В момента се правят много усилия по целия свят, за да се гарантира сигурността на личните данни. Русия също не изостава, като с ентусиазъм въвежда десетки закони, стотици подзаконови актове и разпоредби. Има ли резултат?
Моето разследване ще покаже, че в Русия и на цялата територия на бившия СССР законите в тази област, написани на хартия, са напразни. Резултатите са ужасни: не само компаниите и правителствените ведомства, но и всички измамници имат достъп до лични данни на физически и юридически лица, банкови тайни, търговски тайни. Всичко се купува и продава на ниво цена от няколко чаши кафе до няколко смартфона от среден клас.
Разочароващи подробности
През 90-те и 2000-те всички московски пазари са били натъпкани с дискове от база данни. Бази на жители, бази на автомобили и собственици на автомобили, а след това бази на мобилни оператори.
Не знам как е положението с престъпната продажба на подобни бази в Москва днес (не живея отдавна в Русия), но мога да кажа с голяма степен на увереност, че това ще са или много стари бази, или само фрагментарни сметища на съвременните. Сега обемът на ведомствената и корпоративната информация достига петабайти и е в облака, така че е доста трудно да се побере нещо на обикновен потребителски носител, подходящ за продажба.
Днес личните данни се продават активно на редица форуми, където има продавачи, купувачи и дори цели арбитражни системи, предназначени да разрешават евентуални спорове между тях. Измамниците са успели да изградят много мощна криминална инфраструктура: форумите живеят живот, темите имат много коментари и отзиви, има забрани за „измами“и рейтингови системи за „проверени“.
Промоционално видео:
"На тъмника?" - помислил си. Това не е отгатване. Тези сайтове са публично достояние и дори не могат да бъдат включени в многострадалния регистър на Roskomnadzor (кой би се усъмнил в това). Разбира се, някои от тях имат огледала на тъмната мрежа, но това са просто огледала.
Статията ще се съсредоточи конкретно върху тези сайтове и върху онези „услуги“, които отменят абсолютно всички бурни състояния на движението на прозорците около защитата на личните данни през последните години.
Ще помоля жителите на Хабрав да се въздържат от публикуване на връзки към тези ресурси, въпреки че те могат да бъдат известни на мнозина. Който търси, ще намери себе си. Първо, не искам да правя дори косвена реклама на измамници. Второ, това може да застраши съществуването на тази статия. Трето, въпросът не е в самото съществуване на тези ресурси, а във факта, че има държавни условия, при които изброените „услуги“като цяло съществуват.
Клетъчни оператори
Вижте тази снимка, типичен форум, типични услуги:
Имената на „продавачите“и имената на операторите бяха скрити от мен. Сами можете да се досетите за операторите, в Русия няма толкова много. Всички те си проправят път без изключение.
Най-основното е пробиването на данните на собственика на номера: пълно име, паспортни данни, адрес. Как ще бъдат използвани тези данни зависи само от въображението на измамника, на когото ще попаднат в ръцете.
Следва интересната част. „Услуги“от по-високо ниво: проследяване на местоположението на човек в кулите на клетките, история на местоположенията, подробности за обаждания, sms подробности. За щастие поне няма звукови записи на обажданията (може би не съм гледал добре).
Много впечатляващо е да видите, че всеки измамник може да получи достъп до такава информация. Остава да се гадае дали това се осъществява чрез средствата на самите клетъчни оператори или чрез външни интерфейси, които може да са разположени в правителствените служби (дори не се съмнявам в съществуването на такива).
Помислете още веднъж, когато издавате SIM карта за паспортните си данни при покупка. Може би наистина е по-добре да вземете SIM карта, издадена за посетител на Team noname от Централна Азия? Те не изчезнаха от добре познати места за продажба. Прехвърляйки паспортните си данни, вие се идентифицирате не само на клетъчния оператор и правителствените агенции, но и на всеки престъпник, който няма нищо против да харчи за вас няколко чаши кафе или дори нещо повече.
Държавни органи
Може би нищо не надвишава количеството данни, които различните държавни ведомства знаят за нас. Хиляди служители имат достъп до тях, резултатите от които са обилно гледани във форумите:
От една страна, се очертава ясна картина каква информация имат тези отдели за нас и с каква лекота служителите могат да събират пълно досие на всеки човек. От друга страна, още по-живописна маслена картина: всеки измамник може да събере точно същото досие.
Типична пътна услуга:
Стандартен примерен въпрос-отговор:
Стандартен е и за различни отдели:
Най-популярната е услугата за разтоварване от Magistral, Sirena, Granitsa, Migrant, Kronos, Spark, Potok бази и сложни IBDR-IBDF бази. Не знаех дори такива имена преди. Всичко, до което стига фантазията, дори FIU, пробива.
Банките
Отделна категория „услуги“е посветена на детайлизирането на банковите сметки и движението на средствата по тях. Част от тях са специализирани в индивидуални сметки.
Но още повече - за юридически лица. Тук измамата се превръща в сложни форми на индустриален шпионаж и откровена престъпност. Няма да публикувам скрийншоти, тъй като престъпният "комплекс от услуги" надхвърля много течове на данни.
Откъде идват тези чудовищни факти за масово нарушаване не само на законите за личните данни, но и на банковата тайна? Честно казано, наистина съм изненадан, че корупцията е толкова широко разпространена. Изглежда, че е достатъчно просто да разгледаме всички позиции, където служителят има достъп до поне някои данни на клиента - измамникът може да бъде на всеки. Единственият въпрос е къде търсят службите за сигурност.
Много бих искал открито да изброявам имената на най-виновни банки, но няма да го направя, тъй като първите в списъка ще бъдат тези, които имат корпоративни блогове на хъба, което е изпълнено с блокиране на статията. Всеки знае корпоративните цветове на тези банки. Според моите наблюдения, колкото по-малка е банката, толкова по-малка е вероятността да има измамни услуги във форумите.
Всичко се купува и продава
В моето разследване практически не се докоснах до информация, която се събира и обединява за нас от вериги магазини за електроника, дрехи и обувки, храни и фитнес клубове. Всичко това също е за продажба, така че още веднъж помислете дали си струва да оставите истинския си адрес и телефонен номер при издаване на друга отстъпка или клубна карта.
Интересен факт: потребителски бази на букмейкъри-опции, услуги на екстрасенси-гадатели-магьосници, купувачи на хранителни добавки, средства за отслабване и увеличаване на потентността се продават активно. Целевата аудитория на тези специфични продукти изкристализира толкова много, че тези бази данни сменят ръцете, постоянно се допълват и актуализират. Бизнесът е просто огромен по мащаби.
Не е толкова лошо, когато личните данни, които оставяме доброволно, се обединяват - просто бъдете внимателни и не ги оставяйте. Много по-лошо е, когато данните се обединят, което по принцип не можем да оставим. Купуването на SIM карти без паспорт няма да реши всички проблеми.
През 2017 г. прочетох публикации на руски опозиционери (по-специално на левчобойката на Леонид Волков), които се сблъскаха с преследването на агресивно настроени престъпници, които внезапно получиха информация за всички полети и движения. Един вид mordovorotas, чакащ близо до летището с бийтове и акомпанимент под формата на показно представяне на пищно платени псевдо-привърженици на властите със знамена и песнопения. В Украйна всички от едно време бяха наречени колективно титушки.
Защо така? Как титушки знаеха за полетите на опозицията? Това е просто: тъй като достъпът до базата на полетите се купува и продава по същия начин, както достъпът до всички други бази.
Леонид, знам, че си ИТ човек, ако изведнъж прочетеш тази статия, ще се радвам много, ако я споделиш - много е написано под впечатлението на твоя „Облак“.
Скептично настроен читател може да си помисли: вие говорите за опозиционери, тоест за хора, които представляват определена политическа позиция, тяхната дейност по дефиниция е изпълнена с рискове. И ще бъде погрешно: наказателното беззаконие може да засегне всички. Можете да видите мащаба на данните за нас, лежащи на пътя със собствените си очи.
Всеки има смартфон, всеки има банкова сметка, много използват автомобили, много често пътуват със самолет, много имат бизнес в постсъветския СССР. Независимо от вашия социален статус и политическа ориентация: вие сте в опасност, защото вашите данни не са защитени от никого или от нещо, а престъпниците имат абсолютно свободни ръце. Това, което е разпръснато из форуми под формата на търговски съобщения, всъщност може да бъде получено „на повикване“от свързани хора. Това се отнася на първо място за Русия.
Мнозина ще си спомнят случая с Антон Уралски през 2008 г. и командированото обаждане до интернет доставчика Stream: "нямаше нито една пропаст!" След това всички се разсмяха, без да мислят, че служителите са извършили престъпление, публикувайки аудиозапис на разговор с клиент в Интернет. Те извършиха второто престъпление, като публикуваха личните данни на Антон, които станаха собственост на стотици измамници, които съсипаха живота на човек.
Защо мислите, че бях вдъхновен от тази история? Защото през същата 2008 г. моите лични данни бяха безсрамно изложени от служители на интернет доставчика Corbin.
Причината е достойна за един анекдот: администраторите на местния форум на Корбин не харесаха някои от моите публикации, така че една от тях съвпадна моя IP адрес с вътрешната база данни и публикува всички данни на договора, включително паспортни данни и адреса на комуникационната услуга. Ето, вижте, същия човек, отидете при него и поговорете, скъпи потребители на форума. За щастие, аудиторията на този форум беше основно ученици и това не ми обеща нищо лошо. Каква карикатура на морала: „никога не ядосвайте администратора“.
Администраторът направи всичко на шега, точно така: такова отношение към личните данни и законите. В края на краищата тогава през 2008 г. имаше и закони за личните данни, макар и не толкова подробни, както днес. Както можете да видите, за 10 години нищо не се е променило към по-добро, въпреки че за законите е изразходвано несравнимо повече хартия. Всичко стана още по-криминализирано и дори навлезе в търговския поток с изучаването на всички съпътстващи измамни „бизнес процеси“. Там, където преди имаше „шега“, откровена глупост и дребни престъпни наклонности, днес има финансова изгода, студено изчисление и цяла престъпна инфраструктура.
Живея в Германия от 5 години и постоянно виждам вниманието и грижите, с които всички германски власти и търговски организации третират личните данни. Първият закон в Германия при всяка работа с хора: за защита на тяхната поверителност и конфиденциалност. Всеки път, изпитвайки тази загриженост към себе си, си спомням онези служители на руски интернет оператори и искам да изчисля колко години биха служили в Германия за своите действия. Досега нямаше да излязат. От друга страна подобна ситуация просто не би могла да възникне: системата няма да позволи на безотговорен, глупав и нечестен човек да получи достъп до данни, защитени от закона. Благоразумен, умен, но все пак нечестен - също.
послеслов
Сигурен съм, че корумпираните служители на фирми, банки, оператори и отдели, собствениците и участниците във форумите, за които обикновено писах днес, са прочели самите Habr и определено ще прочетат моята статия. Някой ще си помисли „ти, негодник, взривяваш теми в обществото“, на което веднага ще отговоря: правиш много лоши неща, извършваш престъпно деяние и нямам намерение да пея оди за това, което не считам за добро, нито ще мълча относно това, което считам за неприемливо.
В статията си засегнах само върха на пирамидата, не повече от 2% от цялата истина. Изкопавайки тематични ресурси допълнително, можете да намерите такива неща като престъпни „услуги“за дистанционно блокиране на SIM карти, прихващане на sms, блокиране на банкови сметки, всестранна парализа на работата на компаниите, всякакви престъпни прищявки за парите си. Навсякъде участват или служители на отдели, или служители на различни нива в търговски дружества.
Между другото, има редица интересни „услуги“с мобилните оператори: измамниците използват уязвимостите на клетъчните мрежи, за да геолокализират всички потребители, които са влезли в сайта от мобилния интернет, да свързват платени абонаменти и най-вече за себе си - за да заобиколят напълно отчитането на мобилния трафик (това не е глупост като разпространение на Интернет със затворено свързване и пълно деактивиране на счетоводството, изтеглено с ограничени тарифи). Изненадващо, корените тук не произтичат от черните форуми за почти darknet, а от добре познатия форум w3bsit3-dns.com в Рунет.
Не влязох дълбоко в черния пазар, твърде е хлъзгаво и отвратително. Интересува ме само ситуацията с лични данни, която е катастрофална и дори не е заровена в дълбините на черния пазар, но е на пешеходно разстояние.
По-голямата част от статията беше посветена на Русия, руски организации и ведомства. Читателите от Украйна вероятно вече са свикнали с факта, че в рускоезичния интернет повечето лоши новини обикновено се отнасят до северната им съседка. За съжаление, този път не мога да споделя вашия оптимизъм: предлагането на „услугите“, описани в статията в Украйна, е на не по-малко ниво, отколкото в Русия. Дори нивото на цените е същото.
Според моите наблюдения има много по-малко предложения за Беларус и Казахстан. Може би той изглеждаше зле (за да бъда честен, морално е трудно да бъдеш в тези ресурси за дълго време), но въпросът очевидно не е по-ниска степен на престъпност. Според мен всичко е много по-прозаично: предлагането е пропорционално на броя на жителите, защото в Беларус и Казахстан живеят много по-малко хора, отколкото в Русия и Украйна.
Никъде другаде не съм виждал оферти за такива „услуги“в Европа, САЩ и други развити страни по света. Максимумът е пробиване на общите бази данни (като Интерпол), до които има достъп от Русия. Очевидно е, защото законите в тези страни не се пишат само на хартия, а се прилагат на практика. Законите не са за декорация, демонстрация и „изпълнение на плана“.
Междувременно на обикновените руски, украински, беларуски и казахски собственици на малък бизнес надзорните агенции ще се радват да издадат глоба за неправилната форма на формуляра за съгласие за обработка на лични данни, а те самите ще обединят с не по-малко удоволствие цялата база данни, в която вие, вашите лични данни, данните на вашия бизнес, вашите клиенти и дори вашата глоба ще бъдат отразени перфектно.
Автор: Drebin89