Наші з вами персональні дані нічого не варті

У всьому світі зараз приймається багато зусиль з метою забезпечити безпеку персональних даних. Росія теж не відстає, з ентузіазмом впроваджуючи десятки законів, сотні підзаконних актів та регламентів. Чи є результат?

Проведене мною розслідування покаже, що в Росії і на всьому просторі колишнього СРСР написані на папері закони цієї області марні. Підсумки жахливі: доступ до персональних даних фізичних і юридичних осіб, банківської таємниці, комерційної таємниці, мають не тільки компанії і державні відомства, але і будь-які шахраї. Все купується і продається за ціну від рівня пари чашок кави до пари середніх смартфонів.

Невтішні подробиці під катом.

В дев’яності і нульові всі ринки Москви були забиті дисками з базами даних. Бази жителів, бази автомобілів та автовласників, потім і бази операторів стільникового зв’язку.

Не знаю, як сьогодні ситуація з кримінальною продажем таких баз в Москві (давно не живу в Росії), але можу сказати з великою часткою впевненості, що це будуть або дуже старі бази, або лише фрагментарні дампи сучасних. Зараз обсяги відомчої та корпоративної інформації доходять до петабайт і знаходиться в cloud, так що вмістити що-небудь на звичайний побутовий носій, придатний для продажу, справа досить складне.

Сьогодні персональні дані активно продаються на ряді форумів, де є продавці, покупці і навіть цілі системи арбітражу, покликані вирішувати можливі суперечки між ними. Шахраї примудрилися побудувати дуже потужну кримінальну інфраструктуру: форуми живуть життям, теми мають багато коментарів та відгуків, є бани за «кидки» і системи рейтингу для «перевірених».

«У даркнете?» — подумали ви. Ось і не вгадали. Ці сайти знаходяться в публічному доступі і навіть можуть бути не внесені в багатостраждальний реєстру Роскомнадзора (хто б сумнівався). Звичайно, деякі з них дійсно мають дзеркала в даркнете, але це лише дзеркала.

Мова в статті піде саме про цих сайтах і про тих «послуги», які перекреслюють абсолютно всю бурхливу державну движуху-показуху навколо захисту персональних даних в останні роки.

Попрошу хабравчан утриматися від публікації посилань на дані ресурси, хоч вони і можуть бути багатьом відомі. Хто шукає — той знайде. По-перше, не хочу робити навіть непряму рекламу шахраям. По-друге — це може поставити під удар існування даної статті. По-третє, справа не в самому існуванні цих ресурсів, а в тому, що мають місце бути такі державні умови, в рамках яких перераховані «послуги» взагалі існують.

Стільникові оператори
Подивіться на цю картину, типовий форум, типові послуги:

Мною були приховані імена «продавців» і назви операторів. Про операторів ви здогадаєтесь самі, в Росії їх не так багато. Пробиваються всі без винятку.

Саме базове — це пробивши даних власника номера: ПІБ, паспортні дані, адресу. Як ці дані будуть використовуватися — залежить тільки від фантазії шахрая, до якого в руки вони потраплять.

Далі вже цікаве. «Послуги» більш високого рівня: відстеження місця розташування людини за вишок стільникового зв’язку, історія місцезнаходжень, деталізація дзвінків, деталізація sms. На щастя, хоч звукозаписів дзвінків немає (може, я погано дивився).

Дуже вражає спостерігати, що будь-який шахрай може отримати доступ до такої інформації. Залишається здогадуватися, реалізується це засобами самих стільникових операторів, або через зовнішні інтерфейси, які можуть перебувають у державних служб (в існуванні таких я навіть не сумніваюся).

Зайвий раз подумайте, оформляючи сим-карту на свої паспортні дані при купівлі. Може бути і справді краще взяти сімку, оформлену на noname-приїжджого із Середньої Азії? З відомих місць продажу вони нікуди не зникали. Передаючи паспортні дані, ви ідентифікуєте себе не тільки перед стільниковим оператором і державним органами, але і перед будь-яким злочинцем, якому не шкода витратити на вас вартість пари чашок кави, а то і чого побільше.

Державні органи
Мабуть, ніщо не зрівняється з обсягами даних, які відомі про нас різним державним відомствам. Тисячі співробітників мають до них доступ, результати чого рясно проглядаються на форумах:

З одного боку, вимальовується чітка картина, якою інформацією про нас мають ці відомства і з якою легкістю співробітники можуть зібрати повне досьє на будь-якої людини. З іншого боку ще більш мальовнича картина маслом: будь-який шахрай може зібрати точно таке ж досьє.

Типова послуга по автотранспорту:

Стандартний приклад питання-відповідь:

Ще стандартно по різним відомствам:

Найбільшою популярністю користується послуга вивантаження з баз Магістраль, Сирена, Межа, Мігрант, Кронос, Спарк, Потік, комплексних баз ІБДР-ИБДФ. Я навіть таких назв раніше не знав. Пробивається все, до чого дійде фантазія, навіть ПФР.

Банки
Окрема категорія «послуг» присвячена деталізації банківських рахунків і руху коштів на них. Частина спеціалізується по рахунках фізичних осіб.

Але ще більше — по юридичним особам. Тут шахрайство переходить у витончені форми промислового шпигунства і відвертого криміналу. Скріншоти викладати не буду, так як кримінальний «комплекс послуг» виходить сильно за рамки витоків даних.

Звідки беруться ці жахливі факти масового порушення не те що б законів про персональних даних, а про банківську таємницю? Чесно, я реально дивуюся, що корупція настільки повальна. Схоже, досить просто подивитися всі посади, де співробітник має доступ до хоч якихось даних клієнтів — шахрай може знаходитися на будь-якій. Питання лише в тому, куди дивляться служби безпеки.

Мені дуже хотілося б перерахувати найменування самих банків, що проштрафилися відкрито, але я не буду це робити, так як першими в списку будуть ті, які мають на хабре корпоративні блоги, що загрожує блокуванням статті. Фірмові кольори цих банків теж всі знають. За моїми спостереженнями, чим менший банк — тим менше ймовірність того, що на форумах будуть стосуються його шахрайські послуги.

Продається і купується абсолютно всі
У своєму розслідуванні я практично не стосувався інформації, яка збирається і зливається про нас мережевими магазинами електроніки, одягу та взуття, харчування, фітнес-клубами. Все це теж продається, так що зайвий раз подумайте, чи варто залишати реальний адресу і номер телефону, оформляючи чергову дисконтну або клубну карту.

Цікавий факт: активно продаються бази користувачів букмекерів-форексов-опціонів, послуг екстрасенсів-ворожок-ворожок, покупців БАД-ів, засобів для схуднення та підвищення потенції. Цільові аудиторії цих специфічних продуктів настільки кристалізувалися, що ці бази переходять з рук в руки, постійно доповнюються і підтримуються в актуальному стані. Бізнес просто величезний за своїм масштабом.

Не так плачевно, коли зливаються персональні дані, які ми залишаємо добровільно — просто дотримуйся міри обережності і не залишай їх. Набагато гірше, коли зливаються ті дані, які не залишити ми в принципі не можемо. Купівлею сім-карток без паспорта всі проблеми не вирішиш.

У 2017 році я читав публікації російських опозиціонерів (зокрема, Леоніда Волкова leonwolf), які зіткнулися з переслідуванням агресивно налаштованих кримінальних елементів, раптово отримали інформацію про всіх перельотах і пересування. Отакі чекають біля аеропорту мордовороти з бітами і акомпанементом у вигляді шоу-вистави щедро оплачених псевдосторонников влади з прапорами і кричалками. В Україні їх всіх у свій час узагальнено називали титушками.

Чому так? Звідки титушки дізналися про перельоти опозиціонерів? Все просто: тому, що доступ до бази перельотів купується і продається так само, як і доступ до інших баз.

(Леонід, знаю що ти IT-шник, якщо раптом прочитаєш цю статтю, буду дуже радий, якщо расшаришь — багато написано під враженням твого «Хмари»)

Скептичний читач може подумати: ти ж говориш про опозиціонерів, тобто людей, які становлять певну політичну позицію, їх діяльність за визначенням пов’язана з ризиками. І буде неправий: кримінальний беспредел може торкнутися кожного. Масштаби даних про нас, які валяються на дорозі, ви бачите своїми очима.

У кожного є смартфон, у кожного є рахунок в банку, багато користуються авто, багато хто часто переміщуються авіаційним транспортом, у багатьох бізнес на теренах пост-СРСР. Незалежно від вашого соціального статусу та політичної орієнтації: ви в небезпеці тому, що ваші дані ніким і нічим не захищені, а у злочинців абсолютно розв’язані руки. Те, що розкидане по форумам у вигляді комерційних оголошень, на самому справі може бути отримано «по дзвінку» мають зв’язки людьми. Росії це стосується в першу чергу.

Багато згадають випадок з Антоном Уральським в 2008 році і викладеним дзвінком інтернет-провайдера Стрім: «не було жодного розриву!» Всі тоді посміялися, не замислившись, що співробітники вчинили злочин, виклавши аудіозапис розмови з клієнтом в інтернет. Друге вони скоїли злочин, виклавши та персональні дані Антона, які стали надбанням сотень пранкерів, зіпсували людині життя.

Як думаєте, чому я перейнявся цією історією? Тому, що в тому ж 2008 році мої власні персональні дані були без докорів совісті викладені працівниками інтернет-провайдера Корбіна.

Причина гідна анекдоту: адмінам корбиновского локального форуму не сподобалися деякі мої публікації, тому хтось з них зіставив мій ip-адресу з внутрішньою базою і виклав всі дані договору, включаючи паспортні дані та адресу надання послуги зв’язку. Ось, дивіться, той самий чоловік, сходіть до нього і поговоріть, дорогі форумчани. На щастя, аудиторією того форуму були переважно школярі і нічим поганим мені це не обіцяло. Якась карикатура на мораль: «ніколи не зли адміна».

Адмін зробив все у вигляді жарту, просто так: таке ставлення до персональних даних та законами. Адже тоді, в 2008 році, теж були закони про персональних даних, хоч і не такі докладні, як сьогодні. Як бачите, за 10 років нічого в кращий бік не змінилося, хоч і папери на закони витрачено незрівнянно більше. Все ще сильніше криминализовалось і навіть встало на комерційний потік з опрацюванням усіх супутніх шахрайських «бізнес-процесів». Де раніше був «прикол», відверта дурість і мелкокриминальные нахили, сьогодні фінансова вигода, холодний розрахунок і ціла кримінальна інфраструктура.

Я живу в Німеччині 5 років і постійно бачу те увагу і турботу, з якими будь-які німецькі відомства і комерційні організації належать до персональних даних. Перший закон у Німеччині в будь-якій роботі з людьми: берегти їх приватність і конфіденційність. Кожен раз, відчуваючи цю турботу на себе, я згадую тих співробітників російських інтернет-операторів і мені хочеться порахувати, скільки років вони відсиділи у Німеччині за свої вчинки. Досі не вийшли. З іншого боку, подібній ситуації просто не могло б виникнути: система не дозволила б безвідповідальному, дурному і нечесній людині отримати доступ до даних, що охороняються законом. Расчетливому, розумному, але все одно нечесному — теж.

Післямова
Впевнений, що корумповані співробітники фірм, банків, операторів і відомств, власники і учасники форумів, про яких я узагальнено сьогодні написав, самі читають хабр і обов’язково прочитають мою статтю. Хтось подумає «ти, негідник, смалиш теми на публіку», на що відразу відповім: ви займаєтеся дуже поганими речами, ви робите кримінальний злочин, а я не маю наміру співати оди того, що не вважаю благом, так само як і не буду мовчати про те, що вважаю неприйнятним.

У своїй статті я торкнувся лише вершину піраміди, не більш 2% всієї правди. Копаючи тематичні ресурси далі, можна знайти такі речі, як кримінальні «послуги» з віддаленого блокування сім-карт, перехоплення sms, блокування банківських рахунків, всебічної паралізації роботи компаній будь кримінальний каприз за ваші гроші. Скрізь замішані співробітники відомств, співробітники різного ланки в комерційних компаніях.

До речі, з мобільними операторами є ще ряд цікавих «послуг»: шахраї використовують уразливості стільникових мереж з метою геопозиціонування всіх зайшли на сайт з мобільного інтернету користувачів, підключення платних підписок, і суто для себе — повного обходу обліку мобільного трафіку (мова не про нісенітниці на зразок роздачі інтернету при закритому tethering, а повне відключення обліку скачаного на лімітованих тарифах). На диво, коріння тут ростуть аж ніяк не з чорних близько-даркнетных форумів, а з усім відомого в рунеті форуму 4pda.

Вдаватися вглиб чорного ринку я не став, це занадто слизько і гидко. Мене цікавила лише ситуація з персональними даними, яка катастрофічна і навіть не те щоб в глибинах чорного ринку закопана, а знаходиться в крокової доступності.

Велика частина статті була присвячена Росії, російським організаціям і відомствам. Читачі з України, напевно, вже звикли, що в російськомовному інтернеті більшість поганих новин зазвичай стосується їх північного сусіда. На жаль, на цей раз не зможу розділити вашого оптимізму: пропозиція описаних у статті «послуг» по Україні знаходиться на нітрохи не меншому рівні, ніж по Росії. Навіть рівень цін такий же.

За моїми спостереженнями, сильно менше пропозицій щодо Білорусі і Казахстану. Може, погано шукав (чесно зізнаюся, довго перебувати на цих ресурсах морально важко), але справа явно не в більш низькому рівні злочинності. На мій погляд, все набагато прозаїчніше: пропозиція пропорційно чисельності жителів, адже в Білорусі та Казахстані живе людей сильно менше, ніж у Росії та Україні.

Ніде я не бачив пропозицій подібних «послуг» по Європі, США та інших розвинених країнах світу. Максимум — пробивши за загальним баз (зразок Інтерполу), до яких є доступ з Росії. Очевидно тому, що закони в цих країнах не тільки написані папері, а виконуються на практиці. Закони — не для декорації, показухи і «виконання плану».

Тим часом простим російським, українським, білоруським і казахстанським власникам малого бізнесу наглядові відомства з задоволенням випишуть штраф за неправильну форму бланка згоди на обробку персональних даних, а самі з не меншим задоволенням зіллють всю базу, в якій ви, ваші персональні дані, дані вашого бізнесу, ваших клієнтів, і навіть штраф будуть відмінно відображені.