Батыржан Тютеев говорит, что открыл базу, чтобы обратить внимание на проблему защиты личных данных.
Основатель компании Nitro-Team, ИБ-специалист из Казахстана Батыржан Тютеев запустил Telegram-бота, с помощью которого можно проверить, попадали ли пароли от электронной почты в базы утечек. 17 июня сервисом воспользовались больше 10 тыс. человек за час.
Схема работы такова: нужно отправить MailSearchBot адрес электронной почты, в ответ бот пришлёт связанные с ним пароли, которые когда-либо попадали в базы с утечками. Если в базах нет совпадений, бот ответит Not Found.
Батыржан Тютеев заверил, что не собирает адреса, которые пользователи присылают его боту. Некоторые пользователи уже просили удалить свои данные из базы, говорит он. Если появятся ещё запросы, то такая функция будет добавлена в бота.
Сейчас в базе около 9 млрд адресов и паролей, ещё 3 млрд в очереди на загрузку. Соотношение количества адресов и паролей не называется (в базе популярного сервиса для отслеживания утечек паролей Have I Been Pwned почти 7,9 млрд аккаунтов).
Источники, по которым собраны данные, также не раскрываются, но известно, что кроме публичных среди них есть закрытые базы, которые раньше нигде не публиковались.
Изначально Тютеев собирал базу, чтобы упростить себе работу — Nitro-Team проводит тесты на проникновение (pentest), в том числе с применением социальной инженерии.
К примеру, если нужно попасть в сеть компании-клиента, специалист проверяет адреса её сотрудников в собранной базе. Даже если большая часть данных окажется неактуальной, то можно выявить закономерность в том, какие пароли выбирают люди.
Есть и риск, что его сервис могут использовать злоумышленники — например, для взлома других пользователей. В то же время создатель бота указывает, что при желании все данные из базы можно найти в сети. Если сервис будет использоваться для подобных целей, автор обещает закрыть бота.
