De nombreux efforts sont actuellement déployés dans le monde pour assurer la sécurité des données personnelles. La Russie, elle aussi, n'est pas à la traîne, avec enthousiasme pour l'introduction de dizaines de lois, de centaines de statuts et de règlements. Y a-t-il un résultat?
Mon enquête montrera qu'en Russie et sur tout le territoire de l'ex-URSS, les lois de cette région écrites sur papier sont vaines. Les résultats sont terribles: non seulement les entreprises et les administrations, mais aussi les fraudeurs ont accès aux données personnelles des personnes physiques et morales, aux secrets bancaires, aux secrets commerciaux. Tout est acheté et vendu à un prix allant de quelques tasses de café à quelques smartphones de milieu de gamme.
Détails décevants
Dans les années 1990 et 2000, tous les marchés de Moscou étaient remplis de disques de bases de données. Bases de résidents, bases de voitures et de propriétaires de voitures, puis bases d'opérateurs mobiles.
Je ne sais pas quelle est la situation actuelle de la vente criminelle de ces bases à Moscou (je n’ai pas vécu en Russie depuis longtemps), mais je peux dire avec une grande certitude qu’il s’agira de bases très anciennes ou de décharges fragmentaires de bases modernes. Désormais, le volume d'informations ministérielles et d'entreprise atteint des pétaoctets et se trouve dans le cloud, il est donc assez difficile de placer quelque chose sur un support de consommation ordinaire adapté à la vente.
Aujourd'hui, les données personnelles sont activement vendues sur un certain nombre de forums où se trouvent des vendeurs, des acheteurs et même des systèmes d'arbitrage entiers conçus pour résoudre d'éventuels litiges entre eux. Les fraudeurs ont réussi à construire une infrastructure criminelle très puissante: les forums vivent la vie, les sujets ont beaucoup de commentaires et d'avis, il y a des interdictions pour les «arnaques» et des systèmes de notation pour «vérifié».
Vidéo promotionelle:
«Sur le darknet? - tu pensais. Ce n'est pas deviner. Ces sites sont dans le domaine public et peuvent même ne pas être inclus dans le registre Roskomnadzor qui souffre depuis longtemps (qui en douterait). Bien sûr, certains d'entre eux ont des miroirs sur le darknet, mais ce ne sont que des miroirs.
L'article se concentrera spécifiquement sur ces sites et sur ces «services» qui annulent absolument tout le mouvement de la tempête de l'État-vitrine autour de la protection des données personnelles ces dernières années.
Je demanderai aux habitants de Khabrav de s'abstenir de publier des liens vers ces ressources, bien qu'elles soient connues de beaucoup. Celui qui cherche se trouvera. Premièrement, je ne veux même pas faire de publicité indirecte aux escrocs. Deuxièmement, cela peut mettre en péril l'existence de cet article. Troisièmement, le problème n'est pas dans l'existence même de ces ressources, mais dans le fait qu'il existe des conditions étatiques dans lesquelles les "services" énumérés existent généralement.
Opérateurs cellulaires
Regardez cette image, forum typique, services typiques:
Les noms des "vendeurs" et les noms des opérateurs m'ont été cachés. Vous pouvez deviner vous-même les opérateurs, il n'y en a pas beaucoup en Russie. Ils avancent tous sans exception.
Le plus élémentaire est de percer les données du propriétaire du numéro: nom complet, données du passeport, adresse. La manière dont ces données seront utilisées ne dépend que de l'imagination du fraudeur à qui elles tomberont entre les mains.
Vient ensuite la partie intéressante. «Services» d'un niveau supérieur: suivi de la localisation d'une personne sur les tours de téléphonie cellulaire, historique de localisation, détails des appels, détails des SMS. Heureusement, au moins, il n'y a pas d'enregistrement sonore des appels (peut-être que je n'ai pas bien regardé).
Il est très impressionnant de voir que n'importe quel escroc peut accéder à de telles informations. Il reste à voir si cela est réalisé par le biais des opérateurs cellulaires eux-mêmes, ou par des interfaces externes qui peuvent être localisées dans les services gouvernementaux (je ne doute même pas de l'existence de tels).
Réfléchissez à nouveau lors de l'émission d'une carte SIM pour les données de votre passeport lors de l'achat. Peut-être est-il vraiment préférable de prendre une carte SIM émise pour un non-visiteur d'Asie centrale? Ils n'ont pas disparu des lieux de vente bien connus. En transférant vos données de passeport, vous vous identifiez non seulement devant l'opérateur cellulaire et les agences gouvernementales, mais également devant tout criminel qui ne craint pas de dépenser le coût de quelques tasses de café pour vous, voire plus.
Organismes d'État
Peut-être que rien ne vaut la quantité de données que divers ministères gouvernementaux connaissent de nous. Des milliers de collaborateurs y ont accès dont les résultats sont abondamment consultés sur les forums:
D'une part, une image claire se dégage des informations que ces services détiennent sur nous et avec quelle facilité les employés peuvent collecter un dossier complet sur n'importe quelle personne. D'autre part, une peinture à l'huile encore plus pittoresque: tout fraudeur peut collecter exactement le même dossier.
Service routier typique:
Exemple standard de question-réponse:
Il est également standard pour différents départements:
Le plus populaire est le service de déchargement des bases Magistral, Sirena, Granitsa, Migrant, Kronos, Spark, Potok et les bases complexes IBDR-IBDF. Je ne connaissais même pas de tels noms avant. Tout ce que la fantaisie atteint, même la CRF, perce.
Banques
Une catégorie distincte de «services» est consacrée au détail des comptes bancaires et au transfert de fonds vers ceux-ci. Une partie d'entre eux est spécialisée dans les comptes individuels.
Mais plus encore - pour les personnes morales. Ici, la fraude se transforme en formes sophistiquées d'espionnage industriel et de crime pur et simple. Je ne publierai pas de captures d'écran, car le «complexe de services» criminel va bien au-delà des fuites de données.
D'où viennent ces faits monstrueux de violation massive non seulement des lois sur les données personnelles, mais aussi du secret bancaire? Honnêtement, je suis vraiment surpris que la corruption soit si répandue. Il semble qu'il suffit de regarder tous les postes où l'employé a accès à au moins certaines données client - le fraudeur peut être sur n'importe qui. La seule question est de savoir où se tournent les services de sécurité.
J'aimerais beaucoup énumérer ouvertement les noms des banques les plus fautives, mais je ne le ferai pas, car les premiers de la liste seront ceux qui ont des blogs d'entreprise sur le hub, ce qui est lourd de blocage de l'article. Tout le monde connaît les couleurs corporatives de ces banques. D'après mes observations, plus la banque est petite, moins il y a de chances qu'il y ait des services frauduleux sur les forums.
Tout est acheté et vendu
Dans mon enquête, je n'ai pratiquement pas abordé les informations qui sont collectées et fusionnées à notre sujet par les chaînes de magasins d'électronique, de vêtements et de chaussures, de nourriture et de clubs de fitness. Tout cela est également à vendre, alors réfléchissez encore une fois à la question de savoir s'il vaut la peine de laisser votre adresse et votre numéro de téléphone réels lors de l'émission d'une autre carte de réduction ou de club.
Un fait intéressant: les bases des utilisateurs d'options de bookmakers-forex, de services de voyants-diseurs de bonne aventure-sorciers, d'acheteurs de compléments alimentaires, de moyens pour perdre du poids et augmenter la puissance sont activement vendues. Les publics cibles de ces produits spécifiques se sont tellement cristallisés que ces bases de données changent de mains, sont constamment complétées et mises à jour. L'entreprise est tout simplement énorme.
Ce n'est pas si grave lorsque les données personnelles que nous laissons volontairement sont fusionnées - faites simplement attention et ne les laissez pas. C'est bien pire lorsque les données fusionnent, ce que nous ne pouvons en principe pas quitter. L'achat de cartes SIM sans passeport ne résoudra pas tous les problèmes.
En 2017, j'ai lu les publications des opposants russes (en particulier le leonwolf de Leonid Volkov), qui ont fait face à la persécution de criminels à l'esprit agressif qui ont soudainement reçu des informations sur tous les vols et mouvements. Une sorte de mordovorotas qui attendent près de l'aéroport avec des rythmes et un accompagnement sous la forme d'un spectacle de présentation de pseudo-partisans du pouvoir richement payés avec des drapeaux et des chants. En Ukraine, tous à un moment donné ont été collectivement appelés titushki.
Pourquoi donc? Comment les titushki ont-ils été informés des vols de l'opposition? C'est simple: parce que l'accès à la base des vols s'achète et se vend de la même manière que l'accès à toutes les autres bases.
Leonid, je sais que vous êtes un informaticien, si vous lisez soudainement cet article, je serai très heureux si vous le partagez - beaucoup a été écrit sous l'impression de votre "Cloud".
Un lecteur sceptique pourrait penser: vous parlez d'opposants, c'est-à-dire de personnes qui représentent une certaine position politique, leurs activités sont, par définition, pleines de risques. Et ce sera faux: l'anarchie pénale peut toucher tout le monde. Vous pouvez voir de vos propres yeux l'ampleur des données nous concernant gisant sur la route.
Tout le monde a un smartphone, tout le monde a un compte bancaire, beaucoup utilisent des voitures, beaucoup voyagent souvent en avion, beaucoup ont des entreprises dans l'après-URSS. Quels que soient votre statut social et votre orientation politique: vous êtes en danger car vos données ne sont protégées ni par personne ni par quoi que ce soit, et les criminels ont les mains libres. Ce qui est éparpillé sur les forums sous forme d'annonces commerciales peut en fait être reçu «sur appel» par des personnes connectées. Cela concerne la Russie en premier lieu.
Beaucoup se souviendront du cas d'Anton Uralsky en 2008 et de l'appel posté au fournisseur Internet Stream: "il n'y avait pas une seule lacune!" Tout le monde a alors ri, ne pensant pas que les employés avaient commis un crime en publiant un enregistrement audio d'une conversation avec un client sur Internet. Ils ont commis le deuxième crime en publiant les données personnelles d'Anton, qui sont devenues la propriété de centaines de farceurs qui ont ruiné la vie d'une personne.
Pourquoi pensez-vous que j'ai été inspiré par cette histoire? Parce que dans le même 2008, mes propres données personnelles ont été présentées sans vergogne par les employés du fournisseur Internet Corbin.
La raison est digne d'une anecdote: les administrateurs du forum local Korbinovsky n'ont pas aimé certaines de mes publications, donc l'une d'elles a mis en correspondance mon adresse IP avec la base de données interne et a affiché toutes les données du contrat, y compris les données de passeport et l'adresse du service de communication. Ici, regardez, la même personne, allez vers lui et parlez, chers utilisateurs du forum. Heureusement, le public de ce forum était principalement des écoliers et cela ne me promettait rien de mal. Quelle caricature de morale: «ne jamais irriter l'administrateur».
L'administrateur a tout fait comme une blague, juste comme ça: une telle attitude envers les données personnelles et les lois. Après tout, en 2008, il y avait aussi des lois sur les données personnelles, bien que moins détaillées qu'aujourd'hui. Comme vous pouvez le voir, rien n'a changé pour le mieux en 10 ans, même si incomparablement plus de papier a été consacré aux lois. Tout est devenu encore plus criminalisé et est même entré dans le flux commercial avec l'étude de tous les «processus d'affaires» frauduleux qui l'accompagnent. Là où il y avait autrefois une «plaisanterie», une stupidité pure et simple et des penchants mineurs au crime, il y a aujourd'hui des avantages financiers, des calculs froids et toute une infrastructure criminelle.
Je vis en Allemagne depuis 5 ans et je vois constamment l'attention et le soin avec lesquels les autorités allemandes et les organisations commerciales traitent les données personnelles. La première loi en Allemagne dans tout travail avec des personnes: protéger leur vie privée et leur confidentialité. À chaque fois, ressentant cette inquiétude sur moi-même, je me souviens de ces employés des opérateurs Internet russes et je veux calculer combien d'années ils auraient servi en Allemagne pour leurs actions. Jusqu'à présent, ils ne seraient pas sortis. D'un autre côté, une telle situation ne pouvait tout simplement pas se produire: le système ne permettrait pas à une personne irresponsable, stupide et malhonnête d'accéder aux données protégées par la loi. Prudent, intelligent, mais toujours malhonnête - aussi.
Épilogue
Je suis sûr que les employés corrompus des entreprises, des banques, des opérateurs et des départements, les propriétaires et les participants des forums, sur lesquels j'ai écrit en général aujourd'hui, lisent eux-mêmes le Habr et liront certainement mon article. Quelqu'un pensera «toi, canaille, blâmez des sujets sur le public», ce à quoi je répondrai tout de suite: vous faites de très mauvaises choses, vous commettez une infraction pénale, et je n'ai pas l'intention de chanter des odes à ce que je ne considère pas comme bon, et je ne me tairai pas non plus sur ce que je considère inacceptable.
Dans mon article, je n'ai touché qu'au sommet de la pyramide, pas plus de 2% de toute la vérité. En creusant plus loin les ressources thématiques, vous pouvez trouver des choses telles que des "services" criminels pour le blocage à distance des cartes SIM, l'interception de sms, le blocage des comptes bancaires, la paralysie totale du travail des entreprises, tout caprice criminel pour votre argent. Partout, soit des employés de services, soit des employés de différents niveaux dans des entreprises commerciales sont impliqués.
En passant, il existe un certain nombre de «services» intéressants avec les opérateurs mobiles: les fraudeurs utilisent les vulnérabilités des réseaux cellulaires afin de géolocaliser tous les utilisateurs qui sont entrés sur le site depuis l'Internet mobile, pour connecter des abonnements payants, et surtout pour eux-mêmes - pour contourner complètement la comptabilité du trafic mobile (ce n'est pas un non-sens comme distribution d'Internet avec partage de connexion fermé, et désactivation complète de la comptabilité téléchargée à des tarifs limités). Étonnamment, les racines ici ne proviennent pas des forums noirs quasi-darknet, mais du forum bien connu w3bsit3-dns.com de Runet.
Je ne me suis pas plongé dans le marché noir, c'est trop glissant et dégoûtant. Je n'étais intéressé que par la situation des données personnelles, qui est catastrophique et même pas enfouie dans les profondeurs du marché noir, mais qui est accessible à pied.
La majeure partie de l'article était consacrée à la Russie, aux organisations et départements russes. Les lecteurs ukrainiens sont probablement déjà habitués au fait que sur Internet en russe, la plupart des mauvaises nouvelles concernent généralement leur voisin du nord. Malheureusement, cette fois, je ne peux partager votre optimisme: l'offre des «services» décrits dans l'article en Ukraine n'est pas moins à un niveau qu'en Russie. Même le niveau de prix est le même.
D'après mes observations, il y a beaucoup moins de propositions pour le Bélarus et le Kazakhstan. Peut-être qu'il regardait mal (pour être honnête, il est moralement difficile d'être sur ces ressources pendant longtemps), mais le point n'est clairement pas un taux de criminalité plus bas. À mon avis, tout est beaucoup plus prosaïque: l'offre est proportionnelle au nombre d'habitants, car il y a beaucoup moins de personnes vivant en Biélorussie et au Kazakhstan qu'en Russie et en Ukraine.
Nulle part ailleurs je n'ai vu des offres de tels «services» en Europe, aux États-Unis et dans d'autres pays développés du monde. Le maximum est de percer les bases de données communes (comme Interpol), auxquelles il y a accès depuis la Russie. Évidemment, parce que les lois de ces pays ne sont pas seulement écrites sur papier, mais mises en pratique. Les lois ne sont pas destinées à la décoration, à la mise en scène et à la «réalisation du plan».
Pendant ce temps, aux propriétaires de petites entreprises russes, ukrainiens, biélorusses et kazakhs ordinaires, les agences de surveillance se feront un plaisir d'émettre une amende pour le formulaire de consentement incorrect pour le traitement des données personnelles, et elles fusionneront elles-mêmes avec non moins de plaisir la base de données entière dans laquelle vous, vos données personnelles, les données de votre entreprise, vos clients et même votre amende seront parfaitement reflétés.
Auteur: Drebin89