Attualmente in tutto il mondo vengono compiuti molti sforzi per garantire la sicurezza dei dati personali. Anche la Russia non è in ritardo, con l'entusiasmo che introduce decine di leggi, centinaia di statuti e regolamenti. C'è un risultato?
La mia indagine mostrerà che in Russia e in tutto il territorio dell'ex Unione Sovietica, le leggi di quest'area scritte su carta sono vane. I risultati sono terribili: non solo aziende e dipartimenti governativi, ma anche eventuali truffatori hanno accesso a dati personali di persone fisiche e giuridiche, segreti bancari, segreti commerciali. Tutto viene acquistato e venduto per un livello di prezzo da un paio di tazze di caffè a un paio di smartphone di fascia media.
Dettagli deludenti
Negli anni '90 e 2000, tutti i mercati di Mosca erano pieni di dischi di database. Basi di residenti, basi di auto e proprietari di auto, quindi basi di operatori mobili.
Non so come sia oggi la situazione con la vendita criminale di tali basi a Mosca (non vivo in Russia da molto tempo), ma posso dire con un alto grado di fiducia che queste saranno o basi molto antiche, o solo discariche frammentarie di quelle moderne. Ora il volume delle informazioni dipartimentali e aziendali raggiunge i petabyte ed è nel cloud, quindi è abbastanza difficile inserire qualcosa su un normale supporto di consumo adatto alla vendita.
Oggi, i dati personali vengono venduti attivamente su una serie di forum in cui sono presenti venditori, acquirenti e persino interi sistemi di arbitrato progettati per risolvere possibili controversie tra loro. I truffatori sono riusciti a costruire un'infrastruttura criminale molto potente: i forum vivono la vita, gli argomenti hanno molti commenti e recensioni, ci sono divieti per "truffe" e sistemi di valutazione per "verificato".
Video promozionale:
"Sulla darknet?" - pensavi. Non è indovinare. Questi siti sono di pubblico dominio e potrebbero non essere nemmeno inclusi nel registro Roskomnadzor a lungo sofferente (chi ne dubiterebbe). Certo, alcuni di loro hanno mirror sulla darknet, ma questi sono solo mirror.
L'articolo si concentrerà in modo specifico su questi siti e su quei "servizi" che annullano in modo assoluto tutto il tempestoso movimento di stato-vetrinista intorno alla protezione dei dati personali degli ultimi anni.
Chiederò ai residenti di Khabrav di astenersi dal pubblicare collegamenti a queste risorse, sebbene possano essere noti a molti. Chi cerca troverà se stesso. In primo luogo, non voglio fare nemmeno pubblicità indiretta ai truffatori. In secondo luogo, può mettere a repentaglio l'esistenza di questo articolo. In terzo luogo, il punto non sta nell'esistenza stessa di queste risorse, ma nel fatto che esistono condizioni statali in cui generalmente esistono i "servizi" elencati.
Operatori cellulari
Guarda questa immagine, forum tipico, servizi tipici:
I nomi dei "venditori" ed i nomi degli operatori sono stati da me nascosti. Puoi indovinare tu stesso gli operatori, non ce ne sono così tanti in Russia. Tutti si fanno strada senza eccezioni.
Il più semplice è sfondare i dati del proprietario del numero: nome completo, dati del passaporto, indirizzo. Il modo in cui questi dati verranno utilizzati dipende solo dall'immaginazione del truffatore a cui cadranno nelle mani.
La prossima è la parte interessante. "Servizi" di livello superiore: tracciamento della posizione di una persona sui ripetitori, cronologia delle posizioni, dettagli delle chiamate, dettagli degli sms. Per fortuna almeno non ci sono registrazioni sonore delle chiamate (forse non ho guardato bene).
È molto impressionante vedere che qualsiasi scammer può accedere a tali informazioni. Resta da indovinare se questo sia implementato tramite gli stessi operatori cellulari, o attraverso interfacce esterne che possono essere situate presso i servizi governativi (non dubito nemmeno dell'esistenza di tali).
Pensaci ancora una volta quando emetti una carta SIM per i dati del tuo passaporto al momento dell'acquisto. Forse è davvero meglio prendere una carta SIM emessa per un visitatore non identico dall'Asia centrale? Non sono scomparsi da noti luoghi di vendita. Trasferendo i dati del tuo passaporto, ti identifichi non solo per l'operatore cellulare e le agenzie governative, ma anche per qualsiasi criminale a cui non dispiace spendere per te il costo di un paio di tazze di caffè, o anche qualcosa di più.
Enti statali
Forse niente batte la quantità di dati che i vari dipartimenti governativi conoscono su di noi. Migliaia di dipendenti hanno accesso a loro, i cui risultati sono abbondantemente visualizzati sui forum:
Da un lato, emerge un quadro chiaro di quali informazioni questi reparti hanno su di noi e con quale facilità i dipendenti possono raccogliere un dossier completo su qualsiasi persona. D'altra parte, un dipinto a olio ancora più pittoresco: qualsiasi truffatore può raccogliere esattamente lo stesso dossier.
Servizio stradale tipico:
Domanda-risposta di esempio standard:
È anche standard per diversi reparti:
Il più diffuso è il servizio di scarico dalle basi Magistral, Sirena, Granitsa, Migrant, Kronos, Spark, Potok e basi IBDR-IBDF complesse. Prima non conoscevo nemmeno nomi simili. Tutto ciò che la fantasia raggiunge, anche la FIU, sfonda.
Banche
Una categoria separata di "servizi" è dedicata ai dettagli dei conti bancari e al trasferimento dei fondi verso di essi. Una parte di loro è specializzata in conti individuali.
Ma anche di più - per le persone giuridiche. Qui, le frodi si trasformano in sofisticate forme di spionaggio industriale e di vera e propria criminalità. Non pubblicherò screenshot, poiché il criminale "complesso di servizi" va ben oltre le fughe di dati.
Da dove vengono questi fatti mostruosi di massiccia violazione non solo delle leggi sui dati personali, ma anche del segreto bancario? Onestamente, sono davvero sorpreso che la corruzione sia così diffusa. Sembra che sia sufficiente guardare tutte le posizioni in cui il dipendente ha accesso ad almeno alcuni dati dei clienti: il truffatore può essere su chiunque. L'unica domanda è dove stanno guardando i servizi di sicurezza.
Mi piacerebbe molto elencare apertamente i nomi delle banche più colpevoli, ma non lo farò, poiché i primi nell'elenco saranno quelli che hanno blog aziendali sull'hub, che è irto di blocchi dell'articolo. Tutti conoscono i colori aziendali di queste banche. Secondo le mie osservazioni, più piccola è la banca, meno è probabile che ci saranno servizi fraudolenti sui forum.
Tutto viene comprato e venduto
Nella mia indagine, praticamente non ho toccato le informazioni raccolte e unite su di noi da catene di negozi di elettronica, abbigliamento e calzature, cibo e fitness club. Tutto questo è anche in vendita, quindi pensa ancora una volta se vale la pena lasciare il tuo indirizzo e numero di telefono reali quando emetti un altro sconto o una tessera club.
Un fatto interessante: le basi degli utenti di bookmaker-forex-options, servizi di sensitivi-indovini-stregoni, acquirenti di integratori alimentari, mezzi per perdere peso e aumentare la potenza sono venduti attivamente. Il pubblico di destinazione di questi prodotti specifici si è cristallizzato così tanto che questi database passano di mano, vengono costantemente integrati e aggiornati. L'attività è semplicemente enorme.
Non è così male quando i dati personali che lasciamo volontariamente vengono uniti, fai solo attenzione e non lasciarli. È molto peggio quando i dati si fondono, cosa che noi, in linea di principio, non possiamo non lasciare. L'acquisto di schede SIM senza passaporto non risolverà tutti i problemi.
Nel 2017, ho letto pubblicazioni di oppositori russi (in particolare, il leonwolf di Leonid Volkov), che hanno affrontato la persecuzione di criminali dalla mentalità aggressiva che hanno ricevuto improvvisamente informazioni su tutti i voli e i movimenti. Una sorta di mordovorota in attesa vicino all'aeroporto con ritmi e accompagnamento sotto forma di spettacolo di presentazione di pseudo-sostenitori delle autorità generosamente pagati con bandiere e canti. In Ucraina, tutti insieme sono stati chiamati collettivamente titushki.
Perché? Come facevano i titushki a sapere dei voli dell'opposizione? È semplice: perché l'accesso alla base dei voli si compra e si vende allo stesso modo dell'accesso a tutte le altre basi.
Leonid, so che sei un ragazzo IT, se improvvisamente leggi questo articolo, sarò molto contento se lo condividi - molto è stato scritto sotto l'impressione della tua "nuvola".
Un lettore scettico potrebbe pensare: stai parlando di oppositori, cioè di persone che rappresentano una certa posizione politica, le loro attività sono, per definizione, irte di rischi. E sarà sbagliato: l'illegalità penale può colpire tutti. Puoi vedere la portata dei dati su di noi che giacciono sulla strada con i tuoi occhi.
Tutti hanno uno smartphone, tutti hanno un conto in banca, molti usano le auto, molti viaggiano spesso in aereo, molti hanno attività nel post-URSS. Indipendentemente dal tuo status sociale e orientamento politico: sei in pericolo perché i tuoi dati non sono protetti da nessuno e da niente, ei criminali hanno le mani assolutamente libere. Ciò che è sparso nei forum sotto forma di annunci commerciali può infatti essere ricevuto "su chiamata" da persone collegate. Ciò riguarda la Russia in primo luogo.
Molti ricorderanno il caso di Anton Uralsky nel 2008 e la chiamata inviata al provider Internet Stream: "non c'era un solo vuoto!" Tutti hanno quindi riso, non pensando che i dipendenti avessero commesso un crimine pubblicando su Internet una registrazione audio di una conversazione con un cliente. Hanno commesso il secondo crimine pubblicando i dati personali di Anton, che sono diventati proprietà di centinaia di burloni che hanno rovinato la vita di una persona.
Perché pensi che sia stato ispirato da questa storia? Perché nello stesso 2008 i miei dati personali sono stati presentati senza vergogna dai dipendenti del provider Internet Corbin.
Il motivo è degno di un aneddoto: agli amministratori del forum locale di Corbin non sono piaciute alcune mie pubblicazioni, quindi una di loro ha abbinato il mio indirizzo ip con il database interno e pubblicato tutti i dati del contratto, compresi i dati del passaporto e l'indirizzo del servizio di comunicazione. Ecco, guardate, la stessa persona, andate da lui e parlate, cari utenti del forum. Fortunatamente il pubblico di quel forum era principalmente scolaresche e questo non mi prometteva niente di male. Che caricatura della morale: "non far arrabbiare mai l'amministratore".
L'amministratore ha fatto tutto per scherzo, proprio così: un tale atteggiamento nei confronti dei dati personali e delle leggi. Dopotutto, poi, nel 2008, c'erano anche leggi sui dati personali, anche se non così dettagliate come oggi. Come puoi vedere, nulla è cambiato in meglio in 10 anni, anche se per leggi è stata spesa una quantità incomparabilmente maggiore di carta. Tutto è diventato ancora più criminalizzato ed è persino entrato nel flusso commerciale con lo studio di tutti i "processi aziendali" fraudolenti che l'accompagnano. Dove una volta c'era uno "scherzo", una totale stupidità e inclinazioni criminali meschine, oggi ci sono vantaggi finanziari, calcoli freddi e un'intera infrastruttura criminale.
Vivo in Germania da 5 anni e vedo costantemente l'attenzione e la cura con cui le autorità e le organizzazioni commerciali tedesche trattano i dati personali. La prima legge in Germania in ogni lavoro con le persone: proteggere la loro privacy e riservatezza. Ogni volta, sentendo questa preoccupazione su di me, ricordo quei dipendenti degli operatori Internet russi e voglio calcolare quanti anni avrebbero prestato servizio in Germania per le loro azioni. Fino ad ora non sarebbero usciti. D'altra parte, una situazione del genere semplicemente non potrebbe verificarsi: il sistema non consentirebbe a una persona irresponsabile, stupida e disonesta di accedere a dati protetti dalla legge. Prudente, intelligente, ma anche disonesto.
Epilogo
Sono certo che i dipendenti corrotti di aziende, banche, operatori e dipartimenti, proprietari e partecipanti ai forum, di cui ho scritto in generale oggi, leggano gli stessi Habr e leggeranno sicuramente il mio articolo. Qualcuno penserà "tu, mascalzone, esplodi argomenti in pubblico", a cui risponderò subito: stai facendo cose molto cattive, stai commettendo un reato e non intendo cantare odi a ciò che non considero buono, né tacerò su ciò che considero inaccettabile.
Nel mio articolo ho toccato solo la sommità della piramide, non più del 2% dell'intera verità. Approfondendo le risorse tematiche, puoi trovare cose come "servizi" criminali per il blocco remoto delle carte SIM, l'intercettazione di sms, il blocco dei conti bancari, la paralisi a tutto tondo del lavoro delle aziende, qualsiasi capriccio criminale per i tuoi soldi. Ovunque sono coinvolti dipendenti di dipartimenti o dipendenti di vari livelli in società commerciali.
A proposito, ci sono una serie di "servizi" interessanti con gli operatori mobili: i truffatori utilizzano le vulnerabilità delle reti cellulari per geolocalizzare tutti gli utenti che sono entrati nel sito da Internet mobile, connettere abbonamenti a pagamento e, soprattutto per se stessi, aggirare completamente la contabilità del traffico mobile (non è una sciocchezza come distribuzione di Internet con tethering chiuso e disabilitazione completa della contabilità scaricata a tariffe limitate). Sorprendentemente, le radici qui non crescono dai forum neri quasi darknet, ma dal noto forum w3bsit3-dns.com su Runet.
Non sono andato in profondità nel mercato nero, è troppo scivoloso e disgustoso. A me interessava solo la situazione dei dati personali, che è catastrofica e non è nemmeno sepolta nelle profondità del mercato nero, ma è raggiungibile a piedi.
La maggior parte dell'articolo era dedicata alla Russia, alle organizzazioni e ai dipartimenti russi. I lettori ucraini sono probabilmente già abituati al fatto che su Internet in lingua russa la maggior parte delle cattive notizie di solito riguarda il loro vicino settentrionale. Purtroppo questa volta non posso condividere il vostro ottimismo: l'offerta dei “servizi” descritti nell'articolo in Ucraina è ad un livello non inferiore a quello in Russia. Anche il livello dei prezzi è lo stesso.
Secondo le mie osservazioni, ci sono molte meno proposte per Bielorussia e Kazakistan. Forse aveva un brutto aspetto (ad essere onesti, è moralmente difficile essere su queste risorse per molto tempo), ma il punto chiaramente non è un tasso di criminalità inferiore. Secondo me, tutto è molto più prosaico: l'offerta è proporzionale al numero di abitanti, perché ci sono molte meno persone che vivono in Bielorussia e Kazakistan che in Russia e Ucraina.
In nessun altro luogo ho visto offerte di tali "servizi" in Europa, negli Stati Uniti e in altri paesi sviluppati del mondo. Il massimo è sfondare i database comuni (come l'Interpol), a cui si accede dalla Russia. Ovviamente, perché le leggi in questi paesi non sono solo scritte su carta, ma applicate nella pratica. Le leggi non servono per la decorazione, lo spettacolo e la "realizzazione del piano".
Nel frattempo, ai normali proprietari di piccole imprese russi, ucraini, bielorussi e kazaki, le agenzie di vigilanza saranno felici di emettere una multa per la forma errata di modulo di consenso per il trattamento dei dati personali, e loro stesse uniranno con non meno piacere l'intero database in cui tu, i tuoi dati personali, i dati della tua attività, i tuoi clienti e anche la tua multa si rifletterà perfettamente.
Autore: Drebin89