Po vsem svetu si zdaj prizadevajo zagotoviti varnost osebnih podatkov. Tudi Rusija ne zaostaja, saj z navdušenjem uvaja desetine zakonov, stotine podzakonskih aktov in predpisov. Ali obstaja rezultat?
Moja preiskava bo pokazala, da so v Rusiji in na celotnem ozemlju nekdanje ZSSR zakoni tega področja, zapisani na papirju, zaman. Rezultati so grozni: dostop do osebnih podatkov posameznikov in pravnih oseb, bančnih skrivnosti, poslovnih skrivnosti nimajo le podjetja in vladni organi, temveč tudi vsi prevaranti. Vse se kupuje in prodaja za ceno od nekaj skodelic kave do nekaj pametnih telefonov srednjega razreda.
Nezadovoljne podrobnosti
V devetdesetih in 2000-ih so bili vsi moskovski trgi natrpani z diski baz podatkov. Baze prebivalcev, baze avtomobilov in lastnikov avtomobilov ter nato baze mobilnih operaterjev.
Ne vem, kakšne so razmere s kriminalno prodajo takšnih baz v Moskvi danes (v Rusiji že dolgo ne živim), vendar lahko z visoko mero zaupanja rečem, da bodo to bodisi zelo stare baze bodisi le drobne smeti sodobnih. Zdaj obseg oddelkov in informacij podjetij dosega petabajte in je v oblaku, zato je precej težko namestiti nekaj na običajni potrošniški medij, primeren za prodajo.
Danes se osebni podatki aktivno prodajajo na številnih forumih, kjer obstajajo prodajalci, kupci in celo celotni arbitražni sistemi, namenjeni reševanju morebitnih sporov med njimi. Goljufi so uspeli zgraditi zelo zmogljivo kriminalno infrastrukturo: forumi živijo življenje, teme imajo veliko pripomb in pregledov, obstajajo prepovedi za "prevare" in bonitetni sistemi za "preverjene".
Promocijski video:
"Na darknetu?" - si mislil. To ni ugibanje. Ta spletna mesta so v javni domeni in morda sploh ne bodo vključena v dolgo trpeči register Roskomnadzorja (kdo bi dvomil). Seveda imajo nekatera ogledala na darknetu, vendar so to le ogledala.
Članek se bo osredotočil posebej na ta spletna mesta in na tiste "storitve", ki ukinjajo popolnoma vsa nevihtna gibanja in okna za zaščito osebnih podatkov v zadnjih letih.
Prebivalce Khabrava bom prosil, da se vzdržijo objave povezav do teh virov, čeprav jih bodo mnogi morda poznali. Kdor išče, se bo znašel. Prvič, ne želim delati niti posrednega oglaševanja prevarantov. Drugič, lahko ogrozi obstoj tega članka. Tretjič, poanta ni v samem obstoju teh virov, temveč v dejstvu, da obstajajo državni pogoji, pod katerimi na splošno naštete "storitve" obstajajo.
Celični operaterji
Poglejte to sliko, tipičen forum, značilne storitve:
Imena "prodajalcev" in imena operaterjev so me skrivali. O operaterjih lahko sami uganite, v Rusiji jih ni toliko. Vsi se podajo brez izjeme.
Najbolj osnovno je prebijanje podatkov lastnika številke: polno ime, potni podatki, naslov. Kako bodo uporabljeni ti podatki, je odvisno le od domišljije prevaranta, ki mu bodo padli v roke.
Sledi zanimiv del. "Storitve" višje ravni: sledenje lokacije osebe na stolpih celic, zgodovina lokacij, podrobnosti klica, podrobnosti o sms-u. Na srečo vsaj ni zvočnih posnetkov klicev (morda nisem dobro gledal).
Zelo impresivno je videti, da lahko kateri koli prevarant dostopa do takšnih informacij. Še naprej je treba ugotoviti, ali se to uresničuje s pomočjo samih mobilnih operaterjev ali prek zunanjih vmesnikov, ki so morda nameščeni pri vladnih službah (sploh ne dvomim v obstoj takega).
Še enkrat pomislite, ko izdate kartico SIM za podatke o potnem listu ob nakupu. Mogoče je res bolje, da vzamete kartico SIM, ki je bila izdana za obiskovalca nogometaša iz srednje Azije? Iz znanih prodajnih mest niso izginili. S prenosom podatkov o potnem listu se identificirate ne le pred mobilnim operaterjem in vladnimi agencijami, ampak tudi pred vsakim kriminalcem, ki ne moti, da bi za vas porabil stroške par skodelic kave ali celo več.
Državni organi
Morda nič ne premaga količine podatkov, ki jih različne vladne službe poznajo o nas. Na tisoče zaposlenih ima dostop do njih, rezultate katerih si na forumih obilno ogledamo:
Po eni strani je jasna slika o tem, kakšne informacije imajo te službe o nas in s kakšno lahkoto zaposleni zberejo popolno dokumentacijo o kateri koli osebi. Po drugi strani še bolj slikovita slika z oljem: kateri koli prevarant lahko zbere popolnoma isto dokumentacijo.
Tipična cestna storitev:
Standardni primer vprašanja na vprašanje:
Standardno je tudi za različne oddelke:
Najbolj priljubljena je storitev raztovarjanja iz oporišč Magistral, Sirena, Granitsa, Migrant, Kronos, Spark, Potok in IBDR-IBDF. Takšnih imen prej sploh nisem poznal. Vse, kar fantazija doseže, tudi FIU, se prebije.
Banke
Ločena kategorija "storitev" je namenjena podrobnemu opisu bančnih računov in gibanju sredstev na njih. Del njih je specializiran za posamezne račune.
Toda še več - za pravne osebe. Tu se goljufije sprevržejo v prefinjene oblike industrijskega vohunjenja in dokončnega kriminala. Ne bom objavljal posnetkov zaslona, saj kriminalni "kompleks storitev" sega daleč preko puščanja podatkov.
Od kod izvirajo ta pošastna dejstva o množičnem kršenju ne le zakonov o osebnih podatkih, temveč tudi bančne tajnosti? Iskreno, res sem presenečen, da je korupcija tako razširjena. Zdi se, da je dovolj samo pogledati vse položaje, kjer ima zaposleni dostop do vsaj nekaterih podatkov o strankah - prevarant je lahko kdorkoli. Vprašanje je le, kam iščejo varnostne službe.
Zelo rad bi odkrito našteval imena najbolj krivih bank, vendar tega ne bom storil, saj bodo prvi na seznamu tisti, ki imajo korporacijske bloge na vozlišču, kar je polno blokade članka. Vsi poznajo poslovne barve teh bank. Po mojih opažanjih je manjša banka, manjša je verjetnost, da bo na forumih prišlo do goljufivih storitev.
Vse se kupuje in prodaja
V svoji preiskavi se praktično nisem dotaknil informacij, ki jih o nas zbirajo in združujejo verižne trgovine z elektroniko, oblačili in obutvijo, hrano in fitnes klubi. Vse to je tudi na prodaj, zato še enkrat razmislite, ali je ob izdaji drugega popusta ali klubske kartice vredno pustiti svoj pravi naslov in telefonsko številko.
Zanimivo dejstvo: uporabniške baze stavnic-forex-možnosti, storitve vidovnjakov-vedeževalcev-čarovnikov, kupcev prehranskih dopolnil, sredstva za hujšanje in povečanje potenciale se aktivno prodajajo. Ciljna publika teh specifičnih izdelkov se je tako izkristalizirala, da se te podatkovne baze spreminjajo v roke, se nenehno dopolnjujejo in posodabljajo. Posel je ravno ogromen.
Ni tako slabo, ko se osebni podatki, ki jih prostovoljno pustimo, združijo - bodite le previdni in jih ne pustite. Veliko slabše je, ko se podatki združijo, česar načeloma ne moremo zapustiti. Nakup SIM kartic brez potnega lista ne bo rešil vseh težav.
V letu 2017 sem bral publikacije ruskih opozicij (zlasti leonvola Leonida Volkova), ki se soočajo s preganjanjem agresivno mislečih kriminalcev, ki so nenadoma prejeli informacije o vseh poletih in premikih. Nekakšen mordovorotas, ki v bližini letališča čaka z ritmi in spremljavo v obliki razstavne predstavitve razkošno plačanih psevdoprijateljev oblasti z zastavami in napevi. V Ukrajini so jih vsi naenkrat skupaj poimenovali titushki.
Zakaj je tako? Kako so tituski vedeli za polete opozicije? Preprosto: ker se dostop do baze letov kupuje in prodaja na enak način kot dostop do vseh drugih baz.
Leonid, vem, da ste IT fant, če boste nenadoma prebrali ta članek, bom zelo vesel, če ga delite - veliko je bilo napisanega pod vtisom vašega "Oblaka".
Skeptični bralec bi si lahko mislil: govorite o opozicionistih, torej o ljudeh, ki predstavljajo določen politični položaj, njihovo delovanje je po definiciji prepredeno s tveganji. In narobe bo: kazenska brezpravnost lahko prizadene vsakogar. S svojimi očmi lahko vidite lestvico podatkov o nas, ki ležimo na cesti.
Vsi imajo pametni telefon, vsi imajo bančni račun, mnogi uporabljajo avtomobile, mnogi pogosto potujejo z letalom, mnogi imajo podjetja v post-ZSSR. Ne glede na vaš družbeni status in politično usmerjenost: v nevarnosti ste, ker vaših podatkov nihče ali nič ne ščiti, kriminalci pa imajo popolnoma proste roke. Kar je razpršeno po forumih v obliki komercialnih objav, dejansko lahko prejmejo povezani ljudje. V prvi vrsti to zadeva Rusijo.
Mnogi se bodo spomnili primera z Antonom Uralskim iz leta 2008 in objavljenega klica internetnemu ponudniku Stream: "ni bilo niti ene same vrzeli!" Vsi so se nato smejali, ne da bi pomislili, da so zaposleni storili kaznivo dejanje, tako da so na internetu objavili zvočni posnetek pogovora s stranko. Drugi zločin so storili tako, da so objavili Antonove osebne podatke, ki so postali last stotine prankerjev, ki so človeku uničili življenje.
Zakaj mislite, da me je navdihnila ta zgodba? Ker so istega leta 2008 svoje osebne podatke nenamerno postavili zaposleni pri internetnem ponudniku Corbin.
Razlog je vreden anekdote: skrbniki lokalnega foruma Korbinovsky nekaterih mojih publikacij niso marali, zato je ena izmed njih moj IP-naslov uskladila z notranjo bazo podatkov in objavila vse podatke pogodbe, vključno s podatki o potnem listu in naslovu komunikacijske službe. Poglejte, ista oseba, pojdite k njemu in se pogovorite, dragi uporabniki foruma. Na srečo je bilo občinstvo tega foruma predvsem šolarjev in to mi ni obetalo nič slabega. Kakšna karikatura morale: "nikoli ne jezite administratorja."
Administrator je vse naredil kot za šalo, takole: takšen odnos do osebnih podatkov in zakonov. Navsezadnje so bili leta 2008 tudi zakoni o osebnih podatkih, čeprav ne tako podrobni kot danes. Kot vidite, se v 10 letih ni nič spremenilo na bolje, čeprav je bilo za zakone porabljeno neprimerno več papirja. Vse je postalo še bolj kriminalizirano in je celo vstopilo v komercialni tok s preučevanjem vseh spremljajočih goljufivih "poslovnih procesov". Tam, kjer je nekoč obstajala "šala", odkrito neumnost in drobni kriminalni nagibi, je danes finančna korist, hladen izračun in celotna kriminalna infrastruktura.
Živim v Nemčiji že 5 let in nenehno opažam pozornost in skrb, s katero kateri koli nemški organ in komercialne organizacije obravnavajo osebne podatke. Prvi zakon v Nemčiji pri vsakem delu z ljudmi: varovanje njihove zasebnosti in zaupnosti. Vsakič, ko čutim to skrb pri sebi, se spomnim tistih zaposlenih ruskih internetnih operaterjev in želim izračunati, koliko let bi v Nemčiji služil za svoja dejanja. Do zdaj se ne bi izšlo. Po drugi strani se takšno stanje preprosto ne bi moglo pojaviti: sistem ne bi dopustil neodgovorni, neumni in nepošteni osebi, da bi pridobila dostop do podatkov, ki jih ščiti zakon. Preudarni, pametni, a vseeno nepošteni - preveč.
Pogovor
Prepričan sem, da bodo skorumpirani zaposleni v podjetjih, bankah, operaterjih in oddelkih, lastniki in udeleženci forumov, o katerih sem danes na splošno pisal, sami prebrali Habr in zagotovo bodo prebrali moj članek. Nekdo bo pomislil, "ti, bedak, v javnosti razburi teme", na kar bom odgovoril takoj: delaš zelo slabe stvari, storiš kaznivo dejanje in ne nameravam peti omile, kar se mi ne zdi dobro, niti ne bom molčal o tem, kar se mi zdi nesprejemljivo.
V svojem članku sem se dotaknil le vrha piramide, največ 2% celotne resnice. Kopate še tematske vire, najdete takšne stvari, kot so kriminalne "storitve" za daljinsko blokiranje kartic SIM, prestrezanje sms-ov, blokiranje bančnih računov, vsestranska ohromelost dela podjetij, kakršna koli kriminalna muhavost za vaš denar. Povsod so vključeni bodisi zaposleni v oddelkih bodisi zaposleni na različnih ravneh v komercialnih podjetjih.
Mimogrede, obstaja kar nekaj zanimivih "storitev" z mobilnimi operaterji: goljufi uporabljajo ranljivosti mobilnih omrežij, da geolocirajo vse uporabnike, ki so na spletno mesto vstopili z mobilnega interneta, povežejo plačljive naročnine in predvsem zase - da popolnoma zaobidejo knjigovodstvo mobilnega prometa (to ni neumnost kot distribucija interneta z zaprtim privezovanjem in popolno onemogočanje računovodstva, ki se naloži po omejenih tarifah). Presenetljivo je, da korenine tukaj ne rastejo iz črnih forumov blizu teme, ampak iz dobro znanega foruma w3bsit3-dns.com.
Nisem se poglabljal na črni trg, preveč je spolzek in ogaben. Zanimala me je le situacija z osebnimi podatki, ki je katastrofalna in sploh ni zakopana v globini črnega trga, ampak je v hoji.
Večji del članka je bil namenjen Rusiji, ruskim organizacijam in oddelkom. Bralci iz Ukrajine so verjetno že navajeni na dejstvo, da na ruskem jeziku internet večina slabih novic običajno zadeva njihovega severnega soseda. Žal tokrat ne morem deliti vašega optimizma: ponudba "storitev", opisanih v članku, je v Ukrajini na nižji ravni kot v Rusiji. Tudi cena je enaka.
Po mojih opažanjih je Belorusije in Kazahstana veliko manj predlogov. Mogoče je bil videti slabo (če sem iskren, moralno je težko biti na teh virih dlje časa), vendar bistvo ni v nižji stopnji kriminala. Po mojem mnenju je vse veliko bolj prozaično: oskrba je sorazmerna s številom prebivalcev, saj v Belorusiji in Kazahstanu živi veliko manj ljudi kot v Rusiji in Ukrajini.
Nikjer drugje v Evropi, ZDA in drugih razvitih državah sveta še nisem videl ponudb takšnih "storitev". Največ je preboj skupnih baz podatkov (kot je Interpol), do katerih je dostop iz Rusije. Očitno zato, ker zakoni v teh državah niso napisani samo na papirju, ampak se izvajajo v praksi. Zakoni niso za okras, predstavitev in "načrtovanje".
Medtem bodo navadni ruski, ukrajinski, beloruski in kazahstanski lastniki malih podjetij nadzorne agencije z veseljem izdale denarno kazen zaradi napačne oblike obrazca soglasja za obdelavo osebnih podatkov, same pa bodo z nič manj užitka združile celotno bazo podatkov, v kateri vi, vaši osebni podatki, podatki vašega podjetja, vaše stranke in tudi vaša globa se bo odlično odražala.
Avtor: Drebin89