Министерство цифровой экономики и общества Таиланда совместно с профильными службами объявило о завершении крупной операции по борьбе со скаммерами, торговавшими персональными данными граждан. В результате расследования выявлено, что утекло около 9 миллионов записей — в том числе данные как живых людей, так и умерших — которые предлагались к продаже в социальных сетях. По оценке, ущерб от использования этих данных составляет порядка 290 миллионов бат, а число фактических пострадавших — более 4 000 человек из выборки в 9 миллионов записей.
7 ноября Министерство цифровой экономики и общества при участии Центра по борьбе с онлайн-мошенничеством и Национальной полиции под руководством министра цифровой экономики и общества นายไชยชนก ชิดชอบ (Chaiyachonok Chidchop) и других высокопоставленных представителей провело пресс-конференцию, на которой рассказали о ходе операции и результатах расследования.
По словам министра, инициатором выявления утечки стал подраздел PDPC, известный как PDPC Eagle Eye, который с помощью собственной разработанной программы мониторил распространение персональных данных. Благодаря этому было обнаружено предложение о продаже баз данных, после чего информация передана в полицию. В результате задержаны шесть подозреваемых, а также изъяты средства доказательства.
В ходе обысков по восьми адресам в провинциях Чианграй, Удон-Тхани, Сарабури, Патхумтхани, Самутсакхон, Прачуапкхирикхан, Чонбури и Пхукет полиция задержала шесть лиц, указанных в ордерах: 1) นายจิรวุธ, 2) นายผดุงเกียรติ, 3) นายบุณยสิทธิ์, 4) น.ส.ปรีดาวรรณ์, 5) น.ส.สุภัคชญา, 6) นายจิรกร. В ходе рейдов изъяты 6 компьютеров, 17 мобильных телефонов, 9 резервных хранилищ, 7 банковских счетов и прочие носители и записи.
Расследование показало, что преступники скупали и аккумулировали персональные данные из нескольких источников: нелегальные букмекеры, мошеннические кредитные приложения и фальшивые сервисы, выманивавшие сведения у пользователей. Часть из изъятых данных получила подтверждение: при «проверочной» покупке правоохранители получили свыше 2,3 млн реальных записей, совпадающих с жертвами уже зарегистрированных уголовных дел — 4 630 заявлений с ущербом на сумму порядка 298,1 млн бат. По предварительным данным у задержанных имелось дополнительно около 6 млн записей, в сумме — приблизительно 9 млн утекших персональных данных.
По данным полиции, в социальных сетях обнаружена страница под названием «การตลาดสายเทา», где предлагались пакеты данных: обычно от 100 000 записей по цене примерно 3 000–5 000 бат. Для подтверждения подлинности данных стражи порядка совершили ряд закупок у семи продавцов, и полученные списки подтвердили реальное происхождение данных и их связь с уже расследуемыми преступлениями.
Представители полиции и PDPC уже обратились к администрации Facebook с просьбой закрыть соответствующие группы и объявления. На данный момент следствие не выявило причастности политиков или публичных лиц к этой сети; предварительно установлено, что задержанные по отдельности сбывали собранные ими базы покупателям, главным образом внутри страны.
Власти пообещали уведомить всех лиц, чьи данные могли быть скомпрометированы, чтобы они приняли меры предосторожности и при необходимости изменили учетные данные. Также будет проведено дополнительное взаимодействие между государственными органами, ответственными за защиту персональных данных, чтобы усилить меры по предотвращению подобных утечек в будущем. Было отмечено, что основные причины утечек — недостатки в защите данных (Data Security) и недобросовестные операторы, имеющие доступ к персональной информации.
Напоминают, что законодательство PDPA защищает персональные данные как живых людей, так и умерших. PDPC займется проверкой происхождения всех 9 миллионов записей и определением точек утечки. В отношении лиц, продававших данные для совершения преступлений, предусмотрена уголовная ответственность по постановлению об усилении мер против техно-преступности (Постановление 2568, ст. 11/2): лишение свободы до 5 лет, штраф до 500 000 бат или и то, и другое.
В заключение власти призвали граждан не паниковать: обычные операции продолжаются, но всем рекомендовано быть внимательными при получении подозрительных звонков, сообщений и проверять свои банковские операции. Зафиксированные изъятые материальные доказательства и база данных будут использованы следствием для дальнейшего привлечения к ответственности всех причастных к сбыту и использованию персональных данных.