Em todo o mundo, estão sendo feitos muito esforços para garantir a segurança dos dados pessoais. A Rússia também não está muito atrás, introduzindo entusiasticamente dezenas de leis, centenas de estatutos e regulamentos. Existe algum resultado?

Minha investigação mostrará que na Rússia e em toda a ex-URSS, as leis desse campo, escritas em papel, são em vão. Os resultados são terríveis: não apenas as empresas e os departamentos governamentais, mas também os fraudadores têm acesso a dados pessoais de pessoas físicas e jurídicas, segredos bancários, segredos comerciais. Tudo é comprado e vendido por um preço razoável, de duas xícaras de café a dois smartphones de tamanho médio.



Detalhes decepcionantes sob o corte.

Nos anos 90 e zero, todos os mercados em Moscou estavam entupidos de discos com bancos de dados. A base de moradores, a base de carros e proprietários de carros, depois a base de operadoras de telefonia móvel.

Não sei como está a situação hoje com a venda criminosa de tais bases em Moscou (não moro na Rússia há muito tempo), mas posso dizer com grande certeza que essas bases serão muito antigas ou serão apenas lixões fragmentados dos modernos. Agora, o volume de informações departamentais e corporativas atinge petabytes e está localizado na nuvem; portanto, colocar algo em uma mídia doméstica comum adequada para venda é bastante complicado.

Hoje, os dados pessoais são vendidos ativamente em vários fóruns em que existem vendedores, compradores e até mesmo sistemas de arbitragem projetados para resolver possíveis disputas entre eles. Os fraudadores conseguiram construir uma infra-estrutura criminosa muito poderosa: os fóruns vivem suas vidas, os tópicos têm muitos comentários e críticas, existem proibições para "crianças" e sistemas de classificação para os "verificados".

"Darknet?" você pensou. Isso não é adivinhado. Esses sites estão disponíveis ao público e podem até não ser incluídos no registro de sofrimento de Roskomnadzor (quem duvidaria disso). Claro, alguns deles têm espelhos na darknet, mas estes são apenas espelhos.

O artigo será dedicado especificamente a esses sites e a esses "serviços" que riscam absolutamente todo o modelo turbulento do estado em torno da proteção de dados pessoais nos últimos anos.

Pedirei aos moradores de Khabarovsk que não publiquem links para esses recursos, embora possam ser conhecidos por muitos. Quem procura se encontrará. Em primeiro lugar, nem quero fazer publicidade indireta para os golpistas. Em segundo lugar, isso poderia comprometer a existência deste artigo. Em terceiro lugar, o ponto não está na própria existência desses recursos, mas no fato de que existem condições estatais sob as quais os “serviços” listados geralmente existem.

Operadoras de telefonia celular

Veja esta foto, um fórum típico, serviços típicos:



Eu escondi os nomes dos "vendedores" e os nomes dos operadores. Você vai adivinhar os operadores, não há muitos na Rússia. Todo mundo rompe sem exceção.

O mais básico é descobrir os dados do proprietário do número: nome, dados do passaporte, endereço. Como esses dados serão usados ​​depende apenas da imaginação do fraudador, a quem eles cairão nas mãos.



Além disso, já interessante. "Serviços" de nível superior: rastreando a localização de uma pessoa em torres de celular, histórico de localização, detalhes de chamadas e detalhes de sms. Felizmente, embora não haja gravações de som (talvez eu não parecesse bem).



É muito impressionante observar que qualquer fraudador pode obter acesso a essas informações. Resta entender se isso é implementado pelos próprios operadores de telefonia celular ou por meio de interfaces externas que podem estar localizadas em serviços públicos (eu nem duvido da existência de tais serviços).

Pense novamente, emitindo um cartão SIM nos dados do seu passaporte ao comprar. Talvez seja realmente melhor usar um cartão SIM emitido para um visitante que não seja da Ásia Central? Eles não desapareceram dos pontos de venda conhecidos. Ao transmitir dados de passaporte, você se identifica não apenas com a operadora de telefonia móvel e com as agências governamentais, mas também com qualquer criminoso que não se arrependa de gastar o custo de duas xícaras de café em você, ou até mais.

Órgãos governamentais

Talvez nada se compare aos volumes de dados conhecidos sobre nós para vários departamentos governamentais. Milhares de funcionários têm acesso a eles, cujos resultados são vistos em abundância nos fóruns:





Por um lado, emerge uma imagem clara de quais informações essas agências têm sobre nós e com que facilidade os funcionários podem montar um dossiê completo para qualquer pessoa. Por outro lado, uma pintura a óleo ainda mais pitoresca: qualquer fraudador pode coletar exatamente o mesmo dossiê.

Serviço típico de veículo a motor:



Exemplo padrão de perguntas e respostas:



Ainda padrão para diferentes departamentos:



O mais popular é o serviço de descarregamento das bases Magistral, Siren, Border, Migrant, Kronos, Spark, Potok e IBDR-IBDF integradas. Eu nem conhecia esses nomes antes. Ele rompe com toda essa fantasia, até a FIU.

Bancos

Uma categoria separada de "serviços" é dedicada ao detalhamento de contas bancárias e à movimentação de fundos sobre elas. Parte especializada em contas de indivíduos.





Mas ainda mais - para pessoas jurídicas. Aqui a fraude entra em formas sofisticadas de espionagem industrial e crime definitivo. Não enviarei capturas de tela, pois o "pacote de serviços" criminoso vai muito além do vazamento de dados.

De onde vêm esses fatos monstruosos de violação em massa, não apenas sobre leis de dados pessoais, mas também sobre sigilo bancário? Honestamente, estou realmente surpreso que a corrupção seja tão desenfreada. Parece que simplesmente olhando para todas as postagens em que o funcionário tem acesso a pelo menos alguns dados do cliente - o fraudador pode estar em qualquer um. A única pergunta é para onde os serviços de segurança estão procurando.

Gostaria muito de listar abertamente os nomes dos bancos mais penalizados, mas não o farei, pois o primeiro da lista será o de blogs corporativos no hub, o que está repleto de bloqueios no artigo. As cores corporativas desses bancos também sabem tudo. De acordo com minhas observações, quanto menor o banco, menor a probabilidade de os fóruns terem serviços fraudulentos relacionados a ele.

Absolutamente tudo está à venda e comprado

Na minha investigação, praticamente não toquei nas informações coletadas e mescladas sobre nós pelas cadeias de lojas de eletrônicos, roupas e sapatos, alimentos e academias de ginástica. Tudo isso também está à venda; portanto, mais uma vez, pense em deixar um endereço e número de telefone reais, emitindo outro desconto ou cartão do clube.

Um fato curioso: as bases de usuários de casas de apostas, opções de Forex, vendedores ativos, vendedores, vendedores, compradores de suplementos alimentares, meios para perder peso e aumentar a potência estão vendendo ativamente. O público-alvo desses produtos específicos cristalizou tanto que essas bases mudam de mãos, são constantemente atualizadas e mantidas. O negócio é simplesmente enorme em escala.



Não é tão deplorável quando os dados pessoais que deixamos voluntariamente se fundem - basta seguir as precauções e não os deixar. É muito pior quando esses dados são mesclados, o que não podemos deixar em princípio. A compra de cartões SIM sem passaporte não resolverá todos os problemas.

Em 2017, li as publicações da oposição russa (em particular, Leonid Volkov leonwolf ), que foram confrontadas com a perseguição de elementos criminosos agressivos, que de repente receberam informações sobre todos os voos e movimentos. Uma espécie de turno de focinho esperando perto do aeroporto com batidas e acompanhamento na forma de uma apresentação de show de pseudo-apoiadores generosamente pagos do poder com bandeiras e cantos. Na Ucrânia, todos eles ao mesmo tempo eram geralmente chamados de tias.

Porque Como as tias ficaram sabendo dos vôos da oposição? É simples: porque o acesso ao banco de dados de voo é comprado e vendido da mesma maneira que o acesso a todas as outras bases.





(Leonid, eu sei que você é uma pessoa de TI; se você ler este artigo de repente, ficarei muito feliz em compartilhá-lo - muito foi escrito sob a impressão de sua "nuvem")

Um leitor cético pode pensar: você está falando sobre a oposição, ou seja, pessoas que representam uma certa posição política, suas atividades por definição estão repletas de riscos. E estará errado: a ilegalidade criminal pode afetar a todos . A escala de dados sobre nós que estão na estrada, você vê com seus próprios olhos.

Todo mundo tem um smartphone, todo mundo tem uma conta bancária, muitos usam carros, muitos viajam de avião, muitos têm negócios na pós-URSS. Independentemente do seu status social e orientação política: você está em perigo porque seus dados não são protegidos por ninguém nem por nada, e os criminosos têm mãos absolutamente livres. O que está espalhado pelos fóruns na forma de anúncios comerciais pode realmente ser recebido "por chamada" por pessoas com conexões. Isso diz respeito à Rússia em primeiro lugar.

Muitos recordarão o caso de Anton Uralsky em 2008 e a chamada ao provedor de Internet Stream: "não havia uma única lacuna!" Todos então riram, sem pensar que os funcionários haviam cometido um crime postando uma gravação de áudio de uma conversa com um cliente na Internet. Eles cometeram o segundo crime publicando os dados pessoais de Anton, que se tornaram propriedade de centenas de brincalhões que arruinaram a vida de uma pessoa.

Por que você acha que eu entrei nessa história? Porque, no mesmo ano de 2008, meus dados pessoais não foram protegidos pelos funcionários do provedor de Internet Corbin.

A razão vale a piada: os administradores do fórum local de Korbin não gostaram de algumas de minhas publicações, então um deles comparou meu endereço IP com o banco de dados interno e expôs todos os dados do contrato, incluindo dados de passaporte e endereço do serviço de comunicação. Aqui, olhe, esse mesmo homem, vá até ele e converse, queridos usuários do fórum. Felizmente, o público desse fórum era principalmente de crianças em idade escolar e não me prometeu nada de ruim. Que caricatura da moralidade: "nunca o administrador fica com raiva".

O administrador fez tudo na forma de uma piada, assim: essa atitude em relação aos dados e leis pessoais. Afinal, então, em 2008, também havia leis sobre dados pessoais, embora não tão detalhadas quanto são hoje. Como você pode ver, nada mudou para melhor em 10 anos, embora muito mais tenha sido gasto em leis. Ainda mais criminalizado e até embarcou em um fluxo comercial com o estudo de todos os "processos de negócios" fraudulentos relacionados. Onde costumava haver uma "piada", estupidez total e inclinações criminais mesquinhas, hoje existem ganhos financeiros, cálculos frios e toda uma infraestrutura criminosa.

Moro na Alemanha há 5 anos e constantemente vejo a atenção e o cuidado com que quaisquer departamentos e organizações comerciais alemãs se relacionam com dados pessoais. A primeira lei na Alemanha em qualquer trabalho com pessoas é proteger sua privacidade e confidencialidade. Sempre que sinto essa preocupação comigo, lembro-me daqueles funcionários das operadoras de Internet russas e quero calcular quantos anos eles teriam servido na Alemanha por suas ações. Ainda não iria sair. Por outro lado, tal situação simplesmente não poderia ter surgido: o sistema não teria permitido a uma pessoa irresponsável, estúpida e desonesta acessar dados protegidos por lei. Calculativo, inteligente, mas ainda desonesto - também.

Posfácio

Estou certo de que os funcionários corruptos de empresas, bancos, operadores e departamentos, proprietários e participantes dos fóruns sobre os quais escrevi hoje em geral, lêem o Habr e não se esqueça de ler meu artigo. Alguém pensará: "seu patife, você está falando sobre o assunto", responderei imediatamente: você está fazendo coisas muito ruins, está cometendo um crime e não pretendo cantar odes para o que não considero bom, nem vou ficar calado sobre o que considero inaceitável.

No meu artigo, toquei apenas no topo da pirâmide, não mais do que 2% de toda a verdade. Indo além dos recursos temáticos, você pode encontrar serviços criminais para bloquear remotamente cartões SIM, interceptar sms, bloquear contas bancárias, paralisar completamente o trabalho das empresas, qualquer capricho criminal por seu dinheiro. Em todos os lugares envolvidos funcionários de departamentos ou funcionários de diferentes níveis em empresas comerciais.

A propósito, ainda existem vários “serviços” interessantes com as operadoras de telefonia móvel: os golpistas usam as vulnerabilidades das redes móveis para localizar todos os usuários que acessaram o site pela Internet móvel, conectam assinaturas pagas e apenas por si mesmos - ignoram completamente a contabilidade do tráfego móvel (não se trata de lixo. Distribuição da Internet com tethering fechado e desativando completamente a contabilidade baixada a taxas limitadas). Surpreendentemente, as raízes aqui não crescem em fóruns pretos quase escuros, mas com tudo o que é conhecido no fórum w3bsit3-dns.com.

Eu não entrei profundamente no mercado negro, é muito escorregadio e desagradável. Eu só estava interessado na situação com dados pessoais, que são desastrosos e nem mesmo estão enterrados nas profundezas do mercado negro, mas estão a uma curta distância.

A maior parte do artigo foi dedicada à Rússia, organizações e departamentos russos. Os leitores da Ucrânia provavelmente já estão acostumados ao fato de que, na Internet em russo, a maioria das más notícias geralmente diz respeito ao vizinho do norte. Infelizmente, desta vez não posso compartilhar seu otimismo: a oferta dos "serviços" descritos no artigo na Ucrânia não é menor que na Rússia. Até o nível de preço é o mesmo.

Segundo as minhas observações, há muito menos propostas para a Bielorrússia e o Cazaquistão. Talvez eu tenha pesquisado mal (honestamente, é moralmente difícil usar esses recursos por um longo tempo), mas o ponto claramente não está na menor taxa de criminalidade. Na minha opinião, tudo é muito mais prosaico: a proposta é proporcional ao número de habitantes, porque na Bielorrússia e no Cazaquistão há muito menos pessoas vivendo do que na Rússia e na Ucrânia.

Em nenhum lugar vi ofertas desses "serviços" na Europa, nos EUA e em outros países desenvolvidos do mundo. Máximo - rompendo bases comuns (como a Interpol), às quais há acesso da Rússia. Obviamente, porque as leis nesses países não são apenas escritas em papel, mas implementadas na prática. As leis não são para decoração, decoração de janelas e "execução de planos".

Enquanto isso, pequenos empresários russos, ucranianos, bielorrussos e cazaques terão o prazer de escrever uma multa pela forma incorreta do formulário de consentimento para o processamento de dados pessoais e mesclarão todo o banco de dados com o qual você, seus dados pessoais e seus dados corporativos , seus clientes e até sua multa serão perfeitamente refletidos.

Um artigo para Habr preparado por Chris The Rebel (Vladimir Adoshev)