В TalkTalk меня заверили, что они со всей серьезностью подходит к защите персональных данных своих клиентов. После кибератаки компания запустила акцию «Удар по жуликам», чтобы повысить осведомленность клиентов о мошенничестве. Кроме того, в TalkTalk заявляют, что в настоящее время каждый месяц заблаговременно блокируется более девяноста миллионов мошеннических и злонамеренных звонков на телефоны клиентов.

Представители Wipro не ответили на несколько просьб прокомментировать ситуацию.

Сложно переоценить влияние взлома TalkTalk на британские корпорации. Генеральные директора компаний, разбросанных по всей стране, ужасались, наблюдая за тем, как руководителя TalkTalk снова и снова распекают в теленовостях. Желая избежать такой же судьбы, одни из них действительно занялись вопросами кибербезопасности, а другие принялись разглагольствовать о том, насколько она важна.

Пусть история об утечке из Wipro и сопутствующей афере и была из ряда вон выходящей, она подсветила гораздо более тревожный вопрос – вопрос о безопасности глобальной отрасли персональных данных. По мере снижения доходности бизнеса, основанного на данных, растет стремление к сокращению издержек, в связи с чем многие привлекают подрядчиков к хранению и обработке данных и обслуживанию клиентов.

Как сообщается, аутсорсинг бизнес-процессов в одной только Индии приносит почти сто пятьдесят миллиардов долларов дохода, и конкурируют в нем такие гиганты, как TCS, Infosys и Wipro[190]. Чтобы система работала, персональные данные британских клиентов часто необходимо маршрутизировать (хотя и виртуально) в зарубежные кол-центры, а инциденты вроде утечки из Wipro заставляют всерьез задуматься о том, насколько безопасна эта процедура.

Один из моих информантов сказал, что в прошлом долгое время работал в Wipro. Он был поражен, что такая утечка вообще оказалась возможной. По его словам, компания одержима защитой данных. Он предположил, что операцию по краже и передаче данных пришлось долго и тщательно планировать. И все же тот факт, что утечка случилась в компании такого размера, подталкивает к выводу, что перед лицом достаточно решительно настроенного противника уязвимы все. И причина заключается в том, что продать можно даже мельчайший фрагмент данных.

В истории TalkTalk удивляет то, как много банда заработала, располагая при этом минимумом инструментов. В некоторых случаях у преступников были лишь имя жертвы, ее номер телефона и номер счета. На флешке размером с ноготь могут храниться миллионы таких записей. И все же хакерская алхимия позволяет превратить эти крохи информации в прибыльную аферу, участники которой содержат сразу несколько кол-центров. Персональные данные высокодоходны и востребованы, а защитить их сложно.

Разумеется, одно дело – иметь доступ к украденной информации, но совсем другое – ее сбывать. Жуликам из Индии, которые украли данные клиентов TalkTalk, повезло, что в том же городе орудовала целая банда преступников, готовых купить эти данные и найти им применение. Но что, если в ваших краях нет таких подлецов или, что более вероятно, если вы никого из них не знаете? Многие из нас по работе имеют доступ к конфиденциальной информации, которая, вероятно, может быть кому-то полезна. Насколько просто слить ее и получить за это деньги?

Правда в том, что благодаря интернету в этом нет ничего сложного.

На первый взгляд сайт Intel Cutout ничем не отличался от обычного онлайн-форума. На нем было несколько разделов по интересам и велось здоровое количество обсуждений между несколькими тысячами пользователей. Отличались лишь темы: Intel Cutout был пристанищем хакеров, разоблачителей и торговцев данными всех мастей. Однажды один из пользователей разместил на сайте базу данных, в которой предположительно перечислялись домашние адреса, адреса электронной почты и личные телефонные номера руководителей Facebook, включая Марка Цукерберга.

Часто информация была доступна бесплатно, и пользователи сайта просто направляли людей в нужном направлении, предоставляя им ссылку на скачивание базы. Но при этом на форуме встречались и предложения о продаже добытых инсайдерами корпоративных данных вроде тех, что принесли огромные прибыли индийской мошеннической банде, грабившей клиентов TalkTalk.

В 2018 году компания Digital Shadows, работающая в сфере технологической безопасности, обнаружила на Intel Cutout пост пользователя cys, озаглавленный «Продажа инсайдерского доступа к предприятию». В нем было несколько ссылок, которые, как говорилось в посте, подтвердят, что товар действительно в наличии. «Это ипотечная компания», – отметил автор поста. Сотрудники Digital Shadows не смогли проверить подлинность этого заявления, но оно стало одним из нескольких, размещенных на разных сайтах, продающих инсайдерский доступ ко всему, от банков до фармацевтических компаний[191].

Первый Intel Cutout закрылся после столкновения с полицией, которая обнаружила изъян в коде сайта. Но теперь он вернулся под названием Intel Cutout Reloaded, и его владелец (который владел и прошлой версией) побеседовал со мной на условиях анонимности в зашифрованном чате. «Он похож на гидру, – написал он. – Нас атакуют, а мы возрождаемся. Я хотел бы, чтобы [Intel Cutout Reloaded] стал лучше, чем когда-либо».

Я спросил его о продаже корпоративных данных, включая конфиденциальную клиентскую информацию. Он ответил, что данные, которые выставляются на продажу, и так находятся в свободном доступе, а его сайт просто показывает людям, где их искать. Он назвал и моральное оправдание для работы сайта: «Разоблачение государственной коррупции. Нам это очень важно. Люди заслуживают знать, что у них за спиной делают их лидеры. Хотя они могут и сами найти нужную информацию, с нами это гораздо проще».

Сложно было проверить это заявление. Когда я зашел в раздел «Правительственные утечки», он оказался наводнен постами с рекламой рекреационных наркотиков. Среди них затесалось одно (с большой вероятностью фальшивое) объявление от киллера, который предлагал свои услуги по цене от десяти тысяч долларов.

Кроме того, владелец Intel Cutout Reloaded сказал, что даже при продаже персональных данных ни он, ни другие администраторы сайта не получают денег. «Мы некоммерческая организация, – написал он. – Люди могут продавать друг другу что хотят – мы с этого ничего не имеем. Деньги исказили бы наши ценности».

Услышав столь неожиданное заявление от человека, который управляет нелегальным сайтом по торговле данными, я отметил: «Думаю, многих людей приведут в замешательство ваши слова об искажении ценностей – вы ведь, в конце концов, содействуете обмену украденной информацией».

«Наши ценности – свобода слова», – ответил он. Он заявил, что публикация украденных данных неизбежна. «Если у кого-то есть доступ к таким данным, значит, их источник уже скомпрометирован и они в любом случае станут общедоступными».

Возможно, владельцы Intel Cutout Reloaded и не зарабатывают на своем сайте, но некоторые из его пользователей точно на нем обогащаются. Причина этого в том,