Коды доступа к интернет-сервисам, передаваемые в SMS, и геоданные россиян могли оказаться доступны иностранным злоумышленникам. Об этом "Известиям" рассказали три осведомлённых источника на рынке связи и информационной безопасности. По их словам, ситуация стала поводом для проверок, начатых правоохранительными органами и службой безопасности МТС.
Правоохранительные органы и служба информационной безопасности МТС проверяют факты компрометации учётных данных пользователей Facebook, WhatsApp (принадлежат корпорации Meta, которая признана в РФ экстремистской, Facebook запрещена в России), а также Telegram и Google. Предполагается, что инциденты произошли при участии зарубежных SMS-агрегаторов Infobip, Mitto (занимаются автоматической рассылкой сообщений - например, клиентам компаний) и виртуального оператора VentaTel. Об этом "Известиям" сообщили три источника, знакомых с ходом разбирательства. В последнее время участились случаи, когда информация о кодах и паролях, которые передают пользователям интернет-сервисы, утекает в руки злоумышленников, пояснил один из собеседников "Известий".
SMS от иностранного сервиса, например Google, попадает на телефон сотового абонента через цепочку иностранных технологических компаний-агрегаторов - как правило, зарубежные интернет-сервисы пользуются их услугами, объяснил один из собеседников "Известий".
При этом передача SMS не шифруется - это позволяет видеть содержимое сообщений всей цепочке структур, через которые оно следует, объяснил он.
Но передачей кодов и паролей для регистрации и аутентификации в социальных сетях и мессенджерах третьим лицам проблема не ограничивается, утверждают источники "Известий". Таким же образом передаются и данные о местоположении их получателя, рассказали они. Агрегаторам доступна такая опция, поскольку они могут подключаться к сети оператора по специальному технологическому протоколу, объяснил один из специалистов по кибербезопасности.
Представитель МТС отказался от комментариев. Так же поступили в "ВымпелКоме" (работает под брендом "Билайн"), "МегаФоне" и Те1е2. "Известия" направили запросы с Роскомнадзор и ФСБ.
В Mitto сказали, что компании неизвестно о проведении каких-либо проверок. По словам представителя организации, в тех странах, где работает агрегатор, он строго соблюдает положения и законодательство о персональных данных.
"Известия" также попросили прокомментировать возможные утечки представителей компаний Infobip и VentaTel.
Обвинения в том, что SMS-arpeгаторы помогают третьим лицам, в том числе спецслужбам, шпионить за пользователями интернет-сервисов, звучали и раньше. Например, в конце 2021 года базирующееся в Лондоне Бюро журналистских расследований и Bloomberg опубликовали совместный материал о передаче Mitto данных, необходимых для слежки за людьми (в том числе высокопоставленными чиновниками), специализирующимся на такой деятельности коммерческим структурам. А те, в свою очередь, делятся этими данными со спецслужбами, утверждают авторы расследования.
- Как утверждалось в расследовании, несанкционированное наблюдение за людьми осуществлялось благодаря уязвимости в телекоммуникационном протоколе SS7. Эксплуатация этой уязвимости позволяет отслеживать физическое местоположение определённых телефонов, а также перенаправлять текстовые сообщения и телефонные звонки, - напомнил один из источников "Известий".
Издание направило запросы в Google и Telegram. Связаться с представителями Meta не удалось.
То, что данные о кодах, паролях и местоположении российских абонентов могут утекать от зарубежных SMS-агрегаторов и интернет-сервисов третьим лицам, вполне вероятно, согласен руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров.
- Когда вы впервые заходите, например, в Google и регистрируетесь, сервис получает данные о мобильном устройстве и его местоположении. При этом, когда вы отправляете SMS с кодом, подтверждающим регистрацию, сервис фиксирует номер телефона. Digital-компания при этом видит значительно более подробную информацию о пользователях, чем агрегатор: контакты, фотографии и прочее, - отметил эксперт.
В то же время Игорь Бедеров сомневается в том, что SMS-агрегаторы напрямую получают от отечественных операторов геоданные российских абонентов. Есть страны, например Индия, где данные о геолокации абонентов открыты - по запросу они предоставляются оператором SMS-центру. В других государствах, допустим в странах ЕС, операторы могут обмениваться этими данными.
- Но я сомневаюсь, что ввиду сложившихся обстоятельств у российских операторов действуют соглашения о передаче таких данных европейским, - сказал эксперт. - И в принципе получить от российской компании связи данные о местоположении абонента напрямую вряд ли возможно.
С 1 сентября 2022 года вступают в силу изменения в закон о защите персональных данных - он будет предусматривать обязанность оператора быстро уведомлять Роскомнадзор о факте утечки информации, напомнил руководитель направления "Разрешение IT&IP споров" юридической фирмы "Рустам Курмаев и партнёры" Ярослав Шицле. - На уровне Минцифры обсуждается законопроект о введении оборотных штрафов уже в случае самого факта утечки. В случае обнаружения умысла в распространении персональных данных виновное лицо может быть привлечено к уголовной ответственности, - сказал эксперт.
Сейчас российские операторы не несут серьёзной ответственности за утечку персональных данных, но вскоре законодательство может ужесточиться, предупредил он.
Утечки геопозиции и других данных действительно вне зоны ответственности операторов, признал один из специалистов по информбезопасности. Но технически и организационно они могут минимизировать эти риски, что, собственно, сейчас и делается, утверждает он. В частности, оператор может проверять, с каких IP-адресов и сигнальных точек подключаются к его инфраструктуре, сказал собеседник "Известий".
Подключаемых агрегаторов можно проверять по открытым базам и с привлечением профильных ведомств, считает источник. Они могут получать от силовых структур информацию об агрегаторах, замеченных в участии в кибератаках и передаче информации иностранным спецслужбам, рассуждает собеседник "Известий".
Проблемы с утечками данных россиян могли бы решить лицензирование и сертификация деятельности иностранных SMS-агрегаторов в РФ, считает гендиректор TelecomDaily Денис Кусков. Сейчас работа сотовых операторов регулируется множеством законодательных и нормативных актов, их деятельность контролирует Роскомнадзор, и они обязаны сотрудничать с органами правопорядка, перечислил эксперт. Логично, если деятельность структур, занимающихся передачей SMS, также станет объектом регулирования, заключил он.
Сервисам, занимающимся SMS-pacсылками, требуется лицензия на предоставление телематических услуг связи, однако в рассматриваемом контексте лицензирование деятельности не предупреждает правонарушения в сфере защиты персональных данных, отметил Ярослав Шицле. Для этого необходимо ужесточить наказание за отказ от детального расследования причин утечки и увеличить штрафы, налагаемые на операторов данных, считает он.
0
25.00
