Partout dans le monde, beaucoup d'efforts sont déployés pour assurer la sécurité des données personnelles. La Russie n'est pas loin non plus, introduisant avec enthousiasme des dizaines de lois, des centaines de statuts et de règlements. Y a-t-il un résultat?

Mon enquête montrera qu'en Russie et dans toute l'ex-URSS, les lois de ce domaine, écrites sur papier, sont vaines. Les résultats sont terribles: non seulement les entreprises et les services gouvernementaux, mais aussi les fraudeurs ont accès aux données personnelles des personnes physiques et morales, des secrets bancaires, des secrets commerciaux. Tout est acheté et vendu à un prix égal, de quelques tasses de café à quelques smartphones de taille moyenne.



Détails décevants sous la coupe.

Dans les années 90 et zéro, tous les marchés de Moscou étaient bouchés par des disques avec des bases de données. La base des résidents, la base des voitures et des propriétaires de voitures, puis la base des opérateurs mobiles.

Je ne sais pas comment en est la situation aujourd'hui avec la vente criminelle de telles bases à Moscou (je n’ai pas vécu en Russie depuis longtemps), mais je peux dire avec une grande certitude qu’il s’agira de bases très anciennes ou seulement de décharges fragmentaires de bases modernes. Maintenant, le volume d'informations ministérielles et d'entreprise atteint des pétaoctets et est situé dans le cloud, il est donc assez compliqué de mettre quelque chose sur un support domestique régulier pouvant être vendu.

Aujourd'hui, les données personnelles sont activement vendues dans un certain nombre de forums où se trouvent des vendeurs, des acheteurs et même des systèmes d'arbitrage entiers conçus pour résoudre d'éventuels litiges entre eux. Les fraudeurs ont réussi à construire une infrastructure criminelle très puissante: les forums vivent leur vie, les sujets ont beaucoup de commentaires et de critiques, il y a des interdictions pour les «kiddies» et des systèmes de notation pour les «vérifiés».

"Darknet?" - tu pensais. Ce n'est pas deviné. Ces sites sont accessibles au public et peuvent même ne pas être inclus dans le registre de longue date de Roskomnadzor (qui en douterait). Bien sûr, certains d'entre eux ont des miroirs sur le darknet, mais ce ne sont que des miroirs.

L'article sera consacré spécifiquement à ces sites et aux «services» qui traversent absolument toutes les maquettes d'état turbulentes autour de la protection des données personnelles de ces dernières années.

Je demanderai aux habitants de Khabarovsk de s’abstenir de publier des liens vers ces ressources, bien qu’elles soient connues de beaucoup. Celui qui cherche se retrouvera. Premièrement, je ne veux même pas faire de publicité indirecte aux fraudeurs. Deuxièmement, cela pourrait compromettre l'existence de cet article. Troisièmement, il ne s'agit pas de l'existence même de ces ressources, mais du fait qu'il existe de telles conditions étatiques dans lesquelles les «services» énumérés existent généralement.

Opérateurs de téléphonie cellulaire

Regardez cette image, un forum typique, des services typiques:



J'ai caché les noms des "vendeurs" et les noms des opérateurs. Vous devinerez vous-même les opérateurs, il n'y en a pas beaucoup en Russie. Tout le monde perce sans exception.

Le plus élémentaire est de percer les données du propriétaire du numéro: nom, données du passeport, adresse. La manière dont ces données seront utilisées ne dépend que de l'imagination du fraudeur à qui il tombera entre les mains.



De plus déjà intéressant. «Services» d'un niveau supérieur: suivi de l'emplacement d'une personne sur des tours de téléphonie cellulaire, historique de l'emplacement, détails des appels, détails des SMS. Heureusement, même s'il n'y a pas d'enregistrements sonores (peut-être que je n'étais pas bien).



Il est très impressionnant de constater que tout fraudeur peut accéder à ces informations. Reste à savoir si cela est mis en œuvre par les opérateurs cellulaires eux-mêmes, ou par le biais d'interfaces externes pouvant se situer dans les services publics (je ne doute même pas de l'existence de tels services).

Détrompez-vous, en émettant une carte SIM sur vos données de passeport lors de l'achat. Peut-être est-il vraiment préférable de prendre une carte SIM délivrée pour un non-visiteur d'Asie centrale? Ils n'ont pas disparu des points de vente connus. En transmettant les données du passeport, vous vous identifiez non seulement avec l'opérateur mobile et les agences gouvernementales, mais aussi avec tout criminel qui ne regrette pas de vous payer le coût de quelques tasses de café, voire plus.

Organismes gouvernementaux

Peut-être que rien ne se compare aux volumes de données que nous connaissons sur divers ministères. Des milliers d'employés y ont accès, dont les résultats sont largement consultés sur les forums:





D'une part, une image claire se dégage des informations dont ces agences disposent à notre sujet et avec quelle facilité les employés peuvent constituer un dossier complet pour toute personne. D'autre part, une peinture à l'huile encore plus pittoresque: tout fraudeur peut récupérer exactement le même dossier.

Service typique de véhicule à moteur:



Exemple de questions et réponses standard:



Toujours standard pour différents départements:



Le plus populaire est le service de déchargement des bases intégrées Magistral, Siren, Border, Migrant, Kronos, Spark, Potok et IBDR-IBDF. Je ne connaissais même pas de tels noms auparavant. Il transcende tout ce à quoi le fantasme vient, même la CRF.

Les banques

Une catégorie distincte de «services» est consacrée au détail des comptes bancaires et à la circulation des fonds sur ceux-ci. Une partie est spécialisée dans les comptes des particuliers.





Mais encore plus - pour les personnes morales. Ici, la fraude prend des formes sophistiquées d'espionnage industriel et de criminalité pure et simple. Je ne téléchargerai pas de captures d'écran, car le «paquet de services» criminel va bien au-delà des fuites de données.

D'où viennent ces faits monstrueux de violation massive, pas seulement sur les lois sur les données personnelles, mais sur le secret bancaire? Honnêtement, je suis vraiment surpris que la corruption soit si répandue. Il semble qu'en regardant simplement tous les postes où l'employé a accès à au moins certaines données client - le fraudeur peut être sur n'importe qui. La seule question est de savoir où les services de sécurité cherchent.

J'aimerais énormément énumérer les noms des banques les plus pénalisées, mais je ne le ferai pas, car les premières de la liste seront celles qui ont des blogs d'entreprise sur le hub, ce qui est lourd de blocage de l'article. Les couleurs corporatives de ces banques savent également tout. Selon mes observations, plus la banque est petite, moins il est probable que les forums auront des services frauduleux qui y sont liés.

Absolument tout est en vente et acheté

Dans mon enquête, je n'ai pratiquement pas touché aux informations collectées et fusionnées à notre sujet par les chaînes de magasins d'électronique, de vêtements et de chaussures, de nourriture et de clubs de fitness. Tout cela est également à vendre, alors pensez à nouveau à laisser une adresse et un numéro de téléphone réels, en émettant une autre carte de réduction ou de club.

Un fait curieux: les bases d'utilisateurs des bookmakers, les options Forex, la vente active de médiums, les diseurs de bonne aventure, les diseuses de bonne aventure, les acheteurs de compléments alimentaires, les moyens de perdre du poids et d'augmenter la puissance se vendent activement. Les publics cibles de ces produits spécifiques se sont tellement cristallisés que ces bases changent de mains, sont constamment mises à jour et maintenues. L'entreprise est tout simplement énorme.



Ce n'est pas si déplorable lorsque les données personnelles que nous laissons fusionnent volontairement - il suffit de suivre les précautions et de ne pas les quitter. C'est bien pire lorsque ces données sont fusionnées, ce que nous ne pouvons pas laisser en principe. L'achat de cartes SIM sans passeport ne résoudra pas tous les problèmes.

En 2017, j'ai lu les publications de l'opposition russe (en particulier Leonid Volkov leonwolf ), confrontée à la persécution d'éléments criminels agressifs qui ont soudainement reçu des informations sur tous les vols et mouvements. Sorte de muselière qui attend près de l'aéroport avec battements et accompagnement sous la forme d'un spectacle de présentation de pseudo-partisans du pouvoir généreusement payés avec des drapeaux et des chants. En Ukraine, tous à la fois étaient généralement appelés tantes.

Pourquoi Comment les tantes ont-elles appris les vols de l'opposition? C'est simple: parce que l'accès à la base de données des vols s'achète et se vend de la même manière que l'accès à toutes les autres bases.





(Leonid, je sais que vous êtes un informaticien, si vous lisez soudainement cet article, je serai très heureux si vous le partagez - beaucoup a été écrit sous l'impression de votre «Cloud»)

Un lecteur sceptique pourrait penser: vous parlez de l'opposition, c'est-à-dire des gens qui représentent une certaine position politique, leurs activités sont par définition lourdes de risques. Et ce sera faux: l'anarchie criminelle peut toucher tout le monde . L'échelle de données sur nous qui gisent sur la route, vous voyez de vos propres yeux.

Tout le monde a un smartphone, tout le monde a un compte bancaire, beaucoup utilisent des voitures, beaucoup voyagent souvent par avion, beaucoup ont des affaires dans l'après-URSS. Quels que soient votre statut social et votre orientation politique: vous êtes en danger car vos données ne sont protégées par personne ou quoi que ce soit, et les criminels ont les mains absolument libres. Ce qui est dispersé autour des forums sous forme d'annonces commerciales peut en fait être reçu «par appel» par des personnes connectées. Cela concerne en premier lieu la Russie.

Beaucoup se souviendront du cas d'Anton Uralsky en 2008 et de l'appel lancé au fournisseur d'accès Internet Stream: «il n'y avait pas un seul écart!» Tout le monde a alors ri, ne pensant pas que les employés avaient commis un crime en affichant sur Internet un enregistrement audio d'une conversation avec un client. Ils ont commis le deuxième crime en publiant les données personnelles d'Anton, qui sont devenues la propriété de centaines de farceurs qui ont ruiné la vie d'une personne.

Pourquoi pensez-vous que je suis entré dans cette histoire? Parce que dans le même 2008, mes propres données personnelles n'ont pas été protégées par les employés du fournisseur Internet Corbin.

La raison vaut la blague: les administrateurs du forum local de Korbin n'aimaient pas certaines de mes publications, alors l'un d'eux a comparé mon adresse IP avec la base de données interne et a présenté toutes les données du contrat, y compris les données de passeport et l'adresse de la prestation de services de communication. Ici, regardez, ce même homme, allez vers lui et parlez, chers utilisateurs du forum. Heureusement, le public de ce forum était principalement des écoliers et cela ne me promettait rien de mal. Quelle caricature de la morale: "jamais l'administrateur n'est en colère".

L'administrateur a tout fait sous forme de blague, juste comme ça: cette attitude envers les données personnelles et les lois. Après tout, alors, en 2008, il y avait aussi des lois sur les données personnelles, bien qu'elles ne soient pas aussi détaillées qu'aujourd'hui. Comme vous pouvez le voir, rien n'a changé pour le mieux en 10 ans, bien que beaucoup plus ait été dépensé pour les lois. Encore plus criminalisé et même engagé dans un courant commercial avec l'étude de tous les "processus d'affaires" frauduleux qui y sont liés. Là où il y avait autrefois une «plaisanterie», une stupidité pure et simple et des penchants criminels, il y a aujourd'hui des gains financiers, des calculs à froid et toute une infrastructure criminelle.

Je vis en Allemagne depuis 5 ans et je vois constamment l'attention et le soin avec lesquels les départements allemands et les organisations commerciales se rapportent aux données personnelles. La première loi en Allemagne dans tout travail avec des personnes est de protéger leur vie privée et leur confidentialité. Chaque fois, ressentant cette inquiétude pour moi, je me souviens des employés des opérateurs Internet russes et je veux calculer combien d'années ils auraient servi en Allemagne pour leurs actions. Ne sortirait toujours pas. D'un autre côté, une telle situation n'aurait tout simplement pas pu se produire: le système n'aurait pas permis à une personne irresponsable, stupide et malhonnête d'accéder à des données protégées par la loi. Calculatrice, intelligente, mais toujours malhonnête - aussi.

Postface

Je suis sûr que les employés corrompus des entreprises, des banques, des opérateurs et des départements, les propriétaires et les participants des forums sur lesquels j'ai écrit aujourd'hui en général, lisent eux-mêmes le Habr et sont sûrs de lire mon article. Quelqu'un pensera, "vous coquin, vous parlez du sujet", je répondrai tout de suite: vous faites de très mauvaises choses, vous commettez une infraction criminelle, et je n'ai pas l'intention de chanter des odes à ce que je ne considère pas bon, ni de me taire à propos de ce que je considère inacceptable.

Dans mon article, je n'ai abordé que le sommet de la pyramide, pas plus de 2% de toute la vérité. En creusant davantage les ressources thématiques, vous pouvez trouver des choses comme des «services» criminels pour bloquer à distance les cartes SIM, intercepter les SMS, bloquer les comptes bancaires, paralyser complètement le travail des entreprises, tout caprice criminel pour votre argent. Partout a impliqué soit des employés de départements ou des employés de différents niveaux dans les entreprises commerciales.

Soit dit en passant, il existe un certain nombre de «services» intéressants avec les opérateurs mobiles: les escrocs utilisent les vulnérabilités des réseaux cellulaires pour localiser tous les utilisateurs qui ont visité le site à partir d'Internet mobile, connecter des abonnements payants et purement pour eux-mêmes - contourner complètement la comptabilité du trafic mobile (il ne s'agit pas de détritus Distribution Internet avec partage de connexion fermé et désactivation totale de la comptabilité téléchargée à des tarifs limités). Étonnamment, les racines ici ne sont en aucun cas issues de forums noirs presque sombres, mais avec tout ce qui est connu sur le forum w3bsit3-dns.com.

Je ne suis pas allé au fond du marché noir, c'est trop glissant et méchant. Je n'étais intéressé que par la situation des données personnelles, qui est désastreuse et même pas enfouie dans les profondeurs du marché noir, mais qui est à distance de marche.

La majeure partie de l'article était consacrée à la Russie, aux organisations et départements russes. Les lecteurs ukrainiens sont probablement déjà habitués au fait que sur Internet en russe, la plupart des mauvaises nouvelles concernent généralement leur voisin du nord. Malheureusement, cette fois, je ne peux partager votre optimisme: l'offre des «services» décrits dans l'article en Ukraine n'est pas moins qu'en Russie. Même le niveau des prix est le même.

Selon mes observations, il y a beaucoup moins de propositions pour le Bélarus et le Kazakhstan. Peut-être que j'ai mal cherché (honnêtement, c'est moralement difficile d'être sur ces ressources pendant longtemps), mais le point n'est clairement pas dans le taux de criminalité plus bas. À mon avis, tout est beaucoup plus prosaïque: la proposition est proportionnelle au nombre d'habitants, car au Belarus et au Kazakhstan, il y a beaucoup moins de personnes vivant qu'en Russie et en Ukraine.

Nulle part je n'ai vu d'offres de tels «services» en Europe, aux États-Unis et dans d'autres pays développés du monde. Maximum - percer des bases communes (comme Interpol), auxquelles la Russie a accès. Évidemment, parce que les lois de ces pays ne sont pas seulement écrites sur papier, mais mises en œuvre dans la pratique. Les lois ne s'appliquent pas à la décoration, à l'habillage des fenêtres et à «l'exécution de plans».

Dans l'intervalle, les autorités de contrôle rédigeront volontiers une amende pour la forme incorrecte du formulaire de consentement au traitement des données personnelles aux simples propriétaires de petites entreprises russes, ukrainiennes, biélorusses et kazakhes, et elles-mêmes fusionneront avec non moins de plaisir l'ensemble de la base de données dans laquelle vous, vos données personnelles et vos données commerciales. , vos clients et même votre amende seront parfaitement reflétés.

Un article pour Habr préparé par Chris The Rebel (Vladimir Adoshev)