Во всем мире сейчас принимается много усилий с целью обеспечить безопасность персональных данных. Россия тоже не отстает, с энтузиазмом внедряя десятки законов, сотни подзаконных актов и регламентов. Есть ли результат?
Проведенное мною расследование покажет, что в России и на всем пространстве бывшего СССР написанные на бумаге законы этой области тщетны. Итоги ужасны: доступ к персональным данным физических и юридических лиц, банковской тайне, коммерческой тайне, имеют не только компании и государственные ведомства, но и любые мошенники. Все покупается и продается за цену уровня от пары чашек кофе до пары средних смартфонов.
Неутешительные подробности под катом.
В девяностые и нулевые все рынки Москвы были забиты дисками с базами данных. Базы жителей, базы автомобилей и автовладельцев, потом и базы операторов сотовой связи.
Не знаю, как сегодня ситуация с криминальной продажей таких баз в Москве (давно не живу в России), но могу сказать с большой долей уверенности, что это будут либо очень старые базы, либо лишь фрагментарные дампы современных. Сейчас объемы ведомственной и корпоративной информации доходят до петабайт и находится в cloud, так что уместить что-либо на обычный бытовой носитель, пригодный для продажи, дело достаточно сложное.
Сегодня персональные данные активно продаются на ряде форумов, где есть продавцы, покупатели и даже целые системы арбитража, призванные разрешать возможные споры между оными. Мошенники умудрились построить очень мощную криминальную инфраструктуру: форумы живут жизнью, темы имеют много комментариев и отзывов, есть баны за «кидки» и системы рейтинга для «проверенных».
«В даркнете?» — подумали вы. Вот и не угадали. Эти сайты находятся в публичном доступе и даже могут быть не внесены в многострадальный реестр Роскомнадзора (кто бы сомневался). Конечно, некоторые из них действительно имеют зеркала в даркнете, но это лишь зеркала.
Речь в статье пойдет именно об этих сайтах и о тех «услугах», которые перечеркивают абсолютно всю бурную государственную движуху-показуху вокруг защиты персональных данных в последние годы.
Попрошу хабравчан воздержаться от публикации ссылок на данные ресурсы, хоть они и могут быть многим известны. Кто ищет — тот сам найдет. Во-первых, не хочу делать даже косвенную рекламу мошенникам. Во-вторых — это может поставить под удар существование данной статьи. В-третьих, дело не в самом существовании этих ресурсов, а в том, что имеют место быть такие государственные условия, в рамках которых перечисленные «услуги» вообще существуют.
Сотовые операторы
Посмотрите на эту картину, типичный форум, типичные услуги:
Мною были скрыты имена «продавцов» и названия операторов. Об операторах вы догадаетесь сами, в России их не так много. Пробиваются все без исключения.
Самое базовое — это пробив данных владельца номера: ФИО, паспортные данные, адрес. Как эти данные будут использоваться — зависит только от фантазии мошенника, к которому в руки они попадут.
Далее уже интересное. «Услуги» более высокого уровня: отслеживание местоположения человека по вышкам сотовой связи, история местоположений, детализация звонков, детализация sms. К счастью, хоть звукозаписей звонков нет (может, я плохо смотрел).
Очень впечатляет наблюдать, что любой мошенник может получить доступ к такой информации. Остается догадываться, реализуется это средствами самих сотовых операторов, либо через внешние интерфейсы, которые могут находятся у государственных служб (в существовании таких я даже не сомневаюсь).
Лишний раз подумайте, оформляя сим-карту на свои паспортные данные при покупке. Может быть и правда лучше взять симку, оформленную на noname-приезжего из Средней Азии? Из известных мест продажи они никуда не исчезали. Передавая паспортные данные, вы идентифицируете себя не только перед сотовым оператором и государственным органами, но и перед любым преступником, которому не жалко потратить на вас стоимость пары чашек кофе, а то и чего побольше.
Государственные органы
Пожалуй, ничто не сравнится с объемами данных, которые известны о нас различным государственным ведомствам. Тысячи сотрудников имеют к ним доступ, результаты чего обильно просматриваются на форумах:
С одной стороны, вырисовывается четкая картина, какой информацией о нас обладают эти ведомства и с какой легкостью сотрудники могут собрать полное досье на любого человека. С другой стороны еще более живописная картина маслом: любой мошенник может собрать точно такое же досье.
Типичная услуга по автотранспорту:
Стандартный пример вопрос-ответ:
Еще стандартно по разным ведомствам:
Наибольшей популярностью пользуется услуга выгрузки из баз Магистраль, Сирена, Граница, Мигрант, Кронос, Спарк, Поток, комплексных баз ИБДР-ИБДФ. Я даже таких названий раньше не знал. Пробивается все, до чего дойдет фантазия, даже ПФР.
Банки
Отдельная категория «услуг» посвящена детализации банковских счетов и движению средств на них. Часть специализируется по счетам физических лиц.
Но еще больше — по юридическим лицам. Здесь мошенничество переходит в изощренные формы промышленного шпионажа и откровенного криминала. Скриншоты выкладывать не буду, так как криминальный «комплекс услуг» выходит сильно за рамки утечек данных.
Откуда берутся эти чудовищные факты массового нарушения не то что бы законов о персональных данных, а о банковской тайне? Честно, я реально удивляюсь, что коррупция настолько повальная. Похоже, достаточно просто посмотреть все должности, где сотрудник имеет доступ к хоть каким-то данным клиентов — мошенник может находиться на любой. Вопрос лишь в том, куда смотрят службы безопасности.
Мне очень сильно хотелось бы перечислить наименования самых проштрафившихся банков открыто, но я не буду это делать, так как первыми в списке окажутся те, которые имеют на хабре корпоративные блоги, что чревато блокировкой статьи. Фирменные цвета этих банков тоже все знают. По моим наблюдениям, чем меньше банк — тем меньше вероятность того, что на форумах будут касающиеся его мошеннические услуги.
Продается и покупается абсолютно все
В своем расследовании я практически не касался информации, которая собирается и сливается о нас сетевыми магазинами электроники, одежды и обуви, питания, фитнес-клубами. Все это тоже продается, так что лишний раз подумайте, стоит ли оставлять реальный адрес и номер телефона, оформляя очередную дисконтную или клубную карту.
Любопытный факт: активно продаются базы пользователей букмекеров-форексов-опционов, услуг экстрасенсов-гадалок-ворожей, покупателей БАД-ов, средств для похудания и повышения потенции. Целевые аудитории этих специфичных продуктов настолько кристаллизовались, что эти базы переходят из рук в руки, постоянно дополняются и поддерживаются в актуальном состоянии. Бизнес просто огромный по своему масштабу.
Не так плачевно, когда сливаются персональные данные, которые мы оставляем добровольно — просто соблюдай меры осторожности и не оставляй их. Гораздо хуже, когда сливаются те данные, не оставить которые мы в принципе не можем. Покупкой сим-карт без паспорта все проблемы не решишь.
В 2017 году я читал публикации российских оппозиционеров (в частности, Леонида Волкова leonwolf), которые столкнулись с преследованием агрессивно настроенных криминальных элементов, внезапно получивших информацию обо всех перелетах и передвижениях. Этакие ждущие возле аэропорта мордовороты с битами и аккомпанементом в виде шоу-представления щедро оплаченных псевдосторонников власти с флагами и кричалками. В Украине их всех в свое время обобщенно называли титушками.
Почему так? Откуда титушки узнали про перелеты оппозиционеров? Все просто: потому, что доступ к базе перелетов покупается и продается так же, как и доступ ко всем остальным базам.
(Леонид, знаю что ты IT-шник, если вдруг прочитаешь эту статью, буду очень рад, если расшаришь — многое написано под впечатлением твоего «Облака»)
Скептический читатель может подумать: ты же говоришь про оппозиционеров, то есть людей, которые представляют определенную политическую позицию, их деятельность по определению сопряжена с рисками. И будет неправ: криминальный беспредел может коснуться каждого. Масштабы данных о нас, которые валяются на дороге, вы видите своими глазами.
У каждого есть смартфон, у каждого есть счет в банке, многие пользуются авто, многие часто перемещаются авиатранспортом, у многих бизнес на просторах пост-СССР. Вне зависимости от вашего социального статуса и политической ориентации: вы в опасности потому, что ваши данные никем и ничем не защищены, а у преступников абсолютно развязаны руки. То, что раскидано по форумам в виде коммерческих объявлений, на самом может деле быть получено «по звонку» имеющими связи людьми. России это касается в первую очередь.
Многие вспомнят случай с Антоном Уральским в 2008 году и выложенным звонком интернет-провайдеру Стрим: «не было не единого разрыва!» Все тогда посмеялись, не задумавшись, что сотрудники совершили преступление, выложив аудиозапись разговора с клиентом в интернет. Второе преступление они совершили, выложив и персональные данные Антона, которые стали достоянием сотен пранкеров, испортивших человеку жизнь.
Как думаете, почему я проникся этой историей? Потому, что в том же 2008 году мои собственные персональные данные были без зазрения совести выложены сотрудниками интернет-провайдера Корбина.
Причина достойна анекдота: админам корбиновского локального форума не понравились некоторые мои публикации, поэтому кто-то из них сопоставил мой ip-адрес с внутренней базой и выложил все данные договора, включая паспортные данные и адрес предоставления услуги связи. Вот, смотрите, тот самый человек, сходите к нему и поговорите, дорогие форумчане. К счастью, аудиторией того форума были преимущественно школьники и ничем плохим мне это не сулило. Какая карикатура на мораль: «никогда не зли админа».
Админ сделал все в виде шутки, просто так: такое отношение к персональным данным и законам. Ведь тогда, в 2008 году, тоже были законы о персональных данных, хоть и не такие подробные, как сегодня. Как видите, за 10 лет ничего в лучшую сторону не изменилось, хоть и бумаги на законы потрачено несравненно больше. Все еще сильнее криминализовалось и даже встало на коммерческий поток с проработкой всех сопутствующих мошеннических «бизнес-процессов». Где раньше был «прикол», откровенная глупость и мелкокриминальные наклонности, сегодня финансовая выгода, холодный расчет и целая криминальная инфраструктура.
Я живу в Германии 5 лет и постоянно вижу то внимание и заботу, с которыми любые германские ведомства и коммерческие организации относятся к персональным данным. Первый закон в Германии в любой работе с людьми: беречь их приватность и конфиденциальность. Каждый раз, ощущая эту заботу на себе, я вспоминаю тех сотрудников российских интернет-операторов и мне хочется посчитать, сколько лет они бы отсидели в Германии за свои поступки. До сих пор бы не вышли. С другой стороны, подобной ситуации попросту не могло бы возникнуть: система не позволила бы безответственному, глупому и нечестному человеку получить доступ к данным, охраняемых законом. Расчетливому, умному, но все равно нечестному — тоже.
Послесловие
Уверен, что коррумпированные сотрудники фирм, банков, операторов и ведомств, владельцы и участники форумов, про которых я обобщенно сегодня написал, сами читают хабр и обязательно прочитают мою статью. Кто-то подумает «ты, негодяй, палишь темы на публику», на что отвечу сразу: вы занимаетесь очень плохими вещами, вы совершаете уголовное преступление, а я не намерен петь оды тому, что не считаю благом, равно как и не стану умалчивать о том, что считаю неприемлемым.
В своей статье я затронул лишь вершину пирамиды, не более 2% всей правды. Копая тематические ресурсы дальше, можно найти такие вещи, как криминальные «услуги» по удаленной блокировке сим-карт, перехвату sms, блокировке банковских счетов, всесторонней парализации работы компаний, любой криминальный каприз за ваши деньги. Везде замешаны либо сотрудники ведомств, либо сотрудники разного звена в коммерческих компаниях.
Кстати, с мобильными операторами есть еще ряд любопытнейших «услуг»: мошенники используют уязвимости сотовых сетей с целью геопозиционирования всех зашедших на сайт с мобильного интернета пользователей, подключения платных подписок, и сугубо для себя — полного обхода учета мобильного трафика (речь не о ерунде вроде раздачи интернета при закрытом tethering, а полном отключения учета скачанного на лимитированных тарифах). На удивление, корни тут растут отнюдь не с черных около-даркнетных форумов, а со всем известного в рунете форума 4pda.
Вдаваться вглубь черного рынка я не стал, это слишком скользко и противно. Меня интересовала лишь ситуация с персональными данными, которая катастрофическая и даже не то чтобы в глубинах черного рынка закопана, а находится в шаговой доступности.
Большая часть статьи была посвящена России, российским организациям и ведомствам. Читатели из Украины наверняка уже привыкли, что в русскоязычном интернете большинство плохих новостей обычно касается их северного соседа. К сожалению, на этот раз не смогу разделить вашего оптимизма: предложение описанных в статье «услуг» по Украине находится на ничуть не меньшем уровне, чем по России. Даже уровень цен такой же.
По моим наблюдениям, сильно меньше предложений по Беларуси и Казахстану. Может быть, плохо искал (честно признаюсь, долго находиться на этих ресурсах морально тяжело), но дело явно не в более низком уровне преступности. На мой взгляд, все гораздо прозаичнее: предложение пропорционально численности жителей, ведь в Беларуси и Казахстане живет людей сильно меньше, чем в России и Украине.
Нигде я не видел предложений подобных «услуг» по Европе, США и другим развитым странам мира. Максимум — пробив по общим базам (вроде Интерпола), к которым имеется доступ из России. Очевидно потому, что законы в этих странах не только написаны бумаге, а исполняются на практике. Законы — не для декорации, показухи и «выполнения плана».
Тем временем простым российским, украинским, беларуским и казахстанским владельцам малого бизнеса надзорные ведомства с удовольствием выпишут штраф за неправильную форму бланка согласия на обработку персональных данных, а сами с не меньшим удовольствием сольют всю базу, в которой вы, ваши персональные данные, данные вашего бизнеса, ваших клиентов, и даже ваш штраф будут отлично отражены.
