En todo el mundo, se está haciendo un gran esfuerzo para garantizar la seguridad de los datos personales. Rusia tampoco se queda atrás, introduciendo con entusiasmo docenas de leyes, cientos de estatutos y reglamentos. ¿Hay algún resultado?

Mi investigación mostrará que en Rusia y en toda la antigua URSS, las leyes de este campo, escritas en papel, son en vano. Los resultados son terribles: no solo las empresas y los departamentos gubernamentales, sino también los estafadores tienen acceso a datos personales de personas y entidades jurídicas, secretos bancarios, secretos comerciales. Todo se compra y se vende por un precio nivelado, desde un par de tazas de café hasta un par de teléfonos inteligentes de tamaño mediano.



Detalles decepcionantes debajo del corte.

En los años noventa y cero, todos los mercados de Moscú estaban obstruidos con discos con bases de datos. La base de residentes, la base de automóviles y propietarios de automóviles, luego la base de operadores móviles.

No sé cómo está la situación hoy con la venta criminal de tales bases en Moscú (no he vivido en Rusia durante mucho tiempo), pero puedo decir con gran certeza que estas serán bases muy antiguas o solo basureros fragmentarios de las modernas. Ahora el volumen de información departamental y corporativa llega a los petabytes y se encuentra en la nube, por lo que poner algo en un medio doméstico normal adecuado para la venta es bastante complicado.

Hoy en día, los datos personales se venden activamente en varios foros donde hay vendedores, compradores e incluso sistemas completos de arbitraje diseñados para resolver posibles disputas entre ellos. Los estafadores lograron construir una infraestructura criminal muy poderosa: los foros viven sus vidas, los temas tienen muchos comentarios y críticas, hay prohibiciones para los "niños" y sistemas de calificación para los "verificados".

"Darknet?" - pensaste Eso no se adivina. Estos sitios están disponibles públicamente y es posible que ni siquiera se incluyan en el registro sufrido de Roskomnadzor (quién lo dudaría). Por supuesto, algunos de ellos tienen espejos en la red oscura, pero estos son solo espejos.

El artículo estará dedicado específicamente a estos sitios y a esos "servicios" que tachan absolutamente toda la maqueta turbulenta del estado en torno a la protección de datos personales en los últimos años.

Les pediré a los residentes de Khabarovsk que se abstengan de publicar enlaces a estos recursos, aunque pueden ser conocidos por muchos. El que busca se encontrará a sí mismo. En primer lugar, ni siquiera quiero hacer publicidad indirecta a los estafadores. En segundo lugar, esto podría poner en peligro la existencia de este artículo. En tercer lugar, el punto no está en la existencia misma de estos recursos, sino en el hecho de que existen tales condiciones estatales en las que generalmente existen los "servicios" enumerados.

Operadores de telefonía celular

Mira esta foto, un foro típico, servicios típicos:



He escondido los nombres de "vendedores" y los nombres de los operadores. Usted mismo adivinará acerca de los operadores; no hay muchos de ellos en Rusia. Todos se abren paso sin excepción.

Lo más básico es romper los datos del propietario del número: nombre, datos del pasaporte, dirección. La forma en que se utilizarán estos datos depende solo de la imaginación del estafador, a quien caerán en manos.



Además ya es interesante. "Servicios" de un nivel superior: seguimiento de la ubicación de una persona en torres celulares, historial de ubicaciones, detalles de llamadas, detalles de sms. Afortunadamente, a pesar de que no hay grabaciones de sonido (tal vez no me veía bien).



Es muy impresionante observar que cualquier estafador puede acceder a dicha información. Queda por entender si esto se implementa a través de los propios operadores celulares o mediante interfaces externas que pueden estar ubicadas en los servicios públicos (ni siquiera dudo de la existencia de dichos servicios).

Piense nuevamente, emitiendo una tarjeta SIM en los datos de su pasaporte al comprar. ¿Quizás es mejor tomar una tarjeta SIM emitida para un visitante no asiático de Asia Central? No desaparecieron de los puntos de venta conocidos. Al transmitir los datos del pasaporte, se identifica no solo con el operador de telefonía móvil y las agencias gubernamentales, sino también con cualquier delincuente que no lamenta gastar el costo de un par de tazas de café en usted, o incluso más.

Organismos gubernamentales

Quizás, nada se compara con los volúmenes de datos que se conocen sobre nosotros en varios departamentos gubernamentales. Miles de empleados tienen acceso a ellos, cuyos resultados se ven ampliamente en los foros:





Por un lado, surge una imagen clara de la información que estas agencias tienen sobre nosotros y con qué facilidad los empleados pueden armar un dossier completo para cualquier persona. Por otro lado, una pintura al óleo aún más pintoresca: cualquier estafador puede recoger exactamente el mismo expediente.

Servicio típico de vehículos de motor:



Ejemplo de preguntas y respuestas estándar:



Todavía estándar para diferentes departamentos:



El más popular es el servicio de descarga de las bases integradas Magistral, Siren, Border, Migrant, Kronos, Spark, Potok e IBDR-IBDF. Ni siquiera sabía esos nombres antes. Atraviesa toda esa fantasía, incluso la UIF.

Bancos

Una categoría separada de "servicios" se dedica a detallar las cuentas bancarias y el movimiento de fondos en ellas. Parte se especializa en cuentas de individuos.





Pero aún más, para personas jurídicas. Aquí el fraude entra en formas sofisticadas de espionaje industrial y crimen absoluto. No subiré capturas de pantalla, ya que el "paquete de servicios" criminal va mucho más allá de las filtraciones de datos.

¿De dónde provienen estos monstruosos hechos de violación masiva, no solo sobre las leyes de datos personales, sino también sobre el secreto bancario? Honestamente, estoy realmente sorprendido de que la corrupción sea tan rampante. Parece que simplemente mirando todas las publicaciones donde el empleado tiene acceso al menos a algunos datos del cliente, el estafador puede estar en cualquiera. La única pregunta es dónde buscan los servicios de seguridad.

Me gustaría enumerar abiertamente los nombres de los bancos más penalizados, pero no lo haré, ya que los primeros en la lista serán aquellos que tienen blogs corporativos en el centro, que está plagado de bloqueo del artículo. Los colores corporativos de estos bancos también lo saben todo. Según mis observaciones, cuanto más pequeño es el banco, menos probable es que los foros tengan servicios fraudulentos relacionados con él.

Absolutamente todo está a la venta y comprado

En mi investigación, prácticamente no mencioné la información recopilada y fusionada sobre nosotros por las cadenas de tiendas de electrónica, ropa y zapatos, comida y gimnasios. Todo esto también está a la venta, así que una vez más piense si dejar una dirección y un número de teléfono reales, emitiendo otro descuento o tarjeta de club.

Un dato curioso: las bases de usuarios de las casas de apuestas, las opciones de Forex, la venta activa de psíquicos, adivinos, adivinos, compradores de suplementos dietéticos, los medios para perder peso y aumentar la potencia están vendiendo activamente. El público objetivo de estos productos específicos se ha cristalizado tanto que estas bases cambian de manos, se actualizan y mantienen constantemente. El negocio es simplemente enorme en escala.



No es tan deplorable cuando los datos personales que dejamos se fusionan voluntariamente, solo siga las precauciones y no las deje. Es mucho peor cuando esos datos se fusionan, lo que no podemos dejar en principio. Comprar tarjetas SIM sin pasaporte no resolverá todos los problemas.

En 2017, leí las publicaciones de la oposición rusa (en particular, Leonid Volkov leonwolf ), que se enfrentaron a la persecución de elementos criminales agresivos, que de repente recibieron información sobre todos los vuelos y movimientos. Una especie de bozal gira esperando cerca del aeropuerto con ritmos y acompañamiento en forma de presentación de pseudo partidarios del poder generosamente pagados con banderas y cantos. En Ucrania, todas ellas a la vez generalmente se llamaban tías.

Por qué ¿Cómo se enteraron las tías sobre los vuelos de la oposición? Es simple: porque el acceso a la base de datos de vuelos se compra y vende de la misma manera que el acceso a todas las demás bases.





(Leonid, sé que eres una persona de TI, si de repente lees este artículo, estaré muy feliz si lo compartes, se ha escrito mucho bajo la impresión de tu "Nube")

Un lector escéptico podría pensar: usted está hablando de la oposición, es decir, las personas que representan una determinada posición política, sus actividades, por definición, están llenas de riesgos. Y estará mal: la ilegalidad criminal puede afectar a todos . La escala de datos sobre nosotros que se encuentran en el camino, se ve con sus propios ojos.

Todos tienen un teléfono inteligente, todos tienen una cuenta bancaria, muchos usan automóviles, muchos a menudo viajan en avión, muchos tienen negocios en la post-URSS. Independientemente de su estatus social y orientación política: está en peligro porque sus datos no están protegidos por nadie ni nada, y los delincuentes tienen manos libres. Lo que se distribuye alrededor de los foros en forma de anuncios comerciales puede ser recibido "por llamada" por personas con conexiones. Esto concierne a Rusia en primer lugar.

Muchos recordarán el caso de Anton Uralsky en 2008 y la llamada presentada al proveedor de Internet Stream: "¡no había una sola brecha!" Todos se rieron, sin pensar que los empleados habían cometido un delito al publicar una grabación de audio de una conversación con un cliente en Internet. Cometieron el segundo crimen al publicar los datos personales de Anton, que se convirtieron en propiedad de cientos de bromistas que arruinaron la vida de una persona.

¿Por qué crees que me metí en esta historia? Porque en el mismo 2008, mis propios datos personales no fueron protegidos por los empleados del proveedor de Internet Corbin.

Vale la pena la broma: a los administradores del foro local de Korbin no les gustaron algunas de mis publicaciones, por lo que una de ellas comparó mi dirección IP con la base de datos interna y presentó todos los datos del contrato, incluidos los datos del pasaporte y la dirección de la prestación de servicios de comunicación. Mira, ese mismo hombre, ve a él y habla, queridos usuarios del foro. Afortunadamente, la audiencia de ese foro eran principalmente escolares y no me prometió nada malo. Qué caricatura de moralidad: "nunca el administrador está enojado".

El administrador hizo todo en forma de broma, así: esta actitud hacia los datos personales y las leyes. Después de todo, en 2008, también hubo leyes sobre datos personales, aunque no tan detalladas como lo son hoy. Como puede ver, nada ha cambiado para mejor en 10 años, aunque se ha gastado mucho más en leyes. Aún más criminalizado e incluso se embarcó en una corriente comercial con el estudio de todos los "procesos comerciales" fraudulentos relacionados. Donde solía haber una "broma", una absoluta estupidez y pequeñas inclinaciones criminales, hoy hay ganancias financieras, cálculos fríos y toda una infraestructura criminal.

He estado viviendo en Alemania durante 5 años y constantemente veo la atención y el cuidado con el que los departamentos y organizaciones comerciales alemanas se relacionan con los datos personales. La primera ley en Alemania en cualquier trabajo con personas es proteger su privacidad y confidencialidad. Cada vez, sintiendo esta preocupación sobre mí, recuerdo a los empleados de los operadores de Internet rusos y quiero calcular cuántos años habrían servido en Alemania por sus acciones. Todavía no saldría. Por otro lado, tal situación simplemente no podría haber surgido: el sistema no habría permitido que una persona irresponsable, estúpida y deshonesta acceda a datos protegidos por la ley. Calculadora, inteligente, pero aún deshonesta, también.

Epílogo

Estoy seguro de que los empleados corruptos de empresas, bancos, operadores y departamentos, propietarios y participantes de los foros sobre los que escribí hoy en general, leen el Habr y se aseguran de leer mi artículo. Alguien pensará, "bribón, estás hablando sobre el tema", responderé de inmediato: estás haciendo cosas muy malas, estás cometiendo un delito penal, y no tengo la intención de cantar odas a lo que no considero bueno, ni voy a guardar silencio sobre lo que considero inaceptable.

En mi artículo, solo toqué la parte superior de la pirámide, no más del 2% de toda la verdad. Excavando aún más los recursos temáticos, puede encontrar cosas como "servicios" criminales para bloquear de forma remota las tarjetas SIM, interceptar sms, bloquear cuentas bancarias, paralizar completamente el trabajo de las empresas, cualquier capricho criminal por su dinero. En todas partes participan empleados de departamentos o empleados de diferentes niveles en empresas comerciales.

Por cierto, todavía hay una serie de "servicios" interesantes con los operadores móviles: los estafadores usan las vulnerabilidades de las redes móviles para localizar a todos los usuarios que han visitado el sitio desde Internet móvil, conectan suscripciones pagas y se limitan a ellos mismos: omiten completamente la contabilidad del tráfico móvil (no se trata de basura) Distribución de Internet con anclaje cerrado y desactivación completa de la contabilidad descargada a tasas limitadas). Sorprendentemente, las raíces aquí no crecen de ningún modo en foros negros casi oscuros, sino con todo lo que se conoce en el foro w3bsit3-dns.com.

No profundicé en el mercado negro, es demasiado resbaladizo y desagradable. Solo estaba interesado en la situación con datos personales, que es desastrosa y ni siquiera está enterrada en las profundidades del mercado negro, pero está a poca distancia.

La mayor parte del artículo estaba dedicado a Rusia, organizaciones y departamentos rusos. Los lectores de Ucrania probablemente ya estén acostumbrados al hecho de que en Internet en ruso, la mayoría de las malas noticias generalmente conciernen a su vecino del norte. Lamentablemente, esta vez no puedo compartir su optimismo: la oferta de los "servicios" descritos en el artículo en Ucrania no es menor que en Rusia. Incluso el nivel de precios es el mismo.

Según mis observaciones, hay muchas menos propuestas para Bielorrusia y Kazajstán. Tal vez he buscado mal (honestamente, es moralmente difícil estar en estos recursos durante mucho tiempo), pero el punto claramente no está en la tasa de criminalidad más baja. En mi opinión, todo es mucho más prosaico: la propuesta es proporcional al número de habitantes, porque en Bielorrusia y Kazajstán viven muchas menos personas que en Rusia y Ucrania.

En ninguna parte he visto ofertas de tales "servicios" en Europa, Estados Unidos y otros países desarrollados del mundo. Máximo: romper bases comunes (como Interpol), a las que hay acceso desde Rusia. Obviamente, porque las leyes en estos países no solo están escritas en papel, sino que se implementan en la práctica. Las leyes no son para decoración, escaparatismo y "ejecución de planos".

Mientras tanto, las autoridades de supervisión con gusto escribirán una multa por el formulario incorrecto del formulario de consentimiento para el procesamiento de datos personales a propietarios de pequeñas empresas rusas, ucranianas, bielorrusas y kazajas, y ellos mismos fusionarán con no menos placer toda la base de datos en la que usted, sus datos personales y sus datos comerciales , sus clientes e incluso su multa se reflejarán perfectamente.

Un artículo para Habr preparado por Chris The Rebel (Vladimir Adoshev)