Isiklike andmete turvalisuse tagamiseks tehakse kogu maailmas palju jõupingutusi. Ka Venemaa ei ole maha jäänud, entusiasmiga tutvustades kümneid seadusi, sadu põhimäärusi ja määrusi. Kas on tulemust?
Minu uurimine näitab, et Venemaal ja kogu endise NSV Liidu territooriumil on selle ala paberile kirjutatud seadused asjatud. Tulemused on kohutavad: mitte ainult ettevõtetel ja valitsusasutustel, vaid ka kõigil petturitel on juurdepääs eraisikute ja juriidiliste isikute isikuandmetele, pangasaladustele, ärisaladustele. Kõik on ostetud ja müüdud hinnaga alates paar tassitäit kohvi ja lõpetades paari keskklassi nutitelefoniga.
Pettumust valmistavad detailid
1990ndatel ja 2000ndatel olid kõik Moskva turud andmebaaside ketastega täis. Elanike alused, autode ja autoomanike alused ning seejärel mobiilsideoperaatorite alused.
Ma ei tea, kuidas on olukord selliste aluste kuritegeliku müügiga Moskvas (ma pole Venemaal pikka aega elanud), kuid võin suure kindlusega öelda, et need on kas väga vanad alused või ainult moodsate killustatud prügimäed. Nüüd ulatub osakondade ja ettevõtete teabe maht petabaitideni ja on pilves, seega on müügi jaoks sobivasse tavalisse meediumisse midagi üsna keeruline mahutada.
Täna müüakse isikuandmeid aktiivselt paljudes foorumites, kus on müüjaid, ostjaid ja isegi terveid vahekohtusüsteeme, mis on loodud nendevaheliste võimalike vaidluste lahendamiseks. Petturid on suutnud üles ehitada väga võimsa kriminaalse infrastruktuuri: foorumites elatakse elu, teemadel on palju kommentaare ja ülevaateid, keelud on petuskeemid ja reitingusüsteemid on kinnitatud.
Reklaamvideo:
"Darnetnetis?" - arvasite. See ei ole vist. Need saidid on avalikus omandis ja neid ei pruugi olla isegi pika kannatusega Roskomnadzori registrisse kantud (kes selles kahtleks). Muidugi on mõnel neist darknetis peeglid, kuid need on lihtsalt peeglid.
Artikkel keskendub konkreetselt neile saitidele ja neile "teenustele", mis tühistavad absoluutselt kogu viimaste aastate isikuandmete kaitsega seotud tormise riigi liikumise.
Ma palun Khabravi elanikel hoiduda nende ressursside linkide avaldamisest, ehkki neid võib paljudele teada olla. Kes otsib, leiab ise. Esiteks ei taha ma petturitele isegi kaudset reklaami teha. Teiseks võib see ohustada selle artikli olemasolu. Kolmandaks, küsimus ei seisne mitte nende ressursside olemasolus, vaid selles, et on olemas riiklikud tingimused, mille korral loetletud "teenused" üldiselt eksisteerivad.
Mobiilsideoperaatorid
Vaadake seda pilti, tüüpiline foorum, tüüpilised teenused:
"Müüjate" ja operaatorite nimed varjasin mind. Operaatorite enda kohta võite arvata, Venemaal pole neid nii palju. Nad kõik teevad oma tee eranditeta.
Kõige lihtsam on numbri omaniku andmete läbi murdmine: täisnimi, passi andmed, aadress. Kuidas neid andmeid kasutatakse, sõltub ainult petturi kujutlusvõimest, kellele nad satuvad.
Järgmine on huvitav osa. Kõrgema taseme teenused: inimese asukoha jälgimine mobiilsidetornides, asukoha ajalugu, kõne üksikasjad, SMS-i üksikasjad. Õnneks vähemalt pole kõnede helisalvestisi (võib-olla ma ei jälginud hästi).
On väga muljetavaldav näha, et iga pettur pääseb sellisele teabele juurde. Jääb üle arvata, kas seda rakendavad mobiilsideoperaatorid ise või väliste liideste kaudu, mis võivad asuda valitsusasutustes (ma isegi ei kahtle selliste olemasolus).
Mõelge veel kord, kui väljastate ostmisel oma passiandmete jaoks SIM-kaardi. Võib-olla on tõesti parem võtta Kesk-Aasiast noname-külastajale väljastatud SIM-kaart? Need ei kadunud tuntud müügikohtadest. Oma passiandmete edastamisega tuvastate end mitte ainult mobiilsideoperaatorile ja valitsusasutustele, vaid ka igale kurjategijale, kes ei kavatse kulutada teile paar tassi kohvi või isegi midagi muud.
Riigiorganid
Võib-olla ei ületa miski andmete kogust, mida erinevad valitsusosakonnad meist teavad. Neile pääseb ligi tuhandetele töötajatele, kelle tulemusi saab foorumitel ohtralt vaadata:
Ühelt poolt saab selge pildi sellest, millist teavet neil osakondadel meie kohta on ja kui hõlpsalt saavad töötajad koguda täieliku toimiku iga inimese kohta. Teisest küljest veelgi maalilisem õlimaal: iga pettur võib koguda täpselt sama toimiku.
Tavaline maanteeteenus:
Küsimuse-vastuse standardnäide:
See on standardne ka erinevate osakondade jaoks:
Kõige populaarsem on Magistrali, Sirena, Granitsa, Migrandi, Kronose, Sparki, Potoki baasidest ja keerukatest IBDR-IBDF alustest mahalaadimise teenus. Selliseid nimesid ma isegi varem ei teadnud. Kõik, kuhu fantaasia jõuab, isegi rahapesu andmebüroo, puruneb.
Pangad
Eraldi kategooria "teenused" on pühendatud pangakontode täpsustamisele ja neile rahaliste vahendite liikumisele. Osa neist on spetsialiseerunud individuaalsetele kontodele.
Kuid veelgi enam - juriidiliste isikute jaoks. Pettused muutuvad siin keerukateks tööstusliku spionaaži ja otseste kuritegude vormideks. Ma ei hakka ekraanipilte postitama, kuna kriminaalne "teenuste kompleks" ületab andmete lekitamist.
Kust pärinevad need koledad faktid, mis on seotud mitte ainult isikuandmete seaduste, vaid ka pangasaladuse massilise rikkumisega? Ausalt, ma olen tõesti üllatunud, et korruptsioon on nii levinud. Näib, et piisab vaid kõigi positsioonide vaatamisest, kus töötajal on juurdepääs vähemalt mõnele kliendiandmele - pettur võib olla ükskõik kes. Ainus küsimus on see, kust turvateenused otsivad.
Tahaksin väga avalikult loetleda kõige rohkem süüdi olevate pankade nimesid, kuid ma ei tee seda, sest esimestena on loendis need, kelle jaotuses on ettevõtte ajaveebid, mis on artikli blokeerimisega tulvil. Kõik teavad nende pankade ettevõtte värve. Minu tähelepanekute kohaselt on mida väiksem pank, seda väiksem on tõenäosus, et foorumites pakutakse pettusi.
Kõik ostetakse ja müüakse
Uurimisel ei puudutanud ma praktiliselt teavet, mida meie kohta koguvad ja liidavad elektroonika, rõivaste ja jalatsite, toidu- ja spordiklubide kauplused. Kõik see on ka müügiks, nii et mõelge veelkord, kas uue soodus- või klubikaardi väljastamisel tasub jätta oma tegelik aadress ja telefoninumber.
Huvitav fakt: aktiivselt müüakse kihlvedude pakkujate-valuutavõimaluste kasutajaid, selgeltnägijate, ennustajate-nõidade teenuseid, toidulisandite ostjaid, kaalu kaotamise ja potentsi suurendamise vahendeid. Nende konkreetsete toodete sihtrühmad on kristalliseerunud nii palju, et need andmebaasid vahetavad omanikke, neid täiendatakse pidevalt ja ajakohastatakse. Äri on lihtsalt ulatuslik.
Pole nii halb, kui vabatahtlikult lahkuvad isikuandmed liidetakse - ole lihtsalt ettevaatlik ja ära jäta seda. Andmete liitmisel on palju hullem, mida me põhimõtteliselt ei saa jätta. Ilma passita SIM-kaartide ostmine ei lahenda kõiki probleeme.
2017. aastal lugesin Venemaa opositsioonistide (eriti Leonid Volkovi leonwolfi) väljaandeid, kes seisid silmitsi agressiivselt meelestatud kurjategijate tagakiusamisega, kes said ootamatult teavet kõigi lendude ja liikumiste kohta. Omamoodi mordovorotad, mis ootavad lennujaama lähedal koos löökide ja saatega - võimude paljukordselt tasustatud pseudotoetajate lippude ja lauludega saateesitlus. Ukrainas kutsuti neid kõiki korraga nimega titushki.
Miks nii? Kuidas titushki opositsiooni lendudest teada sai? See on lihtne: kuna juurdepääsu lendude baasile ostetakse ja müüakse samamoodi nagu juurdepääsu kõigile teistele baasidele.
Leonid, ma tean, et olete IT-tüüp, kui te seda artiklit äkki loete, on mul väga hea meel, kui jagate seda - palju on kirjutatud teie "Pilve" mulje all.
Skeptiline lugeja võiks mõelda: te räägite opositsioonidest, see tähendab inimestest, kes esindavad teatud poliitilist positsiooni, nende tegevus on oma olemuselt täis riske. Ja see on vale: kriminaalõiguslik seadusetus võib mõjutada kõiki. Te saate oma silmaga näha maanteel lebavate andmete ulatust.
Kõigil on nutitelefon, kõigil on pangakonto, paljud kasutavad autosid, paljud reisivad sageli lennukiga, paljudel on NSV Liidu järgsed ettevõtted. Sõltumata teie sotsiaalsest staatusest ja poliitilisest orientatsioonist: olete ohus, kuna teie andmeid ei kaitse keegi ega miski ja kurjategijatel on täiesti vabad käed. See, mis on hajutatud foorumite vahel kommertsteadaannete kujul, saab tegelikult ühendatud inimesi vastu võtta "valves". See puudutab ennekõike Venemaad.
Paljud mäletavad juhtumit Anton Uralskyga 2008. aastal ja Interneti-pakkujale Streamile saadetud kõnet: "ei olnud ainsatki tühimikku!" Seejärel naersid kõik, ega mõelnud, et töötajad panid kuriteo toime, saates Internetis kliendiga vestluse helisalvestise. Teise kuriteo panid nad toime Antoni isikuandmete avaldamisega, millest said sadade inimese elu rikkuvad pranglid.
Miks te arvate, miks mind see lugu inspireeris? Sest samal 2008. aastal panid Interneti-teenuse pakkuja Corbini töötajad minu enda isikuandmeid häbiväärselt välja.
Põhjus on anekdooti väärt: Corbini kohaliku foorumi administraatoritele ei meeldinud mõned minu väljaanded, nii et üks neist sobitas mu ip-aadressi sisemise andmebaasiga ja postitas kõik lepingu üksikasjad, sealhulgas passiandmed ja sideteenuste osutamise aadressi. Vaata, sama inimene, minge tema juurde ja rääkige, kallid foorumi kasutajad. Õnneks olid selle foorumi publikuks peamiselt koolilapsed ja see ei lubanud mulle midagi halba. Milline moraali karikatuur: "ärge kunagi vihastage haldurit."
Administraator tegi kõike naljana, täpselt nii: selline suhtumine isikuandmetesse ja seadustesse. Lõppude lõpuks, siis 2008. aastal, olid ka isikuandmeid käsitlevad seadused, ehkki mitte nii detailsed kui praegu. Nagu näete, pole 10 aasta jooksul midagi paremaks muutunud, ehkki seadustele on kulutatud võrreldamatult rohkem paberit. Kõik muutus veelgi kriminaalsemaks ja sisenes isegi kaubandusvoogudesse koos kõigi kaasnevate pettuste "äriprotsesside" uurimisega. Kui vanasti oli nali, otsekohene rumalus ja pisikesed kriminaalsed kalduvused, siis täna on seal rahaline kasu, külm arvutamine ja terve kriminaalne infrastruktuur.
Elan viis aastat Saksamaal ja näen pidevalt tähelepanu ja hoolt, millega Saksamaa ametivõimud ja äriorganisatsioonid isikuandmeid kohtlevad. Esimene Saksamaa seadus mis tahes töö kohta inimestega: kaitsta nende privaatsust ja konfidentsiaalsust. Iga kord, tundes seda muret enda ees, mäletan ma neid Venemaa Interneti-operaatorite töötajaid ja tahan arvutada, mitu aastat nad oleksid Saksamaal oma tegevuse eest teeninud. Seni poleks nad välja tulnud. Teisest küljest sellist olukorda lihtsalt ei saanud tekkida: süsteem ei võimaldaks vastutustundetul, lollil ja ebaausal isikul pääseda ligi seadusega kaitstud andmetele. Ettevaatlik, tark, kuid siiski ebaaus - ka.
Järelsõna
Olen kindel, et ettevõtete, pankade, operaatorite ja osakondade korrumpeerunud töötajad, foorumite omanikud ja osalejad, millest ma üldiselt täna kirjutasin, loevad ise Habrit ja loevad kindlasti ka minu artiklit. Keegi mõtleb "sina, sina, räme, ajad avalikkuse ette teemasid", millele ma vastan kohe: teete väga halbu asju, panete toime kuriteo ja ma ei kavatse laulda ode sellele, mida ma heaks ei pea, ega vaikida ka mina selle kohta, mida pean vastuvõetamatuks.
Oma artiklis puudutasin ainult püramiidi ülaosa, mitte rohkem kui 2% kogu tõest. Temaatiliste ressursside edasiseks kaevamiseks võite leida selliseid asju nagu kriminaalsed "teenused" SIM-kaartide kaugblokeerimiseks, SMS-ide pealtkuulamiseks, pangakontode blokeerimiseks, ettevõtete töö igakülgseks halvatuseks, mis tahes kriminaalseks kapriisiks teie raha eest. Kõikjal on kaasatud kas osakondade töötajad või erineva tasemega ettevõtted äriettevõtetes.
Muide, mobiilsideoperaatoritega on mitmeid huvitavaid "teenuseid": petturid kasutavad mobiilsidevõrkude haavatavusi kõigi mobiilsest Internetist saidile sisenenud kasutajate geograafilise asukoha määramiseks, tasuliste abonementide ühendamiseks ja eriti enda jaoks - mobiililiikluse raamatupidamise täielikuks ümbersõitmiseks (see pole jama nagu Interneti levitamine suletud jagamisega ja piiratud tariifiga allalaaditud raamatupidamise täielik keelamine). Üllataval kombel ei kasva siin juured mustadest peaaegu darkneti foorumitest, vaid Runeti tuntud foorumist w3bsit3-dns.com.
Ma ei süvenenud mustale turule, see on liiga libe ja vastik. Mind huvitas olukord ainult isikuandmetega, mis on katastroofiline ja pole isegi mattunud musta turu sügavusse, vaid asub jalutuskäigu kaugusel.
Suurem osa artiklist oli pühendatud Venemaale, Venemaa organisatsioonidele ja osakondadele. Ukrainast pärit lugejad on ilmselt juba harjunud, et venekeelses Internetis puudutab suurem osa halbu uudiseid enamasti nende põhjanaabrit. Kahjuks ei saa ma seekord teie optimismi jagada: artiklis kirjeldatud teenuste pakkumine Ukrainas on vähemalt samal tasemel kui Venemaal. Isegi hinnatase on sama.
Minu tähelepanekute kohaselt on Valgevene ja Kasahstani kohta palju vähem ettepanekuid. Võib-olla nägi ta halvasti välja (kui aus olla, siis on moraalselt keeruline pikka aega nendel ressurssidel olla), kuid selgelt pole mõte madalam kuritegevuse tase. Minu arvates on kõik palju proosalisem: pakkumine on proportsionaalne elanike arvuga, kuna Valgevenes ja Kasahstanis elab palju vähem inimesi kui Venemaal ja Ukrainas.
Kusagil mujal pole ma näinud selliste "teenuste" pakkumisi Euroopas, Ameerika Ühendriikides ja teistes maailma arenenud riikides. Maksimaalne on ühiste andmebaaside (nagu Interpol) läbipääs, millele on juurdepääs Venemaalt. Ilmselt seetõttu, et nende riikide seadused ei ole mitte ainult paberil kirjutatud, vaid ka praktikas rakendatud. Seadused pole mõeldud kaunistamiseks, näitusekunstiks ja "plaani täitmiseks".
Samal ajal määravad järelevalveagentuurid tavalistele Venemaa, Ukraina, Valgevene ja Kasahstani väikeettevõtete omanikele trahvi isikuandmete töötlemiseks esitatud nõusolekuvormi vale vormi eest ning nad liidavad ise mitte vähem rõõmuga kogu andmebaasi, milles teie, teie isikuandmed, teie ettevõtte andmed, kliendid ja isegi teie trahv kajastub suurepäraselt.
Autor: Drebin89