Ahora se están realizando muchos esfuerzos en todo el mundo para garantizar la seguridad de los datos personales. Rusia tampoco se queda atrás, con entusiasmo introduciendo docenas de leyes, cientos de estatutos y regulaciones. ¿Hay algún resultado?
Mi investigación mostrará que en Rusia y en todo el territorio de la ex URSS, las leyes de esta zona escritas en papel son en vano. Los resultados son terribles: no solo las empresas y los departamentos gubernamentales, sino también los estafadores tienen acceso a los datos personales de personas físicas y jurídicas, secretos bancarios, secretos comerciales. Todo se compra y vende por un precio que va desde un par de tazas de café hasta un par de teléfonos inteligentes de gama media.
norte
Detalles decepcionantes
En las décadas de 1990 y 2000, todos los mercados de Moscú estaban repletos de discos de bases de datos. Bases de residentes, bases de automóviles y propietarios de automóviles, y luego bases de operadores móviles.
No sé cómo es hoy la situación con la venta criminal de tales bases en Moscú (no he vivido en Rusia durante mucho tiempo), pero puedo decir con un alto grado de confianza que estas serán bases muy antiguas o solo vertederos fragmentarios de las modernas. Ahora el volumen de información departamental y corporativa alcanza los petabytes y se encuentra en la nube, por lo que es bastante difícil encajar algo en un medio de consumo habitual adecuado para la venta.
Hoy en día, los datos personales se venden activamente en una serie de foros donde hay vendedores, compradores e incluso sistemas completos de arbitraje diseñados para resolver posibles disputas entre ellos. Los estafadores han logrado construir una infraestructura criminal muy poderosa: los foros viven la vida, los temas tienen muchos comentarios y reseñas, hay prohibiciones para "estafas" y sistemas de calificación para "verificados".
Video promocional:
"¿En la red oscura?" - pensaste. Eso no es adivinar. Estos sitios son de dominio público y es posible que ni siquiera estén incluidos en el sufrido registro de Roskomnadzor (quién lo dudaría). Por supuesto, algunos de ellos tienen espejos en la darknet, pero estos son solo espejos.
El artículo se centrará específicamente en estos sitios y en aquellos "servicios" que anulan absolutamente todo el tormentoso movimiento estatal en torno a la protección de datos personales en los últimos años.
Pediré a los residentes de Khabrav que se abstengan de publicar enlaces a estos recursos, aunque es posible que muchos los conozcan. El que busca se encontrará a sí mismo. En primer lugar, no quiero hacer publicidad ni siquiera indirecta a los estafadores. En segundo lugar, puede poner en peligro la existencia de este artículo. En tercer lugar, el punto no está en la existencia misma de estos recursos, sino en el hecho de que existen condiciones estatales bajo las cuales los "servicios" enumerados generalmente existen.
Operadores celulares
Mira esta imagen, foro típico, servicios típicos:
Los nombres de los "vendedores" y los nombres de los operadores fueron ocultos por mí. Puede adivinar los operadores usted mismo, no hay tantos en Rusia. Todos se abren camino sin excepción.
El más básico es romper los datos del propietario del número: nombre completo, datos del pasaporte, dirección. La forma en que se utilizarán estos datos depende únicamente de la imaginación del defraudador a quien caerán en sus manos.
La siguiente es la parte interesante. "Servicios" de un nivel superior: seguimiento de la ubicación de una persona en torres de telefonía móvil, historial de ubicación, detalle de llamadas, detalle de sms. Afortunadamente, al menos no hay grabaciones sonoras de las llamadas (quizás no las vi bien).
Es muy impresionante ver que cualquier estafador puede acceder a dicha información. Queda por adivinar si esto se implementa a través de los propios operadores celulares, o mediante interfaces externas que pueden estar ubicadas en los servicios gubernamentales (ni siquiera dudo de la existencia de los mismos).
Piense una vez más al emitir una tarjeta SIM para los datos de su pasaporte al momento de la compra. ¿Quizás es realmente mejor llevar una tarjeta SIM emitida para un visitante que no sea mi nombre de Asia Central? No desaparecieron de los lugares de venta conocidos. Al transferir los datos de su pasaporte, se identifica no solo frente al operador celular y las agencias gubernamentales, sino también frente a cualquier delincuente al que no le importa gastar el costo de un par de tazas de café en usted, o incluso más.
Organismos estatales
Quizás nada supere la cantidad de datos que varios departamentos gubernamentales conocen sobre nosotros. Miles de empleados tienen acceso a ellos, cuyos resultados se ven abundantemente en los foros:
Por un lado, surge una imagen clara de qué información tienen estos departamentos sobre nosotros y con qué facilidad los empleados pueden recopilar un dossier completo sobre cualquier persona. Por otro lado, un óleo aún más pintoresco: cualquier estafador puede recoger exactamente el mismo expediente.
Servicio de carretera típico:
Ejemplo estándar de pregunta-respuesta:
También es estándar para diferentes departamentos:
El más popular es el servicio de descarga de las bases Magistral, Sirena, Granitsa, Migrant, Kronos, Spark, Potok e IBDR-IBDF. Ni siquiera conocía esos nombres antes. Todo lo que alcanza la fantasía, incluso la UIF, se abre paso.
Bancos
Una categoría separada de "servicios" se dedica al detalle de las cuentas bancarias y el movimiento de fondos hacia ellas. Parte de ellos se especializa en cuentas individuales.
Pero aún más, para personas jurídicas. Aquí, el fraude se convierte en formas sofisticadas de espionaje industrial y crimen absoluto. No publicaré capturas de pantalla, ya que el "complejo de servicios" criminal va mucho más allá de las filtraciones de datos.
¿De dónde provienen estos monstruosos hechos de violación masiva no solo de las leyes de datos personales, sino también del secreto bancario? Honestamente, estoy realmente sorprendido de que la corrupción esté tan extendida. Parece que basta con mirar todos los puestos en los que el empleado tiene acceso a al menos algunos datos de los clientes; el estafador puede estar con cualquiera. La única pregunta es hacia dónde miran los servicios de seguridad.
Me gustaría mucho enumerar abiertamente los nombres de los bancos más culpables, pero no lo haré, ya que los primeros en la lista serán aquellos que tengan blogs corporativos en el hub, lo cual está plagado de bloquear el artículo. Todo el mundo conoce los colores corporativos de estos bancos. Según mis observaciones, cuanto más pequeño sea el banco, menos probable es que haya servicios fraudulentos en los foros.
Todo se compra y se vende
En mi investigación, prácticamente no mencioné la información recopilada y fusionada sobre nosotros por las cadenas de tiendas de electrónica, ropa y calzado, alimentos y gimnasios. Todo esto también está a la venta, así que vuelve a pensar en si merece la pena dejar tu dirección y número de teléfono reales a la hora de emitir otra tarjeta de descuento o club.
Un hecho interesante: las bases de los usuarios de las casas de apuestas, las opciones de divisas, los servicios de los psíquicos, los adivinos, los hechiceros, los compradores de suplementos dietéticos, los medios para perder peso y aumentar la potencia se venden activamente. Las audiencias objetivo de estos productos específicos se han cristalizado tanto que estas bases de datos cambian de manos, se complementan y actualizan constantemente. El negocio es enorme en escala.
norte
No es tan malo cuando los datos personales que dejamos voluntariamente se fusionan, solo tenga cuidado y no los deje. Es mucho peor cuando se fusionan los datos, que, en principio, no podemos dejar de salir. Comprar tarjetas SIM sin pasaporte no resolverá todos los problemas.
En 2017, leí publicaciones de opositores rusos (en particular, el lobo león de Leonid Volkov), quienes enfrentaron la persecución de criminales de mentalidad agresiva que repentinamente recibieron información sobre todos los vuelos y movimientos. Una especie de mordovorotas esperando cerca del aeropuerto con golpes y acompañamiento en forma de espectáculo de presentación de pseudo-partidarios de las autoridades generosamente pagados con banderas y cánticos. En Ucrania, todos ellos a la vez fueron llamados colectivamente titushki.
¿Porqué es eso? ¿Cómo supo el titushki sobre los vuelos de la oposición? Es simple: porque el acceso a la base de vuelos se compra y vende de la misma forma que el acceso a todas las demás bases.
Leonid, sé que eres un tipo de TI, si de repente lees este artículo, me alegrará mucho que lo compartas. Se ha escrito mucho bajo la impresión de tu "Nube".
Un lector escéptico podría pensar: estás hablando de opositores, es decir, personas que representan una determinada posición política, sus actividades están, por definición, cargadas de riesgos. Y estará mal: la anarquía criminal puede afectar a todos. Puede ver la escala de los datos sobre nosotros tirados en la carretera con sus propios ojos.
Todos tienen un teléfono inteligente, todos tienen una cuenta bancaria, muchos usan automóviles, muchos viajan a menudo en avión, muchos tienen negocios en la post-URSS. Independientemente de tu estatus social y orientación política: estás en peligro porque tus datos no están protegidos por nada ni nadie, y los delincuentes tienen las manos libres. Lo que está esparcido por los foros en forma de anuncios comerciales puede ser recibido "de guardia" por personas conectadas. Esto concierne a Rusia en primer lugar.
Muchos recordarán el caso de Anton Uralsky en 2008 y la llamada publicada al proveedor de Internet Stream: "¡no hubo un solo hueco!" Entonces todos se rieron, sin pensar que los empleados habían cometido un delito al publicar una grabación de audio de una conversación con un cliente en Internet. Cometieron el segundo crimen al publicar los datos personales de Anton, que se convirtieron en propiedad de cientos de bromistas que arruinaron la vida de una persona.
¿Por qué crees que me inspiré en esta historia? Porque en el mismo 2008 mis propios datos personales fueron presentados sin vergüenza por empleados del proveedor de Internet Corbin.
El motivo es digno de una anécdota: a los administradores del foro local de Korbinovsky no les gustaron algunas de mis publicaciones, por lo que uno de ellos comparó mi dirección IP con la base de datos interna y publicó todos los datos del contrato, incluidos los datos del pasaporte y la dirección del servicio de comunicación. Mira, la misma persona, acércate a él y habla, queridos usuarios del foro. Afortunadamente, la audiencia de ese foro eran principalmente escolares y esto no me prometía nada malo. Qué caricatura de la moral: "nunca enojar al administrador".
El administrador hizo todo como una broma, simplemente así: esa actitud hacia los datos personales y las leyes. Después de todo, entonces, en 2008, también existían leyes sobre datos personales, aunque no tan detalladas como hoy. Como puede ver, nada ha cambiado para mejor en 10 años, aunque se ha gastado incomparablemente más papel en leyes. Todo se criminalizó aún más e incluso entró en el flujo comercial con el estudio de todos los "procesos comerciales" fraudulentos que lo acompañan. Donde solía haber una "broma", una absoluta estupidez y pequeñas inclinaciones delictivas, hoy hay beneficio económico, cálculo frío y toda una infraestructura criminal.
Vivo en Alemania desde hace 5 años y veo constantemente la atención y el cuidado con que las autoridades alemanas y las organizaciones comerciales tratan los datos personales. La primera ley en Alemania en cualquier trabajo con personas: proteger su privacidad y confidencialidad. Cada vez, sintiendo esta preocupación en mí mismo, recuerdo a esos empleados de los operadores de Internet rusos y quiero calcular cuántos años habrían servido en Alemania por sus acciones. Hasta ahora, no habrían salido. Por otro lado, tal situación simplemente no podía surgir: el sistema no permitiría que una persona irresponsable, estúpida y deshonesta tuviera acceso a datos protegidos por la ley. Prudente, inteligente, pero deshonesto, también.
Epílogo
Estoy seguro de que los empleados corruptos de empresas, bancos, operadores y departamentos, los propietarios y participantes de los foros, sobre los que escribí en general hoy, leen el Habr ellos mismos y definitivamente leerán mi artículo. Alguien pensará “tú, sinvergüenza, dispara temas al público”, a lo que te responderé enseguida: estás haciendo cosas muy malas, estás cometiendo un delito, y no pretendo cantar odas a lo que no considero bueno, ni me callaré. sobre lo que considero inaceptable.
En mi artículo, solo toqué la parte superior de la pirámide, no más del 2% de toda la verdad. Profundizando en los recursos temáticos, puede encontrar cosas como "servicios" criminales para el bloqueo remoto de tarjetas SIM, interceptación de sms, bloqueo de cuentas bancarias, parálisis general del trabajo de las empresas, cualquier capricho criminal por su dinero. En todas partes participan empleados de departamentos o empleados de diversos niveles en empresas comerciales.
Por cierto, hay una serie de "servicios" interesantes con los operadores móviles: los estafadores utilizan las vulnerabilidades de las redes celulares para geolocalizar a todos los usuarios que han ingresado al sitio desde Internet móvil, para conectar suscripciones pagas, y especialmente para ellos mismos, para omitir por completo la contabilidad del tráfico móvil (esto no es una tontería como distribución de Internet con tethering cerrado y desactivación completa de la contabilidad descargada a tarifas limitadas). Sorprendentemente, las raíces aquí no provienen de los foros negros de Near-Darknet, sino del conocido foro w3bsit3-dns.com en Runet.
No profundicé en el mercado negro, es demasiado resbaladizo y repugnante. Solo me interesaba la situación con los datos personales, que es catastrófica y ni siquiera está enterrada en las profundidades del mercado negro, pero está a poca distancia.
La mayor parte del artículo se dedicó a Rusia, organizaciones y departamentos rusos. Es probable que los lectores de Ucrania ya estén acostumbrados al hecho de que en Internet en ruso, la mayoría de las malas noticias se refieren a su vecino del norte. Lamentablemente, esta vez no puedo compartir su optimismo: la oferta de los "servicios" descritos en el artículo en Ucrania no está a un nivel menor que en Rusia. Incluso el nivel de precios es el mismo.
Según mis observaciones, hay muchas menos propuestas para Belarús y Kazajstán. Tal vez se veía mal (para ser honesto, es moralmente difícil estar en estos recursos durante mucho tiempo), pero el punto claramente no es una tasa de criminalidad más baja. En mi opinión, todo es mucho más prosaico: la oferta es proporcional al número de habitantes, porque hay mucha menos gente viviendo en Bielorrusia y Kazajstán que en Rusia y Ucrania.
En ningún otro lugar he visto ofertas de tales "servicios" en Europa, Estados Unidos y otros países desarrollados del mundo. Lo máximo es romper las bases de datos comunes (como Interpol), a las que se tiene acceso desde Rusia. Obviamente, porque las leyes en estos países no solo están escritas en papel, sino que se implementan en la práctica. Las leyes no son para la decoración, el espectáculo y el "cumplimiento de planes".
Mientras tanto, para los propietarios de pequeñas empresas rusas, ucranianas, bielorrusas y kazajas ordinarias, las agencias de supervisión estarán felices de emitir una multa por un formulario de consentimiento incorrecto para el procesamiento de datos personales, y ellos mismos fusionarán con no menos placer toda la base de datos en la que usted, sus datos personales, los datos de su negocio, sus clientes, e incluso su multa quedará perfectamente reflejada.
Autor: Drebin89