Der gøres nu mange bestræbelser over hele verden for at sikre sikkerheden ved personoplysninger. Rusland hænger heller ikke bagefter med entusiasme ved at indføre snesevis af love, hundreder af vedtægter og forordninger. Er der et resultat?
Min undersøgelse vil vise, at lovgivningen i dette område, der er skrevet på papir, er forgæves i Rusland og i hele det tidligere Sovjetunionens område. Resultaterne er forfærdelige: ikke kun virksomheder og myndigheder, men også enhver svindlere har adgang til personoplysninger om enkeltpersoner og juridiske enheder, bankhemmeligheder, forretningshemmeligheder. Alt købes og sælges til et prisniveau fra et par kopper kaffe til et par mellemstore smartphones.
Skuffende detaljer
I 1990'erne og 2000'erne var alle Moskva-markeder fulde af databaseske. Basis af beboere, baser af biler og bilejere og derefter baser fra mobiloperatører.
Jeg ved ikke, hvordan situationen med det kriminelle salg af sådanne baser i Moskva er i dag (jeg har ikke boet i Rusland i lang tid), men jeg kan med stor grad af sikkerhed sige, at dette enten vil være meget gamle baser eller kun fragmentariske dumpe af moderne. Nu når mængden af afdeling- og virksomhedsoplysninger petabytes og er i skyen, så det er ganske vanskeligt at få noget på et almindeligt forbrugermedium, der er egnet til salg.
I dag sælges personlige data aktivt på en række fora, hvor der er sælgere, købere og endda hele voldgiftssystemer, der er designet til at løse mulige tvister mellem dem. Svindlere har formået at opbygge en meget stærk kriminel infrastruktur: fora lever liv, emner har en masse kommentarer og anmeldelser, der er forbud mod "svindel" og klassificeringssystemer til "verificeret".
Salgsfremmende video:
"På darknet?" - du troede. Det gætter jeg ikke. Disse sider er i det offentlige domæne og er muligvis ikke engang inkluderet i det langmodige Roskomnadzor-register (som tvivler på det). Selvfølgelig har nogle af dem spejle på darknet, men dette er bare spejle.
Artiklen vil specifikt fokusere på disse websteder og på disse "tjenester", der annullerer absolut al den stormfulde statslige bevægelsesvinduesdressing omkring beskyttelsen af personoplysninger i de senere år.
Jeg vil bede Khabrav-beboerne om at afstå fra at offentliggøre links til disse ressourcer, skønt de måske er kendt for mange. Den, der søger, vil finde sig selv. For det første vil jeg ikke engang indirekte annoncere til svindlere. For det andet kan det bringe eksistensen af denne artikel i fare. For det tredje ligger pointen ikke i selve eksistensen af disse ressourcer, men i det faktum, at der er statlige betingelser, under hvilke de anførte "tjenester" generelt findes.
Mobiloperatører
Se på dette billede, typisk forum, typiske tjenester:
Navnene på "sælgerne" og navnene på operatørerne var skjult af mig. Du kan gætte om operatørerne selv, der er ikke så mange af dem i Rusland. De kører alle deres vej uden undtagelse.
Det mest basale er at bryde dataene fra ejeren af nummeret: fuldt navn, pasdata, adresse. Hvordan disse data bruges afhænger kun af fantasien for den svindler, som de vil falde i hænderne på.
Dernæst er den interessante del. “Services” på et højere niveau: sporing af en persons placering på celtårne, lokalitetshistorik, opkaldsdetaljer, sms-detaljer. Heldigvis er der i det mindste ingen lydoptagelser af opkaldene (måske så jeg ikke godt).
Det er meget imponerende at se, at enhver svindler har adgang til sådanne oplysninger. Det gjenstår at gætte, om dette implementeres ved hjælp af mobiltelefonoperatørerne selv, eller gennem eksterne grænseflader, der muligvis er placeret på offentlige tjenester (jeg er ikke engang i tvivl om eksistensen af sådan).
Tænk igen, når du udsteder et SIM-kort til dine pasdata ved køb. Måske er det virkelig bedre at tage et SIM-kort udstedt til en ikke-besøgende fra Centralasien? De forsvandt ikke fra kendte salgssteder. Ved at overføre dine pasdata identificerer du dig ikke kun til den celleoperatør og offentlige agenturer, men også til enhver kriminel, der ikke har noget imod at bruge omkostningerne ved et par kopper kaffe på dig eller endda noget mere.
Statlige organer
Måske slår intet den mængde data, som forskellige regeringsdepartementer ved om os. Tusinder af ansatte har adgang til dem, hvis resultater ses rigeligt på fora:
På den ene side fremkommer et klart billede af, hvilke oplysninger disse afdelinger har om os, og med hvilken lethed medarbejderne kan indsamle et komplet dossier til enhver person. På den anden side et endnu mere malerisk oliemaleri: enhver svindler kan indsamle nøjagtigt det samme dossier.
Typisk vejtransport:
Standardeksempel spørgsmål-svar:
Det er også standard for forskellige afdelinger:
Den mest populære er tjenesten med losning fra baserne Magistral, Sirena, Granitsa, Migrant, Kronos, Spark, Potok og IBDR-IBDF. Jeg kendte ikke engang sådanne navne før. Alt, hvad fantasy når, også FIU, bryder igennem.
Banker
En separat kategori af "tjenester" er afsat til detaljeringen af bankkonti og bevægelsen af midler til dem. En del af dem har specialiseret sig i individuelle konti.
Men endnu mere - for juridiske enheder. Her forvandles svig til sofistikerede former for industriel spionage og direkte kriminalitet. Jeg vil ikke sende skærmbilleder, da det kriminelle "komplekse af tjenester" går langt ud over datalækager.
Hvor kommer disse uhyrlige fakta om massiv krænkelse af ikke kun lov om personoplysninger, men bankhemmelighed? Helt ærligt er jeg virkelig overrasket over, at korruption er så udbredt. Det ser ud til, at det er nok bare at se på alle positioner, hvor medarbejderen har adgang til mindst nogle kundedata - bedrageren kan være på enhver. Det eneste spørgsmål er, hvor sikkerhedstjenesterne kigger.
Jeg vil meget gerne angive navnene på de mest skyldige banker åbent, men jeg vil ikke gøre dette, da den første på listen er dem, der har firmablogs på huben, hvilket er fyldt med at blokere artiklen. Alle kender virksomhedernes farver på disse banker. Ifølge mine observationer, jo mindre banken er, desto mindre sandsynligt er det, at der vil være svigagtige tjenester på fora.
Alt købes og sælges
I min undersøgelse rørte jeg praktisk talt ikke på oplysninger, der er indsamlet og fusioneret om os af kæde butikker af elektronik, tøj og fodtøj, mad og fitnessklubber. Alt dette er også til salg, så tænk igen om det er værd at forlade din rigtige adresse og telefonnummer, når du udsteder et andet rabat eller klubkort.
En interessant kendsgerning: brugerbaser af bookmakere-forex-optioner, tjenester af synske-formue-fortællere-troldmænd, købere af kosttilskud, midler til at tabe sig og øge styrken sælges aktivt. Målgruppen for disse specifikke produkter er krystalliseret så meget, at disse databaser skifter hænder, konstant suppleres og holdes opdaterede. Virksomheden er bare enorm i skala.
Det er ikke så dårligt, når personlige data, som vi forlader frivilligt, slås sammen - bare vær forsigtig og forlad ikke dem. Det er meget værre, når dataene smelter sammen, hvilket vi i princippet ikke kan forlade. Køb af SIM-kort uden pas vil ikke løse alle problemer.
I 2017 læste jeg publikationer fra russiske oppositionister (især Leonid Volkovs leonwolf), der stod over for forfølgelse af aggressivt sindede kriminelle, som pludselig modtog information om alle flyvninger og bevægelser. En slags mordovorotaer, der venter tæt på lufthavnen med beats og akkompagnement i form af en showpræsentation af overdådigt betalte pseudo-tilhængere af myndighederne med flag og sang. I Ukraine blev alle på én gang samlet kaldt titushki.
Hvorfor det? Hvordan vidste titushki om oppositionsflyvninger? Det er enkelt: fordi adgang til base for flyvninger købes og sælges på samme måde som adgang til alle andre baser.
Leonid, jeg ved, at du er en IT-fyr, hvis du pludselig læser denne artikel, vil jeg være meget glad, hvis du deler den - meget er skrevet under indtrykket af din "Cloud".
En skeptisk læser kan tænke: Du taler om oppositionelle, det vil sige folk, der repræsenterer en bestemt politisk holdning, deres aktiviteter er pr. Definition fyldt med risici. Og det vil være forkert: kriminel lovløshed kan påvirke alle. Du kan se omfanget af dataene om os liggende på vejen med dine egne øjne.
Alle har en smartphone, alle har en bankkonto, mange bruger biler, mange rejser ofte med fly, mange har virksomheder i post-USSR. Uanset din sociale status og politiske orientering: du er i fare, fordi dine data ikke er beskyttet af nogen eller noget, og kriminelle har absolut frie hænder. Hvad der er spredt rundt i fora i form af kommercielle meddelelser, kan faktisk modtages "on call" af tilsluttede mennesker. Dette vedrører i første omgang Rusland.
Mange vil huske sagen med Anton Uralsky i 2008 og det udsendte opkald til internetudbyderen Stream: "der var ikke et eneste hul!" Alle lo derefter og troede ikke, at medarbejderne havde begået en forbrydelse ved at offentliggøre en lydoptagelse af en samtale med en klient på Internettet. De begik den anden forbrydelse ved at offentliggøre Anton's personlige data, som blev ejendom af hundreder af pandvogne, der ødelagde en persons liv.
Hvorfor tror du, jeg blev inspireret af denne historie? Fordi i samme 2008 blev mine egne personlige data uden skam lagt ud af medarbejdere hos internetudbyderen Corbin.
Årsagen er en anekdot værdig: administratorerne af Corbin's lokale forum kunne ikke lide nogle af mine publikationer, så en af dem matchede min ip-adresse med den interne database og offentliggjorde alle detaljer om kontrakten, inklusive pasdata og adressen på levering af kommunikationstjenester. Se her, den samme person, gå til ham og tal, kære forumbrugere. Heldigvis var publikum på dette forum hovedsageligt skolebørn, og dette lovede mig ikke noget dårligt. Hvilken karikatur af moral: "Vred aldrig administratoren."
Administratoren gjorde alt som en vittighed, bare sådan: sådan en holdning til personlige data og love. Når alt kommer til alt var der i 2008 også love om personoplysninger, skønt de ikke var så detaljerede som i dag. Som du kan se, har intet ændret sig til det bedre på 10 år, skønt der sidst er brugt mere papir på love. Alt blev endnu mere kriminaliseret og gik endda ind i den kommercielle strøm med undersøgelsen af alle de ledsagende svigagtige "forretningsprocesser". Hvor der tidligere var en "vittighed", direkte dumhed og små kriminelle tilbøjeligheder, er der i dag økonomisk fordel, kold beregning og en hel kriminel infrastruktur.
Jeg har boet i Tyskland i 5 år, og jeg ser konstant den opmærksomhed og omhu, som tyske myndigheder og kommercielle organisationer behandler personoplysninger. Den første lov i Tyskland i ethvert arbejde med mennesker: at beskytte deres privatliv og fortrolighed. Hver gang jeg føler denne bekymring over mig selv, husker jeg de ansatte hos russiske internetoperatører, og jeg vil beregne, hvor mange år de ville have tjent i Tyskland for deres handlinger. Indtil nu ville de ikke være kommet ud. På den anden side kunne en sådan situation simpelthen ikke opstå: Systemet tillader ikke en uansvarlig, dum og uærlig person at få adgang til data, der er beskyttet af loven. Forsigtig, smart, men stadig uærlig - også.
Efterskrift
Jeg er sikker på, at de korrupte medarbejdere i virksomheder, banker, operatører og afdelinger, ejere og deltagere af fora, som jeg generelt skrev om i dag, læser Habr selv og helt sikkert vil læse min artikel. Nogen vil tænke "dig, skæl, sprænge emner på offentligheden", som jeg vil svare med det samme: du gør meget dårlige ting, du begår en strafbar handling, og jeg har ikke til hensigt at synge odes til det, som jeg ikke betragter som godt, og jeg vil heller ikke tie om hvad jeg betragter som uacceptabelt.
I min artikel berørte jeg kun toppen af pyramiden, ikke mere end 2% af hele sandheden. Ved at grave tematiske ressourcer videre kan du finde sådanne ting som kriminelle "tjenester" til fjernblokering af SIM-kort, aflytning af sms, blokering af bankkonti, helårs lammelse af virksomheders arbejde, ethvert kriminelt indfald for dine penge. Overalt er enten medarbejdere på afdelinger eller ansatte på forskellige niveauer i kommercielle virksomheder involveret.
Der er forresten en række interessante "tjenester" med mobiloperatører: svindlere bruger sårbarhederne i mobilnetværk til at geografisk placere alle brugere, der er kommet ind på webstedet fra mobilt internet, forbinde betalte abonnementer, og især for sig selv, fuldstændigt at omgå mobil trafikregnskab (dette er ikke noget som distribution af Internettet med lukket tethering og fuldstændig deaktivering af regnskab downloadet til begrænsede takster). Overraskende vokser rødderne her ikke fra de sorte nær-darknet-fora, men fra det velkendte w3bsit3-dns.com-forum i Runet.
Jeg gik ikke dybt ind i det sorte marked, det er for glat og oprørende. Jeg var kun interesseret i situationen med personoplysninger, som er katastrofale og ikke engang begravet i dybden på det sorte marked, men som er inden for gåafstand.
Det meste af artiklen blev brugt til Rusland, russiske organisationer og afdelinger. Læsere fra Ukraine er sandsynligvis allerede vant til, at det russiske sproglige Internet mest drejer sig om de dårlige nyheder normalt om deres nordlige nabo. Desværre kan jeg ikke denne gang dele din optimisme: tilbuddet om de "tjenester", der er beskrevet i artiklen i Ukraine, er på intet mindre niveau end i Rusland. Selv prisniveauet er det samme.
Ifølge mine observationer er der langt færre forslag til Hviderusland og Kasakhstan. Måske så han dårligt ud (for at være ærlig, det er moralsk svært at være på disse ressourcer i lang tid), men pointen er helt klart ikke en lavere kriminalitetsrate. Efter min mening er alt meget mere prosaisk: udbuddet er proportionalt med antallet af indbyggere, fordi der bor langt færre mennesker i Hviderusland og Kasakhstan end i Rusland og Ukraine.
Intet andet sted har jeg set tilbud om sådanne "tjenester" i Europa, USA og andre udviklede lande i verden. Det maksimale er at bryde gennem de fælles databaser (som Interpol), hvortil der er adgang fra Rusland. Fordi lovene i disse lande ikke kun er skrevet på papir, men implementeres i praksis. Lover er ikke til dekoration, showmanship og "plan opfyldelse."
I mellemtiden til almindelige russiske, ukrainske, hviderussiske og kasakhiske ejere af små virksomheder vil tilsynsorganer være glade for at skrive en bøde for den forkerte form for samtykkeformular til behandling af personoplysninger, og de vil selv sammen med ikke mindre glæde fusionere hele databasen, hvor du, dine personlige data, dine forretningsdata, dine kunder og endda din bøde reflekteres perfekt.
Forfatter: Drebin89