Nå gjøres det mye for hele verden for å sikre sikkerheten til personopplysninger. Russland henger ikke etter, med entusiasme som innfører dusinvis av lover, hundrevis av vedtekter og forskrifter. Er det et resultat?
Undersøkelsen min vil vise at lovene i dette området skrevet på papir er forgjeves i Russland og gjennom hele den tidligere Sovjetunionens territorium. Resultatene er forferdelige: ikke bare selskaper og offentlige avdelinger, men også eventuelle svindlere har tilgang til personopplysninger om enkeltpersoner og juridiske personer, bankhemmeligheter, forretningshemmeligheter. Alt er kjøpt og solgt for et prisnivå fra et par kopper kaffe til et par mellomtelefoner.
Skuffende detaljer
På 1990- og 2000-tallet var alle Moskva-markedene proppfulle av databaseskiver. Baser av beboere, baser av biler og bileiere, og deretter baser av mobiloperatører.
Jeg vet ikke hvordan situasjonen med kriminelt salg av slike baser i Moskva er i dag (jeg har ikke bodd i Russland på lenge), men jeg kan med stor grad av sikkerhet si at dette enten vil være veldig gamle baser, eller bare fragmentariske dumper av moderne. Nå når volumet på avdelings- og bedriftsinformasjon petabytes og er i skyen, så det er ganske vanskelig å få plass til noe på et vanlig forbrukermedium som er egnet for salg.
I dag selges personopplysninger aktivt på en rekke fora der det er selgere, kjøpere og til og med hele voldgiftssystemer designet for å løse mulige tvister mellom dem. Svindlere har klart å bygge en veldig kraftig kriminell infrastruktur: fora lever livet, emner har mange kommentarer og anmeldelser, det er forbud for "svindel" og rangeringssystemer for "bekreftet".
Salgsfremmende video:
"På mørknet?" - du trodde. Det er ikke gjetting. Disse nettstedene er offentlig og kan ikke en gang bli inkludert i det langmodige Roskomnadzor-registeret (som tviler på det). Selvfølgelig har noen av dem speil på mørknet, men dette er bare speil.
Artikkelen vil fokusere spesifikt på disse nettstedene og på de "tjenestene" som avbryter absolutt all stormfull statlig bevegelsesvindusdressing rundt beskyttelsen av personopplysninger de siste årene.
Jeg vil be Khabrav-beboerne om å avstå fra å publisere lenker til disse ressursene, selv om de kanskje er kjent for mange. Han som søker vil finne seg selv. For det første vil jeg ikke engang indirekte annonsere til svindlere. For det andre kan det true eksistensen av denne artikkelen. For det tredje ligger poenget ikke i selve eksistensen av disse ressursene, men i det faktum at det er statlige forhold under hvilke de listede "tjenestene" generelt eksisterer.
Mobiloperatører
Se på dette bildet, typisk forum, typiske tjenester:
Navnene på "selgerne" og navnene på operatørene ble skjult av meg. Du kan gjette på operatørene selv, det er ikke så mange av dem i Russland. De tar alle veien uten unntak.
Det mest grunnleggende er å bryte gjennom dataene til eieren av nummeret: fullt navn, passdata, adresse. Hvordan disse dataene skal brukes, avhenger bare av fantasien til svindleren de vil falle i hendene på.
Neste er den interessante delen. “Tjenester” på et høyere nivå: sporing av en persons beliggenhet på celtårn, posisjonshistorikk, samtalsdetaljer, sms-detalj Heldigvis er det i det minste ingen lydopptak av samtalene (kanskje jeg ikke så bra).
Det er veldig imponerende å se at enhver svindler har tilgang til slik informasjon. Det gjenstår å gjette seg om dette blir implementert ved hjelp av mobiloperatørene selv, eller gjennom eksterne grensesnitt som kan være lokalisert ved offentlige tjenester (jeg tviler ikke engang på eksistensen av slike).
Tenk igjen når du utsteder et SIM-kort for passdataene dine ved kjøpet. Kanskje det virkelig er bedre å ta et SIM-kort utstedt for en ikke-besøkende fra Sentral-Asia? De forsvant ikke fra kjente salgssteder. Ved å overføre passdataene dine identifiserer du deg ikke bare foran mobiltelefonoperatøren og offentlige etater, men også foran enhver kriminell som ikke har noe imot å bruke kostnadene for et par kopper kaffe på deg, eller enda mer.
Statlige organer
Kanskje slår ingenting datamengden som forskjellige regjeringsdepartementer kjenner til oss. Tusenvis av ansatte har tilgang til dem, og resultatene av dem er rikelig å se på forumene:
På den ene siden dukker det opp et tydelig bilde av hvilken informasjon disse avdelingene har om oss, og med hvilken letthet de ansatte kan samle en komplett dossier på enhver person. På den annen side et enda mer pittoreskt oljemaleri: enhver svindler kan samle inn nøyaktig samme dossier.
Typisk vegtjeneste:
Standard eksempel spørsmål-svar:
Det er også standard for forskjellige avdelinger:
Den mest populære er tjenesten med lossing fra Magistral, Sirena, Granitsa, Migrant, Kronos, Spark, Potok og IBDR-IBDF-basene. Jeg kjente ikke engang slike navn før. Alt fantasien når, til og med FIU, bryter gjennom.
banker
En egen kategori "tjenester" er viet til detaljering av bankkontoer og flytting av midler til dem. En del av dem spesialiserer seg på individuelle kontoer.
Men enda mer - for juridiske personer. Her blir svindel til sofistikerte former for industriell spionasje og direkte kriminalitet. Jeg vil ikke legge ut skjermbilder, siden det kriminelle "komplekset av tjenester" går langt utover datalekkasjer.
Hvor kommer disse uhyrlige fakta om massivt brudd på ikke bare personopplysningsloven, men bankhemmelighet? Ærlig talt er jeg virkelig overrasket over at korrupsjon er så utbredt. Det ser ut til at det er nok bare å se på alle stillinger der den ansatte har tilgang til minst noen kundedata - bedrageren kan være på hvem som helst. Det eneste spørsmålet er hvor sikkerhetstjenestene leter.
Jeg vil veldig gjerne oppgi navnene til de mest feilaktige bankene åpenlyst, men jeg vil ikke gjøre dette, siden den første på listen vil være de som har bedriftsblogger på huben, noe som er full av blokkering av artikkelen. Alle kjenner bedriftens farger til disse bankene. I følge mine observasjoner, jo mindre banken er, desto mindre sannsynlig er det at det vil være falske tjenester på fora.
Alt er kjøpt og solgt
I undersøkelsen min rørte jeg praktisk talt ikke informasjon som er samlet inn og slått sammen om oss av kjedebutikker av elektronikk, klær og fottøy, mat og treningssentre. Alt dette er også til salgs, så tenk nok en gang på om det er verdt å legge igjen din virkelige adresse og telefonnummer når du utsteder et annet rabatt eller klubbkort.
Et interessant faktum: brukerbaser av bookmakere-forex-alternativer, tjenester fra synske-spåkonsulenter-trollmenn, kjøpere av kosttilskudd, midler for å miste vekt og øke styrken selges aktivt. Målgruppene til disse spesifikke produktene har krystallisert seg så mye at disse databasene skifter hender, blir kontinuerlig supplert og oppdatert. Virksomheten er bare enorm.
Det er ikke så ille når personlige data som vi legger igjen frivillig blir slått sammen - bare vær forsiktig og ikke la den ligge. Det er mye verre når dataene slås sammen, som vi i prinsippet ikke kan la være. Å kjøpe SIM-kort uten pass vil ikke løse alle problemer.
I 2017 leste jeg publikasjonene til russiske opposisjonister (spesielt Leonid Volkovs leonwolf), som møtte forfølgelse av aggressivt tenkende kriminelle som plutselig fikk informasjon om alle flyreiser og bevegelser. En slags mordovorotaer som venter nær flyplassen med takter og akkompagnement i form av en showpresentasjon av påkostet betalte pseudo-tilhengere av myndighetene med flagg og sang. I Ukraina ble alle på en gang kollektivt kalt titushki.
Hvorfor det? Hvordan visste titushki om opposisjonens flyreiser? Det er enkelt: fordi tilgang til base for flyvninger kjøpes og selges på samme måte som tilgang til alle andre baser.
Leonid, jeg vet at du er en IT-fyr, hvis du plutselig leser denne artikkelen, vil jeg være veldig glad hvis du deler den - mye har blitt skrevet under inntrykk av din "Cloud".
En skeptisk leser kan tenke: du snakker om opposisjonister, det vil si folk som representerer en viss politisk stilling, deres aktiviteter er per definisjon fylt med risiko. Og det vil være galt: strafferettsløshet kan ramme alle. Du kan se omfanget av dataene om oss som ligger på veien med egne øyne.
Alle har en smarttelefon, alle har en bankkonto, mange bruker biler, mange reiser ofte med fly, mange har virksomheter i post-USSR. Uavhengig av din sosiale status og politiske orientering: du er i fare fordi dataene dine ikke er beskyttet av noen eller noe, og kriminelle har helt frie hender. Det som er spredt rundt i fora i form av kommersielle kunngjøringer, kan faktisk mottas "på vakt" av tilkoblede personer. Dette angår i utgangspunktet Russland.
Mange vil huske saken med Anton Uralsky i 2008 og den utsendte oppfordringen til internettleverandøren Stream: "det var ikke et eneste gap!" Alle lo da og trodde ikke at de ansatte hadde begått en forbrytelse ved å legge ut et lydopptak av en samtale med en klient på Internett. De begikk den andre forbrytelsen ved å publisere Anton sine personopplysninger, som ble eiendommen til hundrevis av prankers som ødela en persons liv.
Hvorfor tror du at jeg ble inspirert av denne historien? For i samme 2008 ble mine egne personopplysninger uten skam lagt ut av ansatte hos internettleverandøren Corbin.
Årsaken er en anekdote verdig: administratorene av Corbins lokale forum likte ikke noen av publikasjonene mine, så en av dem matchet ip-adressen min med den interne databasen og la ut alle detaljer om kontrakten, inkludert passdata og adressen til tilbudet av kommunikasjonstjenester. Her, se, den samme personen, gå til ham og snakk, kjære forumbrukere. Heldigvis var publikum på det forumet hovedsakelig skolebarn, og dette lovet meg ikke noe dårlig. For en karikatur av moral: "sinne ikke administratoren."
Administratoren gjorde alt som en vits, akkurat slik: en slik holdning til personopplysninger og lover. Tross alt, da, i 2008, var det også lover om personopplysninger, selv om de ikke var så detaljerte som i dag. Som du kan se, har ingenting endret seg til det bedre på 10 år, selv om det har blitt brukt mer papir på lover. Alt ble enda mer kriminalisert og gikk til og med inn i den kommersielle flyten med studiet av alle de medfølgende falske "forretningsprosessene". Der det pleide å være en "vits", direkte dumhet og småkriminelle tilbøyeligheter, er det i dag økonomisk fordel, kuldeberegning og en hel kriminell infrastruktur.
Jeg har bodd i Tyskland i 5 år, og jeg ser stadig den oppmerksomhet og omsorg som tyske myndigheter og kommersielle organisasjoner behandler personopplysninger med. Den første loven i Tyskland i noe arbeid med mennesker: å beskytte deres privatliv og konfidensialitet. Hver gang jeg føler denne bekymringen for meg selv, husker jeg de ansatte hos russiske internettoperatører, og jeg vil beregne hvor mange år de ville ha tjent i Tyskland for sine handlinger. Inntil nå ville de ikke kommet ut. På den annen side kunne en slik situasjon rett og slett ikke oppstå: Systemet vil ikke tillate en uansvarlig, dum og uærlig person å få tilgang til data beskyttet av loven. Forsiktig, smart, men fortsatt uærlig - også.
etterord
Jeg er sikker på at de korrupte ansatte i firmaer, banker, operatører og avdelinger, eierne og deltakerne i forumene, som jeg skrev generelt om i dag, leser Habr selv og definitivt vil lese artikkelen min. Noen vil tenke "du, skurrel, spreng temaer på offentligheten", som jeg vil svare med en gang: du gjør veldig dårlige ting, du begår en straffbar handling, og jeg har ikke tenkt å synge odes til det jeg ikke anser for å være bra, og jeg vil heller ikke tie om det jeg anser som uakseptabelt.
I artikkelen min berørte jeg bare på toppen av pyramiden, ikke mer enn 2% av hele sannheten. Når du graver tematiske ressurser videre, kan du finne slike ting som kriminelle "tjenester" for fjernblokkering av SIM-kort, avskjæring av sms, blokkering av bankkontoer, helhetlig lammelse av selskapenes arbeid, eventuelle kriminelle innfall for pengene dine. Overalt er enten ansatte ved avdelinger eller ansatte på forskjellige nivåer i kommersielle selskaper involvert.
For øvrig er det en rekke interessante "tjenester" med mobiloperatører: svindlere bruker sårbarhetene i mobilnettverk for å geografisk plassere alle brukere som har kommet inn på nettstedet fra mobilt Internett, for å koble til betalte abonnement, og spesielt for seg selv - for å fullstendig omgå mobiltrafikkregnskapet (dette er ikke tull som distribusjon av Internett med lukket tethering, og fullstendig deaktivering av regnskap lastet ned til begrensede takster). Overraskende nok vokser ikke røttene her fra de svarte nesten-mørknet-fora, men fra det velkjente forumet w3bsit3-dns.com i Runet.
Jeg gikk ikke dypt inn i det svarte markedet, det er for glatt og ekkelt. Jeg var bare interessert i situasjonen med personopplysninger, som er katastrofale og ikke engang begravd i dypet av det svarte markedet, men som ligger innen gangavstand.
Det meste av artikkelen ble viet til Russland, russiske organisasjoner og avdelinger. Lesere fra Ukraina er antagelig allerede vant til at det russiskspråklige internett vanligvis angår den nordlige naboen. Dessverre kan jeg ikke dele denne optimismen denne gangen: tilbudet om "tjenestene" som er beskrevet i artikkelen i Ukraina er på ikke mindre nivå enn i Russland. Til og med prisnivået er det samme.
I følge mine observasjoner er det mye færre forslag til Hviterussland og Kasakhstan. Kanskje han så dårlig ut (for å være ærlig, det er moralsk vanskelig å være på disse ressursene i lang tid), men poenget er tydeligvis ikke en lavere kriminalitetsrate. Etter min mening er alt mye mer prosaisk: tilbudet er proporsjonalt med antall innbyggere, fordi det bor mye færre mennesker i Hviterussland og Kasakhstan enn i Russland og Ukraina.
Ingen andre steder har jeg sett tilbud om slike "tjenester" i Europa, USA og andre utviklede land i verden. Maksimumet er å bryte gjennom de vanlige databasene (som Interpol), som det er tilgang til fra Russland. Fordi lovene i disse landene ikke bare er skrevet på papir, men implementert i praksis. Lover er ikke til dekorasjon, showmanship og "planoppfyllelse."
I mellomtiden, til vanlige russiske, ukrainske, hviterussiske og kasakhiske eiere av små bedrifter, vil tilsynsbyråer gjerne utstede en bot for en feil form for samtykkeskjema for behandling av personopplysninger, og de vil selv fusjonere med ikke mindre glede hele databasen der du, dine personlige data, dataene om din virksomhet, kundene dine, og til og med boten din vil reflekteres perfekt.
Forfatter: Drebin89