Сегодня «Коммерсантъ» опубликовал статью «С фальшивой вакцинацией вышел прокол». В ней говорится, что на теневых интернет-ресурсах выставлена на продажу база данных граждан, которые покупали поддельные справки о вакцинации и ПЦР. Новость моментально попала в топ Яндекса и начала расходиться по телеграм-каналам. Мы провели собственное расследование, чтобы понять, есть ли в реальности такая база. А также — верно ли утверждение, что тем, кто в неё попал, грозит уголовная ответственность.
«На теневых форумах и в Telegram-каналах начали продаваться базы данных граждан, которые якобы покупали поддельные справки о прохождении вакцинации... и содержит паспортные данные, СНИЛС, номер телефона и место жительства, а также информацию о дате получения сертификата», — сообщает «Коммерсантъ». По данным издания, в самой большой базе содержатся персональные данные более 500 тысяч людей, а стоимость информации об одном человеке составляет около 30–40 руб. Речь идёт о Московском регионе, уточняет издание.
В статье утверждается, что попавшие в эту базу могут стать жертвами мошенников, которые, вероятно, станут предлагать услуги по удалению из базы сведений о гражданах, которые «купили» сертификаты. А кроме того, им грозит уголовная ответственность по ч. 3 ст. 327 УК РФ, максимальное наказание по которой составляет до одного года лишения свободы.
Не секрет, что услуги по покупке поддельных сертификатов весьма популярны и пользуются спросом среди россиян. И чем больше власти вводят ограничений для тех, кто не привился (введение QR-кодов для посещения театров, ресторанов, культурно-массовых мероприятий; региональные инициативы по обязательному вакцинированию отдельных групп граждан), тем больший спрос на форумах и телеграм-каналах на услуги по продаже сертификатов. Видимо, поэтому новость о появлении в продаже базы «покупателей поддельных сертификатов» не вызывает удивления. Однако внимательное изучение как появления самой новости о сливе, так и содержания самой «базы» ставит под сомнение, что мы имеем дело с реальным, а не фейковым сливом.
Незыгарь — поставщик эксклюзивов
Начнём с первоисточника новости. Журналисты «Коммерсанта» в своём материале ссылаются на то, что объявления о продаже базы они нашли на теневых форумах и в Telegram-каналах. Однако первым эту информацию сообщил телеграм-канал Незыгарь — почти за сутки до публикации «Коммерсанта».
«Бумеранг чёрного рынка возвращается к антиваксерам. После ужесточения форм прививочной документации Минздравом фальсификаторы начали уходить с рынка, распродавая за ненадобностью приобретённые в процессе работы информационные активы. На теневых площадках поступили в продажу базы данных клиентов, купивших поддельные справки о прохождении вакцинации».
Владельцы «Незыгаря»
В посте Незыгаря также приводятся данные о стоимости «базы» и о том, как потенциальные продавцы могут ее использовать: «Среди возможных вариантов применения продаваемых данных теневые коммерсанты называют набор лидов для продажи „обновлённых сертификатов“, дальнейший развод на „сопутствующие услуги“ и откровенный шантаж».
Вслед за Незыгарём информацию о появлении на рынке базы (в четверг) повторил в своём телеграм-канале Евгений Антипов — владелец телеграм-бота «Глаз Бога». Правда, в его посте утверждалось, что в базе содержатся персональные не на 500 тысяч человек, а на 680 тысяч.
Вечером 11 ноября канал руководителя департамента информационно-аналитических исследований компании T.Hunter Игоря Бедерова (4 тыс. подписчиков) публикует пост: «Хотите заглянуть на внутреннюю кухню создания фейковых ПЦР-тестов? Тут поломался один очень интересный сервис. Сделан жителем Севастополя, который смог реализовать через него уже более 9000 поддельных тестов».
Эта информация со ссылкой Бедерова также войдет в статью «Коммерсанта». По сути, весь материал издания — это повторение и компиляция данных нескольких телеграм-каналов, опубликованных накануне.
Интересно, что один из крупнейших каналов, специализирующийся на новостях про сливы, — «Утечки информации» (74,5 тыс. подписчиков) — ни вчера, ни сегодня ничего не публиковал про появление в продаже в даркнете новой базы.
«Это фейк»
Ни один из телеграм-каналов, написавших в четверг про сливы, ни «Коммерсантъ» не привели ссылку или скриншот ресурсов, где были опубликованы объявления о продаже «базы купивших сертификаты»».
Журналисты «Базы» изучили форумы и сайты, где обычно появляются объявления о продаже баз данных: Рутор, DeepMarket, Runion, wwh-club и другие. Ни на одном из них нет объявлений на эту тему. Сами участники этих ресурсов активно обсуждают «появившуюся базу» и в большинстве своём сходится во мнении, что такой базы просто не существует.
«Это фейк», «Мне кажется, это какой-то развод», — утверждают они.
Не могут найти «базу лжевакцинированных» и эксперты в области кибербезопасности.
«Мы не можем подвердить факт слива такой базы. Первые сообщения о продаже данных по гражданам, якобы купившим поддельные сертификаты, мы зафиксировали не на профильных теневых форумах, а в небезызвестном общественно-политическом телеграм-канале. Мы не видим подтверждений публикации этой утечки — ни скриншотов, ни конкретного ника автора слива, ни сведений, на какой площадке было опубликовано такое объявление (форум, мессенджер, имиджборд и т. д.), нет, то есть достоверный источник пока обнаружить не удалось. Также непонятно, кто именно из экспертов обнаружил базу. Как минимум это свидетельствует о том, что эта услуга (предложение) не популярна, как максимум — наводит на мысли о контролируемом вбросе», — заявили «Базе» представители компании Group-IB — одного из ведущих разработчиков решений для предотвращения кибератак.
Некоторые из пользователей форумов уверены, что реальные продавцы таких сертификатов о вакцинации или врачи в больницах не ведут подобных баз: «Ты приходишь в поликлинику или в больницу (а иногда и поход в больницу не нужен, просто пересылаются данные покупателя), и врач просто выливает вакцину, а твои данные вносятся в базу Минздрава и отправляются на „Госуслуги“. Но там нет никакой пометки, естественно, о том, что твоя прививка фейк. Ты ничем не отличаешься от того, кто действительно вакцинировался. Доказать, что ты не вакцинировался, практически невозможно».
По мнению, тех кто занимается продажей сертификатов с проводкой, баз такого размера (500–680 тыс.) просто не может быть: «Конечно, продавцов много, и даже если кто-то (рискуя своей репутацией) и решил слить клиентов — это были бы единичные случаи: у одного такого продавца число покупателей даже за месяцы не превысило бы 1–2 тыс. человек. А собрать с разных продавцов эти данные в принципе невозможно».
Страшилка для антиваксеров
Если собрать в единую базу данные ото всех продавцов сертификатов невозможно, откуда же она взялась? Единственные косвенное доказательство того, что некая база база данных лиц, купивших сертификат, есть, — ссылка, которую в своём посте приводит Евгений Антипов, владелец телеграм-бота «Глаз Бога»: «После ужесточения проверок и справок, в Сети начали создавать бесплатные сервисы [http://5.253.61.244/], позволяющие создать себе справку, цель подобных проектов была именно в сборе данных с целью дальнейшего шантажа». Ту же самую ссылку позже привёл у себя в телеграм-канале и Игорь Бедеров.
Если перейти по ссылке, то мы попадаем на страницу, где пользователю предлагается вбить свои данные и получить чек и справку об отсутствии коронавирусной инфекции (ПЦР). При этом на странице нигде не указано, для каких целей она служит, и никакого руководства для пользователя тоже нет.
Чтобы получить справку, пользователь вбивает в форму на странице лишь свою фамилию (полные ФИО) и дату рождения. В форме нет никаких полей, где нужно внести паспортные данные, СНИЛС, номер телефона и место жительства.
Если допустить, что с помощью такого (или аналогичных) ресурсов в базе собрано действительно 500 тысяч записей, — никаких персональных данных там не может быть. Просто сбор этих данных не предусмотрен формой сайта. Кроме того, любой пользователь может вбить любую произвольную фамилию и дату рождения и получить липовую справку.
После внесения данных пользователь получает чек и справку в формате PDF. Справка создана на бланке, похожем на те, что выдают популярные сети клиник («Гемотест», «Инвитро» и другие), однако в подлинных документах всегда указываются паспортные данные пациента и его адрес.
При переходе по QR-коду на полученном чеке на официальный сайт гемотеста появляется надпись: «справка недействительна».
«Если база, про которую сегодня все говорят, собрана из данных с этих сайтов, то можно точно сказать: выводы о том, что мошенники смогут использовать данные этой базы для шантажа пользователей, — это просто попытка испугать всех, кто собирается в будущем покупать сертификаты о вакцинации или ПЦР. По факту же никаких данных пользователь не вводит, также невозможно будет доказать, что именно ты ввёл эти данные, а не какой то другой человек, — ведь авторизация на странице не предусмотрена. Но как страшилка для антиваксеров вся эта история сможет сработать. Люди просто будут опасаться любых ресурсов, предлагающих покупку сертификатов и справок», — говорит один из экспертов в области кибербезопасности на условиях анонимности.
Другой эксперт подтвердил, что данные из «базы покупателей фальшивых сертификатов и ПЦР-тестов» были собраны через этот бесплатный сервис, но большую её часть, составляют данные из других баз:
«Сервер работает полгода и к нему подключена пара десятков сайтов, на которых рекламируются услуги покупки ПЦР-тестов. Я думаю, что базу, в которую вошли данные с этих сайтов (не более 9 тысяч записей), влили другие базы и на фоне текущего хайпа выставили на продажу. В неё просто вкинули ещё несколько сотен записей из других данных баз — под видом того, что все они якобы купли ПЦР. Но в реальности же это не так».
О том, что «база купивших сертификаты» — это компиляция из разных баз, которые никак не связаны с продажей сертификатов о вакцинировании, говорит и создатель канала «Утечки информации» Ашот Оганесян: «Вчера объявление о продаже и „пробники“ этой базы появились в нескольких телеграм-каналах, специализирующихся на скаме, а затем стали расходиться по Сети. Но проверить факт утечки невозможно, так как неизвестен её источник. Даже если предположить, что база настоящая, то она собрана с нескольких сайтов, реализующих поддельные QR-коды. Однако я полагаю, что это в принципе „скам-продукт“, скомпилированный из нескольких старых баз паспортных данных и СНИЛС, которые можно найти в даркнете».