Många ansträngningar görs nu världen över för att säkerställa säkerheten för personuppgifter. Ryssland släpar inte efter, med entusiasm införande av dussintals lagar, hundratals stadgar och förordningar. Finns det ett resultat?
Min utredning kommer att visa att lagarna i detta område som är skriven på papper är förgäves i Ryssland och i hela den tidigare Sovjetunionen. Resultaten är fruktansvärda: inte bara företag och myndigheter, utan också alla bedrägerier har tillgång till personuppgifter om individer och juridiska personer, bankhemligheter, affärshemligheter. Allt köps och säljs för en prisnivå från ett par koppar kaffe till ett par medelstora smartphones.
Besvikande detaljer
På 1990- och 2000-talet var alla Moskvas marknader full av databasskivor. Baser av invånare, baser av bilar och bilejare och sedan baser av mobiloperatörer.
Jag vet inte hur situationen med kriminell försäljning av sådana baser i Moskva är idag (jag har inte bott i Ryssland på länge), men jag kan säga med hög grad av förtroende att dessa antingen kommer att vara väldigt gamla baser, eller bara fragmentära dumpningar av moderna. Nu når volymen av avdelnings- och företagsinformation petabytes och är i molnet, så det är ganska svårt att anpassa något till ett vanligt konsumentmedium som är lämpligt att sälja.
Idag säljs personuppgifter aktivt på ett antal forum där det finns säljare, köpare och till och med hela skiljedomssystem som är utformade för att lösa eventuella tvister mellan dem. Bedrägerier har lyckats bygga en mycket kraftfull kriminell infrastruktur: forum lever liv, ämnen har många kommentarer och recensioner, det finns förbud för "bedrägerier" och betygssystem för "verifierad".
Kampanjvideo:
"På mörkret?" - du trodde. Det gissar inte. Dessa webbplatser är offentliga och kan inte ens inkluderas i det långlidande Roskomnadzor-registret (som skulle tvivla på det). Naturligtvis har vissa av dem speglar på darknet, men det här är bara speglar.
Artikeln kommer att fokusera specifikt på dessa sajter och på de "tjänster" som avbryter absolut all stormig statlig rörelse-fönsterkläder kring skyddet av personuppgifter under de senaste åren.
Jag kommer att be Khabrav-invånarna att avstå från att publicera länkar till dessa resurser, även om de kan vara kända för många. Den som söker kommer att hitta sig själv. För det första vill jag inte ens göra indirekt reklam till bedragare. För det andra kan det äventyra förekomsten av denna artikel. För det tredje är poängen inte i själva existensen av dessa resurser, utan i det faktum att det finns statliga förhållanden under vilka de listade "tjänsterna" generellt finns.
Mobiloperatörer
Titta på den här bilden, typiskt forum, typiska tjänster:
Namnen på "säljarna" och namnen på operatörerna doldes av mig. Du kan gissa om operatörerna själv, det finns inte så många av dem i Ryssland. De tar alla sina vägar utan undantag.
Det mest grundläggande är att bryta igenom uppgifterna från ägaren av numret: fullt namn, passdata, adress. Hur dessa uppgifter kommer att användas beror bara på fantasin hos bedrägaren som de kommer att falla i händerna på.
Nästa är den intressanta delen.”Tjänster” på en högre nivå: spåra en persons plats i celltorn, platshistorik, samtaldetalj, sms-detalj. Lyckligtvis finns det åtminstone inga ljudinspelningar av samtalen (kanske såg jag inte bra).
Det är väldigt imponerande att se att alla svindlare kan komma åt sådan information. Det återstår att gissa om detta genomförs med hjälp av mobiloperatörerna själva, eller genom externa gränssnitt som kan vara belägna vid statliga tjänster (jag tvivlar inte ens på att det finns sådana).
Tänk igen när du utfärdar ett SIM-kort för dina passdata vid köp. Kanske är det verkligen bättre att ta ett SIM-kort som utfärdats för en icke-besökare från Centralasien? De försvann inte från kända försäljningsställen. Genom att skicka dina passinformation identifierar du dig inte bara till mobiloperatören och myndigheterna utan också till alla kriminella som inte har något emot att spendera kostnaden för ett par koppar kaffe på dig, eller ännu mer.
Statliga organ
Kanske slår inget den mängd data som olika myndigheter vet om oss. Tusentals anställda har tillgång till dem, vars resultat visas rikligt på forumet:
Å ena sidan framträder en tydlig bild av vilken information dessa avdelningar har om oss och med vilken lätthet anställda kan samla in en fullständig dokumentation för varje person. Å andra sidan en ännu mer pittoresk oljemålning: varje bedrägare kan samla in exakt samma dokument.
Typisk vägtjänst:
Standardexempel på frågesvar:
Det är också standard för olika avdelningar:
Den mest populära är tjänsten med lossning från baserna Magistral, Sirena, Granitsa, Migrant, Kronos, Spark, Potok och IBDR-IBDF. Jag kände inte ens sådana namn förut. Allt som fantasin når, till och med FIU, bryter igenom.
banker
En separat kategori "tjänster" ägnas åt detaljeringen av bankkonton och förflyttningen av medel till dem. En del av dem är specialiserade på enskilda konton.
Men ännu mer - för juridiska personer. Här förvandlas bedrägerier till sofistikerade former av industriell spionage och direkt brottslighet. Jag kommer inte att lägga upp skärmdumpar, eftersom det kriminella "tjänstekomplexet" går långt bortom dataläckage.
Var kommer dessa monsteraktiga fakta om massiva kränkningar av inte bara personuppgiftslagar, utan bankhemlighet? Ärligt talat är jag verkligen förvånad över att korruptionen är så utbredd. Det verkar som att det räcker bara för att titta på alla positioner där den anställda har åtkomst till åtminstone vissa kunddata - bedrägeri kan vara på vem som helst. Den enda frågan är var säkerhetstjänsterna tittar.
Jag skulle mycket vilja lista namnen på de mest felaktiga bankerna öppet, men jag kommer inte att göra det, eftersom det första på listan kommer att vara de som har företagsbloggar på navet, vilket är fylld med att blockera artikeln. Alla känner till företagsfärgerna i dessa banker. Enligt mina observationer, ju mindre banken är, desto mindre troligt är det att det kommer att finnas bedrägliga tjänster på forumen.
Allt köps och säljs
I min undersökning rörde jag praktiskt taget inte på information som samlas in och slås samman om oss av kedjor av elektronik, kläder och skor, mat och fitnessklubbar. Allt detta är också till salu, så återigen tänka på om det är värt att lämna din riktiga adress och telefonnummer när du ger ut ytterligare rabatt eller klubbkort.
Ett intressant faktum: användarbaser av bookmakers-forex-alternativ, tjänster för psykiker-förmögenhet-trollkarlar, köpare av kosttillskott, medel för att gå ner i vikt och öka styrkan säljs aktivt. Målgruppen för dessa specifika produkter har kristalliserats så mycket att dessa databaser byter hand, kontinuerligt kompletteras och hålls uppdaterade. Verksamheten är bara enorm.
Det är inte så illa när personuppgifter som vi lämnar frivilligt slås samman - var bara försiktig och lämna inte dem. Det är mycket värre när uppgifterna slås samman, vilket vi i princip inte kan lämna. Att köpa SIM-kort utan pass löser inte alla problem.
Under 2017 läste jag publikationer av ryska oppositionister (särskilt Leonid Volkovs leonwolf), som mötte förföljelsen av aggressivt sinnade brottslingar som plötsligt fick information om alla flygningar och rörelser. Ett slags mordovorotas som väntar nära flygplatsen med slag och ackompanjemang i form av en showpresentation av påkostade betalda pseudo-supportrar av myndigheterna med flaggor och sång. I Ukraina kallades alla samtidigt titushki.
Varför är det så? Hur visste titushki om oppositionens flygningar? Det är enkelt: eftersom tillgången till basen för flygningar köps och säljs på samma sätt som tillgången till alla andra baser.
Leonid, jag vet att du är en IT-kille, om du plötsligt läser den här artikeln kommer jag att vara mycket glad om du delar den - mycket har skrivits under intrycket av ditt "moln".
En skeptisk läsare kanske tänker: du talar om oppositionella, det vill säga människor som representerar en viss politisk ståndpunkt, deras verksamhet är per definition full av risker. Och det kommer att vara fel: strafffrihet kan påverka alla. Du kan se skalan på data om oss som ligger på vägen med dina egna ögon.
Alla har en smartphone, alla har ett bankkonto, många använder bilar, många reser ofta med flyg, många har företag i efter Sovjetunionen. Oavsett din sociala status och politiska inriktning: du är i fara eftersom dina uppgifter inte skyddas av någon eller något, och brottslingar har helt fria händer. Vad som är spridd runt forum i form av kommersiella tillkännagivanden kan faktiskt tas emot "på samtal" av anslutna personer. Detta gäller i första hand Ryssland.
Många kommer ihåg fallet med Anton Uralsky 2008 och det utropade samtalet till internetleverantören Stream: "det fanns inte ett enda gap!" Alla skrattade sedan och trodde inte att de anställda hade begått ett brott genom att publicera en ljudinspelning av ett samtal med en klient på Internet. De begick det andra brottet genom att publicera Anton personuppgifter, som blev egendom för hundratals prankers som förstörde en persons liv.
Varför tror du att jag blev inspirerad av den här historien? För samma år 2008 lagades min personliga information oskamt ut av anställda hos internetleverantören Corbin.
Anledningen är värd en anekdot: administratörerna för Corbins lokala forum tyckte inte om några av mina publikationer, så en av dem matchade min ip-adress med den interna databasen och publicerade alla uppgifter om kontraktet, inklusive passdata och adressen till kommunikationstjänsten. Här, se, samma person, gå till honom och prata, kära forumanvändare. Lyckligtvis var publiken på forumet främst skolbarn och det lovade mig inte något dåligt. Vilken karikatur av moral: "vred aldrig administratören."
Administratören gjorde allt som ett skämt, precis som det: en sådan inställning till personuppgifter och lagar. När allt kommer omkring 2008 fanns det också lagar om personuppgifter, även om de inte var så detaljerade som i dag. Som ni ser har ingenting förändrats till det bättre på tio år, även om jämförbart mer papper har spenderats på lagar. Allt blev ännu mer kriminaliserat och gick till och med in i det kommersiella flödet med studien av alla medföljande bedrägliga "affärsprocesser". Där det fanns ett "skämt", direkt dumhet och små kriminella lutningar, finns det idag ekonomisk nytta, kalkylberäkning och en hel kriminell infrastruktur.
Jag har bott i Tyskland i 5 år och ser hela tiden den uppmärksamhet och omsorg som alla tyska myndigheter och kommersiella organisationer behandlar personuppgifter. Den första lagen i Tyskland i något arbete med människor: att skydda deras integritet och konfidentialitet. Varje gång jag känner denna oro för mig själv minns jag de anställda hos ryska internetoperatörer och jag vill beräkna hur många år de skulle ha tjänat i Tyskland för sina handlingar. Fram till nu skulle de inte ha kommit ut. Å andra sidan kunde en sådan situation helt enkelt inte uppstå: systemet skulle inte tillåta en ansvarslös, dum och oärlig person att få tillgång till uppgifter som är skyddade av lagen. Varsam, smart, men ändå oärlig - också.
efterord
Jag är säker på att de korrupta anställda i företag, banker, operatörer och avdelningar, ägarna och deltagarna i forumen, som jag skrev i allmänhet idag, läser Habr själva och definitivt kommer att läsa min artikel. Någon kommer att tänka "du, din skräp, spränga ämnen på allmänheten", som jag kommer att svara med en gång: du gör mycket dåliga saker, du begår ett brott, och jag tänker inte sjunga odes till det jag inte anser vara bra, och jag kommer inte heller att tystas om vad jag anser oacceptabelt.
I min artikel rörde jag bara på toppen av pyramiden, inte mer än 2% av hela sanningen. Genom att gräva vidare med tematiska resurser kan du hitta saker som kriminella "tjänster" för fjärrblockering av SIM-kort, avlyssning av sms, blockering av bankkonton, allomfattande förlamning av företagens arbete, vilket som helst kriminellt infall för pengarna. Överallt är antingen anställda vid avdelningar eller anställda på olika nivåer i kommersiella företag involverade.
Förresten, det finns ett antal intressanta "tjänster" med mobiloperatörer: bedrägerier använder sårbarheterna i mobilnätverk för att geo-placera alla användare som har kommit in på webbplatsen från mobilt Internet, för att ansluta betalda prenumerationer, och, särskilt för sig själva, helt och hållet att kringgå mobiltrafikbokföringen (detta är inte nonsens som distribution av Internet med stängd tethering och fullständig avstängning av redovisning som laddats ner till begränsade tariffer). Överraskande växer inte rötterna här från svarta nästan darknet-forum, utan från det välkända forumet w3bsit3-dns.com.
Jag gick inte djupt in på den svarta marknaden, det är för hal och motbjudande. Jag var bara intresserad av situationen med personuppgifter, som är katastrofala och inte ens begravda i djupet på den svarta marknaden, men ligger inom gångavstånd.
Det mesta av artikeln ägnades åt Ryssland, ryska organisationer och avdelningar. Läsare från Ukraina är förmodligen redan vana vid det faktum att på det ryskspråkiga Internet berör de flesta av de dåliga nyheterna vanligtvis deras nordliga granne. Tyvärr kan jag inte den här gången dela din optimism: erbjudandet av "tjänsterna" som beskrivs i artikeln i Ukraina är inte mindre än i Ryssland. Även prisnivån är densamma.
Enligt mina observationer finns det mycket färre förslag för Vitryssland och Kazakstan. Kanske han såg dåligt ut (för att vara ärlig, det är moraliskt svårt att vara på dessa resurser under lång tid), men poängen är helt klart inte en lägre brottsfrekvens. Enligt min mening är allt mycket mer prosaiskt: utbudet står i proportion till antalet invånare, eftersom det bor mycket färre människor i Vitryssland och Kazakstan än i Ryssland och Ukraina.
Ingen annanstans har jag sett erbjudanden om sådana "tjänster" i Europa, USA och andra utvecklade länder i världen. Maximumet är att bryta igenom de gemensamma databaserna (som Interpol), till vilken det finns tillgång från Ryssland. Uppenbarligen, eftersom lagarna i dessa länder inte bara är skrivna på papper, utan implementeras i praktiken. Lagar är inte för dekoration, showmanship och "plan uppfyllande."
Samtidigt, till vanliga ryska, ukrainska, vitryska och kazakiska småföretagare, kommer tillsynsbyråer gärna att utfärda böter för felaktig form av samtyckesformulär för behandling av personuppgifter, och de själva kommer att smälta samman med inte mindre nöje hela databasen där du, dina personuppgifter, uppgifterna om ditt företag, dina kunder och även din böter kommer att reflekteras perfekt.
Författare: Drebin89