чтобы создавать "левые" аккаунты в других каршерингах. Делают это по разным причинам. Кто-то угоном занимается, кто-то просто ворует с автомобилей навесное оборудование. Гораздо реже реальные документы используют для совершения преступлений, а практика, когда по паспортным данным берут кредиты и микрозаймы, к сожалению, не редкость
Кто ворует персональные данные?
Для того чтобы ответить на этот вопрос, необходимо ненадолго погрузиться в историю появления каршеринга в России. Большинство операторов каршеринга — небольшие компании с большим автопарком. В крупнейших каршеринговых компаниях России работают не более двух тысяч человек. Как и любая организация, ориентированная на прибыль, каршеринги занимаются зарабатыванием денег и часто прибегают к аутсорсингу — выводу некоторых подразделений за штат и часто — в регионы.
Именно здесь, по словам источника Life.ru в каршеринговой компании, чаще всего происходит утечка данных. Человеческий фактор, на который не могут повлиять ни служба внутренней безопасности каршеринга, ни документы о неразглашении коммерческой информации, не могут остановить любителей лёгких денег.
Часто на кражу и последующий "слив" персональных данных идут не от хорошей жизни: зарплата оператора службы поддержки каршеринга в столичных регионах — 30–40 тыс. рублей. В регионах и того меньше. Но такие случаи, по словам источника, редкость. В большинстве случаев работает именно преступный сговор.
Как всё устроено
Для понимания уровня безопасности стоит уточнить вполне очевидную вещь: чем крупнее каршеринг, тем сложнее украсть данные. В крупных каршеринговых компаниях (как и в банках) службой внутренней безопасности руководят технически подкованные выходцы из силовых структур: ФСБ, МВД, ФСО, для которых определить источник вероятной утечки — профессиональная обязанность. Утечка из такой компании — редкость.
В крупных компаниях ни один из сотрудников, даже на топовых уровнях руководства, не имеет полного доступа ко всему пакету персональных данных. Чаще всего документы разделены на несколько категорий, а для того, чтобы проконсультировать клиента, доступен только скан паспорта с серией и номером. По словам источника Life.ru в одном из крупнейших каршерингов России, в сборе всего пакета документов зачастую принимают участие сразу несколько человек, после чего составляется единый клиентский профиль. Его [профиль] в дальнейшем и продают через Даркнет.
Небольшие каршеринговые компании, собравшие данные на сотни тысяч россиян за несколько лет, совершенно другая история. Важно понимать, что только в столичном регионе за все годы развития сервиса кратковременной аренды обанкротилось не меньше десятка условных ООО "Рога и копыта", на серверах которых хранились ценные персональные данные. Особенно популярной, по словам источников Life.ru в каршеринговых компаниях, тема с оформлением микрозаймов и быстрых кредитов стала в регионах, где небольшие компании бросают на защиту персональных данных меньше ресурсов, чем крупные участники рынка.
Прецеденты такие действительно были. Компания закрывалась, и, чтобы не уходить с пустыми руками, сотрудники копировали себе базу данных со сканами паспортов. Этого, как выяснилось, было вполне достаточно для оформления тысяч микрозаймов
Официальной позиции каршеринг-операторов на момент публикации получить не удалось. В пресс-службе "Яндекса" нам сообщили, что не смогут прокомментировать подробности хранения персональных данных, а каршеринговые операторы "Делимобиль", "Белка", LifCar и UDrive не ответили на запросы Life.ru.
Съездил в гости — проснулся должником
Как раз на этом этапе самое время пояснить, как работает механизм оформления микрозайма. Чаще всего для получения микрозайма нужен один документ — паспорт гражданина РФ с отметкой о прописке, серией и номером паспорта. Некоторые микрокредитные компании хитрят и увеличивают сумму перевода на карту в обмен на предоставление дополнительных документов: водительских прав, ИНН, запрашивают доступ к личному кабинету на "Госуслугах". Если налоговые документы достать сложно, то паспортов, прав и селфи на фоне своего же документа в базе данных каршерингов только в России миллионы единиц.
Если у злоумышленников, которым продали базу данных клиентов каршеринга, есть сообщники в таких организациях, то процесс вывода денег на карты по паспортным данным ничего не подозревающих людей упрощается. Как раз на этом этапе съездивший в гости к родителям клиент каршеринга наутро просыпается должником. Переводы на виртуальную карту и вывод денег в криптовалюту, которые, как считалось ранее, оставляют цифровые следы, эксперты вообще не советуют воспринимать как преграду для совершения преступления.
Что делать, если коллекторы вгоняют в долги
Ведущий юрист Европейской юридической службы Ольга Широкова отмечает, что в первую очередь при обнаружении долга или исполнительного листа от приставов нужно в срочном порядке обратиться в полицию с заявлением по факту мошенничества.
Также необходимо обратиться в суд с исковым заявлением о признании данного договора недействительным. По общему правилу кредитный договор может быть признан недействительным по общим основаниям недействительности, предусмотренным гражданским законодательством. Если же к "заёмщику" уже предъявляют претензии коллекторы по факту возникшей задолженности, то, как указывалось выше, необходимо признавать в судебном порядке недействительность данного договора
История с утечкой персональных данных клиентов каршеринга далека от завершения, и в зоне риска находятся миллионы пользователей сервиса краткосрочной аренды. Представитель юридической компании "Можно" Андрей Шевченко отметил, что самое главное в случае обнаружения внезапных долгов по кредитам — не надеяться, что ситуация "рассосётся" сама собой.
Свои права надо защищать активно. Например, нужно заручиться доказательствами утечки информации из каршеринга: сведения в печати, показания таких же пострадавших и т.п. Если у вас есть документы из банка, где был взят кредит, обратитесь в суд с иском к банку о нарушении ваших прав в виде незаконных требований. В судебном процессе потребуйте доказательства взаимодействия банка именно с вами. Обратитесь в полицию с заявлением о совершении в отношении вас преступления в виде незаконного использования сведений, которое привело к хищению
Юристы отмечают, что главная сложность состоит в том, чтобы добиться от каршеринговой компании признания самого факта утечки персональных данных. В случае если взаимодействовать придётся с небольшими компаниями, есть вероятность, что сотрудники службы безопасности откажутся сотрудничать и начнут заметать следы, поэтому без вмешательства правоохранительных органов такие вопросы лучше не решать.
Выбор редакции
"Госуслуги" не панацея. Почему "белая" сделка не гарантирует качество автомобиля
Продать биткоин стало сложнее. Какие ограничения появились на сделки с криптовалютой
Укол или увольнение. Когда можно лишиться работы за отказ от прививки "Спутник V"
Диванные страдальцы. Откуда появились "жертвы кровавого режима" из "Тиктока"
Доктор Мясников назвал вредную привычку опаснее курения сигарет
Комментариев: 0