Как ФСБ победил продавцов баз данных в интернете (нет)
В сентябре прошлого года многие слышали про историю, как журналисты нашли (предположительно) реальные имена Петрова и Боширова, которых англичане обвинили в отравлении Скрипаля.
Если оставить за кадром правдивость расследования и опубликованных данных, то вырисовывалась неприглядная картина, когда доступ к базам данных ФМС, МВД и т.д. мог получить чуть ли не любой желающий.
В октябре по СМИ прошла информация, что ФСБ активно занялась вопросом
Мне тогда стало интересно, а на самом ли деле такую информацию можно добыть просто сидя дома за компьютером? Или, если информация от журналистов правдивая, это какие-то осознанные "сливы" информации одних спецслужб журналистам, чтобы как-то напакостить другим спецслужбам. Типа, нездоровой конкуренции Службы внешней разведки с ГРУ (мало ли, всякое бывает).
Немного погуглил, пошарился по разным подозрительным форумам, нашел контакт одного продавца. Специально для связи с ним установил анонимный мессенжер, который гарантировал нам обоим, что мы друг друга не вычислим и вступил в переписку. Что интересно, мне тогда дословно ответили "Не работаю сейчас".
Дело было 31 октября, буквально через день после новостей о "рейдах". Получается и правда, прикрыли лавочки наши органы.
А тут буквально пару дней назад в споре с друзьями опять вспомнили эту историю и даже поспорили, а возможно ли вообще человеку со стороны получить информацию из той же базы Роспаспорт ФМС. Есть объект спора, забиваемся на пари.
Гуглим немного, тратим всего 5 минут, находим уже других продавцов и интересуемся.
Ну, сумма небольшая, продавец авторитетный, в качестве объекта расследования даю ФИО и дату рождения своего друга, который спорил со мной, что а) это невозможно б) тебя просто кинут, деньги получат и досвидули.
Да, это с его согласия, кстати. Плюс обещание компенсировать мои расходы в случае успеха получения данных по его персоне. Закинул денег на указанный продавцом яндекс-кошелек и через несколько часов получаю в ответ файл, в котором полная выписка из Роспаспорта с перечнем выданных паспортов, в т.ч. загран, историей прописки по адресам с датами и двумя фотографиями, одна из внутреннего паспорта, вторая с заграничного и скан собственноручно заполненной анкеты с указанием родителей и т.д.
Что интересно, в выгрузку попал уже и адрес последней прописки, а человек прописывался по новому адресу в разгар борьбы ФСБ с продавцами. То есть, доступ к базе или онлайн или она совсем свежая.
Кстати, я потом понял, что несмотря на то, что сумма в полторы тысячи небольшая, учитывая ценность данных, я еще и переплатил. Есть кто демпингует и берет существенно меньше.
В качестве иллюстрации масштаба проблемы и легкости доступа, приведу скрин с расценками на разную информацию. У разных продавцов (их десятки!) стоимость плюс-минус одинаковая
А вот интересное по мобильным операторам
Немного удивляет разброс цен, а, судя, по стоимости, Билайн самая дырявая сотовая компания в части безопасности личных данных своих абонентов.
Можно было бы подумать, что это просто развод хомяков, деньги возьмут, а ты останешься без всего. Однако, немного изучив вопрос, стало очевидно, что это не так. Есть проверенные продавцы, а администрации форума сама борется с нечестными продавцами! У них там есть разные статусы, система рейтинга и т.д.
А, если обратили внимание, то мой продавец упомянул про некий "гарант" - это сделка с участием администрации форума, которая гарантирует, что если продавец тебя кинет, то они компенсируют потери. За свои услуги они берут процент (от 10% и ниже, зависит от суммы).
Что в остатке: не надо никакого Тора или даркнета, не надо ходить по радиорынкам или общаться с мутными типами, которые могут быть "подсадными утками". Оплата покупки с обычной пластиковой карты. Любой желающий может "пробить" кого угодно почти так же просто как зайти на Госуслуги и запросить там выписку.
Если опасаетесь "подставы", то находите продавца, который работает через гарантированно защищенный мессенджер и принимает криптовалюту.
А рейды ФСБ, как оказалось, дали только временный эффект, все улеглось и даже цены не повысились.
Что с этим делать? Честно говоря, не знаю. Наверное, лучше работать. Ужесточать ответственность за утечки, заниматься защитой данных. Как вариант, "ловить на живца" таких продавцов. Взять какую-нибудь базу, которая и так есть уже везде, чуть новее версию, с помощью той же "Лаборатории Касперского" внедрить туда троян и типа продать. Кто запустил, тот заразился и сдал себя органам. Хотя, может все эти продавцы давно уже известны, просто их не трогают по другим причинам, например, они полезны в чем-то другом органам.. Но существующая ситуация это уже перебор, надо что-то с этим делать...
Никого не рекламирую, ничего не продаю, ссылки тоже не просите.
Да нахер не надо с этим бороться. В швеции вон есть онлайн база всех жителей с адресами в открытом доступе. Ничего на самом деле важного эти данные простому обывателю не дают. Если их и используют - то мошенники. И получается тема как с оружием. Простому человеку - ни данных, ни оружия, а у преступников - все и так есть.
Так что вывод один - надо бороться с теми, кто это использует в мошеннических целях.
https://pikabu.ru/story/khitta_5920150
А вы правда потратили кучу усилий на анонимность переговоров, а оплату незаконных услуг сделали с личной банковской карты ?
Когда-то, 4-5 лет назад, появилась немножко рекламная статья о том, что некая организация под названием "Национальный платёжный совет" решила помочь бедным-несчастным банкам, которые кидают на деньги все, кому не лень. И помощь эта будет заключаться в создании и поддержании базы, в которую как предполагается попадут нежелательные личности. Это "дропы", невозвращенцы кредитов, те, кто не в ладах с законом. И для того, чтобы воспользоваться этими данными, как несложно догадаться, нужно обратиться в НПС и видимо заплатить некий членский взнос.
В комментариях к новости я несколько поспорил с руководителем той конторы, указывая на то, что это а) не очень-то законно б) бесполезно, ибо реальные проблемы с законом - это суд-тюрьма, а правосудие у нас публичное, а значит данные о том, что некий персонаж осужден, - они и так доступны, просто возможно это потребует чуточку больше усилий от ленивых задниц из конкретно взятой службы безопасности, проверяющей конкретно взятого человека. В остальном, что не подкреплено решениями суда, это клевета, не основанная на реальных обстоятельствах. Расстались мы разумеется каждый при своём мнении. Он пожелал мне, чтобы я никогда не стал жертвой мошенников просто оттого, что какого-то из них не внесли в сабжевый чёрный список. Я же ему пожелал никогда не оказаться в ситуации, что его ФИО по ошибке внесут в список нежелательных лиц, и чтобы он никогда не столкнулся с ситуацией, что ему откажут все банки подряд в открытии новых продуктов. Разумеется тогда, когда это будет наиболее необходимо. Например, при оформлении ипотеки.
По итогу, поскольку я был обеспокоен ситуацией, я написал запрос в прокуратуру, привёл ссылку на заметку и указал, почему я считаю данную практику незаконной и опасной. Прокуратура прочитала обращение по диагонали (и из всего вычленили не то, что там про клевету и незаконное использование персональных данных, а то, что "там что-то про банки и деньги"). Переслали в районный ОБЭП. Те очевидно ответили, что раз нигде пока через это деньги не украли, то это не их вопрос и не проблема по их профилю.
Прошло 3 года. А обещанного, как помните, три года ждут. И мне попадается очередная заметка в СМИ. О том, что данные миллионов россиян попали в сеть. И ладно бы это были те самые "алкоголики, дебоширы и тунеядцы". В базе оказались (видимо просто для веса и чтобы удивлять количеством персоналий) все официально осужденные, репрессированные и расстрелянные, начиная с 1900 года. Ну то есть те, кого уже заведомо нет в живых. Но это бы ладно, оно создаёт только дополнительную прибыль производителям жёстких дисков, так как тупо раздувает объём бесполезной для практического применения информацией. Так вот, помимо этого, в базе среди вполне живых и действующих неплательщиков оказались работники органов. Различных, в том числе достаточно засекреченных (например, агенты наружного наблюдения они не состоят в штате силовых структур, а по документам работают в некой "условно-нейтральной" конторе. Но зная её название, можно из базы выцепить тех, кто там работает/работал). Были и работники МВД, ФСБ, Минобороны, причём достаточно высокого полёта. С личными данными, прямыми номерами телефонов и прочая. Которые просто пропустили например очередной платёж по кредиту. Ну или все платежи по принципу "да что они мне сделают, у меня же корочка!". Возможно, из этих же соображений данные при оформлении допустим кредита давались максимально честно и подробно, без использования "легенды", которая для многих засекреченных людей вообще-то обязательна.
То есть создание и поддержание таких вот баз, к которым имеет доступ да можно считать что практически любой прохожий с улицы, оно не только опасно с точки зрения незаконного распространения персданных и клеветнических сведений. Оно в общем-то затрагивает защищённость и обороноспособность страны.
Ну и история с Петровым и Башировым - дополнительное тому подтверждение. Сейчас совсем другой мир, иное время. Да, можно сложить что-то про человека в папочку. Бумажную. Это надёжно, проверено. И перед входом в архив можно поставить пять автоматчиков. Но как только ты складываешь в "Новую папку" на компьютере, нужно понимать, что это может утечь на сторону, причём способами, которые в мозгу тех, кто мыслит категориями прошлого века, вообще уложиться не могут. И от чего не спасёт даже полк автоматчиков, расставленных через метр вдоль всего сетевого кабеля и по трое у каждого коммутатора. А те, кого считают и готовят в "интернет-бойцы" - они совсем-совсем про другое.
Теперь подумываю чьи бы данные приобрести*
Теперь ждем на ленте.ру специальное расследование, что такое персональные данные и как их купить.