Пострадать может любой. Как по сканам паспортов из каршеринга на россиян оформляют кредиты

История с хранением персональных данных в России полна сюрпризов. Каршеринги в этом смысле — индикатор того, насколько всё может быть хорошо или, наоборот, плохо. Операторов каршеринга по уровню безопасности и методике хранения данных часто сравнивают с банками — похожие правила и процедуры. Но это только внешне. В глубине процесса — скрытые возможности, которыми пользуются злоумышленники.

Завершить отношения с банком крайне просто. Заявление о закрытии счёта можно сформировать даже онлайн, без визита в офис. После того как банк рассмотрит его и переведёт деньги на любой другой счёт, официальное взаимодействие банка с клиентом закончится. С сервисами краткосрочной аренды всё обстоит сложнее. Важно понимать, что ни один каршеринг в России на данный момент не предоставляет услугу дистанционного закрытия аккаунта. Такая процедура просто не предусмотрена в пользовательском соглашении.

Если для банка клиент перестаёт существовать после расторжения договора, то удаление приложения каршеринга, даже с удалением всех персональных данных в личном кабинете, не приведёт ни к каким изменениям. Проще говоря, удаляя приложение со смартфона, вы всё равно остаётесь для агрегатора активным пользователем и числитесь во всех базах данных.

По словам нашего источника в одном из крупнейших каршерингов России, персональные данные на серверах компаний по краткосрочной аренде автомобилей живут бессрочно. Если пользователь сам не обращается в компанию для их удаления, то скан паспорта, селфи с документом и скан водительских прав будут храниться вечно, и неизвестно, кто и когда воспользуется этой информацией в преступных целях.

Удалить персональные данные можно только по письменному заявлению, составленному на обычной бумаге и отправленному заказным письмом в центральный офис каршеринга. Удалять персональные данные будут примерно полтора месяца, но пока письмо дойдёт до адресата и его рассмотрением займётся профильный отдел, есть риск оказаться втянутым в серьёзные неприятности.

Парсинг (накопление) персональных данных из каршерингов — выгодный бизнес для злоумышленников. Он удобен — все документы, включая паспорт и водительские права, хранятся в одном месте и часто защищены существенно хуже, чем аналогичные хранилища в банках. За каждый пакет данных, проданный в Даркнете, злоумышленники получают неплохую прибыль. Например, набор из действительного паспорта и водительского удостоверения на "живого" человека (активного пользователя каршеринга) может стоить 10–15 тыс. рублей.

По словам собственного источника Life.ru в одном из крупнейших каршерингов России, полный пакет документов на пользователей каршеринга покупают с абсолютно разными целями.

Для того чтобы ответить на этот вопрос, необходимо ненадолго погрузиться в историю появления каршеринга в России. Большинство операторов каршеринга — небольшие компании с большим автопарком. В крупнейших каршеринговых компаниях России работают не более двух тысяч человек. Как и любая организация, ориентированная на прибыль, каршеринги занимаются зарабатыванием денег и часто прибегают к аутсорсингу — выводу некоторых подразделений за штат и часто — в регионы.

Именно здесь, по словам источника Life.ru в каршеринговой компании, чаще всего происходит утечка данных. Человеческий фактор, на который не могут повлиять ни служба внутренней безопасности каршеринга, ни документы о неразглашении коммерческой информации, не могут остановить любителей лёгких денег.

Часто на кражу и последующий "слив" персональных данных идут не от хорошей жизни: зарплата оператора службы поддержки каршеринга в столичных регионах — 30–40 тыс. рублей. В регионах и того меньше. Но такие случаи, по словам источника, редкость. В большинстве случаев работает именно преступный сговор.

Для понимания уровня безопасности стоит уточнить вполне очевидную вещь: чем крупнее каршеринг, тем сложнее украсть данные. В крупных каршеринговых компаниях (как и в банках) службой внутренней безопасности руководят технически подкованные выходцы из силовых структур: ФСБ, МВД, ФСО, для которых определить источник вероятной утечки — профессиональная обязанность. Утечка из такой компании — редкость.

В крупных компаниях ни один из сотрудников, даже на топовых уровнях руководства, не имеет полного доступа ко всему пакету персональных данных. Чаще всего документы разделены на несколько категорий, а для того, чтобы проконсультировать клиента, доступен только скан паспорта с серией и номером. По словам источника Life.ru в одном из крупнейших каршерингов России, в сборе всего пакета документов зачастую принимают участие сразу несколько человек, после чего составляется единый клиентский профиль. Его [профиль] в дальнейшем и продают через Даркнет.

Небольшие каршеринговые компании, собравшие данные на сотни тысяч россиян за несколько лет, совершенно другая история. Важно понимать, что только в столичном регионе за все годы развития сервиса кратковременной аренды обанкротилось не меньше десятка условных ООО "Рога и копыта", на серверах которых хранились ценные персональные данные. Особенно популярной, по словам источников Life.ru в каршеринговых компаниях, тема с оформлением микрозаймов и быстрых кредитов стала в регионах, где небольшие компании бросают на защиту персональных данных меньше ресурсов, чем крупные участники рынка.

Официальной позиции каршеринг-операторов на момент публикации получить не удалось. В пресс-службе "Яндекса" нам сообщили, что не смогут прокомментировать подробности хранения персональных данных, а каршеринговые операторы "Делимобиль", "Белка", LifCar и UDrive не ответили на запросы Life.ru.

Как раз на этом этапе самое время пояснить, как работает механизм оформления микрозайма. Чаще всего для получения микрозайма нужен один документ — паспорт гражданина РФ с отметкой о прописке, серией и номером паспорта. Некоторые микрокредитные компании хитрят и увеличивают сумму перевода на карту в обмен на предоставление дополнительных документов: водительских прав, ИНН, запрашивают доступ к личному кабинету на "Госуслугах". Если налоговые документы достать сложно, то паспортов, прав и селфи на фоне своего же документа в базе данных каршерингов только в России миллионы единиц.

Если у злоумышленников, которым продали базу данных клиентов каршеринга, есть сообщники в таких организациях, то процесс вывода денег на карты по паспортным данным ничего не подозревающих людей упрощается. Как раз на этом этапе съездивший в гости к родителям клиент каршеринга наутро просыпается должником. Переводы на виртуальную карту и вывод денег в криптовалюту, которые, как считалось ранее, оставляют цифровые следы, эксперты вообще не советуют воспринимать как преграду для совершения преступления.

Ведущий юрист Европейской юридической службы Ольга Широкова отмечает, что в первую очередь при обнаружении долга или исполнительного листа от приставов нужно в срочном порядке обратиться в полицию с заявлением по факту мошенничества.

История с утечкой персональных данных клиентов каршеринга далека от завершения, и в зоне риска находятся миллионы пользователей сервиса краткосрочной аренды. Представитель юридической компании "Можно" Андрей Шевченко отметил, что самое главное в случае обнаружения внезапных долгов по кредитам — не надеяться, что ситуация "рассосётся" сама собой.

Юристы отмечают, что главная сложность состоит в том, чтобы добиться от каршеринговой компании признания самого факта утечки персональных данных. В случае если взаимодействовать придётся с небольшими компаниями, есть вероятность, что сотрудники службы безопасности откажутся сотрудничать и начнут заметать следы, поэтому без вмешательства правоохранительных органов такие вопросы лучше не решать.