Dabar visame pasaulyje dedama daug pastangų siekiant užtikrinti asmens duomenų saugumą. Neatsilieka ir Rusija: entuziazmas pristato dešimtis įstatymų, šimtus įstatų ir reglamentų. Ar yra rezultatas?
Mano tyrimas parodys, kad Rusijoje ir visoje buvusios SSRS teritorijoje šios srities įstatymai, rašyti ant popieriaus, yra bergždžiai. Rezultatai yra baisūs: ne tik įmonės ir vyriausybės departamentai, bet ir bet kurie sukčiai turi prieigą prie fizinių ir juridinių asmenų asmens duomenų, banko paslapčių, komercinių paslapčių. Viskas yra perkama ir parduodama už kainų lygį - nuo poros puodelių kavos iki poros vidutinės klasės išmaniųjų telefonų.
- „Salik.biz“
Apgailėtinos detalės
Dešimtajame ir 2000-aisiais visos Maskvos rinkos buvo užtaisytos duomenų bazių diskais. Gyventojų bazės, automobilių ir automobilių savininkų bazės, o vėliau - mobiliųjų operatorių bazės.
Nežinau, kokia yra šių dienų nusikalstamų tokių bazių pardavimo Maskvoje padėtis (aš ilgai negyvenau Rusijoje), tačiau galiu pasakyti su dideliu pasitikėjimu, kad tai bus arba labai senos bazės, arba tik fragmentiškos šiuolaikinių sąvartynai. Dabar departamentų ir įmonių informacijos apimtis siekia petabaitus ir yra „debesyje“, todėl yra gana sunku ką nors talpinti įprastoje vartotojų laikmenoje, tinkančioje pardavimui.
Šiandien asmens duomenys yra aktyviai parduodami daugelyje forumų, kuriuose yra pardavėjai, pirkėjai ir netgi visos arbitražo sistemos, skirtos išspręsti galimus tarpusavio ginčus. Sukčiautojams pavyko sukurti labai galingą nusikalstamą infrastruktūrą: forumai gyvena gyvenimą, temos turi daug komentarų ir apžvalgų, yra draudimų „sukčiavimui“ir reitingų sistemoms „patikrinta“.
Reklaminis vaizdo įrašas:
"Tamsiame tinkle?" - galvojote. Tai ne atspėti. Šios svetainės yra viešosios erdvės ir gali būti net neįtrauktos į ilgai kenčiančio „Roskomnadzor“registrą (kas tuo abejotų). Žinoma, kai kurie iš jų turi veidrodėlius tamsiajame tinkle, tačiau tai yra tik veidrodžiai.
Straipsnyje ypatingas dėmesys bus skiriamas toms svetainėms ir toms „paslaugoms“, kurios panaikina absoliučiai visas pastaraisiais metais audringą valstybės judėjimą, nukreiptą į asmens duomenų apsaugą.
Aš paprašysiu Khabravo gyventojų neskelbti nuorodų į šiuos išteklius, nors jie gali būti žinomi daugeliui. Kas ieško, tas atsidurs. Pirma, nenoriu daryti net netiesioginės reklamos sukčiams. Antra, tai gali kelti pavojų šio straipsnio egzistavimui. Trečia, esmė yra ne pačiame šių išteklių egzistavime, o tame, kad egzistuoja valstybinės sąlygos, kuriomis paprastai egzistuoja išvardytos „paslaugos“.
Korinio ryšio operatoriai
Pažvelkite į šį paveikslėlį, tipišką forumą, tipiškas paslaugas:
„Pardavėjų“vardus ir operatorių vardus aš paslėpiau. Galite atspėti apie pačius operatorius, jų Rusijoje nėra tiek daug. Jie visi eina be išimties.
Svarbiausia yra perduoti numerio savininko duomenis: vardas, pavardė, paso duomenys, adresas. Kaip šie duomenys bus naudojami, priklauso tik nuo sukčiaus, kuriam jie pateks į rankas, vaizduotės.
Toliau - įdomioji dalis. Aukštesnio lygio „paslaugos“: asmens buvimo vietos stebėjimas mobiliųjų telefonų bokštuose, buvimo vietos istorija, skambučio informacija, sms informacija. Laimei, bent jau nėra skambučių garso įrašų (gal aš gerai nežiūrėjau).
Labai įspūdinga tai, kad bet kuris sukčius gali pasiekti tokią informaciją. Belieka spėlioti, ar tai įgyvendinama pačių korinio ryšio operatorių priemonėmis, ar naudojantis išorinėmis sąsajomis, kurios gali būti valstybinės tarnybos (net neabejoju tokių egzistavimu).
Dar kartą pagalvokite, kai įsigydami paso duomenis išduosite SIM kortelę. Gal tikrai geriau pasiimti SIM kortelę, išduotą lankytojui be pavadinimo iš Vidurinės Azijos? Jie neišnyko iš gerai žinomų prekybos vietų. Perduodami savo paso duomenis, jūs identifikuojate save ne tik mobiliojo ryšio operatoriui ir vyriausybinėms agentūroms, bet ir bet kuriam nusikaltėliui, kuris neprieštarauja, kad jums išleistų porą puodelių kavos ar net ką nors daugiau.
Valstybinės įstaigos
Turbūt niekas neprilygsta duomenų kiekiui, kurį apie mus žino įvairūs vyriausybės departamentai. Tūkstančiai darbuotojų turi prieigą prie jų, o jų rezultatus gausiai apžvelgia forumuose:
Viena vertus, susidaro aiškus vaizdas, kokią informaciją šie padaliniai turi apie mus ir kaip lengvai darbuotojai gali rinkti išsamų dokumentų rinkinį apie bet kurį asmenį. Kita vertus, dar vaizdingesnė aliejinė tapyba: bet kuris sukčius gali surinkti lygiai tą patį dokumentų rinkinį.
Tipiškos kelių paslaugos:
Standartinis klausimo-atsakymo pavyzdys:
Jis taip pat yra standartinis skirtingiems departamentams:
Populiariausia yra iškrovimo iš Magistral, Sirena, Granitsa, Migrant, Kronos, Spark, Potok ir IBDR-IBDF bazių paslauga. Anksčiau net nežinojau tokių vardų. Pralaužta viskas, ką pasiekia fantazija, net FŽP.
Bankai
Atskira „paslaugų“kategorija skirta banko sąskaitų detalizavimui ir lėšų judėjimui į jas. Dalis jų specializuojasi individualiose sąskaitose.
Bet dar daugiau - juridiniams asmenims. Čia sukčiavimas virsta sudėtingomis pramoninio šnipinėjimo ir tiesioginio nusikalstamumo formomis. Aš neskelbsiu ekrano kopijų, nes kriminalinis „paslaugų kompleksas“peržengia duomenų nutekėjimą.
Iš kur atsiranda šie beprotiški faktai, kad masiškai pažeidžiami ne tik asmens duomenų įstatymai, bet ir banko paslaptis? Sąžiningai aš tikrai nustebau, kad korupcija yra tokia paplitusi. Atrodo, kad užtenka vien pažvelgti į visas pozicijas, kuriose darbuotojas turi prieigą bent prie kai kurių klientų duomenų - sukčius gali būti bet kas. Vienintelis klausimas yra, kur atrodo saugos tarnybos.
Aš labai norėčiau atvirai išvardyti labiausiai kaltų bankų pavadinimus, tačiau to nedarysiu, nes pirmieji sąraše bus tie, kurie stebulėje turi įmonių tinklaraščius, o tai yra labai blokuojama straipsniui. Visi žino šių bankų firmines spalvas. Remiantis mano pastebėjimais, kuo mažesnis bankas, tuo mažesnė tikimybė, kad forumuose bus teikiamos nesąžiningos paslaugos.
Viskas perkama ir parduodama
Tyrimo metu praktiškai neliečiau informacijos, kurią apie mus renka ir sujungia elektronikos, drabužių ir avalynės, maisto ir kūno rengybos klubų tinklai. Visa tai taip pat parduodama, todėl dar kartą pagalvokite, ar verta išleidžiant savo tikrąjį adresą ir telefono numerį išleidžiant kitą nuolaidą ar klubo kortelę.
Įdomus faktas: aktyviai parduodamos bukmekerių, „forex“variantų, psichikos paslaugų teikėjų, burtininkų-burtininkų, maisto papildų pirkėjų, svorio metimo ir potencijos didinimo paslaugos. Šių specifinių produktų tikslinė auditorija susikristalizavo tiek, kad šios duomenų bazės keičia rankas, yra nuolat papildomos ir nuolat atnaujinamos. Verslas yra tiesiog didžiulis mastas.
Nėra taip blogai, kai asmens duomenys, kuriuos paliekame savo noru, yra sujungiami - tiesiog būkite atsargūs ir nepalikite jų. Daug blogiau, kai duomenys sujungiami, ko mes iš principo negalime palikti. Pirkdami SIM korteles be paso, neišspręsite visų problemų.
2017 m. Skaičiau Rusijos opozicionierių (ypač Leonido Volkovo leonwolfo), susidūrusio su agresyviai mąstančių nusikaltėlių, staiga gavusių informaciją apie visus skrydžius ir judėjimą, publikacijas. Savotiškos mordovorotos, laukiančios šalia oro uosto su dūžiais ir akompanimentais, - tai pasirodymas, kuriame dosniai apmokami valdžios pseudo rėmėjai su vėliavomis ir giesmėmis. Ukrainoje visi jie vienu metu buvo kolektyviai vadinami titushki.
Kodėl taip yra? Kaip titushkai sužinojo apie opozicijos skrydžius? Tai paprasta: nes prieiga prie skrydžių bazės yra perkama ir parduodama taip pat, kaip ir prieiga prie visų kitų bazių.
Leonidai, aš žinau, kad esate IT vyrukas, jei staiga perskaitysite šį straipsnį, aš labai džiaugiuosi, jei juo pasidalysite - daug kas buvo parašyta pagal jūsų „Debesies“įspūdį.
Skeptiškas skaitytojas gali pagalvoti: jūs kalbate apie opozicionierius, tai yra, žmones, kurie atstovauja tam tikrai politinei pozicijai, jų veikla iš esmės yra kupina rizikos. Ir tai bus neteisinga: baudžiamasis neteisėtumas gali turėti įtakos visiems. Savo akimis galite pamatyti duomenų apie mus, esančius kelyje, mastelį.
Visi turi išmanųjį telefoną, visi turi banko sąskaitą, daug naudojasi automobiliais, daugelis dažnai keliauja lėktuvu, daugelis turi verslą poso SSRS. Nepriklausomai nuo jūsų socialinės padėties ir politinės orientacijos: jums gresia pavojus, nes jūsų duomenys nėra apsaugoti niekuo ar kuo nors, o nusikaltėliai turi visiškai laisvas rankas. Tai, kas išsklaidyta forumuose komercinių pranešimų forma, iš tikrųjų gali gauti „budintys“prisijungę žmonės. Visų pirma tai liečia Rusiją.
Daugelis prisimins 2008 m. Atvejį su Anton Uralsky ir paskelbtą skambutį interneto tiekėjui „Stream“: „Nebuvo nė vienos spragos!“Tada visi juokėsi negalvodami, kad darbuotojai padarė nusikaltimą, internete paskelbę pokalbio su klientu garso įrašą. Antrąjį nusikaltimą jie įvykdė paskelbdami Antono asmens duomenis, kurie tapo šimtų pagrobėjų, sugriovusių žmogaus gyvenimą, nuosavybe.
Kodėl manote, kad mane įkvėpė ši istorija? Nes tais pačiais 2008 metais mano asmeninius duomenis begėdiškai išdėstė interneto tiekėjo „Corbin“darbuotojai.
Priežastis verta anekdoto: Korbinovskio vietinio forumo administratoriams nepatiko kai kurie mano leidiniai, todėl vienas jų suderino mano IP adresą su vidine duomenų baze ir paskelbė visus sutarties duomenis, įskaitant paso duomenis ir komunikacijos tarnybos adresą. Štai, žiūrėk, tas pats asmuo, eik pas jį ir kalbėk, mieli forumo vartotojai. Laimei, to forumo auditorija daugiausia buvo moksleiviai ir tai man nieko blogo nežadėjo. Kokia moralės karikatūra: „niekada nenusivilkite administratoriaus“.
Administratorius viską darė kaip pokštą, lygiai taip pat: tokį požiūrį į asmens duomenis ir įstatymus. Galų gale tada, 2008 m., Taip pat buvo įstatymai dėl asmens duomenų, nors jie nebuvo tokie išsamūs kaip šiandien. Kaip matai, per 10 metų niekas nepasikeitė į gerąją pusę, nors įstatymams išleista nepalyginamai daugiau popieriaus. Viskas tapo dar labiau kriminalizuota ir netgi pateko į komercinį srautą tiriant visus lydinčius nesąžiningus „verslo procesus“. Ten, kur anksčiau buvo „pokštas“, tiesioginis kvailumas ir smulkus nusikalstamas polinkis, šiandien tai yra finansinė nauda, šalti skaičiavimai ir visa nusikalstama infrastruktūra.
Aš gyvenu Vokietijoje 5 metus ir nuolat matau dėmesį ir rūpestingumą, su kuriuo bet kurios Vokietijos valdžios institucijos ir komercinės organizacijos elgiasi su asmens duomenimis. Pirmasis bet kokio darbo su žmonėmis įstatymas Vokietijoje: apsaugoti jų privatumą ir konfidencialumą. Kiekvieną kartą, jausdamas šį rūpestį savimi, prisimenu tuos Rusijos interneto operatorių darbuotojus ir noriu apskaičiuoti, kiek metų jie būtų tarnavę Vokietijoje už savo veiksmus. Iki šiol jie nebūtų išėję. Kita vertus, tokios situacijos tiesiog negalėjo susidaryti: sistema neleistų neatsakingam, kvailam ir nesąžiningam asmeniui naudotis įstatymų saugomais duomenimis. Protingas, protingas, bet vis tiek nesąžiningas - taip pat.
Papildomas žodis
Esu tikras, kad korumpuoti firmų, bankų, operatorių ir departamentų darbuotojai, forumų, apie kuriuos aš paprastai rašiau šiandien, savininkai ir dalyviai, patys perskaitys „Habr“ir būtinai perskaitys mano straipsnį. Kažkas pagalvos „tu, tu šykštėk, sprogdink visuomenei temas“, į kurį iškart atsakysiu: darai labai blogus dalykus, darai nusikalstamą veiką ir neketinu dainuoti odelių tam, ko nelaikau gerai, ir tylėsiu. apie tai, kas man atrodo nepriimtina.
Savo straipsnyje paliečiau tik piramidės viršų, ne daugiau kaip 2% visos tiesos. Toliau kasinėdami teminius išteklius, galite rasti tokių dalykų, kaip nusikalstamos „paslaugos“, skirtos nuotoliniam SIM kortelių blokavimui, sms perėmimui, banko sąskaitų blokavimui, visapusiškam įmonių darbo paralyžiavimui, bet kokiai kriminalinei užgaidai už jūsų pinigus. Visur dalyvauja padalinių darbuotojai arba įvairaus lygio darbuotojai komercinėse įmonėse.
Beje, yra daugybė įdomių „paslaugų“su mobiliojo ryšio operatoriais: sukčiai naudojasi korinio tinklo pažeidžiamumu, norėdami nustatyti geografinę vietą visiems vartotojams, kurie į svetainę pateko iš mobiliojo interneto, prijungti mokamą abonementą ir, ypač sau, visiškai apeiti mobiliojo ryšio srauto apskaitą (tai nėra nesąmonė kaip interneto platinimas uždaru pririšimu ir visiškas apskaitos, atsiųstos pagal ribotus tarifus, išjungimas). Keista, tačiau šaknys čia neauga iš juodųjų beveik tamsiųjų forumų, bet iš gerai žinomo runetų w3bsit3-dns.com forumo.
Aš nesigilinau į juodąją rinką, ji per daug slidi ir šlykšti. Mane domino tik asmeninių duomenų padėtis, kuri yra katastrofiška ir net nėra palaidota juodosios rinkos gilumoje, tačiau yra pėsčiomis.
Didžioji straipsnio dalis buvo skirta Rusijai, Rusijos organizacijoms ir departamentams. Skaitytojai iš Ukrainos tikriausiai jau yra įpratę, kad rusakalbiame internete dažniausiai blogos žinios dažniausiai liečia jų šiaurinį kaimyną. Deja, šį kartą negaliu pritarti jūsų optimizmui: straipsnyje aprašytų „paslaugų“pasiūla Ukrainoje yra ne mažesnio lygio nei Rusijoje. Net kainų lygis yra tas pats.
Remiantis mano pastebėjimais, Baltarusijos ir Kazachstano pasiūlymų yra daug mažiau. Gal jis atrodė blogai (tiesą sakant, morališkai sunku ilgą laiką būti šiuose ištekliuose), bet akivaizdu, kad tai nėra žemesnis nusikalstamumas. Mano manymu, viskas yra daug prozaziškiau: pasiūla proporcinga gyventojų skaičiui, nes Baltarusijoje ir Kazachstane gyvena daug mažiau žmonių nei Rusijoje ir Ukrainoje.
Niekur kitur nemačiau tokių „paslaugų“pasiūlymų Europoje, JAV ir kitose išsivysčiusiose pasaulio šalyse. Daugiausia įmanoma peržengti bendrąsias duomenų bazes (pvz., Interpolą), kuriomis galima naudotis iš Rusijos. Akivaizdu, nes šių šalių įstatymai ne tik parašyti popieriuje, bet ir įgyvendinti praktikoje. Įstatymai nėra skirti dekoravimui, meistriškumui ir „plano įgyvendinimui“.
Tuo tarpu paprastiems Rusijos, Ukrainos, Baltarusijos ir Kazachstano smulkaus verslo savininkams priežiūros agentūros mielai paskirs baudą už neteisingą sutikimo formos tvarkymą asmens duomenims tvarkyti, o jos pačios su ne mažiau malonumu sujungs visą duomenų bazę, kurioje jūs, jūsų asmeniniai duomenys, jūsų verslo duomenys., jūsų klientai, ir net jūsų bauda bus puikiai atspindėta.
Autorius: Drebin89