Пятница , 12 декабря 2025

Нелегальная база спортсменов

Четверг, 11 декабря, 2025

В Казах­стане сно­ва сли­ли пер­со­наль­ные дан­ные, на этот раз жерт­ва­ми хаке­ров ока­за­лись десят­ки тысяч спортсменов

В казах­стан­ском сег­мен­те интер­не­та новая серия мно­го­лет­не­го сери­а­ла под назва­ни­ем «Где на этот раз про­тек­ло?». На хакер­ском фору­ме появил­ся архив, кото­рый, по утвер­жде­нию авто­ра под ником dump5ter, отно­сит­ся к госу­дар­ствен­ной систе­ме Esport.gov.kz. Внут­ри око­ло 286 тысяч запи­сей. То есть прак­ти­че­ски пол­ный реестр спортс­ме­нов и тре­не­ров стра­ны: ФИО, ИИН, даты рож­де­ния, граж­дан­ство и наци­о­наль­ность, кон­так­ты, дис­ци­пли­ны, раз­ря­ды и даже спор­тив­ный статус.

Если верить спе­ци­а­ли­стам Profit.kz, хаке­ры опуб­ли­ко­ва­ли «выгруз­ку» наци­о­наль­но­го спор­тив­но­го реест­ра 13 нояб­ря 2025 года. И хотя её под­лин­ность офи­ци­аль­но не под­твер­жде­на, скрин­шо­ты самые что ни на есть реаль­ные: теле­фон, e‑mail, ИИН, реги­он про­жи­ва­ния. Такой объ­ем инфор­ма­ции меч­та для мошен­ни­ков, кото­рые любят пред­став­лять­ся «служ­бой без­опас­но­сти банка».

Как устро­е­на систе­ма, кото­рую взломали

Esport.gov.kz – это еди­ная инфор­ма­ци­он­ная плат­фор­ма спор­тив­ной отрас­ли: здесь ведут­ся лич­ные дела спортс­ме­нов, при­сва­и­ва­ют­ся раз­ря­ды, фик­си­ру­ют­ся спор­тив­ные зва­ния, фор­ми­ру­ет­ся кален­дарь собы­тий и зано­сят­ся дан­ные тре­не­ров. Сло­вом, это такое циф­ро­вое «спор­тив­ное досье» страны.

Утеч­ка каса­ет­ся всех – от юных спортс­ме­нов до опыт­ных тре­не­ров. Имен­но поэто­му пер­вые, кто забил тре­во­гу, это роди­те­ли несовершеннолетних.

Поче­му это критично

Экс­пер­ты по кибер­без­опас­но­сти назы­ва­ют ком­би­на­цию ИИН + теле­фон + ФИО «клас­си­че­ским пода­роч­ным набо­ром» для зло­умыш­лен­ни­ков. С таки­ми дан­ны­ми можно:

  • про­зва­ни­вать людей от име­ни бан­ков­ских служб;
  • соби­рать допол­ни­тель­ную инфор­ма­цию с откры­тых источников;
  • под­де­лы­вать циф­ро­вую идентичность;
  • про­бо­вать оформ­лять мик­ро­зай­мы от име­ни ниче­го не подо­зре­ва­ю­щих граждан.

Пока неиз­вест­но, как хаке­ры выта­щи­ли дан­ные: через уяз­ви­мость в веб-при­ло­же­нии или ком­про­ме­та­цию адми­ни­стра­тор­ско­го акка­ун­та. Но по зако­ну опе­ра­то­ры пер­со­наль­ных дан­ных обя­за­ны в тече­ние трёх рабо­чих дней сооб­щить госу­дар­ствен­ным орга­нам и вла­дель­цам дан­ных о любой утеч­ке. На момент пуб­ли­ка­ции при­зна­ков тако­го уве­дом­ле­ния не видно.

Увы, это уже традиция

Если бы речь шла о пер­вой мас­штаб­ной утеч­ке в Казах­стане, исто­рия выгля­де­ла бы тра­ги­ко­мич­но. Но стра­на дав­но живет в парал­лель­ной реаль­но­сти, где дан­ные граж­дан сво­бод­но гуля­ют по тене­вым рын­кам, а ино­гда бук­валь­но раз­да­ют­ся по кноп­ке «старт».

Осе­нью 2024 года в Telegram обна­ру­жил­ся бот, кото­рый бес­плат­но выда­вал пер­со­наль­ные дан­ные мил­ли­о­нов граж­дан Казах­ста­на. В чис­ле тех, чьи све­де­ния вне­зап­но ста­ли обще­до­ступ­ны­ми, это тогдаш­ний министр циф­ро­во­го раз­ви­тия Жаслан Мади­ев и его пред­ше­ствен­ник Баг­дат Мусин.

Депу­тат мажи­ли­са Мурат Абе­нов, обна­ру­жив­ший бот, тогда язви­тель­но заме­тил, что «бес­кон­троль­ная циф­ро­ви­за­ция это про­бле­ма, а не бла­го», и что Мади­ев, актив­ный сто­рон­ник Telegram, теперь сам стал «глав­ным кей­сом» утечки.

По сло­вам Абе­но­ва, база обнов­ля­лась в режи­ме реаль­но­го вре­ме­ни и вклю­ча­ла всё: ИИН, адре­са про­жи­ва­ния, номе­ра теле­фо­нов, дан­ные чле­нов семьи, сдел­ки с недви­жи­мо­стью, све­де­ния об авто­мо­би­лях и даже спи­сок людей, заре­ги­стри­ро­ван­ных по одно­му адре­су. Послед­нее обнов­ле­ние про­изо­шло в декаб­ре 2024 года.

С точ­ки зре­ния депу­та­та, такая база мог­ла ока­зать­ся в дарк­не­те не без уча­стия кор­рум­пи­ро­ван­ных чинов­ни­ков МЦРИАП – тех, кто дав­но понял, что чужие пер­со­наль­ные дан­ные про­да­ют­ся быст­рее и надёж­нее, чем госуслуги.

Абе­нов пуб­лич­но обра­тил­ся в МВД и Ген­про­ку­ра­ту­ру с тре­бо­ва­ни­ем рас­сле­до­вать утеч­ку. Чем дело закон­чи­лось – тай­на, покры­тая мра­ком; сле­ды офи­ци­аль­ных отве­тов быст­ро теря­ют­ся в инфор­ма­ци­он­ных джунглях.

Когда «сли­ва­ют всех» это уже не сенсация

Утеч­ки пер­со­наль­ных дан­ных в Казах­стане дав­но ста­ли рути­ной: спис­ки алма­тин­цев, живу­щих с ВИЧ; дан­ные гос­слу­жа­щих; пол­ные реест­ры кли­ен­тов опе­ра­то­ров свя­зи; базы поль­зо­ва­те­лей eGov – всё это регу­ляр­но всплы­ва­ет в сети. И каж­дый раз госу­дар­ствен­ные орга­ны обе­ща­ют про­ве­рить, уста­но­вить винов­ных и при­нять меры. А через несколь­ко меся­цев всплы­ва­ет новая база, ещё боль­ше, ещё свежее.

На этот раз исто­рия осо­бен­но тре­вож­ная: под уда­ром ока­за­лись не толь­ко взрос­лые спортс­ме­ны, но и несо­вер­шен­но­лет­ние – десят­ки тысяч детей, дан­ные кото­рых в услов­ном «сво­бод­ном досту­пе» могут при­ве­сти к куда более серьёз­ным рис­кам, чем мик­ро­зай­мы и кредиты.

Если дело и даль­ше будет раз­ви­вать­ся в при­выч­ном тем­пе, есть шанс, что Казах­стан одна­жды ста­нет миро­вым лиде­ром по циф­ро­вой про­зрач­но­сти, но исклю­чи­тель­но непред­на­ме­рен­ной. Пока же оста­ёт­ся глав­ный вопрос, кото­рый висит над все­ми подоб­ны­ми исто­ри­я­ми: сколь­ко еще уте­чек пона­до­бит­ся, что­бы госу­дар­ство нако­нец при­зна­ло про­бле­му системной?

Арлан Икрам, «D»

Республиканский еженедельник онлайн
© 1998 - 2025 проект ДАТ | общественная позиция