Weltweit werden derzeit zahlreiche Anstrengungen unternommen, um die Sicherheit personenbezogener Daten zu gewährleisten. Auch Russland bleibt nicht zurück, da mit Begeisterung Dutzende von Gesetzen, Hunderten von Statuten und Vorschriften eingeführt werden. Gibt es ein Ergebnis?
Meine Untersuchung wird zeigen, dass in Russland und im gesamten Gebiet der ehemaligen UdSSR die auf Papier geschriebenen Gesetze dieses Gebiets vergeblich sind. Die Ergebnisse sind schrecklich: Nicht nur Unternehmen und Regierungsabteilungen, sondern auch Betrüger haben Zugriff auf personenbezogene Daten von Personen und juristischen Personen, Bankgeheimnisse und Geschäftsgeheimnisse. Alles wird zu einem Preis gekauft und verkauft, von ein paar Tassen Kaffee bis zu ein paar Smartphones der Mittelklasse.
Enttäuschende Details
In den 1990er und 2000er Jahren waren alle Moskauer Märkte mit Datenbankdisketten überfüllt. Stützpunkte von Bewohnern, Stützpunkten von Autos und Autobesitzern und dann Stützpunkte von Mobilfunkbetreibern.
Ich weiß nicht, wie die Situation mit dem kriminellen Verkauf solcher Stützpunkte in Moskau heute ist (ich habe lange nicht in Russland gelebt), aber ich kann mit großer Zuversicht sagen, dass dies entweder sehr alte Stützpunkte oder nur fragmentarische Deponien moderner Stützpunkte sein werden. Jetzt erreicht das Volumen der Abteilungs- und Unternehmensinformationen Petabyte und befindet sich in der Cloud. Daher ist es ziemlich schwierig, etwas auf ein normales, zum Verkauf geeignetes Verbrauchermedium zu passen.
Heutzutage werden personenbezogene Daten in einer Reihe von Foren aktiv verkauft, in denen es Verkäufer, Käufer und sogar ganze Schiedsverfahren gibt, um mögliche Streitigkeiten zwischen ihnen beizulegen. Betrüger haben es geschafft, eine sehr mächtige kriminelle Infrastruktur aufzubauen: Foren leben das Leben, Themen haben viele Kommentare und Bewertungen, es gibt Verbote für "Betrug" und Bewertungssysteme für "verifiziert".
Werbevideo:
"Im Darknet?" - Sie dachten. Das ist keine Vermutung. Diese Websites sind gemeinfrei und werden möglicherweise nicht einmal in das langmütige Roskomnadzor-Register aufgenommen (wer würde das bezweifeln). Natürlich haben einige von ihnen Spiegel im Darknet, aber dies sind nur Spiegel.
Der Artikel wird sich speziell auf diese Websites und auf jene "Dienste" konzentrieren, die in den letzten Jahren absolut alle stürmischen Fenster der Bewegung zum Schutz personenbezogener Daten aufheben.
Ich werde die Einwohner von Chabrav bitten, keine Links zu diesen Ressourcen zu veröffentlichen, obwohl sie vielen bekannt sein mögen. Wer sucht, wird sich selbst finden. Erstens möchte ich Betrügern nicht einmal indirekte Werbung machen. Zweitens kann dies die Existenz dieses Artikels gefährden. Drittens liegt der Punkt nicht in der Existenz dieser Ressourcen, sondern in der Tatsache, dass es staatliche Bedingungen gibt, unter denen die aufgeführten "Dienste" im Allgemeinen existieren.
Mobilfunkbetreiber
Schauen Sie sich dieses Bild an, typisches Forum, typische Dienstleistungen:
Die Namen der "Verkäufer" und die Namen der Betreiber wurden von mir versteckt. Sie können die Betreiber selbst erraten, es gibt nicht so viele in Russland. Sie alle machen ausnahmslos ihren Weg.
Am einfachsten ist es, die Daten des Inhabers der Nummer zu durchbrechen: vollständiger Name, Passdaten, Adresse. Wie diese Daten verwendet werden, hängt nur von der Vorstellung des Betrügers ab, dem sie in die Hände fallen.
Als nächstes kommt der interessante Teil. "Dienste" einer höheren Ebene: Verfolgung des Standorts einer Person auf Mobilfunkmasten, Standortverlauf, Anrufdetails, SMS-Details. Zum Glück gibt es zumindest keine Tonaufnahmen der Anrufe (vielleicht habe ich nicht gut zugesehen).
Es ist sehr beeindruckend zu sehen, dass jeder Betrüger auf solche Informationen zugreifen kann. Es bleibt abzuwarten, ob dies durch die Mobilfunkbetreiber selbst oder über externe Schnittstellen, die sich möglicherweise bei staatlichen Diensten befinden, umgesetzt wird (ich bezweifle nicht einmal die Existenz solcher).
Denken Sie noch einmal darüber nach, wenn Sie beim Kauf eine SIM-Karte für Ihre Passdaten ausstellen. Vielleicht ist es wirklich besser, eine SIM-Karte zu nehmen, die für einen Nicht-Namen-Besucher aus Zentralasien ausgestellt wurde? Sie verschwanden nicht von bekannten Verkaufsstellen. Durch die Übertragung Ihrer Passdaten identifizieren Sie sich nicht nur vor dem Mobilfunkbetreiber und den Regierungsbehörden, sondern auch vor jedem Kriminellen, dem es nichts ausmacht, die Kosten für ein paar Tassen Kaffee für Sie oder noch mehr auszugeben.
Staatliche Stellen
Vielleicht geht nichts über die Datenmenge, die verschiedene Regierungsstellen über uns wissen. Tausende von Mitarbeitern haben Zugang zu ihnen, deren Ergebnisse in den Foren reichlich eingesehen werden:
Einerseits ergibt sich ein klares Bild davon, welche Informationen diese Abteilungen über uns haben und mit welcher Leichtigkeit Mitarbeiter ein vollständiges Dossier über jede Person sammeln können. Auf der anderen Seite ein noch malerischeres Ölgemälde: Jeder Betrüger kann genau das gleiche Dossier sammeln.
Typischer Straßendienst:
Standardbeispiel Frage-Antwort:
Es ist auch Standard für verschiedene Abteilungen:
Am beliebtesten ist der Dienst zum Entladen von den Stützpunkten Magistral, Sirena, Granitsa, Migrant, Kronos, Spark, Potok und komplexen IBDR-IBDF-Stützpunkten. Ich kannte solche Namen vorher nicht einmal. Alles, was die Fantasie erreicht, sogar die FIU, bricht durch.
Banken
Eine separate Kategorie von "Dienstleistungen" befasst sich mit der Detaillierung von Bankkonten und der Verlagerung von Geldern zu diesen. Ein Teil von ihnen ist auf Einzelkonten spezialisiert.
Aber noch mehr - für juristische Personen. Betrug wird hier zu raffinierten Formen von Industriespionage und regelrechter Kriminalität. Ich werde keine Screenshots veröffentlichen, da der kriminelle "Dienstkomplex" weit über Datenlecks hinausgeht.
Woher kommen diese monströsen Tatsachen einer massiven Verletzung nicht nur der Gesetze über personenbezogene Daten, sondern auch des Bankgeheimnisses? Ehrlich gesagt bin ich wirklich überrascht, dass Korruption so weit verbreitet ist. Es scheint, dass es ausreicht, nur alle Positionen zu betrachten, in denen der Mitarbeiter Zugriff auf mindestens einige Kundendaten hat - der Betrüger kann bei jedem sein. Die Frage ist nur, wohin die Sicherheitsdienste suchen.
Ich würde sehr gerne die Namen der meisten Fehlerbanken offen auflisten, aber ich werde dies nicht tun, da der erste auf der Liste diejenigen sein wird, die Unternehmensblogs auf dem Hub haben, die mit dem Blockieren des Artikels behaftet sind. Jeder kennt die Unternehmensfarben dieser Banken. Nach meinen Beobachtungen ist es umso unwahrscheinlicher, dass in den Foren betrügerische Dienstleistungen angeboten werden, je kleiner die Bank ist.
Alles wird gekauft und verkauft
Bei meinen Ermittlungen habe ich praktisch keine Informationen angesprochen, die von Filialisten für Elektronik, Bekleidung und Schuhe, Lebensmittel und Fitnessclubs über uns gesammelt und zusammengeführt wurden. All dies steht auch zum Verkauf. Überlegen Sie also noch einmal, ob es sich lohnt, Ihre tatsächliche Adresse und Telefonnummer zu hinterlassen, wenn Sie einen weiteren Rabatt oder eine Clubkarte ausstellen.
Eine interessante Tatsache: Nutzerbasen von Buchmachern-Forex-Optionen, Dienstleistungen von Wahrsagern-Wahrsagern-Zauberern, Käufern von Nahrungsergänzungsmitteln, Mittel zum Abnehmen und zur Steigerung der Potenz werden aktiv verkauft. Die Zielgruppen dieser spezifischen Produkte haben sich so stark herauskristallisiert, dass diese Datenbanken den Besitzer wechseln, ständig ergänzt und auf dem neuesten Stand gehalten werden. Das Geschäft ist einfach riesig.
Es ist nicht so schlimm, wenn personenbezogene Daten, die wir freiwillig hinterlassen, zusammengeführt werden - seien Sie vorsichtig und hinterlassen Sie sie nicht. Es ist viel schlimmer, wenn die Daten zusammengeführt werden, was wir im Prinzip nicht verlassen können. Der Kauf von SIM-Karten ohne Reisepass löst nicht alle Probleme.
2017 las ich Veröffentlichungen russischer Oppositioneller (insbesondere Leonid Volkovs Leonwolf), die der Verfolgung aggressiv gesinnter Krimineller ausgesetzt waren und plötzlich Informationen über alle Flüge und Bewegungen erhielten. Eine Art Mordovorotas, die in der Nähe des Flughafens mit Beats und Begleitung in Form einer Showpräsentation von reichlich bezahlten Pseudo-Anhängern der Behörden mit Flaggen und Gesängen warten. In der Ukraine wurden alle gleichzeitig als Titushki bezeichnet.
Warum so? Woher wusste der Tituschki von den Flügen der Opposition? Es ist ganz einfach: Der Zugang zur Basis von Flügen wird genauso gekauft und verkauft wie der Zugang zu allen anderen Basen.
Leonid, ich weiß, dass Sie ein IT-Mann sind. Wenn Sie diesen Artikel plötzlich lesen, bin ich sehr froh, wenn Sie ihn teilen - viel wurde unter dem Eindruck Ihrer "Cloud" geschrieben.
Ein skeptischer Leser könnte denken: Sie sprechen von Oppositionellen, dh von Menschen, die eine bestimmte politische Position vertreten. Ihre Aktivitäten sind per Definition mit Risiken behaftet. Und es wird falsch sein: Strafrechtlichkeit kann jeden betreffen. Sie können den Umfang der Daten über uns, die auf der Straße liegen, mit Ihren eigenen Augen sehen.
Jeder hat ein Smartphone, jeder hat ein Bankkonto, viele benutzen Autos, viele reisen oft mit dem Flugzeug, viele haben Geschäfte in der Post-UdSSR. Unabhängig von Ihrem sozialen Status und Ihrer politischen Ausrichtung: Sie sind in Gefahr, weil Ihre Daten von niemandem oder irgendetwas geschützt werden und Kriminelle absolut freie Hände haben. Was in Form von kommerziellen Ankündigungen in den Foren verstreut ist, kann tatsächlich "auf Abruf" von verbundenen Personen empfangen werden. Dies betrifft in erster Linie Russland.
Viele werden sich an den Fall mit Anton Uralsky im Jahr 2008 und den veröffentlichten Anruf beim Internetprovider Stream erinnern: "Es gab keine einzige Lücke!" Alle lachten und dachten nicht, dass die Mitarbeiter ein Verbrechen begangen hatten, indem sie eine Audioaufnahme eines Gesprächs mit einem Kunden im Internet veröffentlichten. Sie begingen das zweite Verbrechen, indem sie Antons persönliche Daten weitergaben, die Eigentum von Hunderten von Streichern wurden, die das Leben einer Person ruinierten.
Warum hat mich diese Geschichte inspiriert? Denn im selben Jahr 2008 wurden meine persönlichen Daten von Mitarbeitern des Internetproviders Corbin unverschämt zur Verfügung gestellt.
Der Grund verdient eine Anekdote: Die Administratoren des lokalen Forums von Corbin mochten einige meiner Veröffentlichungen nicht, daher stimmte eine von ihnen meine IP-Adresse mit der internen Datenbank ab und veröffentlichte alle Vertragsdetails, einschließlich Passdaten und der Adresse für die Bereitstellung von Kommunikationsdiensten. Hier, schau, die gleiche Person, geh zu ihm und rede, liebe Forumbenutzer. Glücklicherweise bestand das Publikum dieses Forums hauptsächlich aus Schulkindern, und das versprach mir nichts Schlechtes. Was für eine Karikatur der Moral: "Ärgern Sie niemals den Administrator."
Der Administrator hat alles nur zum Spaß gemacht: eine solche Einstellung zu personenbezogenen Daten und Gesetzen. Schließlich gab es 2008 auch Gesetze zu personenbezogenen Daten, wenn auch nicht so detailliert wie heute. Wie Sie sehen, hat sich in 10 Jahren nichts zum Besseren gewendet, obwohl unvergleichlich mehr Papier für Gesetze ausgegeben wurde. Alles wurde noch kriminalisierter und trat sogar in den kommerziellen Fluss ein, indem alle damit verbundenen betrügerischen "Geschäftsprozesse" untersucht wurden. Wo es früher einen "Witz", völlige Dummheit und kleinliche kriminelle Neigungen gab, gibt es heute finanzielle Vorteile, kalte Berechnungen und eine ganze kriminelle Infrastruktur.
Ich lebe seit 5 Jahren in Deutschland und sehe ständig die Aufmerksamkeit und Sorgfalt, mit der deutsche Behörden und Handelsorganisationen personenbezogene Daten behandeln. Das erste Gesetz in Deutschland bei der Arbeit mit Menschen: zum Schutz ihrer Privatsphäre und Vertraulichkeit. Jedes Mal, wenn ich diese Sorge auf mich selbst spüre, erinnere ich mich an die Mitarbeiter russischer Internetbetreiber und möchte berechnen, wie viele Jahre sie für ihre Aktionen in Deutschland gedient hätten. Bis jetzt wären sie nicht herausgekommen. Andererseits könnte eine solche Situation einfach nicht entstehen: Das System würde einer verantwortungslosen, dummen und unehrlichen Person keinen Zugang zu gesetzlich geschützten Daten ermöglichen. Klug, klug, aber trotzdem unehrlich.
Nachwort
Ich bin sicher, dass die korrupten Angestellten von Firmen, Banken, Betreibern und Abteilungen, die Eigentümer und Teilnehmer der Foren, über die ich heute allgemein geschrieben habe, das Habr selbst gelesen haben und auf jeden Fall meinen Artikel lesen werden. Jemand wird denken "Sie, Sie Schurke, sprengen Themen in der Öffentlichkeit", worauf ich sofort antworten werde: Sie tun sehr schlechte Dinge, Sie begehen eine Straftat, und ich habe nicht die Absicht, Oden zu singen, was ich nicht für gut halte, und ich werde auch nicht schweigen über das, was ich für inakzeptabel halte.
In meinem Artikel habe ich nur die Spitze der Pyramide berührt, nicht mehr als 2% der gesamten Wahrheit. Wenn Sie die thematischen Ressourcen weiter ausgraben, finden Sie beispielsweise kriminelle "Dienste" für die Fernblockierung von SIM-Karten, das Abfangen von SMS, die Sperrung von Bankkonten, die allgemeine Lähmung der Arbeit von Unternehmen und jede kriminelle Laune für Ihr Geld. Überall sind entweder Mitarbeiter von Abteilungen oder Mitarbeiter verschiedener Ebenen in Handelsunternehmen beteiligt.
Übrigens gibt es eine Reihe interessanter "Dienste" für Mobilfunkbetreiber: Betrüger nutzen die Schwachstellen von Mobilfunknetzen, um alle Benutzer, die die Website über das mobile Internet betreten haben, geografisch zu lokalisieren, kostenpflichtige Abonnements zu verbinden und insbesondere für sich selbst - um die Abrechnung des mobilen Verkehrs vollständig zu umgehen (dies ist kein Unsinn Verbreitung des Internets mit geschlossenem Tethering und vollständige Deaktivierung der zu begrenzten Tarifen heruntergeladenen Buchhaltung). Überraschenderweise wachsen die Wurzeln hier nicht aus den schwarzen Near-Darknet-Foren, sondern aus dem bekannten w3bsit3-dns.com-Forum in Runet.
Ich bin nicht tief in den Schwarzmarkt gegangen, er ist zu rutschig und ekelhaft. Ich war nur an der Situation mit personenbezogenen Daten interessiert, die katastrophal ist und nicht einmal in den Tiefen des Schwarzmarkts vergraben ist, sondern zu Fuß erreichbar ist.
Der größte Teil des Artikels war Russland, russischen Organisationen und Abteilungen gewidmet. Leser aus der Ukraine sind wahrscheinlich bereits daran gewöhnt, dass im russischsprachigen Internet die meisten schlechten Nachrichten normalerweise ihren nördlichen Nachbarn betreffen. Leider kann ich diesmal Ihren Optimismus nicht teilen: Das Angebot der im Artikel beschriebenen „Dienstleistungen“in der Ukraine ist nicht geringer als in Russland. Auch das Preisniveau ist gleich.
Nach meinen Beobachtungen gibt es viel weniger Vorschläge für Weißrussland und Kasachstan. Vielleicht sah er schlecht aus (um ehrlich zu sein, es ist moralisch schwierig, lange Zeit auf diesen Ressourcen zu sein), aber der Punkt ist eindeutig keine niedrigere Kriminalitätsrate. Meiner Meinung nach ist alles viel prosaischer: Das Angebot ist proportional zur Einwohnerzahl, da in Weißrussland und Kasachstan viel weniger Menschen leben als in Russland und der Ukraine.
Nirgendwo sonst habe ich Angebote solcher "Dienstleistungen" in Europa, den Vereinigten Staaten und anderen Industrieländern der Welt gesehen. Das Maximum ist das Durchbrechen der gemeinsamen Datenbanken (wie Interpol), auf die von Russland aus zugegriffen werden kann. Offensichtlich, weil die Gesetze in diesen Ländern nicht nur auf Papier geschrieben, sondern in der Praxis umgesetzt werden. Gesetze sind nicht für Dekoration, Schaustellung und "Planerfüllung".
In der Zwischenzeit werden Aufsichtsbehörden für gewöhnliche russische, ukrainische, belarussische und kasachische Kleinunternehmer gerne eine Geldbuße für eine falsche Form der Einwilligung zur Verarbeitung personenbezogener Daten verhängen und selbst die gesamte Datenbank, in der Sie, Ihre personenbezogenen Daten, die Daten Ihres Unternehmens zusammenführen, mit nicht geringerem Vergnügen zusammenführen, Ihre Kunden und sogar Ihre Geldstrafe werden perfekt reflektiert.
Verfasser: Drebin89