Не открывайте Ваши паспорта – всё из них уже известно
Не звоните другу
Вам уже наверняка звонили из «днепропетровского» или «киевского» call-центра. Но теперь уже точно называют ваши паспортные данные – чтобы запугать, чтобы усыпить бдительность и перехватить доступ к вашему аккаунту «Госуслуг» или к банковскому приложению.
Последствия хорошо известны – увы, уже доходило до принуждения к совершению актов террора и самоубийств. Сценариев, как вам навредить, великое множество, и компетентные органы ведут с ними непримиримую борьбу, но воз, увы, и ныне там.
Пора бы разобраться, а как вообще ваши паспортные данные оказались и продолжают оказываться у супостатов? Как разработчик – уже известная читателям компания «Биорг» – собрал паспорта россиян и подставил всех своих клиентов?
Принято считать, что причин утечек две – хакерские взломы и недобросовестные сотрудники. Эти «пробоины» очевидны. С ними уже борются, принуждая компании бережнее относиться к данным и наказывая виновников уголовными делами и реальными сроками.
Теперь за утечку данных предусмотрены оборотные штрафы до 500 млн рублей, а в некоторых случаях – до 10 лет лишения свободы. Однако огромная брешь и сейчас остается без внимания. Как тот слон из басни, которого никто не замечает, но который собирает изображения паспортов у себя, хранит и использует их, как ему вздумается.
Речь идёт об облачных сервисах распознавания. Ведь именно туда нерадивые банки, МФО, операторы связи, интернет-провайдеры, страховые и даже некоторые госкомпании, куда обращаются граждане, массово сбывают данные из наших паспортов.
Тяжело в учении, легко в…
Сервисы для распознавания документов открыто признают, что собирают и хранят паспортные данные граждан РФ, переданные им компаниями-пользователями, для «обучения» своих моделей — и это сегодня уже ни для кого не секрет. Более того, сервисы нагло похваляются этим и ставят себе в заслугу.
Сервис Dbrain писал на своем сайте, что формировал датасеты из паспортов заёмщиков, которые получали на обработку от микрофинансовых организаций (МФО). Разработчик сервиса – опять же ООО «Биорг», у которого на сайте в числе клиентов указаны ЦБ России, Росатом, Роснефть, Tele2 и другие компании, – на днях не постеснялся объявить, что эксплуатирует полученные документы для собственных нужд и сохраняет эти данные для себя.
А среди этих данных – не пугайтесь, уже не только паспорта, но и свидетельства о рождении, ИНН, СНИЛС, водительские удостоверения, трудовые и пенсионные книжки. Специалист из отдела R&D всё той же «Биорг» Альберт Степанян в свежей статье на сетевом ресурсе Хабр описывает схему явно не без гордости:
Особо стоит отметить процесс сбора обучающей и тестовой выборок. Так как на проекте данные поступают в режиме реального времени и нет уверенности в стационарности распределения, необходимо было убедиться, что модель, обученная на исторических данных, сможет корректно работать на примерах из будущего. Поэтому в качестве тестовой выборки мы взяли данные за предыдущий 15-дневный период, а в обучающий датасет набирали данные за более старый период времени.
Фактически происходит массовая эксплуатация личной информации. Паспорта и другие документы становятся тренировочными наборами, шаблонами для алгоритмов. И самое страшное: отказаться невозможно. Попробуй не предоставь паспорт — останешься без услуги.
Ну а о том, что ваши данные в конечном итоге останутся в базе у облачного сервиса, вы даже не подозреваете. Как, скорее всего, и предоставившая вам услуги компания. Что в итоге? Как следствие – утечки персональных данных из ИИ, ставшие уже чем-то обыденным.
Хоть в петлю лезь
Тот факт, что сервисы хранят у себя гигантские «датасеты» из реальных паспортов, автоматически делает их мишенью для хакеров. Но сервисы, кажется, это не смущает: они сами готовы раздавать паспорта направо и налево.
С момента основания стартап «Биорг» гордится тем, что использует для ввода данных модель «человек в цикле» или Human-in-the-Loop. Представители компании заявляют, что, если алгоритмы не могут распознать документ, на помощь приходят реальные люди. Они и перебивают данные из документов вручную.
Мы ранее уже писали, как перебивались данные из документов Калининской АЭС Не делайте из ИИ врага народа. Кто же эти люди, которые получают доступ к паспортам граждан? Кажется, этого не знают даже в «Биорг». Вопрос «Могу ли я заключить договор на другого человека?» уже давно в перечне наиболее часто задаваемых.
Спросите, задаваемых в каком таком перечне? Да на их же краудсорсинговой площадке для исполнителей. Площадка своим ответом фактически даёт на такую деятельность добро: «Мы не имеем возможности проверять, кто конкретно работает на сайте через ваш аккаунт».
А это значит, что доступ к платформе может получить кто угодно. По сути это прекрасная возможность для дропперов: аккаунт одного человека может запросто быть передан тому, кто не может зарегистрироваться – например, украинским злодеям.
Спокойно, это Criminal
При этом репутация компании «Биорг» уже давно весьма сомнительна. Сначала она пробовала добиться удаления из интернета негативных отзывов сотрудников, которые жаловались. На что? На «абсолютную неадекватность» владельца бизнеса, на внезапно вводимую систему штрафов, на «серые» зарплаты и прочее.
Затем последовала череда проблем с клиентами – скандал с оцифровкой документов ЗАГС Татарстана, где исполнителем выступал опять «Биорг» и, как позднее стало известно, напрямую переводил деньги сотрудникам ЗАГСа. Ну а вишенка на торте – уже упомянутая история с Калининской АЭС, где данные также уходили краудсорсерам.
В июне нынешнего года гендиректора и сооснователя компании «Биорг» Георгия Зуева по результатам многолетнего судебного разбирательства обвинили в уклонении от налогов на 121,3 млн рублей. Это дело длилось с 2022 года и находится в открытом доступе.
Суд установил, что Зуев перевел бизнес убыточного ООО «Новые Технологии» (бывшее ООО «Биорг», ИНН 7725682434) на новое юрлицо с тем же названием (ИНН 7724396261). ФНС выявила, что во время проверки сотрудников перевели в аффилированную компанию, которая заняла тот же офис, сайт и продолжила аналогичную деятельность.
Анализ выручки показал: доходы старой фирмы падали, а новой — росли. При этом в 2019-2020 годах компания имела чистую прибыль 235,5 млн рублей — почти вдвое больше долга перед кредиторами (122,7 млн). Но товарищ-бизнесмен не захотел заплатить налоги и жить спокойно.
Суд признал банкротство искусственным, а причиной назвал налоговые манипуляции и перевод активов на «зеркальную» компанию. И пока старое юрлицо банкротится, новое – уверенно побеждает на тендерах. Например, на оказание услуг по оцифровке архивных документов Управления Министерства культуры Российской Федерации (5 млн руб.).
Ещё один контракт был заключен с Министерством государственного управления, информационных технологий и связи Московской области на 10 млн руб. Эти данные также, видимо, пополнят датасеты.
А может, отбросить сомнения?
Несмотря на сомнительную механику, скандалы, подпорченную репутацию, поток персональных данных в систему «Биорга» не прекращается. А потом эта уже обанкротившаяся контора делает с изображениями паспортов, свидетельствами о рождении, СНИЛС и другими нашими документами всё, что заблагорассудится её сотрудникам.
Можно просто хранить данные для себя и передавать изображения своим удалённым краудсорсерам. Получается, что в России паспортные данные граждан по-прежнему остаются лёгкой добычей, а защитить свою приватность практически невозможно. И людям даже нет смысла после каждой утечки идти в МФЦ и менять паспорт.
Остаётся только продолжать брать телефонную трубку и слышать на конце провода лёгкий незалежный акцент…
Информация