Издание «Медуза» опубликовало расследование, связанное с деанонимизацией пользователей соцсетей. Как пишет автор расследования, разработкой систем мониторинга и деанонимизации занимается Научно-исследовательский вычислительный центр при управлении делами президента России (ГлавНИВЦ). Разработки центр предлагает на продажу государству и частным лицам.
Как выяснила «Медуза», центр уже разработал несколько систем: «Медиамонитор», «ПСКОВ», «Шерлок» и «Посейдон». Они помогают страховым компаниям и службам безопасности проверять недобросовестных сотрудников и кандидатов на работу, а сотрудникам МВД — искать экстремистов в интернете. «Медиамонитор» позволяет отслеживать репосты новостей в соцсетях.
Стоимость пользования сервисами достигает нескольких миллионов рублей. Так, как пишет «Медуза», «Шерлок» будет стоить покупателю 11 миллионов в месяц. За эти деньги можно осуществить «идентификацию аккаунтов по минимально известным данным».
Возможности «Шерлока» продемонстрировал собеседник «Медузы», сотрудник крупной страховой компании. Сервис он проверил на знакомом.
«В ответ на поисковый запрос с его именем и фамилией сервис составил досье. Там было все — и все совпало: родился, женился, умер; страницы в фейсбуке и инстаграме — а других страничек у него и нет; прописка, судимости, паспортные данные», — отмечает издание.
Чтобы выполнить запрос, сервису нужен адрес страницы в соцсети или электронная почта. «После нажатия кнопки «Составить досье» система якобы выдает ФИО, адрес, телефон, дату рождения, ИНН, ОГРН, зарегистрированные человеком компании и домены, IP-адрес, идентификатор пользователя, VIN-номер авто и паспортные данные. На другом слайде в качестве примера поисковой выдачи приведены данные телефонного номера: оператор и IMSI (международный идентификатор мобильного абонента).
При этом система собирает не только открытые данные, которые пользователи сами выкладывают в Сеть», — пишет «Медуза».
«Очевидно, что свой номер паспорта или VIN-номер автомобиля люди в интернете сообщают редко. И если программа позволяет получать такой набор персональных данных гарантированно и на постоянной основе, то это значит, что она подключена к базам данных госуслуг, налоговой, ГИБДД, паспортных столов и прочим. И это, конечно, не соответствует закону о персональных данных», — приводит издание слова директора по стратегическим проектам Института исследований интернета Ирины Левовой.
Свои продукты, утверждает автор расследования со ссылкой на бывших сотрудников ГлавНИВЦ, центр поставляет, в основном, в администрацию президента, ФСБ и Минобороны.
«Какой-нибудь чиновник назначается на большую должность — и нам его дают на проверку. Начинаешь копаться, находишь его детей, а у ребенка в инстаграме фото с ключами от нового дорогущего автомобиля и подписью: „Папа подарил на день рождения“. Когда глав региональных управлений Росгвардии назначали, целый ряд кандидатур сняли по результатам [нашей проверки]», — прокомментировал собеседник издания.
Как отмечает «Медуза», в США есть похожая система под названием Palantir. Главным отличием американского Palantir от «ПСКОВа» и «Шерлока» была его абсолютная легальность. «В Штатах базы данных велись достаточно единообразно — и многие создавались с целью будущей привязки к системе Palantir. Взаимная работа государства и айтишников».
Российские ведомства такого доступа к своим данным не предоставляют. «Шерлок» просто напрямую подключен к одному из существующих в стране нелегальных массивов персональных данных, рассказывают собеседники «Медузы». «Работали в серой зоне, — признает бывший сотрудник ГлавНИВЦ.
Созданный бывшими силовиками «серый» рынок торговли персональными данными охватывает всю страну — и менять это невыгодно сейчас никому, утверждают собеседники «Медузы».
Легкий доступ к таким сведениям необходим и в службах безопасности предприятий («профессиональное владение» «серыми» СУБД упоминается во многих объявлениях о найме), и в банках или страховых компаниях, и даже в тех ведомствах, которые имеют доступ к собственным, гораздо более актуальным базам.
Комментарии (63)
chilicoder
09.08.2019 01:50+2> деанонимизировать
Сначала напрягся, потом прочитал статью и понял, что она не про деанонимизацию
gohrytt
09.08.2019 02:46Что может сказать собственно?
Пробили очередное дно.
Не, мне кажется, торговля гос. органов персональными данными уже давно ни для кого не была секретом, однако такие подтверждения даже расстраивают, была ещё надежда, что ну не так всё плохо.
Расстраивает, что в очередной раз мир ставит каждого перед вопросом в очередной раз смириться с очередным г… или уходить в тайгу.
Тяжко.
sim2q
09.08.2019 03:08-1Большая статья по ссылке. Нужно пе сбрасывать со счетов, что это тоже серьёзная и не совсем прозрачная работа.
andreymal
09.08.2019 03:52а других страничек у него и нет
Значит этот знакомый в Tor/I2P прячется успешно )
red_andr
09.08.2019 21:38Тоже подумал, что если ни друг, ни эта система не знают про другие, это совсем не значит, что их нет. Вот если бы он себя проверил, где точно известно что есть и чего нет.
Andrey_Rogovsky
09.08.2019 04:27-3В СССР могли расстрелять за плохой анализ мочи
orion76
09.08.2019 06:10Хех… не только…
У меня, помнится, один раз, выброс из легких СО2 превысил норму…
И что вы думаете? Расстреляли!
shalm
09.08.2019 06:20Попытка выдать желаемое за действительное, видимо надо отчитываться за распиленное. Эта система может делать запрос к какой-то гбешной базе со страничками, привязанными к паспортным данным и это описано как достижение и деанонимизация.
EGregor_IV
09.08.2019 06:22Ну про это еще Ашманов рассказывал, что у них есть сервисы в соцсетях, которые позволяют идентифицировать пользователя.
nfw
09.08.2019 08:03-1В ответ на поисковый запрос с его именем и фамилией сервис составил досье
Ну что за бред, на кого это рассчитано? Тут людям приставы долги однофамильцев приписывают, а человек по фамилии и имени взял узнал обо всем на свете.
me21
09.08.2019 09:17Непонятно, как на поисковой запрос с именем и фамилией можно составить досье, если для начала бывают однофамильцы и тёзки.
me21
09.08.2019 09:19А если нужна страница в соцсети или е-почта, то это уже далеко не только поиск по фамилии и имени.
Sabubu
09.08.2019 12:02Если вы смотрели портфолио от дизайнера системы, то там это предусмотрено. Система показывает все совпадающие данные, а пользователь уже отбирает их них, что включить в досье.
Система, судя по описанию, интегрируется с большим числом баз: спарсенными данными из соцсетей (а, возможно, и непубличными данными с ресурсов российских систем), утекшими данными с черного рынка, сливами из госорганов и сотовых операторов. И позволяет проводить поиск по этим данным с удобным их представлением, без юридической возни вроде отправки официальных запросов и месячных ожиданий ответов на них.
Ну, например, хотим мы завести дело за оскорбление его сказочного величества — делаем поиск по публичным постам по словам "Путин" и "нецензурное слово", после чего отправляем найденный материал в работу. Или, допустим, мы получили из банков и платежных систем список лиц, жертвовавших деньги агентам госдепа на организацию майдана — и проверяем их профили, не найдется ли какой зацепки, за что можно возбудить дело. Или взять, сделать поиск по данным сотовых операторов и по геотегам в фото соцсетей — кто был в определенном месте города в определенное время? Или при приеме на работу в госучреждение проверить — нет ли у гражданина в списке контактов какого-нибудь агента госдепа?
Удобная система, и работает быстрее и лучше официальных запросов. Единственное, что я боюсь, она больше заточена на точечные запросы, а когда агентов госдепа тысячи или десятки тысяч, бедным сотрудникам там денно и нощно придется их профили разгребать.
Gurturok
09.08.2019 10:15+1Научный центр при управлении делами президента может деанонимизировать любого жителя России
расследование, связанное с деанонимизацией пользователей соцсетей
У вас желтянка.
Они помогают страховым компаниям и службам безопасности проверять недобросоветсных сотрудников и кандидатов на работу, а сотрудникам МВД — искать экстремистов в интернете.
Если пользователь сидит в соц. сетях и от своего имени постит всякую фигню — то это его личные проблемы. Меня больше волнует, что ты можешь вообще нигде не сидеть и ничего не писать, а какой-то недоброжелатель (В 8 классе бабу у друга увел? А он вот все помнит и спустя 20 лет решил отомстить) может завести страничку на твое имя и начать активно портить «цифровой профиль», при этом жертва ничего не узнает и только будет удивляться почему на работу не берут и банковскую карту не одобряют.
kznalp
09.08.2019 12:33-9Хабр, к сожалению, снова не удивил. Ссылаться на медузу, вполне в духе среднестатистического либерасткого издания.
«Источники финансирования «Медузы», до этого момента державшиеся в тайне, были обнаружены при внимательном изучении финансовой отчётности издания. В числе грантодателей оппозиционного СМИ оказались две западные организации, которые в своё время являлись партнёрами Джорджа Сороса. Одна из них также финансировала проект участниц Pussy Riot и российские ЛГБТ-сообщества. Сведения о заключённых соглашениях содержатся в финансовой отчётности латвийской фирмы Medusa Project SIA за 2017 год. „
https://russian.rt.com/world/article/550832-meduza-inostrannoe-finansirovanie
Впрочем, как говорил, классик — “кому и кобыла — невеста».
Кто следующие источники новостей, на когда-то техническом ресурсе, будут — Радио Свобода, Немецкая Волна, Новая Газета, Эхо Москвы?
sumanai
09.08.2019 13:10+4Одна из них также финансировала проект участниц Pussy Riot и российские ЛГБТ-сообщества
Негодяи.
gshcherbakov
10.08.2019 15:55-1Полностью с тобой согласен. Очень часто Хабр стал опускаться до низкопробного промывания мозга (((((((((((((((((((( впрочем как в песне, что может сравниться в промытии мозга с инетом ))))
sumanai
09.08.2019 13:10+1расследование, связанное с деанонимизацией пользователей соцсетей.
Нет аккаунта в сс — нет деанонимизации?orion76
09.08.2019 13:37Нее… не поможет…
Вон, в США, говорят, идентифицируют лазерным лучом на расстоянии по биению сердца.
Есть, наверное, еще куча процессов жизнедеятельности, протекающих строго индивидуально.
ДНК наконец…
Короче, самый надежный способ остаться анонимным — не существовать…
совсем…
никогда…
A114n
09.08.2019 13:48+2«Какой-нибудь чиновник назначается на большую должность — и нам его дают на проверку. Начинаешь копаться, находишь его детей, а у ребенка в инстаграме фото с ключами от нового дорогущего автомобиля и подписью: „Папа подарил на день рождения“. Когда глав региональных управлений Росгвардии назначали, целый ряд кандидатур сняли по результатам [нашей проверки]», — прокомментировал собеседник издания.
Выходит, когда у очередного чиновника находят миллиард, или, там сеть гостиниц в Москве, или квартирку за 70 миллионов в доме на Садовнической набережной — а чиновник этот остаётся на своём месте — стало быть руководство про это в курсе и всё это одобряет. Спасибо, и так было понятно, но вот ещё одно подтверждение.aleksandros
09.08.2019 14:08+2Да вообще не понятно на кого рассчитана эта байка про автомобиль. Разве что на бабушек.
alexus_carrou
09.08.2019 14:43«Какой-нибудь чиновник назначается на большую должность — и нам его дают на проверку. Начинаешь копаться, находишь его детей, а у ребенка в инстаграме фото с ключами от нового дорогущего автомобиля и подписью: „Папа подарил на день рождения“.
кто-то серьезно подумал, что данный софт будет работать в эту сторону?
Yumglup
09.08.2019 14:43Да, это не просто пробив, а перепись скота. Раньше была какая-то иллюзия, что доступ к большим серым и госбазам был только у банков и крупных игроков, теперь он есть у всех желающих за абонентскую плату.
Всё один к одному.
ФНС намерена создать единый реестр населения России
d-russia.ru/fns-namerena-sozdat-edinyj-reestr-naseleniya-rossii-k-2025-godu.html
Каждый чиновник будет знать всю вашу подноготную, включая медицинские диагнозы(привет емиас) и семейные отношения. Впрочем, к базе ЗАГС даже нотариусы уже подключены. Добавьте к этому закон Яровой и получите очередной стимул к эмиграции, потому что это уже полная деанонимизация. На «субботнем марафоне» активисты на своей, пардон, заднице это почувствовали — мало кто обратил внимание на планшеты у «сотрудников». Сотрудник делал фото человека из толпы и тут же получал досье. По меньше мере на двух стримах процесс был запечатлен. Кому раньше казалось, что это далеко и нас не касается уже сами сидят на чемоданах. Раньше все смеялись над: почтовыми ящиками, требующими номер телефона, над кадровиками, продающими анкеты соиcкателей по 10 руб/штука, над массовыми анкетами в ТЦ, над двачиками, модерируемыми погононосцами, да и сетевые штампы ольгинцев, позднее срочников из научных рот, наверное, многие встречали «пруфай военник-права» ипр. Теперь настало время плакать. Потом будем рыдать. Потому что в реестре только население, представителей власти и членов их семей в ней не будет.
Сноуден своими откровениями развязал руки властям. Если сбор персональных данных и бигдата не остановить немедленно, то фильм «алгоритм» детской сказкой покажется.
vmchaz
09.08.2019 17:03Когда Столлман давным-давно предупреждал про это, некоторые над ним смеялись и называли неадекватным.
А сейчас видно, что на нашу приватность и анонимность наплевали с высокой колокольни.
(тут должно идти много правильных слов про баланс самопрезентации и приватности, но это тема для отдельного поста)red_andr
09.08.2019 21:54Столлман предупреждал и продолжает это делать имея в виду западные демократии. Там эта проблема стоит остро и обсуждается. В случае же стран, где отсутствуют базовые человеческие свободы, такое предупреждение смысла просто не имеет. Там и так нет никакой приватности.
teecat
09.08.2019 17:08Правильно ли я понимаю, что в статье описан пробив, а не деанонимизация? Не имя пользователя определяется по данным о нем, а собираются данные по известному имени?
Собственно понятно, что для государства при наличии доступа к базам данных возможно и первое и второе, но тут вроде как явно идет поиск публичной, но не широкоафишируемой информации
gshcherbakov
10.08.2019 13:45-1Очень не хочется видеть засирание Хабра «политической» сранью. (((((((((((((((
rboots
Было предсказуемо. Вот поэтому и нужно создавать прозрачное общество, в котором все про всех всё будут знать. Это не очень здорово, но альтернатива — когда про всех будет знать маленькая группа лиц, приблежённая к силовикам. А я может тоже хочу пробить своего будущего работодателя, нет ли у него долгов и судебных процессов.
panvartan
Маленькая группа лиц всегда будет против равноправия — как непрозрачного, так и прозрачного. И это не только силовики и не только здесь.
Sabubu
Люди такие есть везде, только не везде у них получится так грубо, безнаказанно и нагло нарушать закон, как это получается у российских властей.
Отдельно, конечно, в статье меня заинтересовал список ресурсов, с которых сливаются данные, вроде интернет-магазина wildberries и ресурсов мейл ру. Я всегда интуитивно подозревал, что лучше забирать товары самовывозом и не оставлять настоящих данных, и смотри-ка — интуиция не подвела.
И заголовок неудачно дан — в статье говорится о том, что услуги по поиску информации давались не только госорганам, но и частным компаниям, их службам безопасности.
panvartan
Личные качества малой группы в этом противостоянии не имеют практического значения — все определяет личные качества большой группы.
x67
Были времена, когда я считал себя излишне мнительным параноиком, сейчас же думаю, что пора разрывать цифровой след, так как он слишком просто находится
shasoft
sumanai
Ну да, в России просто делают это законным.
romamix
К сожалению, в реалиях российского общества, даже открытые базы могут быть выборочно наполнены какими-нибудь ЛСДУ3 и ЙФЯУ9
Gutt
Это вы можете сделать уже сейчас, благо базы исполнительных и арбитражных производств открыты. Речь здесь идёт, разумеется, о просроченных долгах, которые уже начали взыскивать в судебном порядке.
wadeg
Долги, в т.ч. не дошедшие до арбитража, оцениваются из бухотчетности, сдаваемой в Росстат и им же предоставляемой желающим вполне легально.
Baigildin
Да, вот только обратной стороной будет и то, что преступники и всякие психически неуравновешенные/одержимые тоже будут знать о тебе всё.
Umpiro
Да, вот только обратной стороной этого будет то, что вы будете знать все, что 'преступники и неуравновешенные' знают о вас.
lolhunter
Это вам не сильно поможет когда псих обольет кислотой лицо)
Areso
Сегодня преступник может купить данные о Вас в любом случае — его не остановит ни незаконность, ни то, что за это нужно заплатить.
Вы же, как законопослушный гражданин, лишены такого инструмента.
Это как пример с оружием — у преступников оно есть и они его берут с собой и пользуются им, а законопослушным гражданам нельзя.
Baigildin
Некоторые преступления не совершаются из-за сложности и трудоемкости этих самых преступлений. То есть украсть 5000 купюру которая будет на 3/4 торчать из заднего кармана, и украсть ту же купюру из кошелька которая лежит с внутренней стороны нагрудного кармана — разные вещи. Хотя преступление одно и то же. Но вот только вряд ли вы так небрежно ходите. Ну да, если преступник захочет совершить преступление, то он сделает это. Только вот зачем им упрощать им всё это по сути нося с собой большую табличку " Сегодня я снял в банкомате наличными 40000 рублей. Я живу по адресу Москва, ул.Гоголя, д 5, квартира 44."
alex6999
Вы правы, российские заборы в три метра имеют под собой основания
Baigildin
Да имеют. Да некрасиво, да убого, но имеют. Знаю на личном опыте в жизни в деревне.
alsoijw
Umpiro
Мне кажется, принцип открытости данных многим не нравится потому, что они рассматривают в рамках текущей модели общества, не учитывая то, как его рализация может изменить само общество.
'Открытость данных' обеспечивает, главным образом, равенство. Вы спрашиваете 'придется мониторить много данных'? Но разве этого уже не делают преступники? Только у них есть возможность это делать, а вас нет, и вся разница. Не буду говорить о том, что 'много данных ' уже давно научились успешно мониторить. Поблема какраз в том, что некоторые, в отличие от преступников, об этом не знают.
Для преступника не менее важен уход от наказания, нежели совершение преступления. А 'открытые данные' обеспечат информацию о нем и его поимку. Кто-то пишет 'псих обольет кислотой'. Так он о вас и так ничего не знает, и ему даже не нужно знать, чтобы совершить такое. А если он 'псих', и окружающие будут знать это, то его, как минимум, уже будут опасаться, или направят на лечение.
alsoijw
Насколько мне известно, преступники не просматривают каждую единицу данных, не строят каких-то сложных схем. Они либо берут столько данных, сколько могут собрать(кардеры, ботоводы), либо копают против кого-то конкретного.
Только вот решения не автоматические и нуждаются в поддержке специалистов. Плюс работает всё это дело на мощных серверах, порой допуская множество проколов
Чем меньше преступление, тем больше вероятность наказания. Неверно заполнивший налоговую декларацию будет куда вероятнее наказан, чем глава крупного мафиозного клана/диктатор. Последний может даже не раз передать свою роль по наследству, если не будет слишком заигрываться.
Уже сейчас в относительно крупных операциях есть заказчик и исполнитель. Либо, если это охота на ведьм(или ведьмаков), то ловить придётся сразу целую толпу.
Umpiro
Вы их, по-видимому, недооцениваете.
Если это то, как вы сейчас находите ситауцию, то 'открытость данных' именно на ее исправление и нацелена.
Если вы не видите, какое решение я здесь подразумеваю, предлагая свою идею, мы с вами просто занимаемся демагогией. Я готов выслушать ваши ответы и закончить на этом.
alsoijw
d-stream
Думаю за 11 миллионов — могут не отказать дать пробить работодателя… возможно с регистрацией в профиле/досье этого факта и треков «кого пробивал»)
Кстати в таком ключе это работает и сейчас — предложения такого плана вполне легко отыскиваются.
LeshaVH
это противоречит миллиардам лет эволюции и нейросетям власть придержащих
очень хорошо было показано про Горбачева — ему пофиг было при взрыве чернобыля пару сотен тысяч может умереть — главное чтобы паники не было)))
текущие правители в ЛЮБОЙ стране мира — это лучшие представители с точки зрения эволюции, каждый из которых без сомнения прибьет сколько угодно миллионов и не поморщится (так устроены их нейросети)
lolhunter
Ну как раз долги и судебные процессы пробиваются на раз-два.
Достаточно ИНН и даже просто название компании увидеть.
Сама по себе информация не настолько важна.
Важна ВОЗМОЖНОСТЬ и действенность ее использования. Вы пытаетесь нивелировать возможность открытостью. Но согласитесь — никто не будет смотреть что и как там Вася Пупкин из села Кукуево по порносайтам бегает. А вот найти про вас информацию по которой ВЫ не хотите огласки — это никак не закрывается вашей идеей.
И в этой информации ничего незаконного нет.
Банальный пример — рассказать нужным людям ваш домашний адрес и даты вылета-прилета из отпуска. И кто в этот отпуск летит и есть ли у вас домашние животные. Идеально планировать кражу, да?)
Umpiro
Не думаю, что 'идеально', если здесь уже известно в какой период и в какой стране вы планируете совершить кражу.
lolhunter
Вы уже в мысли залезать научились?
Петя покопался в досье про вас и теперь он знает что вы через пол года едете в отпуск. И билеты куплены. Он передал эту информацию Васе. Голосом при встрече.
Все что вы теоретически знаете это то, что некий Петя смотрел когда вы поедете в отпуск. Если такие запросы в принципе логируются. Дальше что?
Umpiro
Вы же сами сказали: 'планировать кражу'?
alsoijw
Если мир станет открытым сейчас, то он превратится в большую деревню, в котором люди с длинными носами будут выискивать новых жертв для травли. И если из деревни ещё хоть как-то, но можно сбежать, то из деревни размером с планету уже не сбежишь. Фанатизм, некомпетентность, равнодушие — всё это не уничтожется открытыми данными.