Shumanov
@CorruptionTV
Утекли паспорта и СНИЛС пользователей "КриптоПро".
Если вы используете электронную цифровую подпись (ЭЦП и УКЭП) в России, то почти наверняка знаете софт компании “КриптоПро”. Для людей вне темы: это криптопровайдер и ПО для создания и проверки цифровых подписей на документах.
Как подмечают пользователи, “КриптоПро” - фактически монополист рынка. Другие решения есть, но именно о “КриптоПро” рассказывают на “Госуслугах”.
Мы обнаружили утечку данных пользователей “КриптоПро” в одном из популярных ботов для пробива.
🚨Почему это важно
Электронные подписи используются в документообороте - для подписания контрактов, доверенностей и заявлений. А также для взаимодействия с органами власти: налоговой, госзакупками, системами межведомственного взаимодействия. Потенциально, в сеть могли попасть актуальные данные всех пользователей одного из самых популярных инструментов ЭП в стране.
🪪Какие данные слиты
Утечка содержит ФИО, дату рождения, паспортные данные и СНИЛС (нужен для регистрации ключа подписи). Кроме того в ней указано, какую версию “КриптоПро” применяет пользователь: ПО или аппаратный модуль безопасности (HSM).
Заявленная дата утечки - 2026 год. Для проверки мы нашли в базе трех людей, писавших в соцсетях об использовании “КриптоПро”. При этом в базу не попал человек, отозвавший сертификат ЭП в 2024 году.
Судя по названию базы, утечка произошла с сайта “КриптоПро”: вероятно, там данные людей, купивших ПО или аппаратный модуль напрямую у компании. Против этой версии говорит наличие паспортных данных и СНИЛС.
Тут есть несколько вариантов: либо продавцы утечки обогатили ее информацией из других источников, либо произошел взлом удостоверяющего центра “КриптоПро”, который выпускает и обслуживает сертификаты цифровых подписей.
👥С кем связана “КриптоПро”
Компания была основана в 2000 году и была частью холдинга “Терна” предпринимателей Сергея Перовского и Михаила Свищева. У истоков холдинга стоял действующий депутат Госдумы Александр Бабаков.
Он попал в парламент в 2003 году от партии “Родина”, где быстро стал вторым человеком после Дмитрия Рогозина. Бабаков сменил Рогозина на посту председателя партии после скандала из-за предвыборного ролика на тему миграции. Суммарно Бабаков провел в Госдуме больше 17 лет и около 5 лет - на посту сенатора от Тамбовской области.
В том же 2003 году, когда Бабаков вступил в “Родину”, холдинг “Терна” стал управляющей компанией военно-экологического сотрудничества в Арктике (АМЕС). Через “Терну” прошли десятки миллионов долларов, выделенные США, Великобританией и Норвегией на переработку отработанного ядерного топлива и утилизацию старых атомных подлодок.
Кроме того, Бабаков работает спецпредставителем Путина по связям с соотечественниками за рубежом. В этой роли он, по данным французских СМИ, помогал Марин Ле Пен получить кредит на €9 млн. В 2022 году Минюст США обвинил Бабакова в нарушении санкций и попытке сделать гражданина США агентом России.
🏦Окологосударственный бизнес
“КриптоПро” - крупнейший поставщик криптографии: среди их клиентов ФСБ, ФНС, ФТС, МВД, Минцифры, Центробанк, Казначейство, Росреестр и ДИТ Москвы, а также российские банки, включая “Сбер”, "Альфу", "Газпромбанк" и "ПСБ". С 2011 года компания получила госконтракты на 1,1 млрд рублей - и это только попавшее в госзакупки.
Эти технологии требуют многочисленных сертификатов от ФСБ. Спецслужба участвовала в деятельности компании с самого старта: “КриптоПро” была учреждена при участии научно-технического центра “Атлас”, тогда подконтрольного ФСБ. Кроме того, в 2002 году “Коммерсант” писал, что в состав учредителей и менеджеров “КриптоПро” входили действующие офицеры ФАПСИ - “в немалых числах”.
Решения “КриптоПро” встроены в Единую биометрическую систему. Компания также защищает данные в биометрическом эквайринге “Сбера” - той самой “Оплате улыбкой”, установленной на 1,6 млн касс в России.
Если среди читателей этого канала есть любители расплачиваться лицом, помните, какой компании вы доверяете свою улыбку.
Илья Шуманов, управляющий партнер расследовательского бюро TriTrace Investigations
Если вы используете электронную цифровую подпись (ЭЦП и УКЭП) в России, то почти наверняка знаете софт компании “КриптоПро”. Для людей вне темы: это криптопровайдер и ПО для создания и проверки цифровых подписей на документах.
Как подмечают пользователи, “КриптоПро” - фактически монополист рынка. Другие решения есть, но именно о “КриптоПро” рассказывают на “Госуслугах”.
Мы обнаружили утечку данных пользователей “КриптоПро” в одном из популярных ботов для пробива.
🚨Почему это важно
Электронные подписи используются в документообороте - для подписания контрактов, доверенностей и заявлений. А также для взаимодействия с органами власти: налоговой, госзакупками, системами межведомственного взаимодействия. Потенциально, в сеть могли попасть актуальные данные всех пользователей одного из самых популярных инструментов ЭП в стране.
🪪Какие данные слиты
Утечка содержит ФИО, дату рождения, паспортные данные и СНИЛС (нужен для регистрации ключа подписи). Кроме того в ней указано, какую версию “КриптоПро” применяет пользователь: ПО или аппаратный модуль безопасности (HSM).
Заявленная дата утечки - 2026 год. Для проверки мы нашли в базе трех людей, писавших в соцсетях об использовании “КриптоПро”. При этом в базу не попал человек, отозвавший сертификат ЭП в 2024 году.
Судя по названию базы, утечка произошла с сайта “КриптоПро”: вероятно, там данные людей, купивших ПО или аппаратный модуль напрямую у компании. Против этой версии говорит наличие паспортных данных и СНИЛС.
Тут есть несколько вариантов: либо продавцы утечки обогатили ее информацией из других источников, либо произошел взлом удостоверяющего центра “КриптоПро”, который выпускает и обслуживает сертификаты цифровых подписей.
👥С кем связана “КриптоПро”
Компания была основана в 2000 году и была частью холдинга “Терна” предпринимателей Сергея Перовского и Михаила Свищева. У истоков холдинга стоял действующий депутат Госдумы Александр Бабаков.
Он попал в парламент в 2003 году от партии “Родина”, где быстро стал вторым человеком после Дмитрия Рогозина. Бабаков сменил Рогозина на посту председателя партии после скандала из-за предвыборного ролика на тему миграции. Суммарно Бабаков провел в Госдуме больше 17 лет и около 5 лет - на посту сенатора от Тамбовской области.
В том же 2003 году, когда Бабаков вступил в “Родину”, холдинг “Терна” стал управляющей компанией военно-экологического сотрудничества в Арктике (АМЕС). Через “Терну” прошли десятки миллионов долларов, выделенные США, Великобританией и Норвегией на переработку отработанного ядерного топлива и утилизацию старых атомных подлодок.
Кроме того, Бабаков работает спецпредставителем Путина по связям с соотечественниками за рубежом. В этой роли он, по данным французских СМИ, помогал Марин Ле Пен получить кредит на €9 млн. В 2022 году Минюст США обвинил Бабакова в нарушении санкций и попытке сделать гражданина США агентом России.
🏦Окологосударственный бизнес
“КриптоПро” - крупнейший поставщик криптографии: среди их клиентов ФСБ, ФНС, ФТС, МВД, Минцифры, Центробанк, Казначейство, Росреестр и ДИТ Москвы, а также российские банки, включая “Сбер”, "Альфу", "Газпромбанк" и "ПСБ". С 2011 года компания получила госконтракты на 1,1 млрд рублей - и это только попавшее в госзакупки.
Эти технологии требуют многочисленных сертификатов от ФСБ. Спецслужба участвовала в деятельности компании с самого старта: “КриптоПро” была учреждена при участии научно-технического центра “Атлас”, тогда подконтрольного ФСБ. Кроме того, в 2002 году “Коммерсант” писал, что в состав учредителей и менеджеров “КриптоПро” входили действующие офицеры ФАПСИ - “в немалых числах”.
Решения “КриптоПро” встроены в Единую биометрическую систему. Компания также защищает данные в биометрическом эквайринге “Сбера” - той самой “Оплате улыбкой”, установленной на 1,6 млн касс в России.
Если среди читателей этого канала есть любители расплачиваться лицом, помните, какой компании вы доверяете свою улыбку.
Илья Шуманов, управляющий партнер расследовательского бюро TriTrace Investigations
👍 21
🔥 11
✍ 4
159 4K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram