Главная » Хабрахабр » Наши с вами персональные данные ничего не стоят

Наши с вами персональные данные ничего не стоят

Во всем мире сейчас принимается много усилий с целью обеспечить безопасность персональных данных. Россия тоже не отстает, с энтузиазмом внедряя десятки законов, сотни подзаконных актов и регламентов. Есть ли результат?

Итоги ужасны: доступ к персональным данным физических и юридических лиц, банковской тайне, коммерческой тайне, имеют не только компании и государственные ведомства, но и любые мошенники. Проведенное мною расследование покажет, что в России и на всем пространстве бывшего СССР написанные на бумаге законы этой области тщетны. Все покупается и продается за цену уровня от пары чашек кофе до пары средних смартфонов.

Базы жителей, базы автомобилей и автовладельцев, потом и базы операторов сотовой связи. Неутешительные подробности под катом.
В девяностые и нулевые все рынки Москвы были забиты дисками с базами данных.

Сейчас объемы ведомственной и корпоративной информации доходят до петабайт и находится в cloud, так что уместить что-либо на обычный бытовой носитель, пригодный для продажи, дело достаточно сложное. Не знаю, как сегодня ситуация с криминальной продажей таких баз в Москве (давно не живу в России), но могу сказать с большой долей уверенности, что это будут либо очень старые базы, либо лишь фрагментарные дампы современных.

Мошенники умудрились построить очень мощную криминальную инфраструктуру: форумы живут жизнью, темы имеют много комментариев и отзывов, есть баны за «кидки» и системы рейтинга для «проверенных». Сегодня персональные данные активно продаются на ряде форумов, где есть продавцы, покупатели и даже целые системы арбитража, призванные разрешать возможные споры между оными.

Вот и не угадали. «В даркнете?» — подумали вы. Конечно, некоторые из них действительно имеют зеркала в даркнете, но это лишь зеркала. Эти сайты находятся в публичном доступе и даже могут быть не внесены в многострадальный реестр Роскомнадзора (кто бы сомневался).

Речь в статье пойдет именно об этих сайтах и о тех «услугах», которые перечеркивают абсолютно всю бурную государственную движуху-показуху вокруг защиты персональных данных в последние годы.

Кто ищет — тот сам найдет. Попрошу хабравчан воздержаться от публикации ссылок на данные ресурсы, хоть они и могут быть многим известны. Во-вторых — это может поставить под удар существование данной статьи. Во-первых, не хочу делать даже косвенную рекламу мошенникам. В-третьих, дело не в самом существовании этих ресурсов, а в том, что имеют место быть такие государственные условия, в рамках которых перечисленные «услуги» вообще существуют.

Посмотрите на эту картину, типичный форум, типичные услуги:

Об операторах вы догадаетесь сами, в России их не так много. Мною были скрыты имена «продавцов» и названия операторов. Пробиваются все без исключения.

Как эти данные будут использоваться — зависит только от фантазии мошенника, к которому в руки они попадут. Самое базовое — это пробив данных владельца номера: ФИО, паспортные данные, адрес.

«Услуги» более высокого уровня: отслеживание местоположения человека по вышкам сотовой связи, история местоположений, детализация звонков, детализация sms. Далее уже интересное. К счастью, хоть звукозаписей звонков нет (может, я плохо смотрел).

Остается догадываться, реализуется это средствами самих сотовых операторов, либо через внешние интерфейсы, которые могут находятся у государственных служб (в существовании таких я даже не сомневаюсь). Очень впечатляет наблюдать, что любой мошенник может получить доступ к такой информации.

Может быть и правда лучше взять симку, оформленную на noname-приезжего из Средней Азии? Лишний раз подумайте, оформляя сим-карту на свои паспортные данные при покупке. Передавая паспортные данные, вы идентифицируете себя не только перед сотовым оператором и государственным органами, но и перед любым преступником, которому не жалко потратить на вас стоимость пары чашек кофе, а то и чего побольше. Из известных мест продажи они никуда не исчезали.

Пожалуй, ничто не сравнится с объемами данных, которые известны о нас различным государственным ведомствам. Тысячи сотрудников имеют к ним доступ, результаты чего обильно просматриваются на форумах:

С другой стороны еще более живописная картина маслом: любой мошенник может собрать точно такое же досье. С одной стороны, вырисовывается четкая картина, какой информацией о нас обладают эти ведомства и с какой легкостью сотрудники могут собрать полное досье на любого человека.

Типичная услуга по автотранспорту:

Стандартный пример вопрос-ответ:

Еще стандартно по разным ведомствам:

Я даже таких названий раньше не знал. Наибольшей популярностью пользуется услуга выгрузки из баз Магистраль, Сирена, Граница, Мигрант, Кронос, Спарк, Поток, комплексных баз ИБДР-ИБДФ. Пробивается все, до чего дойдет фантазия, даже ПФР.

Отдельная категория «услуг» посвящена детализации банковских счетов и движению средств на них. Часть специализируется по счетам физических лиц.

Здесь мошенничество переходит в изощренные формы промышленного шпионажа и откровенного криминала. Но еще больше — по юридическим лицам. Скриншоты выкладывать не буду, так как криминальный «комплекс услуг» выходит сильно за рамки утечек данных.

Честно, я реально удивляюсь, что коррупция настолько повальная. Откуда берутся эти чудовищные факты массового нарушения не то что бы законов о персональных данных, а о банковской тайне? Вопрос лишь в том, куда смотрят службы безопасности. Похоже, достаточно просто посмотреть все должности, где сотрудник имеет доступ к хоть каким-то данным клиентов — мошенник может находиться на любой.

Фирменные цвета этих банков тоже все знают. Мне очень сильно хотелось бы перечислить наименования самых проштрафившихся банков открыто, но я не буду это делать, так как первыми в списке окажутся те, которые имеют на хабре корпоративные блоги, что чревато блокировкой статьи. По моим наблюдениям, чем меньше банк — тем меньше вероятность того, что на форумах будут касающиеся его мошеннические услуги.

В своем расследовании я практически не касался информации, которая собирается и сливается о нас сетевыми магазинами электроники, одежды и обуви, питания, фитнес-клубами. Все это тоже продается, так что лишний раз подумайте, стоит ли оставлять реальный адрес и номер телефона, оформляя очередную дисконтную или клубную карту.

Целевые аудитории этих специфичных продуктов настолько кристаллизовались, что эти базы переходят из рук в руки, постоянно дополняются и поддерживаются в актуальном состоянии. Любопытный факт: активно продаются базы пользователей букмекеров-форексов-опционов, услуг экстрасенсов-гадалок-ворожей, покупателей БАД-ов, средств для похудания и повышения потенции. Бизнес просто огромный по своему масштабу.

Гораздо хуже, когда сливаются те данные, не оставить которые мы в принципе не можем. Не так плачевно, когда сливаются персональные данные, которые мы оставляем добровольно — просто соблюдай меры осторожности и не оставляй их. Покупкой сим-карт без паспорта все проблемы не решишь.

Этакие ждущие возле аэропорта мордовороты с битами и аккомпанементом в виде шоу-представления щедро оплаченных псевдосторонников власти с флагами и кричалками. В 2017 году я читал публикации российских оппозиционеров (в частности, Леонида Волкова leonwolf), которые столкнулись с преследованием агрессивно настроенных криминальных элементов, внезапно получивших информацию обо всех перелетах и передвижениях. В Украине их всех в свое время обобщенно называли титушками.

Откуда титушки узнали про перелеты оппозиционеров? Почему так? Все просто: потому, что доступ к базе перелетов покупается и продается так же, как и доступ ко всем остальным базам.

(Леонид, знаю что ты IT-шник, если вдруг прочитаешь эту статью, буду очень рад, если расшаришь — многое написано под впечатлением твоего «Облака»)

И будет неправ: криминальный беспредел может коснуться каждого. Скептический читатель может подумать: ты же говоришь про оппозиционеров, то есть людей, которые представляют определенную политическую позицию, их деятельность по определению сопряжена с рисками. Масштабы данных о нас, которые валяются на дороге, вы видите своими глазами.

Вне зависимости от вашего социального статуса и политической ориентации: вы в опасности потому, что ваши данные никем и ничем не защищены, а у преступников абсолютно развязаны руки. У каждого есть смартфон, у каждого есть счет в банке, многие пользуются авто, многие часто перемещаются авиатранспортом, у многих бизнес на просторах пост-СССР. России это касается в первую очередь. То, что раскидано по форумам в виде коммерческих объявлений, на самом может деле быть получено «по звонку» имеющими связи людьми.

Второе преступление они совершили, выложив и персональные данные Антона, которые стали достоянием сотен пранкеров, испортивших человеку жизнь. Многие вспомнят случай с Антоном Уральским в 2008 году и выложенным звонком интернет-провайдеру Стрим: «не было не единого разрыва!» Все тогда посмеялись, не задумавшись, что сотрудники совершили преступление, выложив аудиозапись разговора с клиентом в интернет.

Потому, что в том же 2008 году мои собственные персональные данные были без зазрения совести выложены сотрудниками интернет-провайдера Корбина. Как думаете, почему я проникся этой историей?

Вот, смотрите, тот самый человек, сходите к нему и поговорите, дорогие форумчане. Причина достойна анекдота: админам корбиновского локального форума не понравились некоторые мои публикации, поэтому кто-то из них сопоставил мой ip-адрес с внутренней базой и выложил все данные договора, включая паспортные данные и адрес предоставления услуги связи. Какая карикатура на мораль: «никогда не зли админа». К счастью, аудиторией того форума были преимущественно школьники и ничем плохим мне это не сулило.

Ведь тогда, в 2008 году, тоже были законы о персональных данных, хоть и не такие подробные, как сегодня. Админ сделал все в виде шутки, просто так: такое отношение к персональным данным и законам. Все еще сильнее криминализовалось и даже встало на коммерческий поток с проработкой всех сопутствующих мошеннических «бизнес-процессов». Как видите, за 10 лет ничего в лучшую сторону не изменилось, хоть и бумаги на законы потрачено несравненно больше. Где раньше был «прикол», откровенная глупость и мелкокриминальные наклонности, сегодня финансовая выгода, холодный расчет и целая криминальная инфраструктура.

Первый закон в Германии в любой работе с людьми: беречь их приватность и конфиденциальность. Я живу в Германии 5 лет и постоянно вижу то внимание и заботу, с которыми любые германские ведомства и коммерческие организации относятся к персональным данным. До сих пор бы не вышли. Каждый раз, ощущая эту заботу на себе, я вспоминаю тех сотрудников российских интернет-операторов и мне хочется посчитать, сколько лет они бы отсидели в Германии за свои поступки. Расчетливому, умному, но все равно нечестному — тоже. С другой стороны, подобной ситуации попросту не могло бы возникнуть: система не позволила бы безответственному, глупому и нечестному человеку получить доступ к данным, охраняемых законом.

Уверен, что коррумпированные сотрудники фирм, банков, операторов и ведомств, владельцы и участники форумов, про которых я обобщенно сегодня написал, сами читают хабр и обязательно прочитают мою статью. Кто-то подумает «ты, негодяй, палишь темы на публику», на что отвечу сразу: вы занимаетесь очень плохими вещами, вы совершаете уголовное преступление, а я не намерен петь оды тому, что не считаю благом, равно как и не стану умалчивать о том, что считаю неприемлемым.

Копая тематические ресурсы дальше, можно найти такие вещи, как криминальные «услуги» по удаленной блокировке сим-карт, перехвату sms, блокировке банковских счетов, всесторонней парализации работы компаний, любой криминальный каприз за ваши деньги. В своей статье я затронул лишь вершину пирамиды, не более 2% всей правды. Везде замешаны либо сотрудники ведомств, либо сотрудники разного звена в коммерческих компаниях.

На удивление, корни тут растут отнюдь не с черных около-даркнетных форумов, а со всем известного в рунете форума 4pda. Кстати, с мобильными операторами есть еще ряд любопытнейших «услуг»: мошенники используют уязвимости сотовых сетей с целью геопозиционирования всех зашедших на сайт с мобильного интернета пользователей, подключения платных подписок, и сугубо для себя — полного обхода учета мобильного трафика (речь не о ерунде вроде раздачи интернета при закрытом tethering, а полном отключения учета скачанного на лимитированных тарифах).

Меня интересовала лишь ситуация с персональными данными, которая катастрофическая и даже не то чтобы в глубинах черного рынка закопана, а находится в шаговой доступности. Вдаваться вглубь черного рынка я не стал, это слишком скользко и противно.

Читатели из Украины наверняка уже привыкли, что в русскоязычном интернете большинство плохих новостей обычно касается их северного соседа. Большая часть статьи была посвящена России, российским организациям и ведомствам. Даже уровень цен такой же. К сожалению, на этот раз не смогу разделить вашего оптимизма: предложение описанных в статье «услуг» по Украине находится на ничуть не меньшем уровне, чем по России.

Может быть, плохо искал (честно признаюсь, долго находиться на этих ресурсах морально тяжело), но дело явно не в более низком уровне преступности. По моим наблюдениям, сильно меньше предложений по Беларуси и Казахстану. На мой взгляд, все гораздо прозаичнее: предложение пропорционально численности жителей, ведь в Беларуси и Казахстане живет людей сильно меньше, чем в России и Украине.

Максимум — пробив по общим базам (вроде Интерпола), к которым имеется доступ из России. Нигде я не видел предложений подобных «услуг» по Европе, США и другим развитым странам мира. Законы — не для декорации, показухи и «выполнения плана». Очевидно потому, что законы в этих странах не только написаны бумаге, а исполняются на практике.

Тем временем простым российским, украинским, беларуским и казахстанским владельцам малого бизнеса надзорные ведомства с удовольствием выпишут штраф за неправильную форму бланка согласия на обработку персональных данных, а сами с не меньшим удовольствием сольют всю базу, в которой вы, ваши персональные данные, данные вашего бизнеса, ваших клиентов, и даже ваш штраф будут отлично отражены.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Что должна сделать читалка, чтобы вы читали больше?

Обычно это никак не влияет на проблему, но становится легче.Так вот, однажды мне подарили читалку. Я дизайнер интерфейсов, и когда меня бесят вещи, я рисую им новый интерфейс. Учитывать медленный экран По ощущениям, отклик читалки в 3-4 раза дольше, чем у смартфона. ...

LDraw + Unity. Как я Lego генерировал

Всех с наступающим! Меня зовут Гриша, и я основатель CGDevs. Уже не за горами праздники, кто-то уже нарядил ёлку, поел мандаринов и во всю заряжается новогодним настроением. Но сегодня речь пойдёт не об этом. Сегодня мы поговорим про замечательный формат ...