Provavelmente, toda a Habr já sabe que nossos dados pessoais se tornaram objeto de comércio legal e ilegal por muito tempo e com sucesso. Sobre o mercado de informações bancárias, dados de operadoras de telefonia móvel e agências governamentais, escrevi aqui no artigo: " Análise dos preços do mercado negro para dados pessoais e avanço ".
Não vamos falar sobre a chamada parte legítima desse negócio agora, falaremos sobre o lado ilegal e tentaremos descobrir como interromper essa atividade e se devemos ou não impedi-la.
Neste artigo, falarei sobre quem e como eles capturam na Rússia o comércio ilegal de dados. Apenas casos reais, sem teoria!
A julgar pelo grande número de propostas para "avançar" no mercado negro, pode parecer que as empresas estatais e privadas - operadores de dados pessoais (bancos, operadoras de telefonia móvel etc.) simplesmente evitaram resolver esse problema.
No entanto, há casos em que os vendedores persas são capturados e até julgados. É verdade que vale a pena notar que, em regra, os executores diretos de ordens são capturados, ou seja, funcionários de organizações com acesso a informações em virtude de suas funções oficiais. Mas os intermediários, contratando ativamente funcionários não confiáveis de bancos, operadoras de telecomunicações, agências governamentais e revendendo os dados dos cidadãos no mercado negro, geralmente permanecem em segundo plano e evitam punições.
Fiz uma seleção para o ano de todos os casos de detenção e condenação de pessoas, de uma maneira ou de outra, relacionadas ao comércio de dados pessoais sobre os quais a mídia escreveu e que ocorreu no meu canal " Vazamentos de informações ". Acabou não muito, mas o que é rico ...
Fevereiro 2018
O caso de quatro residentes de Penza presos por vender dados pessoais de assinantes de operadoras de telefonia móvel foi enviado ao tribunal. De acordo com a investigação, em outubro de 2016, um morador de Penza, 26 anos, e um conhecido de 27 anos decidiram encontrar pessoas que tinham acesso a duas operadoras de telefonia móvel que, mediante uma taxa, copiam dados pessoais de assinantes e informações sobre suas conversas telefônicas. Os cúmplices conseguiram concordar com duas meninas de 20 anos que trabalhavam nos salões das operadoras de telefonia móvel. Na Internet, em fóruns especializados, foi publicado um anúncio de venda de dados pessoais de assinantes e informações sobre ligações. De dezembro de 2016 até o final de março de 2017, foram recebidas 17 ordens, cada uma custando de 500 a 4.000 rublos.
Março
O Ministério Público da região de Nizhny Novgorod relata que, de acordo com a investigação, o agente de 30 anos do departamento de investigação criminal do Ministério de Assuntos Internos da Rússia no distrito de Bogorodsky em 2015 organizou uma transferência ilegal de informações de bancos de dados departamentais do Ministério de Assuntos Internos por uma taxa. Em 2016, ele também trouxe seu irmão mais novo, que também ocupava o cargo de detetive do departamento de investigação criminal. Os invasores usavam sistematicamente o acesso aos bancos de dados do Ministério da Administração Interna da Rússia para receber e transmitir informações oficiais via Internet a um número indefinido de pessoas. Essa atividade criminosa durou mais de um ano. Note-se que, dessa maneira, os homens receberam uma renda superior a 700 mil rublos.
Na região de Lipetsk, três processos criminais foram movidos contra um funcionário do banco ao mesmo tempo. O consultor financeiro do escritório local de um banco conhecido usou ilegalmente dados pessoais de clientes sobre contas e depósitos. Durante a auditoria, o funcionário do banco usou os dados pessoais dos clientes para roubar dinheiro de suas contas e depósitos. Observo apenas que houve um roubo de fundos de contas de clientes, e não de negociação de dados, e é provavelmente por isso que o banco decidiu enviar uma solicitação ao Ministério da Administração Interna. Não conheço outros casos públicos quando os bancos investigam oficialmente o acesso ilegal às informações do cliente.
Dois ex-detetives de Bogorodsk (região de Níjni Novgorod) receberam uma sentença suspensa de 1,5 anos cada, por usar dados pessoais do banco de dados do Ministério da Administração Interna. Durante a investigação, foram estabelecidas as circunstâncias do recebimento pela polícia de 800 mil rublos de cidadãos de mais de 20 entidades constituintes da Federação Russa. A maioria dos dados pessoais transmitidos está associada à verificação de informações sobre os proprietários de veículos automotores.
Abril
O ex-investigador de 33 anos de um dos departamentos de polícia regionais de Moscou, depois de deixar as agências policiais por vontade própria, decidiu ganhar dinheiro com a troca de dados em conversas telefônicas privadas. Depois de obter um selo falso do Tribunal Distrital de Meshchansky em Moscou, em dois anos ele conseguiu elaborar cerca de 300 decisões judiciais falsas sobre o fornecimento de detalhes de conversas telefônicas, além de informações sobre os próprios assinantes das principais operadoras de celular. O custo de um pedido para o detalhamento e os dados dos assinantes variou de 45 mil a 100 mil rublos, enquanto o ex-investigador obteve 10 a 15 mil rublos. O dinheiro restante foi distribuído entre intermediários, com quem o ex-investigador conversou principalmente com a ajuda de mensageiros instantâneos.
Em Saratov, com base nos resultados da inspeção do promotor, foi aberto um processo criminal contra o funcionário. Foi estabelecido que, de março a dezembro de 2016, o assistente do departamento operacional de assuntos internos da cidade de Saratov, tendo acesso a informações sobre incidentes e crimes ocorridos na cidade de Saratov, transmitiu sistematicamente informações sobre as mortes de cidadãos a um empresário que realizava atividades no campo do ritual serviços.
Eles capturaram o ex-chefe de uma das unidades do Comitê para a Gestão da Propriedade da Cidade e dos Recursos Terrestres da administração de Nizhny Novgorod. Por um suborno de 1,2 milhão de rublos, o chefe do departamento de 36 anos concordou em transmitir qualquer informação de acesso limitado durante o ano, incluindo dados pessoais de cidadãos contidos em sistemas de informação para registrar imóveis e terrenos. Confirmando sua prontidão para “cooperação”, o funcionário entregou um drive USB com parte dos dados solicitados. Em dezembro, um tribunal condenou o ex-chefe a 8 anos de prisão com uma sentença estrita do regime, além de uma multa de 3,6 milhões de rublos, segundo o artigo por suborno. Além disso, por cinco anos ele não poderá ocupar certas posições.
Maio
Em Voronezh, um ex-funcionário de uma empresa de celular foi acusado de vigilância ilegal de ligações telefônicas. Ela é acusada de violar a Parte 2 do Artigo 138 do Código Penal da Federação Russa (violação do sigilo de correspondência, conversas telefônicas e outras mensagens de cidadãos cometidas por uma pessoa usando sua posição oficial). Os investigadores descobriram que, de 30 de novembro de 2017 a 22 de fevereiro de 2018, um funcionário de uma empresa de celular, enquanto estava no local de trabalho, analisou ilegalmente detalhes das conexões telefônicas.
Junho
Em Mordovia, funcionários de empresas móveis que vendiam dados pessoais receberam uma sentença suspensa. Anatoly Panishev, 27 anos, operadora de contact center da T2Mobile LLC, recebeu 1 ano 7 meses e 24 anos especialista do PJSC Vimpelcom Anna Sineva - 1 ano 4 meses. A investigação estabeleceu que, em fevereiro de 2017, Sineva, ex-funcionária da T 2-Mobile LLC (Saransk), entrou em contato com Panishev usando o Telegram com uma proposta de enviar suas fotos com dados de passaporte, números de telefone que ela forneceu no WhatsApp e no Telegram. Ela prometeu pagar 200 rublos por um número de telefone. Segundo alguns relatos, Sineva revendeu dados pessoais na Internet a 500 rublos. No período de fevereiro a abril de 2017, Panishev, por meio do programa de computador Invoice, copiou os dados pessoais dos assinantes em seu telefone, incluindo sobrenomes, nomes, detalhes de documentos de identidade, parâmetros de prestação de serviços - informações sobre os fundos da conta pessoal e transmitidos via telegrama para o celular de Blue.
Setembro
O ex-vice-chefe do departamento de polícia nº 1 do Severnoye OMVD da Rússia para o distrito de Nakhimovsky em Sebastopol recebeu três anos de prisão por vender dados sobre a morte de pessoas a funcionários da empresa ritual. Alexander Baranovsky foi considerado culpado de receber subornos do proprietário da empresa ritual. Durante vários anos, ele transmitiu informações sobre os fatos da morte de cidadãos e os dados de seus parentes.
Outubro
O FSB deteve um guarda de fronteira russo que provavelmente vendeu informações sobre viagens de Alexander Petrov e Ruslan Boshirov ao exterior, acusadas de envenenar o coronel da GRU Sergei Skripal. O guarda de fronteira trabalhou no Distrito Federal do Noroeste. Junto com ele, um funcionário de uma das unidades do Serviço Tributário Federal (STF) foi detido. As detenções ocorreram como parte de uma operação especial para evitar vazamentos de bancos de dados fechados. A propósito, essa operação especial praticamente paralisou o mercado negro de "quebra de estado" por algum tempo.
Novembro
Em Kaliningrado, um gerente de 25 anos de um salão de telefonia móvel foi detido por vender dados pessoais de um cliente. Um homem desconhecido voltou-se para o gerente e pediu uma taxa para fornecer dados a um assinante específico. O caso foi instaurado de acordo com a parte 3 do artigo 272 do Código Penal da Federação Russa (acesso ilegal a informações sobre computadores). A sentença máxima é de prisão por até cinco anos.
O tribunal de Tomsk condenou a três anos de liberdade condicional uma ex-polícia local que, por uma recompensa financeira, forneceu ao funcionário da agência ritual os dados pessoais do falecido. “Foi estabelecido que entre 27 de dezembro de 2017 e 3 de abril de 2018, o réu, sendo um departamento de polícia local do Ministério de Assuntos Internos da Rússia no distrito de Tomsk, recebeu um suborno em forma de dinheiro no valor total de 21 mil rublos pelo fornecimento ilegal de informações confidenciais do falecido a uma pessoa que atua no interesse de uma organização comercial prestação de serviços funerários. Esses dados foram utilizados para garantir a conclusão de contratos de serviços funerários com parentes de cidadãos falecidos. ”
Dezembro
O Departamento de Investigação do Comitê de Investigação da região de Novosibirsk abriu um processo criminal sobre a transferência ilegal de informações que constituem segredo comercial em relação a um funcionário da companhia telefônica russa. Em 20 de novembro do ano passado, a suspeita efetuou login no sistema com seu login e senha de trabalho e copiou informações contendo informações sobre a data e hora das conexões, número de conexões de saída e entrada do assinante móvel do MTS e depois transferiu esses dados para terceiros. Foi instaurado um processo criminal contra o suspeito, nos termos do Artigo 183 da Parte 2 do Código Penal da Federação Russa (transferência ilegal a terceiros de informações que constituem segredo comercial). O funcionário pode pegar até três anos de prisão.
O gabinete do promotor do distrito de Leninsky, Magnitogorsk, enviou um processo criminal ao tribunal contra o ex-chefe da administração municipal do fundo de pensão, acusado de receber suborno e abuso de autoridade. Em 2017, uma mulher entregou ao funcionário de um banco comercial os dados pessoais de cidadãos que foram usados ilegalmente nas atividades oficiais de uma instituição de crédito. Para isso, o chefe do fundo de pensão recebeu um suborno no valor de 61,4 mil rublos. Esse dinheiro foi transferido para a conta bancária da filha, sob o pretexto de fornecer assistência financeira do empregador.
O tribunal da cidade de Domodedovo, na região de Moscou, condenou um policial por crimes de corrupção e o sentenciou a quatro anos e seis meses de prisão. Além disso, o condenado foi multado em 600 mil rublos. O tribunal concluiu que o policial recebeu subornos repetidamente no valor de até 15 mil rublos por vários meses. através de um intermediário para o fornecimento de formas de cartões de migração e dados pessoais de estrangeiros a partir de um banco de dados automatizado.
Janeiro 2019
Em Murom, uma investigação criminal foi concluída contra um ex-funcionário do salão de telefonia móvel, acusado de acordo com a parte 2 do artigo 138 do Código Penal (violação do sigilo das conversas telefônicas), parte 3 do artigo 272 do Código Penal da Federação Russa (acesso ilegal a informações sobre computadores protegidas por lei) e parte 3 do artigo 183 do Código Penal (recebimento ilegal de informações que constituem segredo comercial). Em janeiro de 2017, um ex-funcionário de 23 anos do salão de telefonia móvel forjou aplicativos repetidamente em nome de clientes para receber informações sobre conexões e, ao receber dados, ele os copiou para mídia removível. Em nome dos clientes, ele enviou 43 solicitações de serviço para receber detalhes do assinante - algumas foram atendidas. Tal atividade alertou a equipe de segurança da companhia telefônica - o funcionário foi calculado, após o qual foi demitido, e os materiais foram transferidos para as autoridades investigadoras. O processo criminal com a acusação aprovada foi enviado ao tribunal. De acordo com a lei, o acusado pode pegar até 5 anos de prisão.
Em Perm, um ex-policial é acusado de abuso de poder (parte 1 do artigo 285 do Código Penal da Federação Russa) e suborno mesquinho (parte 1 do artigo 291.2 do Código Penal da Federação Russa). Em 2017, ela teve acesso a informações de bancos que continham dados pessoais de clientes. Sem o conhecimento dos próprios cidadãos e os pedidos relevantes das autoridades competentes, ela forneceu esses dados ao diretor de uma organização comercial. Por essa informação, o ex-policial recebeu uma recompensa - de 100 a 500 rublos. Depois que os casos de suborno foram descobertos, a mulher foi demitida dos órgãos internos. O processo criminal foi concluído, o arquivo do processo foi submetido ao tribunal.
Um funcionário da operadora móvel Megafon em São Petersburgo foi acusado de cometer um crime, parte 2 do artigo 138 do Código Penal (violação da confidencialidade da correspondência, conversas telefônicas, mensagens postais, telegráficas ou outras). O tribunal concluiu que o réu estava na posição de engenheiro para o desenvolvimento de relatórios corporativos de data warehouse e era obrigado a preservar informações confidenciais da empresa. Usando sua posição oficial, tendo acesso aos dados dos sistemas de cobrança, ele obteve acesso às informações confidenciais da vítima e transferiu essas informações para pessoas não identificadas. Dada a posição da promotoria estadual, a ausência de objeções por parte da vítima, o pedido do investigador foi concedido, o réu foi multado em 100 mil rublos.
Fevereiro
Em Novosibirsk, um tribunal condenou dois ex-funcionários da MTS que roubaram um banco de dados de assinantes de Novosibirsk, Barnaul, Novokuznetsk e Berdsk. No momento do roubo, um dos atacantes já havia abandonado o MTS e o segundo continuava a trabalhar como supervisor líder. O roubo foi cometido em 18 de julho de 2018. Dois atacantes entraram livremente no escritório e entraram no escritório com um computador que tinha acesso à rede corporativa. Um deles pediu um login e senha de seus superiores. Eles tentaram enviar o banco de dados baixado para seus emails pessoais na forma de um arquivo morto, mas devido ao grande tamanho, isso não pôde ser feito. Em seguida, o arquivo foi dividido em várias partes e novamente enviado aos correios. No total, o banco de dados roubado continha dados de 506.185 assinantes, contendo: sobrenomes, nomes, nomes do meio, números de telefone e endereços. Durante a investigação preliminar, os atacantes admitiram que tentaram vender os dados de cada assinante por um rublo por registro, ganhando mais de 500 mil rublos. Em 26 de fevereiro de 2019, o tribunal considerou Nikita Chernitsov e Vitaly Ivanov culpados nos termos do artigo 183 do Código Penal da Federação Russa “Coleta de informações que constituem segredo comercial que causou grandes danos ou foi cometido por interesse mercenário”. Chernitsov foi condenado a 1 ano e 6 meses de liberdade condicional com um período probatório semelhante, e Ivanov recebeu três meses a menos.
Em Tomsk, um veredicto foi entregue a um ex-policial distrital que recebeu suborno por fornecer informações sobre cidadãos falecidos no interesse de uma empresa ritual. O tribunal concluiu que, de 2 de janeiro a 18 de junho de 2018, o réu, enquanto trabalhava como delegacia, recebeu um suborno de 42 mil rublos por fornecer ilegalmente informações confidenciais sobre dados pessoais de cidadãos falecidos a uma pessoa que atua no interesse de uma organização comercial que presta serviços funerários . Esses dados foram posteriormente destinados a garantir a celebração de contratos para a prestação de serviços funerários com parentes de cidadãos falecidos.O tribunal condenou o acusado a três anos e meio de prisão, com um período de liberdade condicional de três anos. Ele também foi privado do direito de ocupar posições no sistema de órgãos policiais da Federação Russa por dois anos.
Um tribunal em Novosibirsk considerou o chefe da agência ritual culpado de subornar. Um homem de 41 anos foi condenado a sete anos de prisão em liberdade condicional, com um período de julgamento de três anos. O empresário subornou os policiais para obter informações sobre os dados pessoais do falecido em Novosibirsk, como sobrenome, nome, apelido, data de nascimento e morte, além de local.
Março
Na região de Voronezh, o tribunal analisará o caso do chefe de departamento de 38 anos do PJSC IC Rosgostrah, que copiou ilegalmente um banco de dados de clientes em julho de 2018. Segundo a investigação, a mulher, tendo acesso ao banco de dados de clientes, copiou-se seus dados pessoais, contatos e informações sobre o custo dos serviços de seguros. Ela usou o email corporativo para enviar dados para si mesma. Foi instaurado um processo criminal nos termos da Parte 3 do art. 272 do Código Penal (acesso ilegal a informações protegidas por computador por lei, se esse ato implicar a cópia de informações sobre computadores). A sanção máxima é de prisão por 4 anos.