Obecnie na całym świecie podejmuje się wiele wysiłków, aby zapewnić bezpieczeństwo danych osobowych. Rosja również nie pozostaje w tyle, z entuzjazmem wprowadzając dziesiątki ustaw, setki rozporządzeń i rozporządzeń. Czy jest wynik?
Moje śledztwo pokaże, że w Rosji i na całym terytorium byłego ZSRR prawa tego obszaru zapisane na papierze są daremne. Skutki są straszne: nie tylko firmy i departamenty rządowe, ale także oszuści mają dostęp do danych osobowych osób fizycznych i prawnych, tajemnic bankowych, handlowych. Wszystko jest kupowane i sprzedawane za cenę od kilku filiżanek kawy do kilku smartfonów ze średniej półki.
Rozczarowujące szczegóły
W latach 90. i 2000. wszystkie moskiewskie rynki były zapchane dyskami z bazami danych. Bazy mieszkańców, bazy samochodów i właścicieli samochodów, a następnie bazy operatorów telefonii komórkowej.
Nie wiem, jak wygląda dziś sytuacja z przestępczą sprzedażą takich baz w Moskwie (od dawna nie mieszkałem w Rosji), ale z dużą dozą pewności mogę powiedzieć, że będą to albo bardzo stare bazy, albo tylko fragmentaryczne wysypiska nowoczesnych. Teraz ilość informacji wydziałowych i korporacyjnych sięga petabajtów i znajduje się w chmurze, więc dość trudno jest zmieścić coś na zwykłym nośniku konsumenckim nadającym się do sprzedaży.
Obecnie dane osobowe są aktywnie sprzedawane na wielu forach, na których znajdują się sprzedawcy, kupujący, a nawet całe systemy arbitrażowe zaprojektowane w celu rozstrzygania ewentualnych sporów między nimi. Oszuści zdołali zbudować bardzo potężną infrastrukturę przestępczą: fora żyją życiem, tematy mają wiele komentarzy i recenzji, są zakazy dla „oszustw” i systemy ocen dla „zweryfikowanych”.
Film promocyjny:
"W darknecie?" - myślałeś. To nie jest zgadywanie. Te witryny należą do domeny publicznej i mogą nawet nie zostać uwzględnione w rejestrze długoletnich Roskomnadzor (kto by w to wątpił). Oczywiście niektóre z nich mają lustra w darknecie, ale to tylko lustra.
Artykuł skupi się w szczególności na tych witrynach i tych „usługach”, które niwelują absolutnie wszystkie burzliwe działania państwowe związane z ochroną danych osobowych w ostatnich latach.
Poproszę mieszkańców Khabravu, aby powstrzymali się od publikowania linków do tych zasobów, chociaż wielu może je znać. Kto szuka, znajdzie siebie. Po pierwsze, nie chcę kierować nawet pośrednich reklam do oszustów. Po drugie, może zagrozić istnieniu tego artykułu. Po trzecie, nie chodzi o samo istnienie tych zasobów, ale o to, że istnieją państwowe warunki, w których wymienione „usługi” ogólnie istnieją.
Operatorzy komórkowi
Spójrz na to zdjęcie, typowe forum, typowe usługi:
Nazwy „sprzedawców” oraz nazwy operatorów zostały przeze mnie ukryte. O operatorach można się domyślić, w Rosji nie ma ich tak wielu. Wszyscy bez wyjątku podążają.
Najbardziej podstawowym jest przebicie się przez dane właściciela numeru: imię i nazwisko, dane paszportowe, adres. Sposób wykorzystania tych danych zależy wyłącznie od wyobraźni oszusta, któremu wpadną w ręce.
Następna jest interesująca część. „Usługi” wyższego poziomu: śledzenie lokalizacji osoby na wieżach komórkowych, historia lokalizacji, szczegóły połączeń, szczegóły sms. Na szczęście przynajmniej nie ma nagrań dźwiękowych rozmów (może nie oglądałem dobrze).
To bardzo imponujące, że każdy oszust może uzyskać dostęp do takich informacji. Pozostaje do odgadnięcia, czy jest to realizowane za pomocą samych operatorów komórkowych, czy też przez zewnętrzne interfejsy, które mogą znajdować się w usługach rządowych (nawet nie wątpię w istnienie takich).
Pomyśl jeszcze raz, wydając kartę SIM dla danych paszportowych przy zakupie. Może naprawdę lepiej wziąć kartę SIM wydaną dla gościa bez nazwy z Azji Środkowej? Nie zniknęły ze znanych miejsc sprzedaży. Przesyłając dane paszportowe, identyfikujesz się nie tylko przed operatorem komórkowym i agencjami rządowymi, ale także przed każdym przestępcą, który nie ma nic przeciwko wydaniu na Ciebie kilku filiżanek kawy lub nawet więcej.
Organy państwowe
Być może nic nie przebije ilości danych, które znają o nas różne departamenty rządowe. Dostęp do nich mają tysiące pracowników, których wyniki są bogato oglądane na forach:
Z jednej strony wyłania się jasny obraz tego, jakie informacje o nas mają te działy iz jaką łatwością pracownicy mogą zebrać kompletną dokumentację dowolnej osoby. Z drugiej strony jeszcze bardziej malowniczy obraz olejny: każdy oszust może zebrać dokładnie to samo dossier.
Typowy serwis drogowy:
Standardowa przykładowa odpowiedź na pytanie:
Jest to również standard dla różnych działów:
Najpopularniejsza jest usługa rozładunku z baz Magistral, Sirena, Granitsa, Migrant, Kronos, Spark, Potok oraz rozbudowanych baz IBDR-IBDF. Wcześniej nawet nie znałam takich nazw. Wszystko, do czego dochodzi fantazja, nawet jednostka analityki finansowej, przebija się.
Banki
Odrębna kategoria „usług” jest poświęcona szczegółowemu opisowi rachunków bankowych i przepływowi środków na nie. Część z nich specjalizuje się w kontach indywidualnych.
Ale nawet więcej - dla osób prawnych. Tutaj oszustwa zamieniają się w wyrafinowane formy szpiegostwa przemysłowego i jawnej przestępczości. Nie będę publikował zrzutów ekranu, ponieważ przestępczy „kompleks usług” wykracza daleko poza wycieki danych.
Skąd biorą się te potworne fakty masowego łamania nie tylko przepisów dotyczących danych osobowych, ale także tajemnicy bankowej? Szczerze mówiąc, jestem naprawdę zaskoczony, że korupcja jest tak powszechna. Wydaje się, że wystarczy spojrzeć na wszystkie stanowiska, na których pracownik ma dostęp do przynajmniej części danych klientów - oszust może być na każdym. Pytanie tylko, gdzie szukają służby ochrony.
Bardzo chciałbym otwarcie wymienić nazwy najbardziej winnych banków, ale nie zrobię tego, ponieważ pierwsze na liście będą te, które mają blogi firmowe na hubie, który jest obarczony blokowaniem artykułu. Wszyscy znają korporacyjne barwy tych banków. Z moich obserwacji wynika, że im mniejszy bank, tym mniejsze prawdopodobieństwo, że na forach pojawią się oszukańcze usługi.
Wszystko jest kupowane i sprzedawane
W swoim śledztwie praktycznie nie poruszyłem informacji, które o nas gromadzą i łączą sieci sklepów z elektroniką, odzieżą i obuwiem, klubami spożywczymi i fitness. Wszystko to też jest na sprzedaż, więc jeszcze raz zastanów się, czy przy wydawaniu kolejnej karty rabatowej lub klubowej warto zostawić swój prawdziwy adres i numer telefonu.
Ciekawostka: aktywnie sprzedawane są bazy użytkowników bukmacherów-opcji-forex, usług psychików-wróżek-czarowników, kupujących suplementy diety, środki na odchudzanie i zwiększanie potencji. Docelowi odbiorcy tych konkretnych produktów skrystalizowali się tak bardzo, że te bazy danych zmieniają właścicieli, są stale uzupełniane i aktualizowane. Biznes ma po prostu ogromną skalę.
Nie jest tak źle, gdy dane osobowe, które zostawiamy dobrowolnie, są łączone - po prostu bądź ostrożny i nie zostawiaj ich. Znacznie gorzej jest, gdy dane się łączą, czego w zasadzie nie możemy opuścić. Kupowanie kart SIM bez paszportu nie rozwiąże wszystkich problemów.
W 2017 roku przeczytałem publikacje rosyjskich opozycjonistów (w szczególności wilka Leonida Wołkowa), którzy stawili czoła prześladowaniom agresywnie nastawionych przestępców, którzy nagle otrzymali informacje o wszystkich lotach i ruchach. Coś w rodzaju mordoworot czekających pod lotniskiem z bitami i akompaniamentem w postaci pokazowej prezentacji hojnie opłacanych pseudokibiców władzy z flagami i pieśniami. Na Ukrainie wszyscy byli kiedyś zbiorczo nazywani tituszki.
Dlaczego? Skąd tituszki wiedzieli o lotach opozycji? To proste: ponieważ dostęp do bazy lotów jest kupowany i sprzedawany w taki sam sposób, jak dostęp do wszystkich innych baz.
Leonid, wiem, że jesteś informatykiem, jeśli nagle przeczytasz ten artykuł, będę bardzo zadowolony, jeśli go udostępnisz - dużo napisano pod wrażeniem Twojej „Chmury”.
Sceptyczny czytelnik mógłby pomyśleć: mówisz o opozycjonistach, czyli ludziach, którzy reprezentują określone stanowisko polityczne, ich działalność z definicji jest obarczona ryzykiem. I będzie źle: bezprawie kryminalne może dotknąć każdego. Skalę danych o nas leżących na drodze możesz na własne oczy zobaczyć.
Każdy ma smartfona, każdy ma konto w banku, wielu korzysta z samochodów, wielu często podróżuje samolotem, wielu prowadzi działalność gospodarczą na obszarze post-ZSRR. Niezależnie od Twojego statusu społecznego i orientacji politycznej: jesteś w niebezpieczeństwie, ponieważ Twoje dane nie są chronione przez nikogo ani nic, a przestępcy mają całkowicie wolne ręce. To, co jest porozrzucane po forach w postaci ogłoszeń handlowych, w rzeczywistości może być odbierane „na telefon” przez osoby z dostępem do sieci. Dotyczy to przede wszystkim Rosji.
Wielu pamięta przypadek Antoniego Uralsky'ego z 2008 roku i wezwanie do dostawcy Internetu Stream: „nie było ani jednej przerwy!” Następnie wszyscy się roześmiali, nie myśląc, że pracownicy popełnili przestępstwo, zamieszczając nagranie audio rozmowy z klientem w Internecie. Popełnili drugie przestępstwo, publikując dane osobowe Antona, które stały się własnością setek żartów, którzy zrujnowali życie danej osobie.
Jak myślisz, dlaczego zainspirowała mnie ta historia? Ponieważ w tym samym 2008 roku moje własne dane osobowe zostały bezwstydnie podane przez pracowników dostawcy Internetu Corbin.
Powód jest godny anegdoty: administratorzy lokalnego forum Korbinowskiego nie polubili niektórych moich publikacji, więc jedna z nich dopasowała mój adres IP do wewnętrznej bazy danych i zamieściła wszystkie dane umowy, w tym dane paszportowe i adres usługi komunikacyjnej. Tutaj, spójrzcie, ta sama osoba, idźcie do niego i rozmawiajcie, drodzy użytkownicy forum. Na szczęście publicznością tego forum byli głównie uczniowie i nie obiecywało mi to niczego złego. Cóż za karykatura moralności: „nigdy nie złość administratora”.
Administrator zrobił wszystko dla żartu, tak po prostu: takie podejście do danych osobowych i przepisów. Przecież w 2008 roku obowiązywały także przepisy dotyczące danych osobowych, choć nie tak szczegółowe jak obecnie. Jak widać, od 10 lat nic nie zmieniło się na lepsze, choć na prawa wydano nieporównywalnie więcej papieru. Wszystko stało się jeszcze bardziej kryminalizowane, a nawet weszło do obiegu komercyjnego wraz z badaniem wszystkich towarzyszących oszukańczych „procesów biznesowych”. Tam, gdzie kiedyś był „żart”, jawna głupota i drobne skłonności przestępcze, dziś jest korzyść finansowa, zimna kalkulacja i cała infrastruktura przestępcza.
Mieszkam w Niemczech od 5 lat i nieustannie widzę uwagę i troskę, z jaką niemieckie władze i organizacje handlowe traktują dane osobowe. Pierwsza ustawa w Niemczech dotycząca pracy z ludźmi: ochrona ich prywatności i poufności. Za każdym razem czując tę troskę o siebie, przypominam sobie tych pracowników rosyjskich operatorów internetowych i chcę policzyć, ile lat spędziliby w Niemczech za swoje czyny. Do tej pory nie wyszli. Z drugiej strony taka sytuacja po prostu nie mogłaby zaistnieć: system nie pozwoliłby nieodpowiedzialnej, głupiej i nieuczciwej osobie uzyskać dostępu do danych chronionych prawem. Ostrożny, mądry, ale wciąż nieuczciwy - też.
Posłowie
Jestem pewien, że skorumpowani pracownicy firm, banków, operatorów i działów, właściciele i uczestnicy forów, o których pisałem w ogóle dzisiaj, sami przeczytali Habr i na pewno przeczytają mój artykuł. Ktoś pomyśli „ty, łajdaku, ogłuszaj publiczne tematy”, na co od razu odpowiem: robisz bardzo złe rzeczy, popełniasz przestępstwo i nie mam zamiaru śpiewać odów do tego, czego nie uważam za dobre, ani milczeć o tym, co uważam za niedopuszczalne.
W moim artykule dotknąłem tylko szczytu piramidy, nie więcej niż 2% całej prawdy. Kopiąc dalej zasoby tematyczne, można znaleźć takie rzeczy jak przestępcze „usługi” polegające na zdalnym blokowaniu kart SIM, przechwytywaniu smsów, blokowaniu rachunków bankowych, paraliżu pracy firm, wszelkim kryminalnym kaprysem za swoje pieniądze. Wszędzie są zaangażowani pracownicy działów lub pracownicy różnych szczebli w spółkach handlowych.
Nawiasem mówiąc, istnieje wiele interesujących „usług” z operatorami komórkowymi: oszuści wykorzystują luki w zabezpieczeniach sieci komórkowych w celu geolokalizacji wszystkich użytkowników, którzy weszli na stronę z mobilnego Internetu, aby połączyć płatne subskrypcje, a zwłaszcza dla siebie - całkowicie ominąć rozliczanie ruchu mobilnego (to nie jest nonsens dystrybucja Internetu z zamkniętym tetheringiem i całkowite wyłączenie księgowości pobieranych po ograniczonych taryfach). Zaskakujące jest, że korzenie tutaj nie wyrastają z czarnych forów near-darknet, ale ze znanego forum w3bsit3-dns.com w Runecie.
Nie zagłębiałem się w czarny rynek, jest zbyt śliski i obrzydliwy. Interesowała mnie tylko sytuacja z danymi osobowymi, która jest katastrofalna i nawet nie jest pogrzebana w głębi czarnego rynku, ale jest w zasięgu spaceru.
Większość artykułu była poświęcona Rosji, rosyjskim organizacjom i departamentom. Czytelnicy z Ukrainy zapewne są już przyzwyczajeni do tego, że w rosyjskojęzycznym internecie większość złych wiadomości dotyczy zazwyczaj ich północnego sąsiada. Niestety tym razem nie mogę podzielać Państwa optymizmu: oferta opisanych w artykule „usług” na Ukrainie jest na nie mniejszym poziomie niż w Rosji. Nawet poziom cen jest taki sam.
Z moich obserwacji wynika, że propozycji dla Białorusi i Kazachstanu jest znacznie mniej. Może źle wyglądał (szczerze mówiąc, moralnie trudno jest być na tych zasobach przez długi czas), ale oczywiście nie chodzi o niższy wskaźnik przestępczości. Moim zdaniem wszystko jest o wiele bardziej prozaiczne: podaż jest proporcjonalna do liczby mieszkańców, bo na Białorusi i Kazachstanie ludzi jest znacznie mniej niż w Rosji i na Ukrainie.
Nigdzie indziej nie widziałem ofert takich „usług” w Europie, Stanach Zjednoczonych i innych rozwiniętych krajach świata. Maksimum przebija wspólne bazy danych (np. Interpol), do których jest dostęp z Rosji. Oczywiście, ponieważ prawa w tych krajach są nie tylko spisane na papierze, ale wdrażane w praktyce. Prawa nie służą dekorowaniu, wystawianiu i „realizacji planu”.
Tymczasem zwykłym rosyjskim, ukraińskim, białoruskim i kazachskim właścicielom małych firm organy nadzorcze z przyjemnością wypiszą karę za nieprawidłowy formularz zgody na przetwarzanie danych osobowych i same z nie mniejszą przyjemnością połączą całą bazę danych, w której Ty, Twoje dane osobowe, Twoje dane biznesowe., twoi klienci, a nawet twoja kara będzie doskonale odzwierciedlona.
Autor: Drebin89