База авто Москвы припарковалась
На форуме по продаже баз данных и организации утечек информации, 19 октября выставлен на продажу архив базы данных ГИБДД, состоящий 50 млн строк записей о водителях Москвы и Подмосковья. Цена архива — $800.
В базе содержатся данные с 2006 по 2019 год, бонусом к покупке он предложил файл с данными по 2020 году.
В базе содержатся данные: модель и марка автомобиля, его регистрационный и VIN-номер, дата постановки на учет, мощность двигателя, ФИО владельца, дата его рождения, а также номер телефона. Данная информация получена от инсайдера в ГИБДД. В ходе проверки пяти случайных автовладельцев из образца базы, все они отозвались по имени-отчеству, один из собеседников подтвердил, что владел автомобилем, указанным в файле, но уже продал его. Остальные отказались подтвердить актуальность информации. В МВД не ответили на запрос.
Базы данных ГИБДД уже не в первый раз выставляют на продажу. В августе 2020 года в сети появилась база на 1 млн строк с персональными данными столичных водителей. На профильных форумах стоимость таких баз разных лет варьируется от $1 000 до $15 000.
Все данные о зарегистрированных машинах и автовладельцах сегодня хранятся централизованно в Федеральной информационной системе (ФИС) ГИБДД. Однако, раньше у каждого регионального управления ГИБДД была собственная база, куда отгружались данные. Москва и Московская область, до 2020 года могли отгружать данные параллельно в ФИС и в свои системы, затем перестали, и сейчас региональные системы выводятся из эксплуатации. Утечка могла произойти на уровне регионов.
Судя по составу данных, новая база автовладельцев — не выгрузка из системы ГИБДД, а скорее выгрузка из баз страховщиков, полагает основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян: «Эти данные могли быть похищены как напрямую у страховых, так и у их подрядчиков, которым базы передаются для «прозвона»».
Данные из баз ГИБДД интересны не только страховщикам. Их могут использовать мошенники и продавцы запчастей для таргетинга рекламы.
Слабые места злоумышленники находят в тех ведомствах, информационные системы которых интегрируются с базами ГИБДД. Например, муниципалитеты различных региональных городов, которым недавно предоставили право штрафовать водителей за неправильную парковку. В этих структурах требования к информационной безопасности зачастую ниже.