Auf der ganzen Welt werden derzeit große Anstrengungen unternommen, um die Sicherheit personenbezogener Daten zu gewährleisten. Russland ist auch nicht weit dahinter und führt mit Begeisterung Dutzende von Gesetzen, Hunderten von Statuten und Vorschriften ein. Gibt es ein Ergebnis?

Meine Untersuchung wird zeigen, dass in Russland und in der gesamten ehemaligen UdSSR die auf Papier geschriebenen Gesetze dieses Gebiets vergeblich sind. Die Ergebnisse sind schrecklich: Nicht nur Unternehmen und Regierungsabteilungen, sondern auch Betrüger haben Zugriff auf personenbezogene Daten von Personen und juristischen Personen, Bankgeheimnisse und Geschäftsgeheimnisse. Alles wird zu einem günstigen Preis gekauft und verkauft, von ein paar Tassen Kaffee bis zu ein paar mittelgroßen Smartphones.



Enttäuschende Details unter dem Schnitt.

In den neunziger und null Jahren waren alle Märkte in Moskau mit Datenträgern mit Datenbanken verstopft. Die Basis der Bewohner, die Basis der Autos und Autobesitzer, dann die Basis der Mobilfunkbetreiber.

Ich weiß nicht, wie die Situation heute mit dem kriminellen Verkauf solcher Stützpunkte in Moskau ist (ich habe lange nicht in Russland gelebt), aber ich kann mit großer Sicherheit sagen, dass dies entweder sehr alte Stützpunkte oder nur fragmentarische Deponien moderner Stützpunkte sein werden. Jetzt erreicht das Volumen der Abteilungs- und Unternehmensinformationen Petabyte und befindet sich in der Cloud. Daher ist es ziemlich kompliziert, etwas auf ein normales Haushaltsmedium zu stellen, das zum Verkauf geeignet ist.

Heutzutage werden personenbezogene Daten in einer Reihe von Foren aktiv verkauft, in denen es Verkäufer, Käufer und sogar ganze Schiedsverfahren gibt, um mögliche Streitigkeiten zwischen ihnen beizulegen. Betrügern ist es gelungen, eine sehr mächtige kriminelle Infrastruktur aufzubauen: Foren leben ihr Leben, Themen haben viele Kommentare und Bewertungen, es gibt Verbote für „Kinder“ und Bewertungssysteme für „verifizierte“.

"Darknet?" - Du hast gedacht. Das wird nicht erraten. Diese Websites sind öffentlich zugänglich und werden möglicherweise nicht einmal in das lange leidende Register von Roskomnadzor aufgenommen (wer würde das bezweifeln). Natürlich haben einige von ihnen Spiegel im Darknet, aber dies sind nur Spiegel.

Der Artikel wird speziell diesen Websites und den „Diensten“ gewidmet sein, die das turbulente staatliche Modell zum Schutz personenbezogener Daten in den letzten Jahren durchkreuzen.

Ich werde die Einwohner von Chabarowsk bitten, keine Links zu diesen Ressourcen zu veröffentlichen, obwohl sie vielen bekannt sein mögen. Wer sucht, wird sich selbst finden. Erstens möchte ich Betrügern nicht einmal indirekte Werbung machen. Zweitens könnte dies die Existenz dieses Artikels gefährden. Drittens liegt der Punkt nicht in der Existenz dieser Ressourcen, sondern in der Tatsache, dass es solche staatlichen Bedingungen gibt, unter denen die aufgeführten „Dienstleistungen“ im Allgemeinen existieren.

Mobilfunkbetreiber

Schauen Sie sich dieses Bild an, ein typisches Forum, typische Dienste:



Ich habe die Namen von "Verkäufern" und die Namen von Betreibern versteckt. Sie werden die Betreiber selbst erraten, es gibt nicht viele von ihnen in Russland. Jeder bricht ausnahmslos durch.

Am grundlegendsten ist es, die Daten des Eigentümers der Nummer zu durchbrechen: Name, Passdaten, Adresse. Wie diese Daten verwendet werden, hängt nur von der Vorstellungskraft des Betrügers ab, dem sie in die Hände fallen.



Weiter schon interessant. "Dienste" einer höheren Ebene: Verfolgung des Standorts einer Person auf Mobilfunkmasten, Standortverlauf, Anrufdetails, SMS-Details. Zum Glück, obwohl es keine Tonaufnahmen gibt (vielleicht habe ich nicht gut ausgesehen).



Es ist sehr beeindruckend zu beobachten, dass jeder Betrüger Zugang zu solchen Informationen erhalten kann. Es bleibt abzuwarten, ob dies durch die Mobilfunkbetreiber selbst oder über externe Schnittstellen implementiert wird, die sich möglicherweise bei öffentlichen Diensten befinden (ich bezweifle nicht einmal die Existenz solcher Dienste).

Denken Sie noch einmal darüber nach, wie Sie beim Kauf eine SIM-Karte in Ihren Passdaten ausstellen. Vielleicht ist es wirklich besser, eine SIM-Karte zu nehmen, die für einen Nicht-Namen-Besucher aus Zentralasien ausgestellt wurde? Sie verschwanden nicht aus bekannten Verkaufsstellen. Durch die Übermittlung von Passdaten identifizieren Sie sich nicht nur mit dem Mobilfunkbetreiber und den Regierungsbehörden, sondern auch mit jedem Kriminellen, dem es nicht leid tut, die Kosten für ein paar Tassen Kaffee für Sie oder noch mehr auszugeben.

Regierungsstellen

Vielleicht ist nichts vergleichbar mit den Datenmengen, die verschiedenen Regierungsabteilungen über uns bekannt sind. Tausende von Mitarbeitern haben Zugang zu ihnen, deren Ergebnisse in den Foren reichlich eingesehen werden:





Einerseits ergibt sich ein klares Bild davon, welche Informationen diese Agenturen über uns haben und mit welcher Leichtigkeit Mitarbeiter für jede Person ein vollständiges Dossier zusammenstellen können. Auf der anderen Seite ein noch malerischeres Ölgemälde: Jeder Betrüger kann genau das gleiche Dossier sammeln.

Typischer Kraftfahrzeugservice:



Standard-Q & A-Beispiel:



Immer noch Standard für verschiedene Abteilungen:



Am beliebtesten ist der Entladedienst von Magistral, Sirene, Border, Migrant, Kronos, Spark, Potok und den integrierten IBDR-IBDF-Stützpunkten. Ich kannte solche Namen vorher nicht einmal. Es durchbricht all diese Fantasien, sogar die FIU.

Banken

Eine separate Kategorie von „Dienstleistungen“ befasst sich mit der Detaillierung von Bankkonten und der Bewegung von Geldern auf diesen. Teil ist spezialisiert auf Konten von Einzelpersonen.





Aber noch mehr - für juristische Personen. Hier geht Betrug in raffinierte Formen von Industriespionage und regelrechter Kriminalität über. Ich werde keine Screenshots hochladen, da das kriminelle „Paket von Diensten“ weit über Datenlecks hinausgeht.

Woher kommen diese monströsen Tatsachen der Massenverletzung, nicht nur über Gesetze zu personenbezogenen Daten, sondern auch über das Bankgeheimnis? Ehrlich gesagt bin ich wirklich überrascht, dass Korruption so weit verbreitet ist. Es sieht so aus, als würde man einfach alle Stellen betrachten, auf die der Mitarbeiter Zugriff auf mindestens einige Kundendaten hat - der Betrüger kann sich auf einer beliebigen befinden. Die Frage ist nur, wohin die Sicherheitsdienste suchen.

Ich würde sehr gerne die Namen der am meisten bestraften Banken offen auflisten, aber ich werde dies nicht tun, da der erste in der Liste diejenigen sein wird, die Unternehmensblogs auf dem Hub haben, was mit der Blockierung des Artikels behaftet ist. Die Unternehmensfarben dieser Banken wissen auch alles. Nach meinen Beobachtungen ist es umso unwahrscheinlicher, dass in den Foren betrügerische Dienstleistungen angeboten werden, je kleiner die Bank ist.

Absolut alles wird zum Verkauf angeboten und gekauft

Bei meinen Nachforschungen habe ich praktisch nicht auf die Informationen eingegangen, die von Filialisten für Elektronik, Kleidung und Schuhe, Lebensmittel und Fitnessclubs über uns gesammelt und zusammengeführt werden. All dies steht auch zum Verkauf. Überlegen Sie also noch einmal, ob Sie eine echte Adresse und Telefonnummer hinterlassen und einen weiteren Rabatt oder eine Clubkarte ausstellen möchten.

Eine merkwürdige Tatsache: Die Nutzerbasis von Buchmachern, Forex-Optionen, aktiv verkauften Hellsehern, Wahrsagern, Wahrsagern, Käufern von Nahrungsergänzungsmitteln, Mitteln zum Abnehmen und zur Steigerung der Potenz verkaufen sich aktiv. Die Zielgruppen dieser spezifischen Produkte haben sich so stark herauskristallisiert, dass diese Basen den Besitzer wechseln, ständig aktualisiert und gewartet werden. Das Geschäft ist einfach riesig.



Es ist nicht so bedauerlich, wenn die persönlichen Daten, die wir freiwillig hinterlassen, zusammengeführt werden. Befolgen Sie einfach die Vorsichtsmaßnahmen und hinterlassen Sie sie nicht. Es ist viel schlimmer, wenn diese Daten zusammengeführt werden, was wir grundsätzlich nicht belassen können. Der Kauf von SIM-Karten ohne Reisepass löst nicht alle Probleme.

2017 las ich die Veröffentlichungen der russischen Opposition (insbesondere Leonid Volkov leonwolf ), die mit der Verfolgung aggressiver krimineller Elemente konfrontiert waren und plötzlich Informationen über alle Flüge und Bewegungen erhielten. Eine Art Mündungswechsel wartet in der Nähe des Flughafens mit Beats und Begleitung in Form einer Showpräsentation von großzügig bezahlten Pseudo-Unterstützern der Macht mit Flaggen und Gesängen. In der Ukraine wurden alle gleichzeitig Tanten genannt.

Warum so? Wie haben die Tanten von den Flügen der Opposition erfahren? Es ist ganz einfach: Der Zugriff auf die Flugdatenbank wird genauso gekauft und verkauft wie der Zugriff auf alle anderen Stützpunkte.





(Leonid, ich weiß, dass Sie eine IT-Person sind. Wenn Sie diesen Artikel plötzlich lesen, würde ich mich sehr freuen, wenn Sie ihn teilen - unter dem Eindruck Ihrer „Cloud“ wurde viel geschrieben.)

Ein skeptischer Leser könnte denken: Sie sprechen von der Opposition, dh von Menschen, die eine bestimmte politische Position vertreten, deren Aktivitäten per Definition mit Risiken behaftet sind. Und es wird falsch sein: Strafrechtlichkeit kann jeden betreffen . Den Umfang der Daten über uns, die auf der Straße liegen, sehen Sie mit eigenen Augen.

Jeder hat ein Smartphone, jeder hat ein Bankkonto, viele benutzen Autos, viele reisen oft mit dem Flugzeug, viele haben Geschäfte in der Post-UdSSR. Unabhängig von Ihrem sozialen Status und Ihrer politischen Ausrichtung: Sie sind in Gefahr, weil Ihre Daten von niemandem oder irgendetwas geschützt werden und die Kriminellen absolut freie Hände haben. Was in Form von kommerziellen Ankündigungen in den Foren verstreut ist, kann tatsächlich „per Anruf“ von Personen mit Verbindungen empfangen werden. Dies betrifft in erster Linie Russland.

Viele werden sich an den Fall von Anton Uralsky im Jahr 2008 und den geplanten Aufruf an den Internetprovider Stream erinnern: „Es gab keine einzige Lücke!“ Alle lachten und dachten nicht, dass die Mitarbeiter ein Verbrechen begangen hatten, indem sie eine Audioaufnahme eines Gesprächs mit einem Kunden im Internet veröffentlichten. Sie begingen das zweite Verbrechen, indem sie Antons persönliche Daten veröffentlichten, die Eigentum von Hunderten von Streichern wurden, die das Leben einer Person ruinierten.

Warum bin ich auf diese Geschichte gekommen? Denn im selben Jahr 2008 wurden meine persönlichen Daten von den Mitarbeitern des Internetproviders Corbin nicht geschützt.

Der Grund ist den Witz wert: Die Administratoren des lokalen Korbin-Forums mochten einige meiner Veröffentlichungen nicht, daher verglich einer von ihnen meine IP-Adresse mit der internen Datenbank und legte alle Vertragsdaten einschließlich der Passdaten und der Adresse für die Bereitstellung von Kommunikationsdiensten an. Hier, schau, derselbe Mann, geh zu ihm und rede, liebe Forumbenutzer. Glücklicherweise bestand das Publikum dieses Forums hauptsächlich aus Schulkindern und es versprach mir nichts Schlechtes. Was für eine Karikatur der Moral: "Niemals ist der Administrator wütend."

Der Administrator hat einfach alles in Form eines Witzes gemacht: diese Einstellung zu personenbezogenen Daten und Gesetzen. Schließlich gab es 2008 auch Gesetze zu personenbezogenen Daten, wenn auch nicht so detailliert wie heute. Wie Sie sehen, hat sich in 10 Jahren nichts zum Besseren gewendet, obwohl viel mehr für Gesetze ausgegeben wurde. Noch kriminalisierter und sogar kommerzieller mit der Untersuchung aller damit verbundenen betrügerischen "Geschäftsprozesse". Wo es früher einen „Witz“, völlige Dummheit und kleinliche kriminelle Neigungen gab, gibt es heute finanziellen Gewinn, kalte Berechnungen und eine ganze kriminelle Infrastruktur.

Ich lebe seit 5 Jahren in Deutschland und sehe ständig die Aufmerksamkeit und Sorgfalt, mit der deutsche Abteilungen und Handelsorganisationen mit personenbezogenen Daten umgehen. Das erste Gesetz in Deutschland bei der Arbeit mit Menschen ist der Schutz ihrer Privatsphäre und Vertraulichkeit. Jedes Mal, wenn ich diese Sorge auf mich selbst spüre, erinnere ich mich an die Mitarbeiter russischer Internetbetreiber und möchte berechnen, wie viele Jahre sie für ihre Aktionen in Deutschland gedient hätten. Würde immer noch nicht rauskommen. Andererseits hätte eine solche Situation einfach nicht entstehen können: Das System hätte einer verantwortungslosen, dummen und unehrlichen Person nicht erlaubt, auf gesetzlich geschützte Daten zuzugreifen. Rechnerisch, klug, aber trotzdem unehrlich.

Nachwort

Ich bin sicher, dass die korrupten Mitarbeiter von Unternehmen, Banken, Betreibern und Abteilungen, Eigentümer und Teilnehmer der Foren, über die ich heute allgemein geschrieben habe, selbst das Habr lesen und meinen Artikel unbedingt lesen. Jemand wird denken: "Du Schlingel, du redest über das Thema", ich werde sofort antworten: Du tust sehr schlechte Dinge, du begehst eine Straftat und ich habe nicht die Absicht, Oden zu singen, was ich nicht für gut halte, noch werde ich schweigen über das, was ich für inakzeptabel halte.

In meinem Artikel habe ich nur die Spitze der Pyramide berührt, nicht mehr als 2% der gesamten Wahrheit. Wenn Sie die thematischen Ressourcen weiter ausgraben, finden Sie beispielsweise kriminelle „Dienste“, mit denen Sie SIM-Karten aus der Ferne blockieren, SMS abfangen, Bankkonten sperren, die Arbeit von Unternehmen vollständig lähmen und jede kriminelle Laune um Ihr Geld haben können. Überall waren entweder Mitarbeiter von Abteilungen oder Mitarbeiter unterschiedlicher Ebenen in Handelsunternehmen beteiligt.

Übrigens gibt es bei Mobilfunkbetreibern immer noch eine Reihe interessanter „Dienste“: Betrüger nutzen die Schwachstellen von Mobilfunknetzen, um alle Benutzer zu lokalisieren, die die Website über das mobile Internet besucht haben, kostenpflichtige Abonnements zu verbinden und nur für sich selbst - die Buchhaltung für den mobilen Verkehr vollständig zu umgehen (es geht nicht um Müll Internetverteilung mit geschlossenem Tethering und vollständiger Deaktivierung der zu begrenzten Raten heruntergeladenen Buchhaltung). Überraschenderweise wachsen die Wurzeln hier keineswegs aus schwarzen, fast dunklen Foren, sondern mit allem, was im Forum w3bsit3-dns.com bekannt ist.

Ich bin nicht tief in den Schwarzmarkt gegangen, er ist zu rutschig und böse. Ich war nur an der Situation mit personenbezogenen Daten interessiert, die katastrophal ist und nicht einmal in den Tiefen des Schwarzmarkts vergraben ist, sondern zu Fuß erreichbar ist.

Der größte Teil des Artikels war Russland, russischen Organisationen und Abteilungen gewidmet. Leser aus der Ukraine sind wahrscheinlich bereits daran gewöhnt, dass im russischsprachigen Internet die meisten schlechten Nachrichten normalerweise ihren nördlichen Nachbarn betreffen. Leider kann ich diesmal Ihren Optimismus nicht teilen: Das Angebot der im Artikel beschriebenen "Dienstleistungen" in der Ukraine ist nicht geringer als in Russland. Auch das Preisniveau ist gleich.

Nach meinen Beobachtungen gibt es viel weniger Vorschläge für Belarus und Kasachstan. Vielleicht habe ich schlecht gesucht (ehrlich gesagt ist es moralisch schwierig, lange Zeit auf diesen Ressourcen zu sein), aber der Punkt liegt eindeutig nicht in der niedrigeren Kriminalitätsrate. Meiner Meinung nach ist alles viel prosaischer: Der Vorschlag ist proportional zur Einwohnerzahl, da in Belarus und Kasachstan viel weniger Menschen leben als in Russland und der Ukraine.

Nirgendwo habe ich Angebote für solche „Dienstleistungen“ in Europa, den USA und anderen Industrieländern der Welt gesehen. Maximum - Durchbrechen gemeinsamer Stützpunkte (wie Interpol), zu denen Russland Zugang hat. Offensichtlich, weil die Gesetze in diesen Ländern nicht nur in Papierform geschrieben, sondern auch in die Praxis umgesetzt werden. Gesetze gelten nicht für Dekoration, Schaufensterdekoration und "Planausführung".

In der Zwischenzeit schreiben die Aufsichtsbehörden gerne eine Geldbuße für die falsche Form des Einwilligungsformulars für die Verarbeitung personenbezogener Daten an einfache russische, ukrainische, belarussische und kasachische Kleinunternehmer, die selbst die gesamte Datenbank, in der Sie, Ihre personenbezogenen Daten und Ihre Geschäftsdaten gespeichert sind, mit nicht geringerem Vergnügen zusammenführen , Ihre Kunden und sogar Ihre Geldstrafe werden perfekt reflektiert.

Ein Artikel für Habr, erstellt von Chris The Rebel (Vladimir Adoshev)