Неужели Banki.ru сливают ваши данные спамерам? Или как не угодить в ловушку микрозаймов

Кейс, казалось бы, серьезной структуры, которая скатилась в пропасть «мошенников и спамеров» со сливом ваших данных. И сейчас я это докажу.

Когда формулируют такие заголовки, обычные рекомендуют ставить знак вопроса. Но после проведенного расследования и попадания banki.ru в honeypot, я готов доказать,что это даже не вопрос.

Меня зовут Ярослав Дубовиков. Я работаю в телекоме более 25 лет. Со структурой banki.ru я знаком, можно сказать, лично. Но сегодня мы поговорим не об этом. Речь про острую проблему обработки персональных данных и спам.

Последние несколько лет наблюдается тенденция сбора огромного массива персональных данных. Сливы стали практически ежедневными. И мало кто может себе представить, что вообще о нас знает интернет. Более того, многие уже стали привыкать к такому течению дел. А некоторые даже свыклись с идей отсутствия защиты: недавний отчет Rambler&Co удивляет цифрами.

И если раньше я был сторонником «либерального» подхода из серии «каждый сам отвечает за то, где светит свои данные», то сегодня я скорее склонен к ужесточению регулирования этой сферы. Культуры обращения с персданными, а главное понимания среди пользователей сети, как, кто и что может сотворить с вашим «цифровым профилем», практически нет.

Итак, 28 ноября 2023 года в 10-03 я зарегистрировался на сайте banki.ru для решения одного банковского вопроса. Регистрация по номеру телефона с смс-авторизацией. У меня на разные случаи интернет-жизни есть разные механики поведения. И примерно столько же телефонных номеров. Как-никак в телекоме работаю. И прекрасно понимаю, как расставить своего рода utm-метки для определения точек утечки тех или иных данных. Кстати, если все порталы перейдут на авторизацию через Госуслуги или единые ID экосистем, безопасность в Рунете можно будет выкинуть на помойку.

Так было сделано и при регистрации на banki.ru. Вчера мне потребовалась помощь в решении страхового вопроса. Правда, вопрос решился еще до момента проверки сообщения и публикации. Но оставим вопрос модерации на сайте для другого случая.

13 февраля 2024 года в 09-29 я получил код на специальный «рабочий» номер для входа на сайт. Буквально через час после входа на портал я немного удивился "активности" своего телефона. Скриншоты, я думаю, красноречивее многих слов:

Многие скажут, ну, чувак, мало ли где ты засветил свой номер. Откуда тебе знать, что именно banki.ru тебя слили?

Окей. Давайте смоделируем honeypot и проверим нашу гипотезу. 13 февраля 2024 года в 14-56 еще раз регистрируюсь на сайте через смс-авторизацию на «чистый» телефон. Как оператор связи я могу себе это позволить со 100% гарантией того, что номер нигде не был засвечен.

Тишина. Утром 14 февраля 2024 года захожу в браузер. Сессия сохранилась. Но данные не мои! Уже чудеса «безопасности». Но это меня сейчас мало интересует. Хотя уже забавно, как я смог увидеть чужой профиль с персональными данными.

И все был ничего: но система мне предлагает подать заявку на кредит от имени вот этого пользователя:

Делаю логаут. И пытаюсь в 09-56 зайти снова. Но почему-то пароль не проходит. Вторая попытка в 09-57. Безуспешно. Потом меня отвлекают по рабочим вопросам.

И тут в 10-53 «залет»! Бинго! На «чистый» номер я получаю совершенно такой же спам, как и вчера. Тут в голове сразу проскакивает картинка-мем с Дмитрием Киселевым и ставшей фундаментальной фразой «Совпадение? Не думаю!»

Получите и распишитесь.

Что и требовалось доказать – banki.ru менее чем за сутки слили мой номер микрозаймам!

Помимо SMS поступило несколько телефонных звонков (и, кстати, продолжают поступать) с предложением одобренного кредита (записи имеются). Звонки были с номеров 79613857024, 79617659331, 79617877249, 79617660453. Проверяем звонки по реестру нумерации. Все они у Билайна.

В этой связи хочется передать личный привет генеральному директору Билайна. Уважаемый! Когда в следующий раз на телеком-конференциях будете рассказать о том, как много Билайн уделяет безопасности и борьбе со спамом, не забудь проверить абонентов вышеуказанных номеров. Ну чтобы уж наверняка всех заблокировать.

Но все это меня только раззадорило. Ну хорошо, спам пришел. А что с содержимым?

Каждая SMS содержит буквенные имена отправителя. Это значит, что за каждым отправителем стоит физическое или юридическое лицо, которое заключило договор с оператором связи или агрегатором на распространение рекламных SMS.

Я внимательно изучил Соглашение на сайте banki.ru

Там нет ни слова про то, что они имеют право передавать данные третьим лицам для спама.

При этом «мамой клянутся» защищать ваши данные. Ага, уже поверили и проверили.

Открываем саму SMS. Там ссылка. Переходим по ней и попадаем на сайт микрозаймов. Берем телефон и звоним (естественно, под запись).

Далее диалог:

- Мне пришла от Вас смс с предложением кредита. Скажите, откуда у Вас мой номер (диктую номер) и на каком основании Вы рассылаете спам?

- У нас такого номера в базе нет. А кто отправитель?

- /тут я понимаю, что у девочки отличный подготовленный скрипт/ «что-то там.ру». Они отправители в SMS.

- Это не наша организация. Мы отправляем sms с именем «чего-то там.ru»

- Да, но почему в сообщении ссылка на Ваш сайт?

- Мы не знаем. Видимо, кто-то без нашего ведома это делает.

Ага, тут я прям поверил, что сидит такой цифровой Робин Гуд и рассылает по 4 руб. за SMS рекламные сообщения каких-то микрозаймов? Вы серьезно? Это прям как лет 20-25 назад в метро расклеивали листовки с рекламой, а когда приходили с вопросом «Кто это сделал», все в офисе компании делали лицо как у героя Миши Галустяна:

Изучив каждую(!) SMS, я понимаю, что «механика» ссылок и отправителей везде одна и та же. Зачем, спросите Вы? А просто если Вы пожалуетесь на такую рассылку, ФАС не сможет свести это по формальным признакам к одному юр.лицу. Нужно будет искать аффилированность – а этим уж точно никто там не будет заниматься. Ведь рассылка от имени одной компании, а содержание относится к другой. Это чтобы избежать штрафа в размере от 100 тыс. до 500 тыс. руб. за каждую(!) отправленную SMS.

По факту мы имеем:

- по неизвестной причине кто-то в banki.ru менее чем за сутки после регистрации на сайте сливает данные своих пользователей;

- сливают не просто так, а для рассылок спама по микрозаймам. Это самое днище кредитного рынка;

- репутация banki.ru ничего не стоит. Видимо, не зря в прошлом году из капитала этой структуры вышли все инвестфонды. Интересно, а нынешние собственники вообще в курсе такой схемы монетизации портала или это «частная» инициатива некоторых сотрудников?

- все рекламные SMS составлены так, чтобы государственные надзорные органы в лице ФАС и РКН не смогли ничего предъявить за спам. Действия лиц по предварительному сговору?

Вывод из этой ситуации каждый сделает для себя сам. Но важно понимать: как бы государство не пыталось защитить данные своих граждан и как бы не ужесточали закон о персональных данных, всегда найдут вот такие «предприниматели» в banki.ru, которые замутят схематоз по уходу от ответственности, пользуясь пробелами в законодательстве страны.

Что я буду делать в этой ситуации? Вернусь к проекту, который задумывался еще 7 лет назад и который позволит не просто наказывать таких деятелей «рублем», но и немного поменяет рынок рекламных рассылок в сторону интересов потребителей, а не только рекламодателей.

Мы много раз как эксперты пытались донести нашу позицию по наличию бреши в действующем законодательстве. Действия ФАС как надзорного органа вообще заслуживает отдельного текста. Из десятка отправленных жалоб по незаконному спаму по существу не рассмотрена ни одна. На мой взгляд, депутаты сейчас смотрят не в сторону решения проблемы спама и нормальной процедуры обработки ПД, а все большего ужесточения ответственности за нарушения, которые плодились, плодятся и будут плодиться и дальше благодаря таким «деятелям» как banki.ru.

Команда уже заряжена, MVP планируется в ближайшее время. Подробности проекта опишу ближе к старту. Если у Вас будет желание получить уведомление о старте проекта, можете подписаться на анонс в моем личном TG-канале, где я иногда разбираю и комментирую факапы в ИТ и телекоме.