Ваш телефон знает, где вы живёте. Данные 90% россиян утекли. Системы распознавания лиц — тоже
День 6. 3,5 млрд строк в открытом доступе. Пейджеры Ливана превратились в оружие. Базы распознавания лиц взламывают — 28 млн записей за раз. Россия — 2-е место в мире по утечкам. Но базы не удаляются. Они растут
Блог: все статьи серии
Тема
Биометрия: банк заблокировал счета за отказ сдать лицо →
Кукуруза: карта под 7 200% годовых →
Даркнет: данные клиентов на теневых площадках →
115-ФЗ: как комиссия 20% убивает бизнес →
APK: миллионы россиян отключили антивирус по инструкции банка →
Утечки, распознавание лиц и те, кого никто не защищает
3,5 миллиарда строк. Второе место на планете
Станислав Кузнецов, зампред Сбербанка, SOC-форум, ноябрь 2024: в открытом доступе — данные примерно 90% взрослых россиян. Около 3,5 миллиарда записей.
InfoWatch, март 2025: Россия — второе место в мире по утечкам, 8,5% всех инцидентов. За 2024 год скомпрометировано 1,58 миллиарда записей персональных данных — рост на 30%. В половине случаев объём утечки вообще не удаётся установить.
DLBI: за 2024 год утекли 438 миллионов телефонов и 227 миллионов email-адресов.
Сбер ведёт мониторинг с 2020 года. Тогда — 500 миллионов строк. К 2023 — три миллиарда. Шестикратный рост за четыре года. Конвейер не останавливался ни на день. Базы копируются, агрегируются и продаются по всему миру. Удалить их невозможно.
Распознавание лиц: база, которую нельзя сменить
Пароль можно сменить за минуту. Лицо — нельзя.
В 2019 году исследователи vpnMentor обнаружили открытую биометрическую базу системы BioStar 2, которую используют банки и полиция в нескольких странах. В открытом доступе — 28 миллионов записей: отпечатки пальцев и данные распознавания лиц. Никакого взлома не потребовалось — база лежала на незащищённом сервере.
В 2024 году компания Group-IB зафиксировала вредонос GoldPickaxe, который целенаправленно крадёт данные распознавания лиц из банковских приложений в Азии — чтобы обходить биометрическую аутентификацию и получать доступ к счетам.
В январе 2024 года мошенники провели видеозвонок с deepfake-копией финансового директора британской компании Arup. Результат — хищение 25 миллионов долларов. Для создания deepfake достаточно фотографии и образца голоса. И то, и другое можно получить из утечки.
Clearview AI — компания, чью технологию распознавания лиц используют правоохранительные органы по всему миру, — сама стала жертвой утечки: похищен список клиентов. Те, кто следит, сами оказались под наблюдением.
Рынок распознавания лиц к 2032 году достигнет 24,3 миллиарда долларов. Системы работают в десятках стран в реальном времени. Достаточно одного совпадения — один раз — и человек идентифицирован. Навсегда.
А теперь ключевой вопрос: где гарантия, что биометрическая база конкретного банка, собранная через курьеров и APK-приложения, защищена лучше, чем база BioStar 2?
Три случая, которые меняют оптику
Минобороны Великобритании, май 2024. Взлом серверов. Похищены персональные и финансовые данные действующих и бывших военнослужащих. Одна атака — и у противника имена, звания, банковские реквизиты защитников страны.
Индия, май 2024. Утечка 500 гигабайт во время выборов. В открытом доступе — сканы отпечатков пальцев и фотографии лиц полицейских и военных. Паспорта, дипломы, данные о татуировках. Биометрия — безвозвратно.
Россия, август 2024. В сеть утекла база Погранслужбы ФСБ — данные о пересечении границы за 10 лет (2014–2023). Дата, место, транспорт, направление. Для аналитика — карта перемещений, связей, привычек.
Три страны. Три ведомства. Одна закономерность: данные тех, кто защищает, утекают точно так же.
Ливан, 17 сентября 2024. Устройство как оружие
В 15:30 по всему Ливану одновременно взорвались тысячи пейджеров. В устройства была заложена взрывчатка — 30–60 граммов, — активированная дистанционным сигналом. На следующий день — рации. Итог: 37 погибших, ~3 000 раненых. Источники: Reuters, NYT, Forbes.ru, «Ведомости».
Устройства работали месяцами. Выглядели нормально. Пока не пришёл сигнал.
Пейджер — примитив без GPS и камеры. Смартфон — в тысячу раз сложнее. Он знает где вы, с кем говорите, что фотографируете. И передаёт это каждую минуту.
Не нужна взрывчатка. Достаточно данных.
Они не могут всё контролировать
Военнослужащие, сотрудники спецслужб, полицейские, следователи, прокуроры. Ненормированный график, командировки, дежурства, нагрузка, о которой гражданские не подозревают. У них нет времени мониторить даркнет.
Они устанавливают банковское приложение — потому что нужно оплатить ЖКХ. Нажимают «Разрешить» — потому что без этого не работает. Отключают антивирус — потому что инструкция банка говорит так (день 5). Сдают лицо — потому что курьер просит (день 1).
И их данные ложатся в ту же базу. Рядом с данными пенсионера и студента. Но цена — другая. И покупатели — другие.
OSINT — разведка по открытым источникам — стандартная практика спецслужб всех крупных государств. Агрегированные базы из десятков утечек, обновляемые 24/7, — инструмент, доступный за сотни долларов.
Обычный день
Приложение зависает. Вы в такси. Водитель ждёт оплату — SMS не приходит. Счёт заблокирован. Поддержка не отвечает. Водитель нервничает. Вы стоите с телефоном, который знает о вас всё, — и не можете заплатить 300 рублей.
Для обычного человека — раздражение. Для человека на службе — потенциальная расшифровка: где, когда, с какой карты.
А если блокировка — не сбой? Как в день 1: отказ от биометрии → блокировка всех счетов на 12 дней. Условие: сдать лицо. На диктофоне.
Цифры
Факт Источник 90% данных взрослых россиян утекли Сбер, SOC-форум, 11.2024 3,5 млрд строк Сбер, РБК, ForbesРоссия — 2-е место в мире (8,5%) InfoWatch, 03.2025 1,58 млрд записей ПДн за 2024 InfoWatch 438 млн телефонов + 227 млн email за 2024DLBI 28 млн записей биометрии (BioStar 2) vpnMentor, CPO Magazine GoldPickaxe: кража данных лица из банковских приложений Group-IB, 02.2024 Deepfake-атака на Arup: $25 млн Interface, 01.2024 Clearview AI: утечка списка клиентов Infosecurity Magazine Взлом Минобороны Британии TAdviser, 05.2024 Индия: 500 ГБ биометрии военных и полиции TAdviser, 05.2024 Утечка базы Погранслужбы ФСБ (10 лет) Публикации, 08.2024 Ливан: 37 погибших, ~3000 раненых Reuters, NYT, Forbes, Ведомости Утечки в финсекторе РФ: рост в 1,5 раза InfoWatch/CNews, 02.2026 Штраф за утечку биометрии — до 20 млн ₽ ФЗ-420 Оборотный штраф — до 500 млн₽ ФЗ-420 Уголовка — до 10 летФЗ-421
Это не атака. Это обращение
Мы на одной стороне. Клиент, чей счёт заблокировали за отказ от биометрии. Предприниматель, чей бизнес уничтожили комиссией. Офицер, чья геолокация утекла с миллионами других строк.
Те, кто собирает данные, — не обеспечивают их защиту. А те, кто страдает, — пока не имеют инструментов влияния.
Александр Иванович Бастрыкин, Председатель Следственного комитета РФ, 16 февраля 2026 года: утечки персональных данных — актуальная проблема; к ним нередко приводит умышленная передача сведений третьим лицам.
Что сделать прямо сейчас
1. Госуслуги → «Биометрия». Проверьте. Вы вправе отозвать согласие.
2. Настройки → Приложения → Разрешения. Геолокация «всегда» = 24/7. Переключите на «при использовании».
3. Кредитная история (Госуслуги → НБКИ + ОКБ). Аномалии = сигнал.
4. Расскажите коллегам. Не все знают: отказ от биометрии — законное право.
Сталкивались с блокировкой, утечкой, звонками с данными, которых не сообщали? Комментарии — часть дела.
Публикация является реализацией права на распространение информации (ст.29 Конституции РФ) и права на обращение (ст.33, ФЗ-59). Данные из открытых источников и ведущих СМИ. Оценки — оценочные суждения (Пленум ВС РФ №3, 24.02.2005). Автор открыт к диалогу.