Muitos esforços estão sendo feitos em todo o mundo para garantir a segurança dos dados pessoais. A Rússia também não ficou para trás, com entusiasmo ao apresentar dezenas de leis, centenas de estatutos e regulamentos. Existe um resultado?
Minha investigação mostrará que na Rússia e em todo o território da ex-URSS, as leis desta área escritas no papel são em vão. Os resultados são terríveis: não apenas empresas e departamentos governamentais, mas também quaisquer fraudadores têm acesso a dados pessoais de pessoas físicas e jurídicas, segredos bancários, segredos comerciais. Tudo é comprado e vendido por um determinado nível de preço, de algumas xícaras de café a alguns smartphones de gama média.
Detalhes decepcionantes
Nas décadas de 1990 e 2000, todos os mercados de Moscou estavam abarrotados de discos de banco de dados. Bases de residentes, bases de carros e proprietários de carros e, em seguida, bases de operadoras móveis.
Não sei como está a situação com a venda criminosa dessas bases em Moscou (não moro na Rússia há muito tempo), mas posso dizer com um alto grau de confiança que essas serão bases muito antigas ou apenas depósitos fragmentados de bases modernas. Agora, o volume de informações departamentais e corporativas atinge petabytes e está na nuvem, por isso é muito difícil encaixar algo em um meio de consumo regular adequado para venda.
Hoje, os dados pessoais são vendidos ativamente em uma série de fóruns onde existem vendedores, compradores e até sistemas de arbitragem inteiros projetados para resolver possíveis disputas entre eles. Os fraudadores conseguiram construir uma infraestrutura criminosa muito poderosa: os fóruns vivem a vida inteira, os tópicos têm muitos comentários e análises, há proibições para "golpes" e sistemas de classificação para "verificado".
Vídeo promocional:
"Na darknet?" - você pensou. Isso não é adivinhação. Esses sites são de domínio público e podem nem mesmo ser incluídos no sofrido registro do Roskomnadzor (quem duvida). Claro, alguns deles têm espelhos na darknet, mas esses são apenas espelhos.
O artigo se concentrará especificamente nesses sites e nos "serviços" que anulam absolutamente todo o estado de tempestade que envolve a proteção de dados pessoais nos últimos anos.
Pedirei aos residentes de Khabrav que evitem publicar links para esses recursos, embora muitos sejam conhecidos por eles. Quem busca encontrará a si mesmo. Em primeiro lugar, não quero fazer publicidade nem mesmo indireta para golpistas. Em segundo lugar, pode colocar em risco a existência deste artigo. Em terceiro lugar, a questão não está na própria existência desses recursos, mas no fato de que existem condições estatais sob as quais os "serviços" listados geralmente existem.
Operadoras de celular
Olhe para esta foto, fórum típico, serviços típicos:
Os nomes dos "vendedores" e os nomes dos operadores foram ocultados por mim. Você mesmo pode adivinhar sobre os operadores, não há tantos deles na Rússia. Todos eles seguem seu caminho, sem exceção.
O mais básico é quebrar os dados do dono do número: nome completo, dados do passaporte, endereço. A forma como esses dados serão usados depende apenas da imaginação do fraudador a quem eles cairão nas mãos.
A seguir vem a parte interessante. “Serviços” de um nível superior: rastrear a localização de uma pessoa em torres de celular, histórico de localização, detalhes de chamadas, detalhes de sms. Felizmente, pelo menos não há gravações de som das ligações (talvez eu não tenha assistido bem).
É muito impressionante ver que qualquer scammer pode acessar essas informações. Resta saber se isso se realiza por meio das próprias operadoras de celular, ou por meio de interfaces externas que podem estar localizadas em serviços governamentais (nem mesmo duvido que existam).
Pense mais uma vez ao emitir um cartão SIM para os dados do seu passaporte no momento da compra. Talvez seja realmente melhor levar um cartão SIM emitido para um visitante sem nome da Ásia Central? Eles não desapareceram de locais de venda conhecidos. Ao transferir os dados do seu passaporte, você se identifica não apenas na frente da operadora de celular e agências governamentais, mas também na frente de qualquer criminoso que não se importe em gastar o custo de algumas xícaras de café com você, ou até mais.
Corpos estaduais
Talvez nada supere a quantidade de dados que vários departamentos do governo sabem sobre nós. Milhares de funcionários têm acesso a eles, cujos resultados são abundantemente vistos nos fóruns:
Por outro lado, surge uma imagem clara das informações que esses departamentos têm sobre nós e com que facilidade os funcionários podem coletar um dossiê completo sobre qualquer pessoa. Por outro lado, uma pintura a óleo ainda mais pitoresca: qualquer fraudador pode coletar exatamente o mesmo dossiê.
Serviço rodoviário típico:
Exemplo padrão de pergunta-resposta:
Também é padrão para diferentes departamentos:
O mais popular é o serviço de descarga das bases Magistral, Sirena, Granitsa, Migrant, Kronos, Spark, Potok e IBDR-IBDF. Eu nem sabia esses nomes antes. Tudo o que a fantasia alcança, até mesmo a FIU, surge.
Bancos
Uma categoria separada de "serviços" é dedicada ao detalhamento de contas bancárias e à movimentação de fundos para elas. Parte deles é especializada em contas individuais.
Mas ainda mais - para pessoas jurídicas. Aqui, a fraude se transforma em formas sofisticadas de espionagem industrial e crime absoluto. Não vou postar screenshots, já que o "complexo de serviços" criminoso vai muito além do vazamento de dados.
De onde vêm esses fatos monstruosos de violação massiva não apenas das leis de dados pessoais, mas do sigilo bancário? Honestamente, estou realmente surpreso que a corrupção esteja tão disseminada. Parece que basta olhar para todas as posições em que o funcionário tem acesso a pelo menos alguns dados do cliente - o fraudador pode estar em qualquer pessoa. A única questão é para onde os serviços de segurança estão olhando.
Eu gostaria muito de listar os nomes dos bancos mais culpados abertamente, mas não vou fazer isso, já que os primeiros da lista serão aqueles que têm blogs corporativos no hub, o que está repleto de bloqueio do artigo. Todo mundo conhece as cores corporativas desses bancos. De acordo com minhas observações, quanto menor o banco, menos provável que haja serviços fraudulentos nos fóruns.
Tudo é comprado e vendido
Em minha investigação, praticamente não toquei nas informações que são coletadas e mescladas sobre nós por cadeias de lojas de eletrônicos, roupas e calçados, alimentos e academias de ginástica. Tudo isso também está à venda, então pense mais uma vez se vale a pena deixar seu endereço e número de telefone reais ao emitir outro desconto ou cartão do clube.
Um fato interessante: as bases de usuários de opções de apostas-forex, serviços de videntes-cartomantes-feiticeiros, compradores de suplementos dietéticos, meios para perder peso e aumentar a potência são ativamente vendidas. Os públicos-alvo desses produtos específicos se cristalizaram tanto que esses bancos de dados mudam de mãos, são constantemente complementados e atualizados. O negócio é enorme em escala.
Não é tão ruim quando os dados pessoais que deixamos voluntariamente são mesclados - apenas tome cuidado e não os deixe. É muito pior quando os dados se fundem, o que nós, em princípio, não podemos deixar de sair. Comprar cartões SIM sem passaporte não resolverá todos os problemas.
Em 2017, li publicações de oposicionistas russos (em particular, leonwolf de Leonid Volkov), que enfrentaram a perseguição de criminosos agressivos que de repente receberam informações sobre todos os voos e movimentos. Uma espécie de mordovorotas à espera perto do aeroporto com beats e acompanhamento em forma de show de apresentação de pseudo-apoiantes das autoridades generosamente pagos com bandeiras e gritos. Na Ucrânia, todos eles foram chamados coletivamente de titushki.
Por que é que? Como o titushki soube dos voos da oposição? É simples: porque o acesso à base de voos é comprado e vendido da mesma forma que o acesso a todas as outras bases.
Leonid, eu sei que você é um cara de TI, se de repente você ler este artigo, ficarei muito feliz se você compartilhar - muito se escreveu sobre a impressão de sua "nuvem".
Um leitor cético pode pensar: você está falando de oposicionistas, isto é, pessoas que representam uma determinada posição política, suas atividades são, por definição, repletas de riscos. E estará errado: a ilegalidade criminal pode afetar a todos. Você pode ver a escala dos dados sobre nós, deitados na estrada, com seus próprios olhos.
Todo mundo tem um smartphone, todo mundo tem uma conta em banco, muitos usam carros, muitos costumam viajar de avião, muitos têm negócios na pós-URSS. Independentemente do seu status social e orientação política: você está em perigo porque seus dados não estão protegidos por ninguém nem por nada, e os criminosos estão em total liberdade. O que está espalhado pelos fóruns na forma de anúncios comerciais pode, de fato, ser recebido "de plantão" por pessoas conectadas. Isso diz respeito à Rússia em primeiro lugar.
Muitos se lembrarão do caso de Anton Uralsky em 2008 e da chamada postada para o provedor de Internet Stream: "não havia uma única lacuna!" Todos então riram, sem pensar que os funcionários haviam cometido um crime ao postar na Internet uma gravação de áudio de uma conversa com um cliente. Eles cometeram o segundo crime ao publicar os dados pessoais de Anton, que se tornaram propriedade de centenas de brincalhões que arruinaram a vida de uma pessoa.
Por que você acha que fui inspirado por essa história? Porque no mesmo ano de 2008 meus próprios dados pessoais foram revelados descaradamente por funcionários do provedor de Internet Corbin.
O motivo é digno de uma anedota: os administradores do fórum local de Korbinovsky não gostaram de algumas das minhas publicações, então um deles combinou meu endereço IP com o banco de dados interno e postou todos os dados do contrato, incluindo dados de passaporte e o endereço do serviço de comunicação. Aqui, olha, a mesma pessoa, vá até ela e converse, caros usuários do fórum. Felizmente, o público desse fórum era formado principalmente por crianças em idade escolar e isso não me prometia nada de ruim. Que caricatura de moralidade: "nunca irrite o administrador."
O administrador fez tudo como uma piada, simplesmente assim: tal atitude para com os dados pessoais e as leis. Afinal, então, em 2008, também existiam leis sobre dados pessoais, embora não tão detalhadas como hoje. Como você pode ver, nada mudou para melhor em 10 anos, embora incomparavelmente mais papel tenha sido gasto em leis. Tudo se tornou ainda mais criminalizado e até entrou na corrente comercial com o estudo de todos os "processos de negócios" fraudulentos que os acompanhavam. Onde antes havia uma "piada", estupidez total e mesquinharias criminosas, hoje existe benefício financeiro, cálculo frio e toda uma infra-estrutura criminosa.
Moro na Alemanha há 5 anos e vejo constantemente a atenção e o cuidado com que as autoridades e organizações comerciais alemãs tratam os dados pessoais. A primeira lei na Alemanha em qualquer trabalho com pessoas: proteger sua privacidade e confidencialidade. Cada vez que sinto essa preocupação em mim mesmo, lembro-me daqueles funcionários de operadoras de Internet russas e quero calcular quantos anos eles teriam servido na Alemanha por suas ações. Até agora, eles não teriam saído. Por outro lado, tal situação simplesmente não poderia ocorrer: o sistema não permitiria que uma pessoa irresponsável, estúpida e desonesta tivesse acesso aos dados protegidos por lei. Prudente, inteligente, mas ainda desonesto - também.
Posfácio
Tenho certeza de que os funcionários corruptos de empresas, bancos, operadoras e departamentos, os proprietários e participantes dos fóruns, sobre os quais geralmente escrevo hoje, leem eles próprios o Habr e com certeza lerão meu artigo. Alguém vai pensar "você, seu canalha, blasfema de público", ao que responderei de imediato: estás a fazer coisas muito más, estás a cometer um crime, e não pretendo cantar odes ao que não considero bom, nem farei calar sobre o que considero inaceitável.
Em meu artigo, eu apenas toquei no topo da pirâmide, não mais do que 2% de toda a verdade. Aprofundando os recursos temáticos, você pode encontrar coisas como "serviços" criminosos para bloqueio remoto de cartões SIM, interceptação de sms, bloqueio de contas bancárias, paralisação total do trabalho de empresas, qualquer capricho criminoso para seu dinheiro. Em todos os lugares, estão envolvidos funcionários de departamentos ou funcionários de vários níveis em empresas comerciais.
A propósito, há uma série de "serviços" interessantes com operadoras móveis: os fraudadores usam as vulnerabilidades das redes celulares para geo-localizar todos os usuários que entraram no site a partir da Internet móvel, para conectar assinaturas pagas e especialmente para eles próprios - para contornar completamente a contabilidade do tráfego móvel (isso não é absurdo como distribuição da Internet com tethering fechado e desabilitação completa da contabilidade baixada a tarifas limitadas). Surpreendentemente, as raízes aqui não vêm dos fóruns black near-darknet, mas do conhecido fórum w3bsit3-dns.com em Runet.
Não fui fundo no mercado negro, é muito escorregadio e nojento. Eu estava interessado apenas na situação com os dados pessoais, que são catastróficos e nem mesmo enterrados nas profundezas do mercado negro, mas estão a uma curta distância.
A maior parte do artigo foi dedicada à Rússia, organizações e departamentos russos. Os leitores da Ucrânia provavelmente já estão acostumados com o fato de que, na Internet em língua russa, a maioria das más notícias geralmente diz respeito ao seu vizinho do norte. Infelizmente, desta vez não posso compartilhar seu otimismo: a oferta dos “serviços” descritos no artigo na Ucrânia está em um nível não menos do que na Rússia. Até o nível de preços é o mesmo.
De acordo com minhas observações, há muito menos propostas para a Bielo-Rússia e o Cazaquistão. Talvez ele estivesse com uma aparência ruim (para ser honesto, é moralmente difícil ficar com esses recursos por muito tempo), mas a questão claramente não é uma taxa de criminalidade mais baixa. Na minha opinião, tudo é muito mais prosaico: a oferta é proporcional ao número de habitantes, porque na Bielorrússia e no Cazaquistão há muito menos pessoas do que na Rússia e na Ucrânia.
Em nenhum outro lugar eu vi ofertas de tais "serviços" na Europa, Estados Unidos e outros países desenvolvidos do mundo. O máximo é quebrar os bancos de dados comuns (como a Interpol), aos quais há acesso da Rússia. Obviamente, porque as leis nesses países não são apenas escritas no papel, mas implementadas na prática. As leis não são para decoração, exibicionismo e "cumprimento de planos".
Enquanto isso, para proprietários de pequenas empresas russos, ucranianos, bielorrussos e cazaques comuns, as agências de supervisão ficarão felizes em aplicar uma multa pela forma incorreta do formulário de consentimento para o processamento de dados pessoais, e eles próprios fundirão com não menos prazer toda a base de dados em que você, seus dados pessoais, os dados de sua empresa, seus clientes, e até mesmo sua multa será refletida perfeitamente.
Autor: Drebin89