Пострадать может каждый: по сканам паспортов из каршеринга на россиян оформляют кредиты
Документы из каршерингов утекают целыми пакетами, а защитить персональные данные просто невозможно.
Завершить отношения с банком крайне просто. Заявление о закрытии счёта можно сформировать даже онлайн, без визита в офис. После того как банк рассмотрит его и переведёт деньги на любой другой счёт, официальное взаимодействие банка с клиентом закончится. С сервисами краткосрочной аренды всё обстоит сложнее. Важно понимать, что ни один каршеринг в России на данный момент не предоставляет услугу дистанционного закрытия аккаунта. Такая процедура просто не предусмотрена в пользовательском соглашении.
Если для банка клиент перестаёт существовать после расторжения договора, то удаление приложения каршеринга, даже с удалением всех персональных данных в личном кабинете, не приведёт ни к каким изменениям. Проще говоря, удаляя приложение со смартфона, вы всё равно остаётесь для агрегатора активным пользователем и числитесь во всех базах данных.
По словам нашего источника в одном из крупнейших каршерингов России, персональные данные на серверах компаний по краткосрочной аренде автомобилей живут бессрочно. Если пользователь сам не обращается в компанию для их удаления, то скан паспорта, селфи с документом и скан водительских прав будут храниться вечно, и неизвестно, кто и когда воспользуется этой информацией в преступных целях.
Удалить персональные данные можно только по письменному заявлению, составленному на обычной бумаге и отправленному заказным письмом в центральный офис каршеринга. Удалять персональные данные будут примерно полтора месяца, но пока письмо дойдёт до адресата и его рассмотрением займётся профильный отдел, есть риск оказаться втянутым в серьёзные неприятности.
По словам собственного источника Life.ru в одном из крупнейших каршерингов России, полный пакет документов на пользователей каршеринга покупают с абсолютно разными целями.
В основном это делают, чтобы создавать «левые» аккаунты в других каршерингах. Делают это по разным причинам. Кто-то угоном занимается, кто-то просто ворует с автомобилей навесное оборудование. Гораздо реже реальные документы используют для совершения преступлений, а практика, когда по паспортным данным берут кредиты и микрозаймы, к сожалению, не редкость
Источник Life.ru
Именно здесь, по словам источника Life.ru в каршеринговой компании, чаще всего происходит утечка данных. Человеческий фактор, на который не могут повлиять ни служба внутренней безопасности каршеринга, ни документы о неразглашении коммерческой информации, не могут остановить любителей лёгких денег.
Часто на кражу и последующий «слив» персональных данных идут не от хорошей жизни: зарплата оператора службы поддержки каршеринга в столичных регионах — 30–40 тыс. рублей. В регионах и того меньше. Но такие случаи, по словам источника, редкость. В большинстве случаев работает именно преступный сговор.
В крупных компаниях ни один из сотрудников, даже на топовых уровнях руководства, не имеет полного доступа ко всему пакету персональных данных. Чаще всего документы разделены на несколько категорий, а для того, чтобы проконсультировать клиента, доступен только скан паспорта с серией и номером. По словам источника Life.ru в одном из крупнейших каршерингов России, в сборе всего пакета документов зачастую принимают участие сразу несколько человек, после чего составляется единый клиентский профиль. Его [профиль] в дальнейшем и продают через Даркнет.
Небольшие каршеринговые компании, собравшие данные на сотни тысяч россиян за несколько лет, совершенно другая история. Важно понимать, что только в столичном регионе за все годы развития сервиса кратковременной аренды обанкротилось не меньше десятка условных ООО «Рога и копыта», на серверах которых хранились ценные персональные данные. Особенно популярной, по словам источников Life.ru в каршеринговых компаниях, тема с оформлением микрозаймов и быстрых кредитов стала в регионах, где небольшие компании бросают на защиту персональных данных меньше ресурсов, чем крупные участники рынка.
Прецеденты такие действительно были. Компания закрывалась, и, чтобы не уходить с пустыми руками, сотрудники копировали себе базу данных со сканами паспортов. Этого, как выяснилось, было вполне достаточно для оформления тысяч микрозаймов
Источник Life.ru в каршеринге
Официальной позиции каршеринг-операторов на момент публикации получить не удалось. В пресс-службе «Яндекса» нам сообщили, что не смогут прокомментировать подробности хранения персональных данных, а каршеринговые операторы «Делимобиль», «Белка», LifCar и UDrive не ответили на запросы Life.ru.
Если у злоумышленников, которым продали базу данных клиентов каршеринга, есть сообщники в таких организациях, то процесс вывода денег на карты по паспортным данным ничего не подозревающих людей упрощается. Как раз на этом этапе съездивший в гости к родителям клиент каршеринга наутро просыпается должником. Переводы на виртуальную карту и вывод денег в криптовалюту, которые, как считалось ранее, оставляют цифровые следы, эксперты вообще не советуют воспринимать как преграду для совершения преступления.
Также необходимо обратиться в суд с исковым заявлением о признании данного договора недействительным. По общему правилу кредитный договор может быть признан недействительным по общим основаниям недействительности, предусмотренным гражданским законодательством. Если же к «заёмщику» уже предъявляют претензии коллекторы по факту возникшей задолженности, то, как указывалось выше, необходимо признавать в судебном порядке недействительность данного договора
Ольга Широкова, ведущий юрист Европейской Юридической Службы
История с утечкой персональных данных клиентов каршеринга далека от завершения, и в зоне риска находятся миллионы пользователей сервиса краткосрочной аренды. Представитель юридической компании «Можно» Андрей Шевченко отметил, что самое главное в случае обнаружения внезапных долгов по кредитам — не надеяться, что ситуация «рассосётся» сама собой.
Свои права надо защищать активно. Например, нужно заручиться доказательствами утечки информации из каршеринга: сведения в печати, показания таких же пострадавших и т.п. Если у вас есть документы из банка, где был взят кредит, обратитесь в суд с иском к банку о нарушении ваших прав в виде незаконных требований. В судебном процессе потребуйте доказательства взаимодействия банка именно с вами. Обратитесь в полицию с заявлением о совершении в отношении вас преступления в виде незаконного использования сведений, которое привело к хищению
Андрей Шевченко, представитель юридической компании «Можно»
Юристы отмечают, что главная сложность состоит в том, чтобы добиться от каршеринговой компании признания самого факта утечки персональных данных. В случае если взаимодействовать придётся с небольшими компаниями, есть вероятность, что сотрудники службы безопасности откажутся сотрудничать и начнут заметать следы, поэтому без вмешательства правоохранительных органов такие вопросы лучше не решать.
Удаление не поможет
История с хранением персональных данных в России полна сюрпризов. Каршеринги в этом смысле — индикатор того, насколько всё может быть хорошо или, наоборот, плохо. Операторов каршеринга по уровню безопасности и методике хранения данных часто сравнивают с банками — похожие правила и процедуры. Но это только внешне. В глубине процесса — скрытые возможности, которыми пользуются злоумышленники.Завершить отношения с банком крайне просто. Заявление о закрытии счёта можно сформировать даже онлайн, без визита в офис. После того как банк рассмотрит его и переведёт деньги на любой другой счёт, официальное взаимодействие банка с клиентом закончится. С сервисами краткосрочной аренды всё обстоит сложнее. Важно понимать, что ни один каршеринг в России на данный момент не предоставляет услугу дистанционного закрытия аккаунта. Такая процедура просто не предусмотрена в пользовательском соглашении.
Если для банка клиент перестаёт существовать после расторжения договора, то удаление приложения каршеринга, даже с удалением всех персональных данных в личном кабинете, не приведёт ни к каким изменениям. Проще говоря, удаляя приложение со смартфона, вы всё равно остаётесь для агрегатора активным пользователем и числитесь во всех базах данных.
По словам нашего источника в одном из крупнейших каршерингов России, персональные данные на серверах компаний по краткосрочной аренде автомобилей живут бессрочно. Если пользователь сам не обращается в компанию для их удаления, то скан паспорта, селфи с документом и скан водительских прав будут храниться вечно, и неизвестно, кто и когда воспользуется этой информацией в преступных целях.
Удалить персональные данные можно только по письменному заявлению, составленному на обычной бумаге и отправленному заказным письмом в центральный офис каршеринга. Удалять персональные данные будут примерно полтора месяца, но пока письмо дойдёт до адресата и его рассмотрением займётся профильный отдел, есть риск оказаться втянутым в серьёзные неприятности.
Зачем воровать персональные данные?
Парсинг (накопление) персональных данных из каршерингов — выгодный бизнес для злоумышленников. Он удобен — все документы, включая паспорт и водительские права, хранятся в одном месте и часто защищены существенно хуже, чем аналогичные хранилища в банках. За каждый пакет данных, проданный в Даркнете, злоумышленники получают неплохую прибыль. Например, набор из действительного паспорта и водительского удостоверения на «живого» человека (активного пользователя каршеринга) может стоить 10–15 тыс. рублей.По словам собственного источника Life.ru в одном из крупнейших каршерингов России, полный пакет документов на пользователей каршеринга покупают с абсолютно разными целями.
В основном это делают, чтобы создавать «левые» аккаунты в других каршерингах. Делают это по разным причинам. Кто-то угоном занимается, кто-то просто ворует с автомобилей навесное оборудование. Гораздо реже реальные документы используют для совершения преступлений, а практика, когда по паспортным данным берут кредиты и микрозаймы, к сожалению, не редкость
Источник Life.ru
Кто ворует персональные данные?
Для того чтобы ответить на этот вопрос, необходимо ненадолго погрузиться в историю появления каршеринга в России. Большинство операторов каршеринга — небольшие компании с большим автопарком. В крупнейших каршеринговых компаниях России работают не более двух тысяч человек. Как и любая организация, ориентированная на прибыль, каршеринги занимаются зарабатыванием денег и часто прибегают к аутсорсингу — выводу некоторых подразделений за штат и часто — в регионы.Именно здесь, по словам источника Life.ru в каршеринговой компании, чаще всего происходит утечка данных. Человеческий фактор, на который не могут повлиять ни служба внутренней безопасности каршеринга, ни документы о неразглашении коммерческой информации, не могут остановить любителей лёгких денег.
Часто на кражу и последующий «слив» персональных данных идут не от хорошей жизни: зарплата оператора службы поддержки каршеринга в столичных регионах — 30–40 тыс. рублей. В регионах и того меньше. Но такие случаи, по словам источника, редкость. В большинстве случаев работает именно преступный сговор.
Как всё устроено
Для понимания уровня безопасности стоит уточнить вполне очевидную вещь: чем крупнее каршеринг, тем сложнее украсть данные. В крупных каршеринговых компаниях (как и в банках) службой внутренней безопасности руководят технически подкованные выходцы из силовых структур: ФСБ, МВД, ФСО, для которых определить источник вероятной утечки — профессиональная обязанность. Утечка из такой компании — редкость.В крупных компаниях ни один из сотрудников, даже на топовых уровнях руководства, не имеет полного доступа ко всему пакету персональных данных. Чаще всего документы разделены на несколько категорий, а для того, чтобы проконсультировать клиента, доступен только скан паспорта с серией и номером. По словам источника Life.ru в одном из крупнейших каршерингов России, в сборе всего пакета документов зачастую принимают участие сразу несколько человек, после чего составляется единый клиентский профиль. Его [профиль] в дальнейшем и продают через Даркнет.
Небольшие каршеринговые компании, собравшие данные на сотни тысяч россиян за несколько лет, совершенно другая история. Важно понимать, что только в столичном регионе за все годы развития сервиса кратковременной аренды обанкротилось не меньше десятка условных ООО «Рога и копыта», на серверах которых хранились ценные персональные данные. Особенно популярной, по словам источников Life.ru в каршеринговых компаниях, тема с оформлением микрозаймов и быстрых кредитов стала в регионах, где небольшие компании бросают на защиту персональных данных меньше ресурсов, чем крупные участники рынка.
Прецеденты такие действительно были. Компания закрывалась, и, чтобы не уходить с пустыми руками, сотрудники копировали себе базу данных со сканами паспортов. Этого, как выяснилось, было вполне достаточно для оформления тысяч микрозаймов
Источник Life.ru в каршеринге
Официальной позиции каршеринг-операторов на момент публикации получить не удалось. В пресс-службе «Яндекса» нам сообщили, что не смогут прокомментировать подробности хранения персональных данных, а каршеринговые операторы «Делимобиль», «Белка», LifCar и UDrive не ответили на запросы Life.ru.
Съездил в гости — проснулся должником
Как раз на этом этапе самое время пояснить, как работает механизм оформления микрозайма. Чаще всего для получения микрозайма нужен один документ — паспорт гражданина РФ с отметкой о прописке, серией и номером паспорта. Некоторые микрокредитные компании хитрят и увеличивают сумму перевода на карту в обмен на предоставление дополнительных документов: водительских прав, ИНН, запрашивают доступ к личному кабинету на «Госуслугах». Если налоговые документы достать сложно, то паспортов, прав и селфи на фоне своего же документа в базе данных каршерингов только в России миллионы единиц.Если у злоумышленников, которым продали базу данных клиентов каршеринга, есть сообщники в таких организациях, то процесс вывода денег на карты по паспортным данным ничего не подозревающих людей упрощается. Как раз на этом этапе съездивший в гости к родителям клиент каршеринга наутро просыпается должником. Переводы на виртуальную карту и вывод денег в криптовалюту, которые, как считалось ранее, оставляют цифровые следы, эксперты вообще не советуют воспринимать как преграду для совершения преступления.
Что делать, если коллекторы вгоняют в долги
Ведущий юрист Европейской юридической службы Ольга Широкова отмечает, что в первую очередь при обнаружении долга или исполнительного листа от приставов нужно в срочном порядке обратиться в полицию с заявлением по факту мошенничества.Также необходимо обратиться в суд с исковым заявлением о признании данного договора недействительным. По общему правилу кредитный договор может быть признан недействительным по общим основаниям недействительности, предусмотренным гражданским законодательством. Если же к «заёмщику» уже предъявляют претензии коллекторы по факту возникшей задолженности, то, как указывалось выше, необходимо признавать в судебном порядке недействительность данного договора
Ольга Широкова, ведущий юрист Европейской Юридической Службы
История с утечкой персональных данных клиентов каршеринга далека от завершения, и в зоне риска находятся миллионы пользователей сервиса краткосрочной аренды. Представитель юридической компании «Можно» Андрей Шевченко отметил, что самое главное в случае обнаружения внезапных долгов по кредитам — не надеяться, что ситуация «рассосётся» сама собой.
Свои права надо защищать активно. Например, нужно заручиться доказательствами утечки информации из каршеринга: сведения в печати, показания таких же пострадавших и т.п. Если у вас есть документы из банка, где был взят кредит, обратитесь в суд с иском к банку о нарушении ваших прав в виде незаконных требований. В судебном процессе потребуйте доказательства взаимодействия банка именно с вами. Обратитесь в полицию с заявлением о совершении в отношении вас преступления в виде незаконного использования сведений, которое привело к хищению
Андрей Шевченко, представитель юридической компании «Можно»
Юристы отмечают, что главная сложность состоит в том, чтобы добиться от каршеринговой компании признания самого факта утечки персональных данных. В случае если взаимодействовать придётся с небольшими компаниями, есть вероятность, что сотрудники службы безопасности откажутся сотрудничать и начнут заметать следы, поэтому без вмешательства правоохранительных органов такие вопросы лучше не решать.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.
+3
Да плевать службам внутренней безопасности на утечку персональных данных граждан, как и на самих граждан.
- ↓