Исследование черного рынка баз данных в России выявляет, что утечки данных происходят в основном из-за инсайдов и недобросовестных практик компаний. Анализ 134 уникальных баз данных показывает огромный потенциал для мошенничества, с рисками, варьирующимися от спама до крупных финансовых преступлений. Общий объем доступных на черном рынке записей составляет около 1,215 миллиарда, что подчеркивает серьезные угрозы безопасности данных для пользователей.

1. ИССЛЕДОВАНИЕ
ЧЁРНОГО РЫНКА
БАЗ ДАННЫХ
2016
Аналитический центр «МФИ Софт»

2. Исследование
черного рынка баз данных.
Аналитический центр
«МФИ Софт»
Каждый день появляются сообщения об очередной утечке
данных — клиентов, сотрудников, пользователей услуг
коммерческих и государственных организаций.
Но публичная информация — это только капля в море.
«Черный» рынок баз данных гораздо шире,
это целая индустрия, где каждая запись
стоит определенных денег. Это и базы
операторов связи, и клиенты магазинов, и
персональные данные различных социально-
демографических групп..
Легкость получения персональной информации тысяч
людей ведет к росту уровня мошенничества и других
преступлений. В опасности, сам того не подозревая,
может оказаться каждый.
Содержание
Введение: причины для исследования
Методология
Ключевые выводы
Возраст и актуальность продаваемых данных
Источники информации
Отраслевой анализ
Риски и последствия разглашения данных
о пользователях
Выводы

3. Исследование
черного рынка баз данных.
Аналитический центр
«МФИ Софт»
Введение:
причины для
исследования
Исследования утечек в сфере информационной
безопасности проводятся регулярно. Но обычно сбор
данных осуществляется путём интервьюирования
представителей бизнеса или анализа публикаций в СМИ
об утечках и взломах.
Для многих государств такой подход вполне
жизнеспособен, так как существуют юридические
механизмы, обязывающие компании обнародовать
данные по инцидентам, и открытое информационное
поле, позволяющее провести достоверное кабинетное
исследование.
В России причин обнародовать инциденты у бизнеса по
большей части нет. Сформировать целостную картину
состояния безопасности достаточно трудно в силу того,
что получение любой информации упирается либо в
доверие компании к аналитику, либо в желание или,
скорее, его отсутствие, такие данные публиковать.
Несмотря на постепенную эволюцию наших
представлений о том, что происходит с
информационной безопасностью в бизнесе
и какой урон ежегодно наносят инциденты
компаниям, мы часто даже не догадываемся
о том, что же в итоге происходит с данными,
и какие угрозы несут утечки для субъектов
данных.
В исследовании аналитического центра «МФИ Софт»
представлен иной взгляд на утечку данных — со стороны
преступника, а не бизнеса.
В основу исследования
легли вопросы:
Это позволило оценить существующие риски для
носителей информации — клиентов различных
компаний, уязвимых слоёв населения и других лиц.
Одновременно с этим проясняются очертания чёрного
рынка баз данных в России, куда более обширного, чем
принято считать. Представления россиян о «ворованных
базах данных» в большинстве случаев заканчиваются
телефонными справочниками и базами ГИБДД. На чем в
действительности зарабатывают продавцы информации,
выяснил аналитический центр «МФИ Софт».
Что с ними можно
сделать?
Насколько легко получить
нужную информацию?
Какие данные сегодня
можно купить?

4. Исследование
черного рынка баз данных.
Аналитический центр
«МФИ Софт»
Для обзора черного рынка баз данных аналитический
центр «МФИ Софт» исследовал предложения крупнейших
пиратских интернет-форумов и теневых торговых
площадок. В конечную выборку попало 134 уникальных
баз данных, принадлежавших организациям из различных
отраслей и регионов, которые находятся в открытом
доступе.
После анализа полноты информации для
каждой базы данных определён уровень
риска для субъекта персональных данных,
то есть потенциального пострадавшего от
утечки:
Низкий — уровень риска, при котором
максимум негативных последствий для
человека — попасть в спам-рассылки или стать
получателем нежелательной рекламы.
Средний — уровень, при котором достаточно
высокая вероятность стать жертвой мелкого
мошенничества, способного повлечь за собой
финансовый ущерб.
Высокий — степень риска, означающая
возможность стать жертвой преступления.
Параметры
классификации
баз данных:
ƒƒ Число записей в базе
ƒƒ Стоимость базы
ƒƒ Стоимость одной записи
ƒƒ Тип информации в базе
ƒƒ Актуальность
ƒƒ Степень риска
ƒƒ Владелец данных
ƒƒ Отрасль
ƒƒ Возможный источник данных
Методология

5. Исследование
черного рынка баз данных.
Аналитический центр
«МФИ Софт»
30 000 000 Р–
10 Р–
15 000 Р–
Наиболее распространены нелегальные базы
данных финансовой (43%) и e-commerce
(16%) отраслей.
Контактные данные (анонимные или
персональные) практически любого
пользователя российского сегмента
интернета находятся в спам-листах;
78% баз данных оказались на рынке в
результате инсайда, что указывает либо на
недобросовестность оператора персональных
данных, либо на недостаточные меры по
обеспечению безопасности данных.
Каждая четвертая запись может
использоваться в мошеннических целях.
Обычно, это финансовая информация.
Каждый десятый носитель
скомпрометированной информации
— потенциальная жертва крупного
преступления. При этом вред от
компрометации баз данных может достигать
десятков миллионов рублей — под угрозой
находятся предприятия с массовыми
продуктами и акционерные общества.
Ключевые
выводы
объем черного рынка баз данных
в России
максимальная стоимость информации
об одном человеке
средняя стоимость базы данных
общее количество доступных записей
в базах данных
1 215 000 000 шт.

6. Исследование
черного рынка баз данных.
Аналитический центр
«МФИ Софт»
201320122011 2014 2015 2016
5
1
20
48
39
18
Возраст
и актуальность
продаваемых
данных
Количество баз данных, доступных на чёрном рынке,
преимущественно растёт. Небольшой спад наблюдается
с 2015 года, он связан с активностью самих продающих
площадок — по очевидным причинам сообщества не могут
существовать долго и вынуждены часто менять домены.
Актуальность самих данных чаще всего запаздывает на
год — именно по этой причине базы, релевантные на
момент написания этого отчёта, попадаются реже, так как
еще не успели распространиться по достаточно большому
количеству продавцов и реализуются единично и не так
открыто. Свежие базы за 2016 год еще не успели выйти
на «массовый рынок». Наибольшее количество данных
актуально на 2014 год.
Год поступления
данных
в открытый
доступ
1
8
9
3
1 51 101
1 11
13 3 3 12 2 3 5
15 3 111 5 22
111
1
4
2016
не опре-
делено
2015
2014
2013
2012
2010
0 3020 504010
Финансовая отрасль
Торговля и недвижимость
Прочее
ПДН по группам интересов
Оператор связи
Онлайн-сервисы
Корпоративная информация
ГИБДД
Азартные онлайн-игры
Е-commerce

7. Исследование
черного рынка баз данных.
Аналитический центр
«МФИ Софт»
Источники
информации
Базы данных достигают рынка несколькими путями.
Злонамеренный инсайд
Умышленные действия сотрудников компаний,
выпускающих базы на чёрный рынок. Такие базы,
зачастую, обладают наибольшей полнотой информации,
и по характеру данных можно даже установить в какой
службе компании работает сотрудник. Так, наличие в
базе оператора связи технических данных по параметрам
сессий абонентов указывает на то, что инсайдер, скорее
всего, работает в IT, а детализированные данные по
контрактам — указывают на отдел продаж.
Взлом
Категория баз, полученных в результате взлома IT-
инфраструктуры компании. К таким базам относятся
технические данные, в том числе и учётные записи от
различных сервисов.
Целенаправленное распространение
Недобросовестный оператор персональных данных (ПД)
— компании, целенаправленно распространяющие данные
о своих клиентах на коммерческой основе. Причастность к
этой категории объясняется количеством альтернативных
источников в виде сайтов по продаже детализаций
номеров и другой персональной информации абонентов и
полнотой этих данных.
Парсинг
Базы, полученные в результате парсинга и
структурирования данных, доступных в открытом виде.
Такие базы данных пользуются спросом у спамеров,
стоимость одной записи в них крайне невысока и может
опускаться до 0,0002 руб. за одну запись.
Как видно на диаграмме, инсайдерская деятельность
является острой проблемой для большинства
организаций.
Взлом
1% (2)
Целенаправленное
распространение
13% (18)
Инсайд
78%
(105)
Интернет-
парсинг
7% (9)
Причины утечек
баз данных
78% информации поступают
на черный рынок от инсайдеров.

8. Исследование
черного рынка баз данных.
Аналитический центр
«МФИ Софт»
Источники
информации
(продолжение)
Путем фильтрации итоговой выборки до баз российских
компаний выяснилось, что для России параметр хищения
баз данных путем инсайдерских действий достигает 86%.
Доля баз данных, распространённых недобросовестными
операторами ПД, в целом, не стала сюрпризом, основу
этой категории составили азартные онлайн-игры,
от которых вполне логично ожидать подобных действий.
С другой же стороны, доля баз данных, собранных
в открытом доступе, высока — 7%, что говорит о
недостаточной защите информации от машинного сбора.
В разрезе количества учётных записей это более наглядно.
Общее количество записей, попавших на чёрный рынок в
результате инсайда — 67 миллионов.
Ценность инсайдерской информации в десятки раз выше
парсинга, так как содержит наиболее полные данные
клиентов, партнеров, сотрудников компаний, данные о
разработках и проектах, и сама цель хищения этих данных
— перепродажа конкурентам и другим заинтересованным
лицам.
При этом число записей, собранных по открытым
источникам, составляет только половину всех данных —
33 миллиона. Несмотря на то, что ценность и опасность
использования этих данных крайне низки, их объём и
доступность влечёт за собой негативные последствия в
виде спам-рассылок, и даже при уровне конверсии спама
в 0,1% можно создать ботнет в несколько десятков тысяч
машин и использовать его для киберпреступлений.
Количество записей по типу сбора данных
ВзломЦеленаправленное
распространение
Интернет-парсинг Инсайд
5%25%23% 47%
Данные клиентов, партнеров,
сотрудников компаний, данные
о разработках и проектах,
состояние банковских счетов
продаются свободно...

9. Исследование
черного рынка баз данных.
Аналитический центр
«МФИ Софт»
Финансовая отрасль
E-commerce
Азартные онлайн-игры
ПДн по группам интересов
Оператор связи
Онлайн-сервисы
Корпоративная информация
ГИБДД
Прочее
Торговля и недвижимость
21 (16%)
18 (13%)
3 (2%)
3 (2%)
5 (4%)
6 (4%)
15 (11%)
3 (2%)
2 (1%)
58 (43%)
Отраслевой
анализ
Количество баз данных по отраслям
Чаще всего в продаже оказываются базы, содержащие
данные клиентов банков и других финансовых
организаций. В рамках исследования были обнаружены
базы клиентов 18 крупных российских банков — среди
них есть представители ТОП-10 крупнейших российских
банков, а также базы популярных микрофинансовых
организаций. Это объясняется тем, что именно
банковский инсайдер наиболее заинтересован в
хищении базы для дальнейшей ее продажи конкурентам.
Также высок интерес к таким базам у различного
рода мошенников, в том случае, если база обогащена
информацией по счетам. К примеру, на счету у клиента
из украденной базы находится крупная денежная сумма,
обладая его персональными данными мошенник, сможет
вывести ее со счета, обойдя системы защиты. Еще один
вариант развития событий — оформление кредитов на
паспортные данные пользователей банковских услуг и
перепродажа базы коллекторам.
На втором месте по популярности в сети базы без
отраслевой привязки — данные физических лиц.
Продаётся информация об имуществе, финансовом
положении. Эти базы могут иметь высокий риск
негативных последствий при попадании в руки
криминальных структур. Базы клиентов электронных
торговых площадок на третьем месте, и ценны для
распространителей спама.
Стоит отметить низкую популярность баз ГИБДД в
продаже. Эти базы можно легко найти в свободном
доступе или на специализированных сайтах, поэтому
для площадок «рыночного» типа они не представляют
большого интереса.
Информация о клиентах
представителей
ТОП-10 российских
банков доступна
злоумышленникам.

10. Исследование
черного рынка баз данных.
Аналитический центр
«МФИ Софт»
E-commerce
Азартные онлайн-игры
Финансовая отрасль
ПДн по группам интересов
Оператор связи
ГИБДД
Торговля и недвижимость
Корпоративная информация
43,81 (40%)
35,13 (32%)
16,27 (15%)
9,53 (9%)
2,64 (2%)
0,94 (1%)
0,18 (~0%)
0,06 (~0%)
Количество
записей
на рынке
Интерес представляет не только количество баз данных,
но и число записей, которые та или иная отрасль
«теряет» в результате недобросовестных действий с
базами. Нет ничего удивительно в огромном количестве
записей о клиентах интернет-магазинов — именно они,
в первую очередь, становятся получателями разного
рода рекламных рассылок — таких записей, с домашними
адресами и даже списками покупок, в выборке оказалось
43 миллиона.
На втором месте по количеству данных — сфера азартных
онлайн-игр. Эта категория пользователей более уязвима
к мошенническим схемам с применением социальной
инженерии. Таких данных в доступе — 35 миллионов.
На третьем месте по количеству утекших записей
— финансовая отрасль. Данные банков и страховых
компаний ценятся очень высоко, в силу их сложной
доступности — в поле зрения исследования оказалось
16 миллионов записей. На количество данных влияет
фактор достаточно высоких стандартов безопасности
финансовой отрасли. Несмотря на это, базы утекают, хоть
и не миллионами записей, как в интернет-магазинах, но
тысячами контактов реальных вкладчиков.
Особое внимание мы обратили на сектор баз данных
по группам интересов — настолько разнородные и
неожиданные компоновки данных здесь встречаются.
Например, злоумышленникам доступны данные
о малолетних детях и их мамах, адреса одиноких
пенсионеров, владельцев IPhone или сотрудников
конкретных компаний.
Экстраполировав результаты выборки на население
России, можно сделать вывод, что злоумышленникам
доступно порядка 1,215 млрд записей — сюда входят
интернет-аккаутны, данные ритейлеров, страховых
компаний, банков, госучреждений и т.д.
Число учётных записей по отраслям (млн.)
Злоумышленникам
доступно более 1 миллиарда
персональных данных —
это интернет-аккаутны,
данные ритейлеров,
информация о банковских
счетах, застрахованном
имуществе и многое другое.

11. Исследование
черного рынка баз данных.
Аналитический центр
«МФИ Софт»
Финансовая отрасль
ПДн по группам интересов
Оператор связи
ГИБДД
Азартные онлайн-игры
Онлайн-сервисы
E-commerce
Прочее
0,718
0,289
0,102
0,063
0,048
0,047
0,033
0,005
Стоимость
информации
Записи, используемые для рекламных рассылок, в России
не столь ценны, как в США или Европе, средняя стоимость
одного контакта — 2 копейки и достигает максимума
0,9 руб.
Наибольшей ценностью обладают данные о страховых
полисах, стоимость одной записи может достигать 10
руб., при средней - 2,73 руб. Такая стоимость объясняется
выгодой, которую может получить злоумышленник в
результате фрода.
Данные трейдеров, полученные у брокерских компаний,
тоже ценятся достаточно высоко, до 2,75 руб. за контакт.
Этот тип баз оценивается также параметром финансовой
эффективности, с точки зрения инвестирования в
трейдеров. Несмотря на то, что серьёзной угрозы
доступность этих данных не представляет, количество
информации демонстрирует масштабы нарушения ФЗ-152
«О персональных данных».
Экстраполируя стоимость баз данных, попавших в
исследование, предполагаем общий объем рынка баз
данных в России равным 30 миллионам рублей.
Стоимость записи по отраслям (руб.)
Наибольшей ценностью
обладают данные
о страховых полисах,
стоимость одной записи
может достигать 10 рублей.

12. Исследование
черного рынка баз данных.
Аналитический центр
«МФИ Софт»
Риски
и последствия
разглашения
данных о
пользователях
Риск для субъектов данных
Последствия утечек данных для компаний – владельцев
баз данных могут варьироваться, в зависимости от
отрасли и полноты утерянной клиентской информации.
С точки зрения бизнес-рисков можно
отметить такие последствия:
ƒƒ отток клиентов, при передаче базы конкурентам
ƒƒ ущерб репутации — при обнародовании факта утечки.
В большинстве случаев утечки данных происходит
нарушение ФЗ-152 «О персональных данных», а,
следовательно, можно ожидать санкций со стороны
регуляторов. В правовой сфере также есть риск
обращения клиентов в суд, с целью компенсации вреда,
причинённого в результате утечки. В конечном счёте,
утечки информации влекут за собой в том или ином виде
финансовый ущерб.
Последствия для тех, чьи личные
данные обнародованы
Вероятность наступления негативных последствий
напрямую зависит от отраслевого характера базы данных.
Так, утечка «в третьи руки» данных электронных торговых
площадок не грозит ничем серьёзным, кроме получения
спама, а вот база с информацией о благосостоянии, с
указанием такой информации, как адрес проживания,
данные банковских счетов и т.д. могут «помочь» стать
жертвой преступления.
Почти каждая десятая запись (8% обнаруженных данных)
может с высокой вероятностью повлечь за собой тяжелые
негативные последствия — например, использоваться
для подделки кредитных договоров, махинаций с
недвижимостью, банковским мошенничеством или более
тяжелым последствиям с применением социальной
инженерии. В продаваемой базе можно найти полные
контактные данные лица, с его паспортными данными,
текущим местом проживания, выпиской по банковским
счетам и перечислением имущества, информацией
о налогах и штрафах! Именно к таким базам данных
проявляют интерес преступники, с целью грабежа,
шантажа и совершения другой противоправной
деятельности.
Высокий
8%
Средний
22%
Низкий
70%
Риск для субъектов
данных

13. Исследование
черного рынка баз данных.
Аналитический центр
«МФИ Софт»
Сценарии использования информации
Сценарий использования данных зависит от отрасли. Примеры
последствий, которые могут наступить в той или иной отрасли:
Риски
и последствия
разглашения данных
о пользователях
(продолжение)
Отрасль Типы данных Последствия
Электронная торговля
Контактные данные, информация о
покупках
ƒƒ Снижение доверия покупателей
Финансовая
Контактные данные, личные документы,
информация по счетам
ƒƒ Отток клиенов
ƒƒ Хищение средств
ƒƒ Подделка кредитных документов
Азартные игры
Контактные данные, редко –
информация о выигрышах
ƒƒ Получение нежелательной рекламы
ƒƒ Мошеннические схемы для вывода
денежных средств
Брокерские
Контактные данные, описание
трейдерской деятельности
ƒƒ Получение нежелательной рекламы
ƒƒ Переход к другому брокеру
ƒƒ Хищение средств
Оператор связи
Контактные данные, данные об услугах,
балансе
ƒƒ Переход к другому оператору
ƒƒ Мошеннические схемы с балансом
ƒƒ Социальная инженерия
Данные автовладельцев
Контактные данные, данные по
имуществу, данные по страховке
ƒƒ Получение нежелательной рекламы
ƒƒ Угон автомобиля
ƒƒ Мошенничество со страховкой
«Личные» базы данных
Контактные данные, информация
об имуществе, социальном статусе,
интересах
ƒƒ Получение нежелательной рекламы
ƒƒ Преступления, связанные с хищением
финансовых средств и имущества
ƒƒ Мошеннические схемы

14. Выводы
Анализ полноты баз данных, их отраслевой
принадлежности, и оценка потенциальной угрозы для
субъектов данных позволили сделать выводы в разрезе
нескольких направлений:
ƒƒ контактные данные (анонимные или персональные)
практически любого пользователя российского
сегмента интернета находятся в спам-листах;
ƒƒ каждая 10 запись в доступных базах данных несёт
серьёзный риск для субъекта данных;
ƒƒ половина доступных данных скомпрометирована
инсайдерами, и источником утечки в компании
чаще всего является сотрудник технической или
коммерческой службы.
Такой уровень доступности персональных данных в
России стимулирует объёмы спама, который находится
на уровне 50% всего мирового трафика. Даже при
минимальной конверсии рассылки вредоносных вирусов,
приобретение базы окупается в результате как прямых
атак (фишинга, рассылки шифровальщиков и т.д.), так и в
результате создания ботнетов.
Стоимость одной клиентской записи крайне мала, что
влечёт за собой активную ротацию данных на рынке
— базы могут объединяться, в итоге, попадая в руки
большому кругу злоумышленников.
Стоимость и количество баз дынных, включенных в
исследование, позволяют предположить, что чёрный
рынок баз данных в России составляет несколько десятков
миллионов рублей в год. Регулярность обновления баз
одних и тех же компаний указывает на стабильность
рынка.
Основная причина утечки — низкий уровень
информационной безопасности бизнеса в
стране.
Чтобы обеспечить безопасность баз данных должным
образом, владельцы информации должны выделять
дополнительные ресурсы, не только финансового,
но и организационного характера:
ƒƒ Штатнаяединица.Вкомпаниидолженбытьсотрудник,от-
ветственныйзаинформационнуюбезопасность,снеобхо-
димойквалификациейидолжностнымиполномочиями.
ƒƒ Модели угроз, описывающие все возможные пути
компрометации ценной информации.
ƒƒ Политика безопасности. Практически применимые
и обновляемые правила работы с информационной
собственностью компании для предотвращения всех
видов угроз.
ƒƒ Специальные технологические средства для защиты
баз данных, выявления аномалий, контроля политик
безопасности - доступа к информации, превышения
полномочий, выявления попыток взлома из внешних
источников.
В силу неочевидности финансового и репутационного
урона, который может быть нанесен при разглашении
украденных баз, в основном лишь представители крупного
бизнеса выделяют ресурсы на защиту баз данных.
Небольшие компании часто не знают о случившейся
утечке до наступления последствий.
Исследование
черного рынка баз данных.
Аналитический центр
«МФИ Софт»
Чтобы получить персональные данные любого интересующего человека, по статистике потребуется
потратить от 1500 до 30000 рублей на несколько баз данных из различных секторов. Потратив
несколько часов на изучение сайтов по продаже баз данных, можно найти любую нужную
информацию — включая состояние банковских счетов, имя и возраст ребенка, место работы
и должность... Конечно, поступление баз на открытый рынок обычно задерживается на год-два, но как
часто вы меняете банковские счета?

15. Аналитический центр
«МФИ Софт»
Декабрь, 2016