Er worden nu wereldwijd veel inspanningen geleverd om de veiligheid van persoonsgegevens te waarborgen. Ook Rusland loopt niet achter, met enthousiasme voert het tientallen wetten, honderden statuten en verordeningen in. Is er een resultaat?
Uit mijn onderzoek zal blijken dat in Rusland en op het hele grondgebied van de voormalige USSR de wetten van dit gebied op papier tevergeefs zijn. De resultaten zijn verschrikkelijk: niet alleen bedrijven en overheidsdiensten, maar ook alle fraudeurs hebben toegang tot persoonsgegevens van individuen en rechtspersonen, bankgeheimen, handelsgeheimen. Alles wordt gekocht en verkocht voor een prijsniveau van een paar kopjes koffie tot een paar smartphones uit het middensegment.
Teleurstellende details
In de jaren negentig en 2000 zaten alle markten in Moskou vol met databaseschijven. Basissen van bewoners, bases van auto's en autobezitters, en vervolgens bases van mobiele operators.
Ik weet niet hoe de situatie met de criminele verkoop van dergelijke bases in Moskou vandaag is (ik heb lange tijd niet in Rusland gewoond), maar ik kan met grote zekerheid zeggen dat dit ofwel zeer oude bases zullen zijn, of slechts fragmentarische stortplaatsen van moderne bases. Nu bereikt het volume aan afdelings- en bedrijfsinformatie petabytes en bevindt het zich in de cloud, dus het is vrij moeilijk om iets op een regulier consumentenmedium te passen dat geschikt is voor verkoop.
Tegenwoordig worden persoonlijke gegevens actief verkocht op een aantal fora waar verkopers, kopers en zelfs volledige arbitragesystemen zijn die zijn ontworpen om mogelijke geschillen tussen hen op te lossen. Fraudeurs zijn erin geslaagd om een zeer krachtige criminele infrastructuur op te bouwen: forums leven het leven, onderwerpen hebben veel commentaren en recensies, er zijn verboden voor "oplichting" en beoordelingssystemen voor "geverifieerd".
Promotie video:
"Op het darknet?" - jij dacht. Dat is niet gissen. Deze sites zijn in het publieke domein en worden misschien niet eens opgenomen in het lankmoedige Roskomnadzor-register (wie zou eraan twijfelen). Natuurlijk hebben sommigen van hen spiegels op het darknet, maar dit zijn slechts spiegels.
Het artikel zal zich specifiek richten op deze sites en op die "diensten" die absoluut alle stormachtige toestandsveranderingen rond de bescherming van persoonlijke gegevens van de afgelopen jaren teniet doen.
Ik zal de inwoners van Khabrav vragen om geen links naar deze bronnen te publiceren, hoewel ze bij velen bekend kunnen zijn. Hij die zoekt, zal zichzelf vinden. Ten eerste wil ik zelfs geen indirecte reclame maken voor oplichters. Ten tweede kan het het bestaan van dit artikel in gevaar brengen. Ten derde ligt het punt niet in het bestaan van deze middelen, maar in het feit dat er staatscondities zijn waaronder de vermelde "diensten" over het algemeen bestaan.
Mobiele operators
Kijk naar deze foto, typisch forum, typische diensten:
De namen van de "verkopers" en de namen van de operators waren door mij verborgen. U kunt zelf raden naar de operators, er zijn er niet zo veel in Rusland. Ze vinden allemaal hun weg zonder uitzondering.
Het meest basale is het doorbreken van de gegevens van de eigenaar van het nummer: volledige naam, paspoortgegevens, adres. Hoe deze gegevens worden gebruikt, hangt alleen af van de verbeeldingskracht van de fraudeur aan wie ze in handen zullen vallen.
Het volgende is het interessante deel. "Diensten" van een hoger niveau: het volgen van de locatie van een persoon op zendmasten, locatiegeschiedenis, oproepdetails, sms-details. Gelukkig zijn er in ieder geval geen geluidsopnamen van de oproepen (misschien heb ik niet goed gekeken).
Het is erg indrukwekkend om te zien dat elke oplichter toegang heeft tot dergelijke informatie. Het valt nog te raden of dit wordt geïmplementeerd via de mobiele operators zelf, of via externe interfaces die zich mogelijk bij overheidsdiensten bevinden (ik twijfel niet eens aan het bestaan ervan).
Denk nog eens goed na bij het uitgeven van een simkaart voor uw paspoortgegevens bij aankoop. Misschien is het echt beter om een simkaart te nemen die is uitgegeven voor een niet-naam-bezoeker uit Centraal-Azië? Ze zijn niet verdwenen uit bekende verkooppunten. Door uw paspoortgegevens over te dragen, identificeert u uzelf niet alleen voor de mobiele operator en overheidsinstanties, maar ook voor elke crimineel die het niet erg vindt om de kosten van een paar kopjes koffie aan u uit te geven, of zelfs meer.
Staatsorganen
Er gaat misschien niets boven de hoeveelheid gegevens die verschillende overheidsdiensten over ons weten. Duizenden medewerkers hebben er toegang toe, waarvan de resultaten rijkelijk worden bekeken op de forums:
Enerzijds ontstaat er een duidelijk beeld van welke informatie deze afdelingen over ons hebben en met welk gemak medewerkers een compleet dossier over ieder persoon kunnen verzamelen. Aan de andere kant een nog pittoresker olieverfschilderij: elke fraudeur kan precies hetzelfde dossier ophalen.
Typische wegenwacht:
Standaard voorbeeld vraag-antwoord:
Het is ook standaard voor verschillende afdelingen:
De meest populaire service is het lossen van de Magistral-, Sirena-, Granitsa-, Migrant-, Kronos-, Spark-, Potok-bases en complexe IBDR-IBDF-bases. Ik kende zulke namen niet eens eerder. Alles wat de fantasie bereikt, zelfs de FIU, breekt door.
Banken
Een aparte categorie "diensten" is gewijd aan de detaillering van bankrekeningen en het verkeer van middelen ernaar. Een deel van hen is gespecialiseerd in individuele accounts.
Maar nog meer - voor juridische entiteiten. Hier verandert fraude in geavanceerde vormen van bedrijfsspionage en regelrechte criminaliteit. Ik zal geen screenshots plaatsen, aangezien het criminele "dienstencomplex" veel verder gaat dan datalekken.
Waar komen deze monsterlijke feiten van massale schending van niet alleen persoonsgegevenswetten, maar ook het bankgeheim vandaan? Eerlijk gezegd ben ik echt verrast dat corruptie zo wijdverbreid is. Het lijkt erop dat het voldoende is om alleen naar alle functies te kijken waar de werknemer toegang heeft tot ten minste enkele klantgegevens - de fraudeur kan iedereen aanspreken. De enige vraag is waar de veiligheidsdiensten naar zoeken.
Ik zou heel graag de namen van de meest schuldige banken openlijk willen opsommen, maar ik zal dit niet doen, aangezien de eerste op de lijst degene zijn met bedrijfsblogs op de hub, die beladen is met het blokkeren van het artikel. Iedereen kent de bedrijfskleuren van deze banken. Volgens mijn observaties, hoe kleiner de bank, hoe kleiner de kans dat er frauduleuze diensten op de forums zullen verschijnen.
Alles wordt gekocht en verkocht
In mijn onderzoek heb ik praktisch geen informatie aangeroerd die over ons wordt verzameld en samengevoegd door winkelketens van elektronica, kleding en schoenen, eten en fitnessclubs. Dit alles is ook te koop, dus bedenk nogmaals of het de moeite waard is om je echte adres en telefoonnummer achter te laten bij het uitgeven van een andere kortings- of clubkaart.
Een interessant feit: de bases van gebruikers van bookmakers-forex-opties, diensten van paranormaal begaafden-waarzeggers-tovenaars, kopers van voedingssupplementen, middelen om af te vallen en de potentie te vergroten, worden actief verkocht. De doelgroepen van deze specifieke producten zijn zo uitgekristalliseerd dat deze databases van eigenaar wisselen, constant worden aangevuld en up-to-date gehouden. Het bedrijf is gewoon enorm groot.
Het is niet zo erg als persoonlijke gegevens die we vrijwillig achterlaten, worden samengevoegd - wees voorzichtig en laat ze niet achter. Het is veel erger als de gegevens worden samengevoegd, wat we in principe niet kunnen verlaten. Simkaarten kopen zonder paspoort lost niet alle problemen op.
In 2017 las ik publicaties van Russische oppositionisten (in het bijzonder Leonid Volkovs leonwolf), die werden geconfronteerd met de vervolging van agressief ingestelde criminelen die plotseling informatie ontvingen over alle vluchten en bewegingen. Een soort mordovorota's wachten vlakbij het vliegveld met beats en begeleiding in de vorm van een showpresentatie van royaal betaalde pseudo-supporters van de autoriteiten met vlaggen en gezangen. In Oekraïne werden ze allemaal samen titushki genoemd.
Waarom is dat? Hoe wist de titushki van de vluchten van de oppositie? Het is simpel: omdat toegang tot de basis van vluchten wordt gekocht en verkocht op dezelfde manier als toegang tot alle andere bases.
Leonid, ik weet dat je een IT-man bent, als je dit artikel plotseling leest, zal ik heel blij zijn als je het deelt - er is veel geschreven onder de indruk van je "Cloud".
Een sceptische lezer zou kunnen denken: u heeft het over oppositionisten, dat wil zeggen mensen die een bepaalde politieke positie vertegenwoordigen, hun activiteiten zijn per definitie beladen met risico's. En het zal verkeerd zijn: strafrechtelijke wetteloosheid kan iedereen treffen. U kunt met eigen ogen de schaal van de gegevens over ons op de weg zien liggen.
Iedereen heeft een smartphone, iedereen heeft een bankrekening, velen gebruiken auto's, velen reizen vaak per vliegtuig, velen hebben bedrijven in de post-USSR. Ongeacht uw sociale status en politieke oriëntatie: u loopt gevaar omdat uw gegevens door niemand of iets worden beschermd en criminelen absoluut de vrije hand hebben. Wat over forums verspreid is in de vorm van commerciële aankondigingen, kan in feite "on call" worden ontvangen door verbonden mensen. Dit betreft in de eerste plaats Rusland.
Velen zullen zich de zaak met Anton Uralsky in 2008 en de geposte oproep aan de internetprovider Stream herinneren: "er was geen enkel gat!" Iedereen lachte toen en dacht niet dat de werknemers een misdaad hadden gepleegd door een audio-opname van een gesprek met een klant op internet te plaatsen. Ze pleegden de tweede misdaad door de persoonlijke gegevens van Anton te publiceren, die eigendom werden van honderden grappenmakers die iemands leven verwoestten.
Waarom denk je dat ik door dit verhaal ben geïnspireerd? Omdat in hetzelfde 2008 mijn eigen persoonlijke gegevens onbeschaamd werden opgemaakt door medewerkers van de internetprovider Corbin.
De reden is een anekdote waardig: de beheerders van het lokale forum van Corbin hielden niet van sommige van mijn publicaties, dus een van hen koppelde mijn ip-adres aan de interne database en plaatste alle gegevens van het contract, inclusief paspoortgegevens en het adres van de communicatiedienst. Kijk hier, dezelfde persoon, ga naar hem toe en praat, beste forumgebruikers. Gelukkig bestond het publiek van dat forum voornamelijk uit schoolkinderen en dit beloofde me niets slechts. Wat een karikatuur van moraliteit: "maak de bestuurder nooit kwaad".
De admin deed alles voor de grap, zomaar: zo'n houding ten opzichte van persoonsgegevens en wetten. In 2008 waren er immers ook wetten over persoonsgegevens, hoewel niet zo gedetailleerd als nu. Zoals u kunt zien, is er in tien jaar niets ten goede veranderd, hoewel er onvergelijkbaar meer papier aan wetten is uitgegeven. Alles werd zelfs nog meer gecriminaliseerd en kwam zelfs in de commerciële stroom met de studie van alle bijbehorende frauduleuze "bedrijfsprocessen". Waar er vroeger een "grap" was, regelrechte domheid en kleine criminele neigingen, is er tegenwoordig financieel voordeel, koude berekeningen en een hele criminele infrastructuur.
Ik woon nu 5 jaar in Duitsland en zie constant de aandacht en zorg waarmee Duitse autoriteiten en commerciële organisaties omgaan met persoonsgegevens. De eerste wet in Duitsland bij elk werk met mensen: om hun privacy en vertrouwelijkheid te beschermen. Elke keer dat ik deze bezorgdheid bij mezelf voelde, herinner ik me die werknemers van Russische internetoperators en ik wil berekenen hoeveel jaar ze in Duitsland zouden hebben gediend voor hun daden. Tot nu toe zouden ze er niet uit zijn gekomen. Aan de andere kant zou een dergelijke situatie eenvoudigweg niet kunnen ontstaan: het systeem zou een onverantwoordelijke, domme en oneerlijke persoon geen toegang geven tot wettelijk beschermde gegevens. Voorzichtig, slim, maar nog steeds oneerlijk - ook.
Nawoord
Ik ben er zeker van dat de corrupte medewerkers van bedrijven, banken, operators en afdelingen, de eigenaren en deelnemers van de forums, waarover ik vandaag in het algemeen schreef, de Habr zelf lezen en zeker mijn artikel zullen lezen. Iemand zal denken “jij, schurk, blaas onderwerpen op het publiek”, waarop ik meteen zal antwoorden: je doet hele slechte dingen, je begaat een misdrijf en ik ben niet van plan odes te zingen op wat ik niet als goed beschouw, en ik zal ook niet zwijgen over wat ik onaanvaardbaar vind.
In mijn artikel raakte ik alleen de top van de piramide aan, niet meer dan 2% van de hele waarheid. Als u thematische bronnen verder doorzoekt, kunt u zaken vinden als criminele "diensten" voor het op afstand blokkeren van simkaarten, onderschepping van sms, blokkering van bankrekeningen, algehele verlamming van het werk van bedrijven, elke criminele gril voor uw geld. Overal zijn medewerkers van afdelingen of medewerkers van verschillende niveaus in commerciële bedrijven betrokken.
Overigens zijn er een aantal interessante "diensten" bij mobiele operators: fraudeurs gebruiken de kwetsbaarheden van mobiele netwerken om alle gebruikers die de site zijn binnengekomen vanaf het mobiele internet te geoloceren, om betaalde abonnementen aan te sluiten, en vooral voor zichzelf - om de boekhouding van mobiel verkeer volledig te omzeilen (dit is geen onzin zoals distributie van internet met gesloten tethering en volledige uitschakeling van boekhouding gedownload tegen beperkte tarieven). Verrassend genoeg groeien de wortels hier niet van de zwarte near-darknet-forums, maar van het bekende w3bsit3-dns.com-forum in Runet.
Ik ben niet diep de zwarte markt ingegaan, het is te glad en walgelijk. Ik was alleen geïnteresseerd in de situatie met persoonlijke gegevens, die catastrofaal is en zelfs niet begraven in de diepten van de zwarte markt, maar op loopafstand.
Het grootste deel van het artikel was gewijd aan Rusland, Russische organisaties en afdelingen. Lezers uit Oekraïne zijn waarschijnlijk al gewend aan het feit dat op het Russisch-talige internet het meeste slechte nieuws meestal over hun noorderbuur gaat. Helaas kan ik deze keer uw optimisme niet delen: het aanbod van de "diensten" die in het artikel worden beschreven in Oekraïne is van niet minder niveau dan in Rusland. Zelfs het prijsniveau is hetzelfde.
Volgens mijn waarnemingen zijn er veel minder voorstellen voor Wit-Rusland en Kazachstan. Misschien zag hij er slecht uit (om eerlijk te zijn, het is moreel moeilijk om lange tijd op deze bronnen te zijn), maar het punt is duidelijk niet een lagere criminaliteit. Naar mijn mening is alles veel prozaïscher: het aanbod is evenredig met het aantal inwoners, omdat er in Wit-Rusland en Kazachstan veel minder mensen wonen dan in Rusland en Oekraïne.
Nergens anders heb ik aanbiedingen van dergelijke "diensten" gezien in Europa, de Verenigde Staten en andere ontwikkelde landen van de wereld. Het maximum is het doorbreken van de gemeenschappelijke databases (zoals Interpol), waartoe er vanuit Rusland toegang is. Uiteraard, want de wetten in deze landen worden niet alleen op papier geschreven, maar in de praktijk geïmplementeerd. Wetten zijn niet bedoeld voor versiering, showmanship en 'planvervulling'.
Ondertussen zullen toezichthoudende instanties aan gewone Russische, Oekraïense, Wit-Russische en Kazachse eigenaren van kleine bedrijven graag een boete opleggen voor de onjuiste vorm van toestemmingsformulier voor de verwerking van persoonlijke gegevens, en zij zullen zelf met niet minder plezier de volledige database samenvoegen waarin u, uw persoonlijke gegevens, de gegevens van uw bedrijf, uw klanten en zelfs uw boete zullen perfect tot uiting komen.
Auteur: Drebin89