Mnogo se napora ulaže širom svijeta kako bi se osigurala sigurnost osobnih podataka. Ni Rusija ne zaostaje s entuzijazmom uvodeći na desetine zakona, stotine podzakonskih akata i propisa. Ima li rezultata?
Moja istraga pokazat će da su u Rusiji i na cijelom području bivšeg SSSR-a zakoni ovog područja napisani na papiru uzaludni. Rezultati su užasni: ne samo tvrtke i vladini odjeli, već i svi prevaranti imaju pristup osobnim podacima fizičkih i pravnih osoba, bankarskim tajnama, poslovnim tajnama. Sve se kupuje i prodaje po cijeni od nekoliko šalica kave do nekoliko pametnih telefona srednjeg ranga.
Razočarajuće pojedinosti
U 1990-im i 2000-ima, sva tržišta Moskve bila su krcata diskovima. Baze stanovnika, baze automobila i vlasnika automobila, a zatim baze mobilnih operatera.
Ne znam kakva je situacija s kriminalnom prodajom takvih baza u Moskvi danas (nisam dugo živio u Rusiji), ali mogu s velikom sigurnošću reći da će to biti ili vrlo stare baze, ili samo fragmentarne deponije modernih. Sada količina informacija o odjelima i korporacijama doseže petabajte i nalazi se u oblaku, pa je prilično teško uklopiti nešto na uobičajeni potrošački medij pogodan za prodaju.
Danas se osobni podaci aktivno prodaju na brojnim forumima na kojima postoje prodavači, kupci, pa čak i čitavi arbitražni sustavi namijenjeni za rješavanje mogućih sporova među njima. Prevaranti su uspjeli izgraditi vrlo moćnu kriminalnu infrastrukturu: forumi žive život, teme imaju puno komentara i pregleda, postoje zabrane za "prevare" i sustavi ocjenjivanja za "provjereno".
Promotivni video:
"Na darknetu?" - mislio si. To nije nagađanje. Te su web lokacije u javnoj domeni i možda neće biti uvrštene u dugotrajni registar Roskomnadzora (u koga bi se sumnjalo). Naravno, neki od njih imaju i ogledala na darknetu, ali to su samo ogledala.
Članak će se posebno usredotočiti na ove web stranice i na one "usluge" koje ukidaju apsolutno sve olujne državne pokrete i prozore oko zaštite osobnih podataka posljednjih godina.
Zamolit ću stanovnike Khabrava da se suzdrže od objavljivanja veza na ove izvore, iako su mnogima možda poznati. Tko traži, naći će se. Prvo, ne želim raditi čak niti neizravno oglašavanje prijevara. Drugo, može ugroziti postojanje ovog članka. Treće, poanta nije u samom postojanju tih resursa, već u činjenici da postoje državni uvjeti pod kojima općenito postoje navedene usluge.
Stanični operatori
Pogledajte ovu sliku, tipičan forum, tipične usluge:
Skrivala sam imena "prodavača" i imena operatera. O operaterima možete sami nagađati, u Rusiji ih nema toliko. Svi oni svoj put čine bez izuzetka.
Najosnovnije je probijanje podataka vlasnika broja: puno ime, podaci o putovnici, adresa. Kako će se ti podaci koristiti, ovisi samo o mašti prevaranta kome će pasti u ruke.
Slijedi zanimljiv dio. "Usluge" više razine: praćenje lokacije osobe na tornjevima ćelija, povijest lokacije, detalji poziva, sms detalji. Srećom, barem ne postoje zvučni snimci poziva (možda nisam dobro gledao).
Vrlo je impresivno vidjeti da bilo koji prevarant može pristupiti takvim informacijama. Ostaje samo nagađati je li to implementirano pomoću samih mobilnih operatora ili preko vanjskih sučelja koja se mogu nalaziti u državnim službama (uopće ne sumnjam u postojanje takvih).
Još jednom razmislite prilikom izdavanja SIM kartice za podatke o putovnici nakon kupnje. Možda je stvarno bolje uzeti SIM karticu izdanu za posjetitelje s područja srednje Azije? Nisu nestali s poznatih prodajnih mjesta. Prijenosom podataka o putovnicama identificirate se ne samo pred mobilnim operatorom i vladinim agencijama, nego i pred bilo kojim kriminalcem koji ne smeta trošiti par šalica kave na vas, ili čak i više.
Državna tijela
Možda ništa ne nadmašuje količinu podataka koje nam različiti državni odjeli znaju. Tisuće zaposlenika imaju pristup njima, čiji se rezultati obilno gledaju na forumima:
S jedne strane, jasna je slika o tome koje informacije ti odjeli imaju o nama i s kojom lakoćom zaposlenici mogu prikupiti potpuni dosje o bilo kojoj osobi. S druge strane, još slikovitija ulje na platnu: svaki prevarant može prikupiti potpuno isti dosje.
Tipična cestovna usluga:
Standardni primjer odgovora:
Standardno je i za različite odjele:
Najpopularnija je usluga istovara iz baza Magistral, Sirena, Granitsa, Migrant, Kronos, Spark, Potok i IBDR-IBDF. Ni prije nisam znao takva imena. Sve što fantazija dosegne, čak i FIU, probije se.
banke
Posebna kategorija "usluga" posvećena je detaljanju bankovnih računa i kretanju sredstava na njima. Dio njih specijaliziran je za pojedinačne račune.
Ali čak i više - za pravne osobe. Ovdje se prijevara pretvara u sofisticirane oblike industrijske špijunaže i otvorenog kriminala. Neću objavljivati snimke zaslona, jer kazneni "kompleks usluga" daleko nadilazi curenje podataka.
Odakle dolaze ove monstruozne činjenice masovnog kršenja ne samo zakona o osobnim podacima, već i bankarske tajne? Iskreno, stvarno sam iznenađen što je korupcija toliko raširena. Čini se da je dovoljno samo pogledati sve pozicije na kojima zaposlenik ima pristup barem nekim podacima o klijentima - prevarant može biti bilo tko. Jedino je pitanje kamo traže sigurnosne službe.
Jako bih volio otvoreno navesti imena banaka u krivu, ali to neću učiniti jer će prvi na popisu biti oni koji imaju korporativne blogove na središtu, što je kruto blokadom članka. Svi znaju korporativne boje tih banaka. Prema mojim opažanjima, što je banka manja, to je manja vjerojatnost da će na forumima biti lažnih usluga.
Sve se kupuje i prodaje
U svojoj istrazi praktički nisam dotaknuo informacije koje o nama prikupljaju i spajaju lanac trgovina elektronikom, odjećom i obućom, hranom i teretanama. Sve je to također na prodaju, pa još jednom razmislite isplati li ostaviti svoju pravu adresu i telefonski broj prilikom izdavanja drugog popusta ili klupske kartice.
Zanimljiva činjenica: baze korisnika kladionica-forex-opcija, usluga vidovnjaka-čarobnjaka-čarobnjaka, kupaca dodataka prehrani, sredstava za mršavljenje i povećanje potencije aktivno se prodaju. Ciljna publika ovih specifičnih proizvoda kristalizirala se toliko da se te baze podataka mijenjaju, neprestano dopunjuju i ažuriraju. Posao je samo ogroman.
Nije tako loše kada se objedine osobni podaci koje ostavljamo dobrovoljno - samo budite oprezni i ne ostavljajte ih. Mnogo je gore kad se podaci spajaju, što u načelu ne možemo ostaviti. Kupnja SIM kartica bez putovnice neće riješiti sve probleme.
2017. čitao sam publikacije ruskih opozicionara (osobito, leonwol Leonida Volkova), koji su se suočili s progonom agresivno mislećih kriminalaca, koji su odjednom dobili informacije o svim letovima i kretanjima. Neka vrsta mordovorota koji čekaju u blizini zračne luke s otkucajima i pratnjom u obliku šou-prezentacije obilno plaćenih pseudo-pristaša vlasti s zastavama i napjevima. U Ukrajini su se svi odjednom kolektivno zvali titushki.
Zašto je to? Kako su titushki znali za letove oporbe? Jednostavno je: jer se pristup bazi letova kupuje i prodaje na isti način kao i pristup svim ostalim bazama.
Leonide, znam da ste tip iz informatike, ako iznenada pročitate ovaj članak, bit će mi jako drago ako ga podijelite - mnogo je toga napisano pod dojmom vašeg "Oblaka".
Skeptičan čitatelj mogao bi pomisliti: govorite o opozicionistima, odnosno ljudima koji zastupaju određeni politički položaj, njihove aktivnosti su, po definiciji, prepune rizika. I bit će pogrešno: kazneno bezakonje može utjecati na sve. Možete vidjeti ljestvicu podataka o nama kako ležimo na cesti vlastitim očima.
Svatko ima pametni telefon, svi imaju bankovni račun, mnogi koriste automobile, mnogi često putuju zrakom, mnogi imaju tvrtke u post-SSSR-u. Bez obzira na vaš socijalni status i političku orijentaciju: u opasnosti ste jer vaše podatke nikoga i ništa ne štiti, a kriminalci imaju apsolutno slobodne ruke. Ono što je razasuto po forumima u obliku komercijalnih objava, zapravo ljudi mogu primiti "na poziv". To se prije svega tiče Rusije.
Mnogi će se sjetiti slučaja s Antonom Uralskim iz 2008. godine i objavljenog poziva internetskom davatelju Streama: "nije bilo niti jedne praznine!" Svi su se tada smijali, ne misleći da su zaposlenici počinili zločin objavljivanjem audio zapisa razgovora s klijentom na Internetu. Drugi zločin počinili su objavljivanjem Antonovih osobnih podataka, koji su postali vlasništvo stotina šaljivdžija koji su čovjeku upropastili život.
Zašto mislite da sam bio inspiriran ovom pričom? Budući da su iste 2008. moje osobne podatke nepristojno postavili zaposlenici internetskog pružatelja usluga Corbin.
Razlog je dostojan jedne anegdote: administratorima Corbininog lokalnog foruma neke od mojih publikacija nisu se svidjele pa je jedna od njih moju ip adresu uskladila s internom bazom podataka i objavila sve detalje ugovora, uključujući podatke o putovnici i adresu pružanja komunikacijskih usluga. Evo, ista osoba, idi k njemu i razgovaraj, dragi korisnici foruma. Srećom, publika tog foruma bila je uglavnom školarina i to mi nije obećalo ništa loše. Kakva karikatura morala: "nikad ne ljuti administratora."
Administrator je učinio sve kao na šalu, baš tako: takav stav prema osobnim podacima i zakonima. Uostalom, tada su 2008. postojali i zakoni o osobnim podacima, iako ne tako detaljni kao danas. Kao što vidite, ništa se nije promijenilo nabolje u 10 godina, iako je neusporedivo više novca potrošeno na zakone. Sve je postalo još više kriminalizirano i čak je ušlo u komercijalni tok proučavanjem svih pratećih lažnih „poslovnih procesa“. Tamo gdje je nekad bila „šala“, izravna glupost i sitne zločinačke sklonosti, danas postoji financijska korist, hladan izračun i čitava kriminalna infrastruktura.
Živim u Njemačkoj već 5 godina i stalno vidim pažnju i brigu s kojom bilo koje njemačke vlasti i komercijalne organizacije postupaju s osobnim podacima. Prvi zakon u Njemačkoj u bilo kojem radu s ljudima: zaštita njihove privatnosti i povjerljivosti. Svaki put, osjećajući zabrinutost prema sebi, sjećam se onih zaposlenika ruskih internetskih operatera i želim izračunati koliko bi godina poslužili u Njemačkoj za svoje postupke. Do sada ne bi izašli. S druge strane, takva se situacija jednostavno ne bi mogla stvoriti: sustav ne bi dopustio neodgovornoj, glupoj i nepoštenoj osobi da dobije pristup podacima zaštićenim zakonom. Predivan, pametan, ali ipak nepošten - previše.
Pogovor
Siguran sam da korumpirani zaposlenici firmi, banaka, operatori i odjeli, vlasnici i sudionici foruma, o kojima sam danas općenito pisao, sami čitaju Habr i definitivno će pročitati moj članak. Netko će pomisliti "vi, jadniče, raspalite teme u javnosti", na što ću vam odmah odgovoriti: radite vrlo loše stvari, počinite kazneno djelo, a ja ne namjeravam pjevati odise prema onome što ne smatram dobrim, niti ću šutjeti o onome što smatram neprihvatljivim.
U svom sam se članku dotaknuo samo vrha piramide, ne više od 2% cijele istine. Kopajući dalje tematske resurse, možete pronaći takve stvari kao što su kriminalne "usluge" za daljinsko blokiranje SIM kartica, presretanje sms-ova, blokiranje bankovnih računa, sveobuhvatna paraliza rada tvrtki, bilo kakva kriminalna hirovita zbog vašeg novca. Svugdje su uključeni zaposlenici odjela ili zaposlenici različitih razina u trgovačkim društvima.
Usput, postoji niz zanimljivih "usluga" s mobilnim operaterima: prevaranti koriste ranjivosti mobilnih mreža kako bi geolocirali sve korisnike koji su na web mjesto ušli s mobilnog interneta, povezali plaćene pretplate i, posebno za sebe, kako bi u potpunosti zaobišli računovodstvo mobilnog prometa (ovo nije glupost poput distribucija Interneta sa zatvorenim vezanjem i potpuno onemogućavanje računovodstva preuzeto po ograničenim tarifama). Iznenađujuće je da korijeni ovdje ne rastu iz crnih foruma, gotovo iz darkneta, već iz dobro poznatog foruma w3bsit3-dns.com u Runetu.
Nisam zašao duboko u crno tržište, previše je sklizak i odvratan. Zanimala me samo situacija s osobnim podacima, koja je katastrofalna i nije zakopana u dubini crnog tržišta, već je unutar pješačke udaljenosti.
Većina članka bila je posvećena Rusiji, ruskim organizacijama i odjelima. Čitatelji iz Ukrajine vjerojatno su već navikli na činjenicu da se na Internetu na ruskom jeziku većina loših vijesti obično odnosi na njihovog sjevernog susjeda. Nažalost, ovaj put ne mogu podijeliti vaš optimizam: ponuda "usluga" opisanih u ovom članku u Ukrajini je na nižoj razini nego u Rusiji. Čak je i razina cijena ista.
Prema mojim opažanjima, mnogo je manje prijedloga za Bjelorusiju i Kazahstan. Možda je loše izgledao (da budem iskren, dugo je moralno biti na tim resursima), ali poanta očito nije u nižoj stopi kriminala. Po mom mišljenju, sve je puno prozaičnije: ponuda je proporcionalna broju stanovnika, jer u Bjelorusiji i Kazahstanu živi mnogo manje ljudi nego u Rusiji i Ukrajini.
Nigdje drugdje nisam vidio ponude takvih "usluga" u Europi, Sjedinjenim Državama i drugim razvijenim zemljama svijeta. Maksimum je probijanje zajedničkih baza podataka (poput Interpola), kojima ima pristup iz Rusije. Očito zato što zakoni u tim zemljama nisu napisani samo na papiru, već se primjenjuju u praksi. Zakoni nisu za ukrašavanje, izlaganje i "ispunjenje plana".
U međuvremenu, običnim ruskim, ukrajinskim, bjeloruskim i kazahstanskim vlasnicima malih poduzeća nadzorne agencije će rado izdati kaznu zbog pogrešnog oblika obrasca pristanka za obradu osobnih podataka, a same će s manje zadovoljstva spojiti cjelokupnu bazu podataka u kojoj ste vi, vaši osobni podaci, podaci vašeg poslovanja, vaši kupci, pa čak i vaša novčana kazna savršeno će se odraziti.
Autor: Drebin89