По коду дела: что не так в истории с утечкой базы покупателей результатов ПЦР

База с якобы персональными данными купивших поддельные результаты ПЦР-тестов и сертификаты о вакцинации — скорее всего, фейк. Причем основывается она на сайтах, генерирующих QR-коды, которые может сделать любой программист среднего уровня, сошлись во мнении аналитики и исследователи даркнета. «Известия» выяснили, как работают подобные «сервисы»: это обычная программа, которая формирует PDF-файлы на основе заданных данных. На одном из таких сайтов за полгода скопилась информация о 9 тыс. человек, именно этот фрагмент, по всей видимости, и лег в основу большой базы на 500 тыс. жителей Москвы и области, о которой сообщили 12 ноября СМИ. Остальной объем могли добрать откуда угодно — в том числе из базы «клиентов магазина «Мир ковров», считают специалисты. Кому выгодна такая махинация и почему клиентам подобных сайтов про продаже сертификатов лучше не пользоваться их услугами — в материале «Известий».

Написать что угодно

Картинка дня: мошенники пытаются заработать на QR-кодах в транспорте

Как обсуждаемые сейчас антиковидные меры скажутся на теневом рынке фальшивых сертификатов о вакцинации

В Сети появились персональные данные более 500 тыс. жителей Москвы и Московской области, которые купили поддельные справки о вакцинации от коронавируса и сдаче ПЦР-теста. С таким тревожным сообщением 12 ноября выступил «Коммерсант». Журналисты связались с одним из продавцов такой информации — он сказал, что база из 1 тыс. строк стоит $120 (около 8,5 тыс. рублей). Якобы в ней есть паспортные данные, СНИЛС, номер телефона и место жительства, а также информация о дате получения сертификата. Программист, владелец Telegram-канала «Глаз бога» Евгений Антипов высказал мнение, что сведения о гражданах были собраны на сервисах, позволяющих сделать поддельную справку о вакцинации или ПЦР.

Однако еще в начале ноября специалисты по информационной безопасности из компании T.Hunter опубликовали в своем Telegram-канале сообщение, согласно которому им удалось получить доступ к инфраструктуре одного из сайтов, предлагающих оформить фейковую справку об отрицательном ПЦР-тесте на ковид. На сайте говорилось о возможности сделать документ от имени таких популярных лабораторий, как «Инвитро», «Гемотест» и «Архимед».

Фото: ТАСС/Артем Геодакян

Руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров сообщил «Известиям», что сервер, который обслуживал этот сайт, работал с еще несколькими аналогичными ресурсами. И всего их около десяти.

Привить железной рукой: может ли вакцинация стать обязательной

Петербург, Ставропольский, Алтайский края и другие регионы РФ предписали предупредить COVID-19 у пожилых людей

— Он работал примерно полгода. За это время на нем скопились данные около 9 тыс. человек, — говорит специалист.

Независимый исследователь даркнета Олег Бахтадзе-Карнаухов уточнил: сайт действовал с 25 июня 2021 года. Эксперт не отрицает, что данные, которые собрал этот портал, могут быть закреплены за реальными людьми. Но это, по его словам, практически невозможно доказать.

— Данные прописывает владелец сайта, — добавляет Бахтадзе-Карнаухов. — То есть он может прописать туда что угодно. Например, взять их из базы людей, которые покупали ковры в магазине «Мир ковров». Наверное, можно их прозвонить, — но для этого нужно купить базу и позвонить 500 тыс. человек, что нереально сделать.

«Известия» получили в распоряжение фрагмент якобы базы с данными 9 тыс. человек, закрепленной за сайтом, генерировавшим поддельные ПЦР-тесты. Корреспонденты попробовали связаться с несколькими людьми, номера которых указаны в базе, но никто из них не ответил на звонок.

Простой «развод»

Бахтадзе-Карнаухов, говорит, что подобные сайты работают очень просто — это обычная программа, которая генерирует PDF-файлы на основе заданных данных.

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

— Он не прописывает данные ни в какие базы, это очень простой «развод». IP-адрес (ссылка) из QR-кода ведет на тот же сайт, где размещена административная панель, где и происходит генерация PDF. То есть всё это размещено на одном хостинге и сделано одним человеком, — отметил эксперт.

Болезненный укол: как мошенники прикрываются вакцинацией

Псевдоврачи проникают в жилища и обворовывают доверчивых граждан

По словам исследователя даркнета, создать такой сайт может средний программист за день-два. Но у него должен быть шаблон — бланк реального ПЦР-теста. Затем просто пишется скрипт, который подставляет туда данные.

— Найти создателей сайта можно, так как там есть домены, они же на кого-то зарегистрированы, — объясняет Бахтадзе-Карнаухов. — Хостинг тоже на кого-то зарегистрирован. То есть ниточка к этим людям идет, и их поиском, думаю, уже давно занимаются органы.

По словам Игоря Бедерова из T.Hunter, личность владельца сайта уже установлена. Однако он не знает, начаты ли в отношении этого человека следственные действия.

Фейк на фейке

Игорь Бедеров в целом считает, что обсуждаемая база данных на 500 тыс. человек — скорее всего, фейк. По его словам, маловероятно, что существует такое количество сайтов, генерирующих подделки, которые были бы способны быстро собрать данные о стольких людях.

— Представьте, сколько должно быть сайтов и серверов, чтобы собрать данные 500 тыс. человек? И потом: с чего вдруг эти данные утекли разом? Новость про 500 тыс. — скорее всего, фейк, — рассуждает эксперт.

Фото: ИЗВЕСТИЯ/Александр Казаков

Бедеров склоняется к версии, согласно которой кто-то скопировал базу данных с сервера, на котором хранятся данные 9 тыс. человек, добавил в нее информацию о еще нескольких сотнях тысяч из случайных баз и выложил результат в Сеть. Такая махинация, по его словам, могла была быть проведена для того, чтобы повысить привлекательность лота на черном рынке. «Покупать 9 тыс. никому не интересно. А вот 500 тыс. — это уже что-то», — объяснил эксперт.

Обман веществ: Гинцбург раскрыл состав теста на подделку сертификатов о вакцинации

Какой маркер позволяет определить истинность прививки от COVID-19

Аналогичного мнения придерживается основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. Он добавил: на фейковую природу этой базы намекает и то, что изначально информация о ней появилась в Telegram-каналах, специализирующихся на мошенничестве.

— Создать такой скам-продукт несложно, так как базы СНИЛС, ОМС и паспортных данных можно найти в даркнете даже бесплатно, — отметил он.

Эксперты говорят о том, что до тех пор, пока обсуждаемая база на 500 тыс. человек не будет изучена, утверждать о наличии в ней информации о покупателях фейковых сертификатов нельзя. Для анализа базы, ее нужно купить. Бедерову неизвестно о том, что кто-то уже это сделал.

Ашот Оганесян также усомнился в том, что публикация могла быть инициирована, чтобы напугать граждан (приобретение поддельного сертификата о вакцинации влечет для покупателей уголовную ответственность по ч. 3 ст. 327 УК РФ, максимальное наказание по которой составляет до года лишения свободы), а также побудить их прививаться от коронавируса. Защита собственного здоровья в интересах самих граждан.

На фоне ухудшения эпидемиологической ситуации российские власти призывают жителей вакцинироваться, чтобы обезопасить свое здоровье и позаботиться о своих близких. Граждан прививают бесплатно. В стране зарегистрировано пять вакцин от коронавируса: «Спутник V», ставший первой в РФ и мире вакциной от COVID-19, а также «Спутник Лайт», «ЭпиВакКорона», «ЭпиВакКорона-Н» и «КовиВак».