Правоохранительные органы и служба информационной безопасности МТС проверяют факты компрометации учетных данных пользователей Facebook, WhatsApp (принадлежат корпорации Meta, которая признана в РФ экстремистской, Facebook запрещена в России), а также Telegram и Google. Предполагается, что инциденты произошли при участии зарубежных SMS-агрегаторов Infobip, Mitto (занимаются автоматической рассылкой сообщений, например, клиентам компаний) и виртуального оператора VentaTel. Об этом «Известиям» сообщили три источника, знакомых с ходом разбирательства. В последнее время участились случаи, когда информация о кодах и паролях, которые передают пользователям интернет-сервисы, утекает в руки злоумышленников, пояснил один из собеседников «Известий».
SMS от иностранного сервиса, например Google, попадает на телефон сотового абонента через цепочку иностранных технологических компаний-агрегаторов — как правило, зарубежные интернет-сервисы пользуются их услугами, объяснил один из собеседников «Известий». При этом передача SMS не шифруется — это позволяет видеть содержимое сообщений всей цепочке структур, через которые оно следует, объяснил он.
Но передачей кодов и паролей для регистрации и аутентификации в социальных сетях и мессенджерах третьим лицам проблема не ограничивается, утверждают источники «Известий». Таким же образом передаются и данные о местоположении их получателя, рассказали они. Агрегаторам доступна такая опция, поскольку они могут подключаться к сети оператора по специальному технологическому протоколу, объяснил один из специалистов по кибербезопасности.
Представитель МТС отказался от комментариев. Так же поступили в «Вымпелкоме» (работает под брендом «Билайн»), «Мегафоне» и Tele2. «Известия» направили запросы с Роскомнадзор и ФСБ.
В Mitto сказали, что компании неизвестно о проведении каких-либо проверок. По словам представителя организации, в тех странах, где работает агрегатор, он строго соблюдает положения и законодательство о персональных данных.
«Известия» также попросили прокомментировать возможные утечки представителей компаний Infobip и VentaTel.
Обвинения в том, что SMS-агрегаторы помогают третьим лицам, в том числе спецслужбам, шпионить за пользователями интернет-сервисов, звучали и раньше. Например, в конце 2021 года базирующееся в Лондоне Бюро журналистских расследований и Bloomberg опубликовали совместный материал о передаче Mitto данных, необходимых для слежки за людьми (в том числе высокопоставленными чиновниками) специализирующимся на такой деятельности коммерческим структурам. А те, в свою очередь, делятся этими данными со спецслужбами, утверждают авторы расследования.
— Как утверждалось в расследовании, несанкционированное наблюдение за людьми осуществлялось благодаря уязвимости в телекоммуникационном протоколе SS7. Эксплуатация этой уязвимости позволяет отслеживать физическое местоположение определенных телефонов, а также перенаправлять текстовые сообщения и телефонные звонки, — напомнил один из источников «Известий».
Издание направило запросы в Google и Telegram. Связаться с представителями Meta не удалось.
То, что данные о кодах, паролях и местоположении российских абонентов могут утекать от зарубежных SMS-агрегаторов и интернет-сервисов третьим лицам, вполне вероятно, согласен руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров.
— Когда вы впервые заходите, например, в Google и регистрируетесь, сервис получает данные о мобильном устройстве и его местоположении. При этом, когда вы отправляете SMS с кодом, подтверждающим регистрацию, сервис фиксирует номер телефона. Digital-компания при этом видит значительно более подробную информацию о пользователях, чем агрегатор: контакты, фотографии и прочее, — отметил эксперт.
В то же время Игорь Бедеров сомневается в том, что SMS-агрегаторы напрямую получают от отечественных операторов геоданные российских абонентов. Есть страны, например Индия, где данные о геолокации абонентов открыты, — по запросу они предоставляются оператором SMS-центру. В других государствах, допустим в странах ЕС, операторы могут обмениваться этими данными.
— Но я сомневаюсь, что ввиду сложившихся обстоятельств у российских операторов действуют соглашения о передаче таких данных европейским, — сказал эксперт. — И, в принципе, получить от российской компании связи данные о местоположении абонента напрямую вряд ли возможно.
C 1 сентября 2022 года вступают в силу изменения в закон о защите персональных данных — он будет предусматривать обязанность оператора быстро уведомлять Роскомнадзор о факте утечки информации, напомнил руководитель направления «Разрешение IT&IP споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле.
— На уровне Минцифры обсуждается законопроект о введении оборотных штрафов уже в случае самого факта утечки. В случае обнаружения умысла в распространении персональных данных виновное лицо может быть привлечено к уголовной ответственности, — сказал эксперт.
Сейчас российские операторы не несут серьезной ответственности за утечку персональных данных, но вскоре законодательство может ужесточиться, предупредил он.
Утечки геопозиции и других данных действительно вне зоны ответственности операторов, признал один из специалистов по информбезопасности. Но технически и организационно они могут минимизировать эти риски, что, собственно, сейчас и делается, утверждает он. В частности, оператор может проверять, c каких IP-адресов и сигнальных точек подключаются к его инфраструктуре, сказал собеседник «Известий».
Подключаемых агрегаторов можно проверять по открытым базам и с привлечением профильных ведомств, считает источник. Они могут получать от силовых структур информацию об агрегаторах, замеченных в участии в кибератаках и передаче информации иностранным спецслужбам, рассуждает собеседник «Известий».
Проблемы с утечками данных россиян могли бы решить лицензирование и сертификация деятельности иностранных SMS-агрегаторов в РФ, считает гендиректор TelecomDaily Денис Кусков. Сейчас работа сотовых операторов регулируется множеством законодательных и нормативных актов, их деятельность контролирует Роскомнадзор и они обязаны сотрудничать с органами правопорядка, перечислил эксперт. Логично, если деятельность структур, занимающихся передачей SMS, также станет объектом регулирования, заключил он.
Сервисам, занимающимся SMS-рассылками, требуется лицензия на предоставление телематических услуг связи, однако в рассматриваемом контексте лицензирование деятельности не предупреждает правонарушения в сфере защиты персональных данных, отметил Ярослав Шицле. Для этого необходимо ужесточить наказание за отказ от детального расследования причин утечки и увеличить штрафы, налагаемые на операторов данных, считает он.
Валерий Кодачигов