Я так проникся «клиентоориентированным» отношением операторов связи к своим абонентам, что сделав 4 расследования по скрытым мобильным подпискам, решил пойти дальше и проверить: а как они относятся к персональным данным абонентов?
В информационном поле тема пробива постоянно возникает — достаточно вспомнить тот же «Глаз бога» – телеграм-бот для поиска информации о людях по разным, в том числе закрытым базам. Сотовые операторы рапортуют об успехах в борьбе с этим явлением. Известный журналист Эльдар Муртазин доказывает, что получить доступ к персональным данным абонентов совершенно невозможно!
Ведь, цитирую:
«Персональные данные абонентов — это та информация, что считается особенно важной внутри каждого оператора. И эти данные охраняют, вся система выстроена так, чтобы никто не мог получить к ним доступ, даже попав на работу внутрь оператора связи».
Операторы уверяют, что сохранность персональных данных абонентов — предмет их неустанной заботы.
Но я решил проверить лично, можно ли получить персональные данные, хранящиеся у сотового оператора, и если да, то как сложно, сколько стоит и как это все выглядит.
Мы начали со стартовых условий, рассмотрев варианты выдачи официального служебного задания кому-нибудь из коллег. Все-таки это нелегально, поэтому мы решили обезопасить себя бюрократически. Посоветовавшись с юристом, мы решили, что самый безопасный вариант — «пробить» самого себя, благо после предыдущих расследований у всех нас были симки от всех операторов.
Перед этим сотрудник зашел в салоны всех операторов и попросил по паспорту сделать справку об оформленных на него номерах. Тут интересный момент: все, кроме Tele2, ее безмолвно выдали. Представьте с погрешностью на ковидные времена: в салон заходит дядя в маске на пол лица и очках, дает паспорт с фото десятилетней давности без маски и без очков, и ему все печатают. Tele2 все-таки попросил написать заявление. Возможно, поэтому, как пишет журнал «Хакер», пробив абонента Tele2 стоит дороже.
Подготовительный этап закончен, начинается пробив
Что сначала запрашивал: паспортные данные владельца определенного номера.
На самом деле тут выбор «услуг» большой: можно и заказать распечатку звонков, с детализацией базовых станций, и определить местоположение по последнему звонку, и даже самое неприятное — перевыпустить чужую симку. Если кто-то сталкивался с такими кейсами, напишите.
Перед нами стояла цель проверить, насколько это простая/сложная задача для человека «не в теме», сколько требует времени и денег, и убедиться на собственном примере, что такой рынок мобильного пробива существует.
Поэтому в итоге в проекте участвовали два человека, один пробивал и другой оказывал информподдержку (искал информацию в Сети). Инженерное + гуманитарное образование, ноль опыта с пробивом, но какой-никакой опыт работы с источниками.
Сразу скажу, адресов-паролей-явок я в тексте не дам, это плохой бизнес, который должен исчезнуть. Так что без рекламы.
Пробив в Telegram
Начали коллеги (спойлер — ошибочно) с самого простого. Поискали группы с услугами пробива в Telegram. Их там великое множество.
Но обе попытки организовать пробив закончились одинаково — обманом «клиентов». Решив не тратить на это силы и средства, коллеги отправились дальше — в дарквеб.
Пробив в Дарквебе
Сам сайт, где можно запросить пробив, нашелся быстро — в первой же строке поисковой выдачи. Но если в Телеграме быстро отвечают и также стремительно кидают, то на форумах в дарквеб обсуждения и сделки идут долго. Видел статьи журналистов от 2019 года, где им все удалось провернуть за несколько часов, как, например, в этой статье BBC, но то ли времена изменились, то ли наш коллега, который занимался этой задачей, не такой профи.
Сделки можно провести через гаранта — посредника, уважаемого участника форума/старожила, который берет деньги у покупателя и отдает продавцу, только если тот выполнит заказ, что дает относительную защиту от кидал. Но нужно дополнительно оплатить услуги этого гаранта, по 200 рублей за сделку.
Общение в итоге все равно переходит в Telegram. Забавно, что перенося контакт того, с кем коллега договорился на форуме, вручную с компьютера на телефон, он сделал ошибку (эти коварные i, I и l), и общался, соответственно, ничего не подозревая, с другим человеком, мошенником, косящим под настоящего пробивщика. Он пообещал выполнить заказ, но так как сделка проходила через гаранта, то его фокус не удался — деньги ушли по назначению настоящему пробивщику. Так что на рынке суровая конкуренция.
Итоги
Пробив удался у всех четырех «больших» операторов связи. Коллеге чаще всего присылали фотографии с экранов мониторов: судя по всему, это какие-то программы, используемые операторами. Если есть тот, кто знает подробнее, что за софт — свяжитесь, пожалуйста, с проектом или напишите в комментариях.
Отношение к собственной безопасности у конечных исполнителей, работающих у оператора, очень разное. Так, в одном случае на фото не было никакой идентифицирующей информации и у самой фотографии были удалены метаданные, в двух других случаях люди не потрудились даже убрать ФИО сотрудника. Мы это сделали за них. В итоге мы даже нашли их в ВК.
Итак, пробив номер 1, МТС.
Сотрудник (салона?) позаботился о себе, сделав фото так, чтобы на нее не попали его данные. Метаданные фотографии он тоже удалил. Оранжевым цветом мы закрасили персональные данные пробиваемого коллеги, но они правильные
Пробив номер 2, «Билайн».
Тут уже пришлось и данные коллеги, и данные сотрудника оператора стирать самостоятельно. Но данные, опять же, все верные.
Пробив номер 3, «Мегафон».
Тут тоже все наивно и прекрасно. Данные коллеги — верные, данные гения, который это сфоткал, я замазал. Хорошо, хоть он свой паспорт не приложил.
Пробив номер 4, Tele2.
Самый сложный оператор. Услуги найти номер по данным паспорта у пробивщиков нет вообще. Но получить данные паспорта по номеру телефона — можно.
Есть два нюанса: во-первых, пробив у Tele2 стоит заметно дороже, во-вторых, присылают только запрошенные данные в текстовом виде. То есть коллега запрашивал данные паспорта по номеру. И ему прислали правильные данные его паспорта в текстовом сообщении.
Найти всё? Да!
Кстати, услуги типа «по номеру телефона узнать, какие еще номера телефона зарегистрированы на человека» нет, но вариант получения данных в два захода срабатывает.
У МТС удалось получить паспортные данные владельца номера, а потом по номеру паспорта коллега получил остальные зарегистрированные на этот паспорт номера. Понятно, что он делал это со своими собственным данными, но этот «фокус» можно проделать и с любыми другими. Пробовал именно с МТС, так как там на него было зарегистрировано несколько номеров. Все они в лучшем виде с приветом из очень отдаленного от Москвы региона:
Cчитаем потраченное на пробив, и отдельно — на какую сумму нас кинули.
Кинули на 4 300 рублей. Все настолько мило и наивно, что в качестве оплаты просили скинуть деньги на карту «Сбербанка». Пожаловались на мошенничество в «Сбер», конечно.
Теперь посчитаем, какая сумма была потрачена на «работающий» пробив.
Два раза за МТС: один раз — паспорт по номеру телефона, и второй — номер телефона по паспорту; «Билайн» и «Мегафон» по 1 200 рублей за каждый пробив, итого — 4 800 рублей; аналогичная информация от Tele2 обошлась нам в 4 000 рублей. Если отдельно посчитать, сколько мы затратили за однотипный пробив «паспорт по номеру телефона», у всех четырех операторов, получится 7 600 рублей. Еще какое-то немалое количество денег ушло на комиссии. В дарквебе продавцы предпочитают криптовалюту.
Слово юристу:
Какие нормы права нарушает так называемый «пробив»?
Что нарушает пробивающий?
Согласно статье 137 УК РФ, «Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации — наказываются
штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо
обязательными работами на срок до трехсот шестидесяти часов, либо
исправительными работами на срок до одного года, либо
принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо
лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются
штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо
лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо
принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо
арестом на срок до шести месяцев, либо
лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет».
Согласно статье 138 УК РФ, «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан — наказывается
штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо
обязательными работами на срок до трехсот шестидесяти часов, либо
исправительными работами на срок до одного года.
То же деяние, совершенное лицом с использованием своего служебного положения, наказывается
штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо
лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо
обязательными работами на срок до четырехсот восьмидесяти часов, либо
принудительными работами на срок до четырех лет, либо
арестом на срок до четырех месяцев, либо
лишением свободы на срок до четырех лет»․
Про ответственность оператора
Согласно статье 63 ФЗ «О связи», «На территории Российской Федерации гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи. Ограничение права на тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи, допускается только в случаях, предусмотренных федеральными законами. Операторы связи обязаны обеспечить соблюдение тайны связи».
А кто вообще имеет право на доступ к этой информации?
Несложно догадаться. Согласно 64 статье того же ФЗ «О связи», «Операторы связи обязаны предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, указанную информацию, информацию о пользователях услугами связи и об оказанных им услугах связи и иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами».
Согласно ст. 13 ФЗ «Об оперативно-розыскной деятельности», «На территории РФ право осуществлять оперативно-разыскную деятельность предоставлено оперативным подразделениям: органов федеральной службы безопасности, органов внутренних дел РФ, федерального органа исполнительной власти в области государственной охраны; таможенных органов РФ, службы внешней разведки РФ, федеральной службы исполнения наказаний».
То есть детализацию данных абонента могут вообще заказать либо сам абонент, либо уполномоченные (далеко не все) органы государственной власти.
Если говорить о судебной практике, связанной именно с походом в суд абонента, недовольного незаконным распространением его данных, обычно все сводятся к статьям 137 и 138 УК РФ. То есть речь идет только об ответственности сотрудника оператора за содеянное. Достаточно часто встречается формулировка про злоупотребление служебными полномочиями. Случаи участия сотрудников в «пробиве» замечены у всех операторов «большой четверки».
Итак, что же грозит пробивающему?
Недавно корреспонденты BBC рассказали про дело сотрудника «Вымпелком», который продал данные троих абонентов компании. Отмечалось, что кроме детализации соединений, сотрудник копировал и геолокационную информацию о местоположении абонента в момент конкретного вызова. Предоставленные данные позволяли составить карту передвижений субъекта. К счастью, этот сотрудник был пойман и получил 440 часов обязательных работ.
В 2018 году сотрудник Tele2 получил полтора года условно за незаконную детализацию номеров 53 абонентов. Отмечались и дела сотрудников МТС (7 «пробитых» телефонных номеров и приговор на 240 часов обязательных работ) и «Мегафона».
Следует также упомянуть дело о работнике оператора связи, который, ради помощи другу, предоставил ему детализацию звонков его бывшей супруги. В его отношении было возбуждено уголовное дело по ч. 2 ст. 138 УК РФ за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан. В конкретном случае сотрудник оператора был признан виновным и оштрафован на 120 тысяч.
«Известия» со ссылкой на сервис разведки утечек данных DLBI отмечают, что количество судебных дел, связанных с хищением персональной информации, в 2020 году увеличилось в два раза по сравнению с 2019-м. И большая часть уголовных дел была возбуждена против сотрудников операторов и салонов сотовой связи. В 2020 году их доля составила 67%, в то время как в 2019 — 46%.
Кроме того, свою негативную роль в деле незаконной передачи информации об абонентах сыграла и пандемия: в связи с переходом сотрудников на удаленную работу часть утечек переместилась в «серую зону» и не была зафиксирована.
Выводы
Грустные.
Нам бы очень хотелось, чтобы дела обстояли так, как это описано в статье Эльдара Муртазина, но реальность не такая оптимистичная.
Пробив существует. Если вы новичок со стороны, он отнимет у вас сколько-то средств на кидал, но найти настоящего пробивальщика достаточно просто. Пробив сегодня для новичка отнимает довольно много времени на переговоры, заказ, исполнение, так что, вероятно, услуги типа «вспышки» (геолокация, откуда был сделан последний звонок) — это уже для постоянных клиентов.
Законодательство вполне себе старается защищать персональные данные. Другое дело — отношение оператора к хранению информации. Проще реагировать на какие-то статьи в СМИ, выгонять сотрудников, штрафовать и т.д., чем озадачиться обеспечением безопасности данных пользователей.
В нашем случае заказы явно выполнялись рядовыми сотрудниками салонов, это — «слабое звено» системы. Но наказание одному из них не остановит других любителей легких денег. Решать эту глобальную проблему нужно на более высоком уровне.
Что я предлагаю
Подозреваю, что есть целая куча «звоночков», которые говорят, что данные пользователя вызываются с целью пробива. Почему они не срабатывают? Например, я живу в Москве, а пробив был осуществлен в Рязани. Да даже если моей симки нет в соте салона, это уже повод для службы безопасности позвонить мне и спросить, запрашиваю ли я информацию по собственному номеру. Опять же, если оператора салона начинает интересовать куча людей из разных регионов, разве это не повод задуматься?
А зачем вообще на экран оператора в салоне одновременно выводится столько данных обо мне? Если они будут выводиться частями и с персональным паролем, например, показывается адрес — исчезает ФИО и т.д., то это хотя бы замедлит скорость их добычи. А если при этом ничего не происходит — ни покупок, ни изменения данных или перечня услуг, — это опять же повод сработать триггеру, что что-то здесь не то.
Все-таки признать вину компании в таких ситуациях. Компания несет ответственность за найм сотрудников, которые потом так поступают с данными клиентов, она закупает софт.
Многие эксперты называют повышение штрафов неплохой мерой, но тогда наказывать надо и сотрудников, и в первую очередь, саму компанию.
Если есть еще идеи — делитесь.
Призываем операторов зайти и почитать.
Нет, я понимаю, выгнать с работы спалившегося сотрудника салона и даже посадить его гораздо дешевле, чем дорабатывать ИТ-решения. Но меня сейчас больше заботит безопасность моих данных, а не рост выручки оператора, корпоратив для его сотрудников в Монако и бонусы в размере зарплаты за год.
P.S. По итогам этого текста мы направили запросы всем четырем операторам, «принявшим участие» в нашем тексте, будем держать вас в курсе.
Комментарии (160)
EPIDEMIASH
23.12.2021 17:36+5Удивительно, что билайн до сих пор работает на старом тягомотном ПО. Как оно еще работает, удивительно. Поэтому если вы думаете почему большая очередь в Билайн, то только из-за "современного" ПО.
mikhailian
23.12.2021 18:13+2Зимина на них нет.
ymishta
23.12.2021 18:47+3И не будет больше - https://ria.ru/20211222/bilayn-1764988968.html?utm_source=yxnews&utm_medium=desktop
IgorPie
24.12.2021 23:32+1Должен лучше работать, число ядер, скорость ввода-вывода и объем ОЗУ - растут
ZnopSml
23.12.2021 17:36-13Очень сложно бороться с внутренним нарушителем, практически невозможно защитить данные, доступ к которым предоставлен сотруднику в рамках его деятельности.
princessmilana
23.12.2021 23:18+11А не нужно давать сотрудникам доступ к таким данным. Это должна быть закрытая информация с узким кругом лиц, которые имеют доступ. И в случае утечек тогда легко определить, кто же виноват.
vanxant
24.12.2021 00:27+32А зачем, простите, показывать сотруднику номер паспорта? Чтобы проверить паспорт? Так пусть сотрудник вобъёт циферки и узнает - верно вбил или нет.
gecube
24.12.2021 01:46Так Вы не просто номер паспорта даёте, а сотрудник проводит минимальную верификацию действительности (того, что документ неподдельный), а ещё в РФ есть все ещё такая дикая вещь как "прописка", без которой ты даже и шага ступить не можешь... А в Банках вообще на каждый чих снимают копию всех существенных страниц паспорта...
vanxant
24.12.2021 02:01+1"Минимальная верификация" (интересно, какая?) проводится для нового клиента.
Здесь речь про пробив уже существующих клиентов. И вот в данном случае сотрудник должен сверить имеющуюся в системе информацию с предъявленной. Для этого ему не нужен доступ к ПДн всех клиентов опсоса, ему нужна форма набора данных (а лучше сканирования паспорта прямо в облако и дальнейшего распознавания там, не только лишь все умеют фотошопить паспорта).
Прописку отменили в девяносто лохматом. И отлично без неё шагается (плавал, знаю).
То, что в банках снимают копии - ну а как иначе? Выдавать кредиты "Иван Иванычу, мамой клянусь"?
gecube
24.12.2021 07:42"Минимальная верификация" (интересно, какая?) проводится для нового клиента.
ну, хотя бы глазками посмотреть, что чувак, который пришел, похож на того, который на паспорте :-) А вообще есть чудесный сервис от МВД, который проверяет паспорта на недействительность. Но Ваш пойнт понял. Надо обмозговать.
Для этого ему не нужен доступ к ПДн всех клиентов опсоса, ему нужна форма набора данных
с этим я полностью согласен. А еще должен быть аудит лог доступа к данным (но это вроде ТРЕБОВАНИЕ по работе с ПДн)
Прописку отменили в девяносто лохматом. И отлично без неё шагается (плавал, знаю).
ну, как-то не особо шагается :-) Теоретически может попасться человек без штампика с регистрацией, но у него начинаются приключения :-) Потому что многие ИС требуют хоть какой-то адрес. Не писать же фейковый 190000, Санкт-Петербург, условный адрем почтамта?
То, что в банках снимают копии - ну а как иначе? Выдавать кредиты "Иван Иванычу, мамой клянусь"?
ну, так, наверное, на каждое юридически значимое действие с моб. номером (переоформление тарифа, запрос доп данных, и пр.) было бы тоже неплохо, чтоб потом концы найти? А то сейчас на телефон завязано все - начиная от онлайн сервисов типа гмыла и кончая госуслугами, а там если контроль потерял, то с человеком можно творить что угодно :-(
K36
24.12.2021 10:22+1Теоретически может попасться человек без штампика с регистрацией, но у него начинаются приключения :-) Потому что многие ИС требуют хоть какой-то адрес.
Адрес регистрации?
Прописка - есть постоянная регистрация.
gecube
24.12.2021 10:38+2Вы абсолютно правы, что раньше была "прописка", сейчас же это называют "постоянной регистрацией", но принципиально суть не поменялась. О чем спор-то? :-)
PEgorov
24.12.2021 15:34+1Теоретически может попасться человек без штампика с регистрацией, но у него начинаются приключения :-)
Я много лет жил с паспортом вообще без регистрации, и это не мешало мне получать заграны, водительские права, открывать счета и карты, поступать в универы, устраиваться на работу и так далее. Собственно там нет особых приключений - бОльшая часть всех проблем успешно решается фразой "окей, я вас понял, не могли бы вы предоставить мне отказ в письменном виде?"
NetBUG
24.12.2021 16:15Мне несколько мешало открывать банковские счета, но в остальном достаточно пофиг, согласен.
Сложнее всего было, наконец, купив квартиру, объяснить, что раньше варианта получить регистрацию у меня просто не было.
Alexeyslav
25.12.2021 17:30Эта тонкая грань.... дополнительный набор данных на каждого клиента образует ещё одно узкое место и увеличивает длину очередей, снижая удовлетворённость клиентов, а это с небольшим лагом сказывается на доходе компаний. Абсолютная безопасность очень дорого стоит, а реальное положение является компромиссом между стоимостью обеспечения безопасности и самой безопасностью. И почти всегда этот компромисс в сторону сокращения затрат. Пока штрафы дешевле внедрения определённых технологий, они никогда не будут задействованы.
Кроме того, любая ошибка ввода хоть на символ выдаст негативный результат, что ещё больше увеличит время уделённое клиенту, рост очередей и неудовлетворённост клиентов.
Возможно, проблему решит лишь полностью автоматизированный киоск обслуживания, как современые терминалы оплаты...
Alexeykii
24.12.2021 14:05+1Насчет прописки могу вам сказать что она существует, пожалуй, практически везде.
В Израиле и Германии лично это проходил, там прописка в классическом как она есть виде.
В США как таковой прописки нету, но при многих действиях вас попросят подтвердить адрес проживания (письма полученные по этому адресу, счета за услуги) насколько мне известно
Zalechi
24.12.2021 14:23В Италии та же тема, плюс - это работает за место переписи населения. Ты не можешь прописаться без резиденства(гражданин, внж, убежище и тд), соотвественно документы тебе выдают в префектуре коммуны по месту жительства. Гдеьты заполняешь небольшое резюме - национальность, образование еще там че...
Вот тебе и профит, все резиденты в базе и описаны без никакой дорогостоящей переписи со всеми ее проблемами. Конечно там не учесть нелегалов, но это глобалная системная проблема.
kareon
24.12.2021 23:05И самое главное, давно уже существуют полностью автоматические решения проверки и валидации паспорта. Здесь же, на Хабре, читал. По идее, должна быть система - "черный ящик", где сотруднику только доступно проверить на соответствие предъявленного бумажного паспорта записи в базе. Без возможности вбить номер или подставить фотокопию.
Zalechi
24.12.2021 02:44Читайте первый комментарий внимательно, а еще есть ниже комментарий, там более привычные методы, силовые так сказать
Zordhauer
24.12.2021 12:37+5Последнее время стал замечать, что в некоторых банках сотрудник поддержки получает доступ к данным только после того, как ты ему сообщаешь код из смс на подтверждение такого доступа.
Что мешает выдавать и логировать доступ, ограниченный по времени и по перечню доступных данных/операций, требующий подтверждения со стороны владельца данных, или хотя бы с уведомлением владельца данных о факте такого доступа?
Просто всем неохота оплачивать разработку и поддерживать все это..
tagabenz
23.12.2021 17:36+22Можно гораздо проще поступать штрафовать не сотрудников а сами компании на сотни тысяч рублей, тогда и начнут они что-то делать с этим
Plusodin Автор
23.12.2021 17:38+15вот я о том же, мне совершенно не интересно, что какого-то Петю Васечкина штрафанули или назначили ему там сколько-то часов работ. Когда оператор будет сильно финанство страдать - тогда пробив и кончится
Ubudragon
23.12.2021 17:50+13только сотни тысяч для опсосов меньше копейки.. если штрафовать то на сотни миллионов, тогда и только тогда что-то изменится.
adictive_max
23.12.2021 19:04+10Я, конечно, понимаю, что вам в праведном гневе хочется всех испепелять за малейшую провинность, но нафига? Если оператор не заинтересован сливать ваши данные, то ему и просто сообщений о нарушении достаточно, а штраф - чисто как стимул, чтобы внимание обратил. А если дело поставлено на поток, то его можно тупо количеством задавить. Если сами штрафователи займутся этим не для галочки, то ОПСОСы на одних только адвокатах потеряют в разы больше, чем с этих сливов заработают.
vyacheslavchulkin
24.12.2021 11:49+1А если оператор не заинтерисован защищать мои данные и дешевле посдаить мартышку писать отписки, то можно хоть засообщатся, придумают дежурную отписку и будут отправлять в полуавтоматическом режиме.
stalinets
23.12.2021 21:24+5Плюс полная компенсация убытков конкретного абонента, пострадавшего из-за пробива.
Layan
24.12.2021 11:56+2А как их считать? Вот, допустим, нехороший человек пробил мои данные. Какие убытки я понес? Косвенно — от очень больших до крайне малых. Как это корректно считать?
stalinets
24.12.2021 18:14+1Ну как. Взяли на меня, например, кредит. Я потратил столько-то на адвокатов, столько-то раз ходил по судам. Каждый выход в суд - это для меня потраченный впустую день, не каждый работодатель это оплатит. Далее пришлось менять паспорт, это пошлина и опять же 2-3 дня потерянных. Плюс проезд туда-сюда (такси или общ.транспорт, чеми можно сохранить). Далее умножаем это всё на 2 - это моральный ущерб. А если меня доставали коллекторы, то умножаем на 3. Я бы по справедливости считал примерно так.
Layan
24.12.2021 18:21Этот момент понятен. Как доказать что все эти кредиты, суды, замены паспорта произошли именно из-за конкретной утечки? Данные, как правило, есть у кучи компаний и вполне может быть, что произошла утечка из компаний А и Б. При этом про утечку из компании А известно, а из компании Б — нет. Но мошенники воспользовались данными из Б, а данные из А заказал ваш знакомый для каких-либо личных дел.
stalinets
25.12.2021 10:44В банках же хранятся сканы паспортов кредитуемых? Можно перед передачей паспорта для сканирования/копии делать в нём пару штрихов карандашом или пару точек, каждый раз разных, а потом дома сразу снова сканировать его и подписывать "Вид паспорта для "Рога и копыта", "Вид паспорта для "Этрусские деньги"", "Вид паспорта для %companyname%". Правда, притянуть это как доказательство в суде будет сложно. Может быть, только если заверять свои распечатанные сканы с сопроводительным письмом про пометки у нотариуса... И то вряд ли, да и кто станет так заморачиваться.
gecube
25.12.2021 14:38Можно перед передачей паспорта для сканирования/копии делать в нём пару штрихов карандашом или пару точек, каждый раз разных, а потом дома сразу снова сканировать его и подписывать "Вид паспорта для "Рога и копыта", "Вид паспорта для "Этрусские деньги"", "Вид паспорта для %companyname%".
это незаконно и является порчей документа.
stalinets
25.12.2021 22:51Лёгкий штрих карандашом, который бесследно убирается? Ерунда. Это не порча.
burz_ex
24.12.2021 14:06+1Убытки от утекших данных очень сложно доказывать. Хотя бы только штрафы от оборота ввести - уже какое-то движение к лучшему может начаться со стороны ОПСОСов.
achekalin
23.12.2021 22:38+2Так штрафуй-не штрафуй,
все равно получишь, однако штраф за косяки оператора будет в итоге взят им с тех же абонентов, так что абоненты мало того, что не получат ничего хорошего в смысле улучшения хранения ПД, так ещё и оплатят чужое раздолбайство.Было бы разумно спрашивать с кого-то принимающего решения, но в крупной организации всегда все сложно, а в итоге найдут стрелочника, который - ох и ах! - за всё и отвечает, всё и разбазаривает.
Грустно, в итоге, очень грустно, но пока "верхи" не захотят, операторы своими "низами" никак не изменят отношение. А "верхам", как кажется, особо оно и не нужно, им от этого ни холодно, ни дорого, никак в общем.
gecube
23.12.2021 23:27+4Так штрафуй-не штрафуй,
все равно получишь, однако штраф за косяки оператора будет в итоге взят им с тех же абонентов, так что абоненты мало того, что не получат ничего хорошего в смысле улучшения хранения ПД,если услуги станут дороже, но качественнее, то этот размен того стоит. Или лучше иметь дешевые услуги, но когда любой дурак может "слить" ваши данные?
DarkTiger
23.12.2021 23:46+3штраф за косяки оператора будет в итоге взят им с тех же абонентов
Это только пока штрафы не превысили некоторый порог, за которым экономически дешевле станет навести порядок. На сотне штрафов по миллиону начнут задумываться, на второй сотне - действовать. Если выбор - повысить тарифы или начать наводить порядок, не все опсосы выберут первое.
Другое дело, что суды у нас... мда...
aborouhin
23.12.2021 18:51+32Самое простое - уведомлять пользователя о том, что к его данным осуществлён доступ. Как о новых логинах во всяких сервисах, о входах на Госуслуги и пр. "Ваша карточка абонента была открыта в Рязани, если это Вы сами заходили там в салон - игнорируйте это сообщение, если нет - сообщите нашей СБ".
Только вот не сделают такого, хотя бы потому, чтобы не засветить огромное количество товарищей следователей и прочих правоохранителей, которые и в рамках выполнения своих прямых функций, и при выполнении "левых" заказов не хотят светиться с официальными запросами.
PEgorov
24.12.2021 15:36У товарищей следователей и прочих правоохранителей есть прям официальные каналы взаимодействия с опсосами, они ходят через другую дверку)
Kodim
23.12.2021 18:52+2Интересен был бы кейс пробивай у виртуальных операторов, например, и тинькове. Теоретически, у него нет отделений и операторов в офисе, но есть кол центр, также легко там пробить/перевыпустить симку? Подозреваю, что все тоже грустно. Остается только на левого человека/родственника Симки приобретать, чтобы обезопасить банковские аккаунты, к ним привязанные. Но там свои опасности.
plancorp
23.12.2021 19:26+5По мегафону, сразу видно что доступ в CRM салонный, т.е. кто то работая в салоне и именно официальный (есть фирменный салон - агент какой либо, есть мультибрендовый салон - агент какой либо). По дате себя спалили. Все логируется, кто когда куда заходил, что смотрел и т.д. Так же по камерам в салонах, можно посмотреть, что когда кто заходил и какой клиент. По шапке знатно прилетит кому то.
ifap
23.12.2021 19:26+3По итогам этого текста мы направили запросы всем четырем операторам
Хм, у Вас все основания подать заявление по признакам совершения преступлений, предусмотренных ст. (скопируйте из своего же текста) УК РФ, но… а что но?
GomboTs
23.12.2021 22:43+2И сами пойдут ответчиками-соучастниками :)
ifap
23.12.2021 22:58+4Если будет стоять задача натянуть сову на глобус любыми средствами, то максимум — за подстрекательство к, тогда еще и санкцию можно просить по верхней планке, ибо не раскаились и публично бахвалились, т.е. — с особым цинизмом. Если же смотерть на вещи трезво, то состава нет.
Kolonist
24.12.2021 00:10+1Если же смотерть на вещи трезво, то состава нет.
Вы будто забыли, в какой стране мы живем.
divanus
23.12.2021 19:27-5В Финляндии просто так сим-карту не получишь. Приходишь, оформляешь договор. Через какое-то время получаешь.
Есть конечно-же prepaid карты, но они ограничены и ими комфортно не воспользоваться. Они удобны только когда ты турист.
По сути человеку достаточно иметь на себя максимум до 5 сим-карт и принцип оформления должен быть простым: через госуслуги.
Корпоративные сим-карты: только для устройств. Если тебе нужен корпоративный тариф, то проще твой номер присоединить к корп.плану на период твоей работы, чем выдавать неименованную симку.
Пробив сим-карт в принципе в таком случае упрощается с одной стороны, с другой - предложенные автором способы защиты тоже должны применяться.
Но, как известно: строгость наших законов ... .
VEG
23.12.2021 19:38+3Есть конечно-же prepaid карты, но они ограничены и ими комфортно не воспользоваться.
И что в них ограниченного? Два года пользовался анонимной prepaid, купленной в магазине, никаких ограничений не заметил. Только для роуминга тарифы не очень, а внутри страны полный анлим. Исключительно из-за лучших условий для роуминга в итоге оформил симку по паспорту.divanus
23.12.2021 19:55Например сауналахти, которой всегда пользуюсь с неудобным интернет-тарифом и невозможностью роуминга , когда возвращаешься в РФ.
BkmzSpb
24.12.2021 11:57Роуминг в РФ давно уже работает (но конечно безумно дорогой), по самой Финляндии интернет стоит каких-то смешных денег, что-то типа 19.99 €/kk за 50 мбит/с безлимитный 4G с нормальным покрытием. После упрощения роуминга внутри ЕС, в соседних скандинавских странах стало нормально, да и по европе можно передвигаться и пользоваться интернетом.
Loggus66
23.12.2021 21:15-1Например, я живу в Москве, а пробив был осуществлен в Рязани.
Очевидно, что пробивщик будет регионально координировать запросы по своим агентам, чтобы они дольше просидели на своих местах, не вызывая подозрений.
Да даже если моей симки нет в соте салона, это уже повод для службы безопасности позвонить мне и спросить, запрашиваю ли я информацию по собственному номеру.
То есть в течение десяти минут данные должны прийти с соты не только на биллинг, но и в отдел безопасности, а операторы - обработать звонок? Мне кажется, это дорого. Просто безусловный робозвонок при запросе с такого ПО проще, но как оно бьётся с бизнес-процессами - непонятно, может, оно всех задолбает.
Опять же, если оператора салона начинает интересовать куча людей из разных регионов, разве это не повод задуматься?
Повод, но постфактум всё равно.
Если они будут выводиться частями и с персональным паролем, например, показывается адрес — исчезает ФИО и т.д.,
В связи с этим меня интересует назначение зелёного таймера на одном из скриншотов.
ErnestMiller
23.12.2021 21:47+24Если бы не было привязки телефона к паспорту, то не было бы и проблемы. Эта привязка не защищает никого ни от мошенников, ни от других преступников, а лишь дает государственным органам дополнительный контроль над гражданами, которым успешно пользуются опять всё те же преступники.
PEgorov
24.12.2021 15:38Да, этой проблемы бы не было, но была бы другая. Я как-то проходил увлекательный квест на тему "человек пользуется этой симкой 20 лет, но внезапно узнал, что она фактически была оформлена на эйчара с его работы, который ему ее 20 лет назад и выдал". Такое, знаете ли.
WiZzor
23.12.2021 22:11+11Давно в 90х я получал свой первый сертификат по информационной безопасности. И тогда в нас вбивали правило - надежность защиты определяется 3мя элементами - кадрами,нормативной базой и техническими средствами. Прочность этой цепочки определяется прочностью самого слабого из 3х звеньев.
Глупо надеяться на программное обеспечение, если за компами сидят, грубо говоря, люди с улицы. Тем более если разграничение доступа к информации для этих людей проектировал тоже человек с улицы.
Как то в последнее время роль технических средств защиты незаслуженно выпячивается. Всего 50 лет назад информацию умели и предоставить тому, кому надо и не давать тем, кому не надо. И четко себе представляли что, кому и как. Без электронных подписей, vpn или навороченныхфайрволлов.
DarkTiger
24.12.2021 00:04+5Тоже 90-е, ВМК МГУ. Курс по инфобезу читает капитан Службы внешней разведки. Помню формулировку "Смысл защиты любого канала потенциальной утечки информации состоит в том, чтобы ее было дешевле (быстрее, безопаснее) украсть по другому каналу"
Если последствия утечки информации ничего не стоит для опсосов, как в финасовой, так и в репутационной части, никто из них и не станет вкладываться в ее защиту. Экономика, ничего личного
semmaxim
24.12.2021 09:24Эм. Мне действительно интересно. Ну вот сделаем нормально техническую часть для обычной услуги - проверить, принадлежит ли паспорт телефону. Для этого не будем выдавать эти данные на экран, а потребуем их ввести, а на экран выдадим только "да" или "нет". Чисто техническое средство. И как такой вариант можно взломать даже если кадры или нормативная база самое-самое дно?
WiZzor
24.12.2021 14:29+2Когда кадры и регламенты самое дно, то ломать ничего не надо. Надо просто купить у админа архив базы данных. Что в уже дважды упомянотые 90е Савеловский рынок и демонстрировал. Там постоянно продавались cd диски с актуальными базами телефонов, паспортов, автомобилей и тд. Забавно, что среди этих баз данных были и базы некоего опсоса. Забавно, потому что для этого опсоса в то время проект КСИБ разработали вполне себе грамотные и опытные люди. Я с ними в Информзащите сталкивался. И это был хороший проект. Но вот проект был, а информационной безопасности не было. Потому что был конвейер - устраивается очередная девочка,тащит пиратам ленты с резервной копией , получает 3 своих годовых зарплаты. Ее выгоняют и ждут следующую девочку. А проект КСИБ лежит на полке свидетельством для проверяющих того, что компания меры по защите предпринимает.
woooody
26.12.2021 00:39Паспорт меняется в 20 и 45 лет. Или чаще, в случае утери. Нового номера паспорта в базе нет, стало быть система ничего выдать не сможет.
gecube
26.12.2021 00:56Или чаще, в случае утери.
Не только. Я лично менял в связи с "изменением внешности". Можно ещё в связи с порчей. И наверняка - в случае изменения титульных данных (ФИО, дата рождения и пр)
Graph-in
23.12.2021 22:21+5В шоке от Мегафона.
1) Сотрудник салона идентифицировал меня как клиента на основании устного сообщения номера паспорта, без предъявления самого паспорта! После чего был готов внести любые изменения в базу относительно меня, вплоть до смены кодового слова.
2) Но при этом отказался принять заявление о запрете перевыпуска симки по довеоенности. При этом позвонил в Москву, в головной Мегафон, и там ему якобы сказали, что именно для моего региона нет для этого "тезнической возможности".
Получается, что Мегафон - очень дырявый оператор, исподьзовать который для мобильного банкинга опасно (((
Nick252
24.12.2021 01:09+1У операторов дырявые процессы. Да, госорганы иногда приходят к операторам, но что мешает передавать данные госорганам через отдельную программу/отдел с более жёсткими требованиями безопасности? Что мешает о каждом запросе данных не от госорганов присылать СМС? Почему нельзя верефицировать человека хотя бы по сим-карте в автоматическом режиме, ведь в телефонах есть SIM меню, в котором есть диалоги. Телефон мог бы запросить "Подтвердите, что вы сейчас находитесь в салоне и запрашиваете информацию" Также, можно геолокацию по симке проверить и исключить те салоны, которые сливают данные в другой области.
JerleShannara
24.12.2021 01:22+2Была такая штука, как техосмотр транспортных средств. И что когда она была у органов, что у частников — особой проблемы «удалённого техосмотра через вышку 6G» не возникало.
Alexufo
24.12.2021 01:31что мешает передавать данные госорганам через отдельную программу/отдел с более жёсткими требованиями безопасности?
Какая разница как выдавать сведения, если вы обязаны это делать по закону?«Подтвердите, что вы сейчас находитесь в салоне и запрашиваете информацию»
А то что?) Это невозможно реализовать, система все равно импотентна, вычислить мента торгующего в телеге можно с 5 пробивок меченных людей, сейчас это все можно делать и так. Это никого не волнует.
Zalechi
24.12.2021 02:54+1Вы все сконцентрировались на утечках из салонов. Не забывайте, что есть саппорт, есть бэкофис, есть менеджеры среднего звена. Что Вы так к продажникам прицепились?..
Yoooriii
24.12.2021 01:19+6Как правило, тут огромная дырка в ИТ и разграничении доступа. Не должен рядовой сотрудник видеть всю базу данных. Однако, когда-то я работал в ИТ отделе одного банка. Как ни странно, стоило мне залогиниться в локальной системе, я получал полный доступ к базе данных и мог скачать данные на любого клиента банка. Хорошо хоть редактировать эти записи я не мог. Точнее мог, но ограниченно, например свою жену я ради прикола оформил как свою сестру. Больше ничего интересного сделать не получилось, но всё равно дыра в безопасности существует до сих пор.
Alexufo
24.12.2021 01:20+3Так Христо сказал же что рынок пробива вырос после того как отравителей ФСБ шников пробили. Именно потому что куча новых сотрудников узнали, что так можно бабло делать. Просто проверяют лучше, не фсб шинков ли через них пробивают и все.
Именно потому на фото не замазаны фио сотрудников, кто делал фотку экрана. Потому что они выполняли свои рабочие обязанности — выдавать сведения органам.
Поймать своего сотрудника, который торгует персональными данными не так сложно, представившись очередным клиентом сотрудник берётся с поличным, а так сам себя ловить не будешь))serejk
24.12.2021 02:49+2Вот я подумал об этом же. Что с точки зрения оператора ничего незаконного не произошло. Возможно, даже фотал не сотрудник офиса сотовой связи.
Zalechi
24.12.2021 03:00+1Именно потому на фото не замазаны фио сотрудников, кто делал фотку экрана. Потому что они выполняли свои рабочие обязанности — выдавать сведения органам.
Кстати интересно замечание. Там даже может быть еще прозрачнее - коллега звонит другому, мол на обеде и просит скинуть данные по абоненту, мол ему срочно надо, тот звонит на личный, важные вопросы решают.
Либо просто в сговоре работают. А может и менты...
Alexufo
24.12.2021 03:03любой сговор компания вычислят у себя сама моментально. Пробиваешь анонимно помеченного, смотришь логи, чья тачка делал запорос — все, поймали рыбку.
Zalechi
24.12.2021 03:08Они могли выполнять свою рабочую обязанность не менту, а коллеге - пишу я. И я описал, что не обязательно сговор. То есть варика три: сговор коллег, использование коллеги, сговор с ментами. Если не запутанней...
Alexufo
24.12.2021 03:11все что кроме мента вычислит служба безопасности, даже вычислит ситуацию с ментом — только это как раз и не запрещено.
Zalechi
24.12.2021 08:48Можете повторять свою мантру сколько угодно, только в теле2 СБ
просит больше,хоть и справляется лучше, но результат тот же.Может вы работайте в этих структурах, знайте ситуацию и поэтому так уперлись, но я от своих версий не откажусь, ибо это разумно - иметь их несколько, вы можете ошибаться, ест примеры, когда наркотрафик в стране держут не только лишь одни оборотни в погонях или сотрудники спец/служб.
Alexufo
24.12.2021 11:32не, ну я понимаю, что нельзя приставить службу безопасности к службе безопасности) И что там у них, что продают этого я знать не могу))
Zalechi
24.12.2021 11:41С другой стороны на золотых рудниках, на предприятиях которые цру там всякие(как в фильме про Сноудена), думайте там не порешили эти вопросы? Я уверен, что там все это продумано. А после Сноудена еще усилино(то есть залатано).
vedenin1980
24.12.2021 16:14+1коллега звонит другому, мол на обеде и просит скинуть данные по абоненту, мол ему срочно надо
Менеджерам достаточно довести до всех, что в этом случае будут уволены немедленно оба и тот кто попросил и тот кто скинул. Особенно, если сделали это за пределами корпоративной почты/корпоративных мессенджеров.Zalechi
24.12.2021 16:23Не спорю - выдумал на ходу. Но сами знайте, русскую смекалку и еврейскую предприимчивость никто не отменял...
Zalechi
24.12.2021 02:40Что я прпредлагаю...
отключить PrintScreen и запретить средства фото-видео фиксации, - пусть на промокашки записывают, как в ХХ веке. А да, еще камеры над головой поставить и нейросети, чтобы следили и алертили медераторам(службе безопасности), если заметят подозрительные действия. Так шо никаких смартфонов на рабочем месте, и автоматная вышка над головой. Ну и з/п поднять, за работу в таких условиях.
CrazyDemon
24.12.2021 14:09+1Ну тогда просто увеличится цепочка получающих мзду, и соответственно ценник за услугу лишь вырастет...
Всегда будут люди, которым нужна информация, и те, кто готовы её предоставить.Zalechi
24.12.2021 14:16+1Ну это как средства by-default, а в остальном - высокие оборотные штрафы компаниям.
CrazyDemon
24.12.2021 14:24Пока существует "человеческий фактор" - ничего не изменится. Никакие штрафы не помогут. В китае смертная казнь, но всё равно "желающих" купить пулю за свой счёт достаточно.
Zalechi
24.12.2021 14:30-2Минимизировать можно. Тут важно понимать культурный контекст. В Европах и США нет таких проблем, на таком уровне... Думаю...
CrazyDemon
24.12.2021 15:03+1Ну, да, там кремень, не люди, работают за идею... а мы тут так, дикари-с, за жалкие бумажки :=)
Zalechi
24.12.2021 15:16Может я не в теме, но особо не вижу скандалов такого рода с тех берегов. Связываю это с культурным кодом.
С другой стороны выше упоминали Китай, но забыли про Сингапур стрельнуть. Что подтверждает тезис о культурном коде, ток методы его достижения бывают разные.
А в остальном - да! Западная расса убогая, а наша: " Великая ". При чем не все славяне, а только те шо из под Новгорода и ее потомки. А те шо смоляки да западенцы - те продались Маре.. Я правильно Вам понимаю?
PS: ток они забывают, что восточные славяне пришли с запада во времена великого переселения народов(IV-VI века нашей эры) и у нам по дефолту заложены глубокие связи, как с германцами так и собственно поляками и остальными. Поэтому жалко видеть этих неонацистов латентных, которые как лошадь видят только прямо. /прости за отступление/, если Вы об этом?...
CrazyDemon
24.12.2021 15:25Вообще-то я с Дальнего Востока. А тут у нас в своё время понамешалось всякой крови.
В общем я хотел сказать, что нет плохих народов, есть плохие люди.
А наша Великая (без всяких каввычек) - так я тут живу и как-то другой Родины у меня нет. Хотя за мою жизь она название поменяла. Кому не нравится, так щас не то время, чтобы силком держали, да и в СССР кто хотел, тот уезжал...
Zalechi
24.12.2021 15:41Так и это нормально. Я сам: русский белорус, украинец с одной стороны м молдован с другой стороны, котрый родился и являеется резидентом Молдавии. То есть смесь гремучая п бате а по маме, вплоть до римлян можно искать, которе завоевали Фракию(Гето-Дакию) в 103-106 году нашей эры. Если честно я этим пользуюсь - считаю себя гражданином Земли, как ментально, так и генетически.
А в остальном, - хорошо, чо Вы уточнили, бо я начал не в ту степь копать.
Я понимаю, что вы зацепились за то чт я всех под одну гребенку, но блин - это факт! Я сам себя ощущаю крепким русским, бо культурно и генетически пронизан этим кодом, но я не могу отрицать того, что в нашей культуре повальное бухалово(но с этмм кстати уже есть подвижки), тотальная коррупция, невежкство на местах. Притэтом мы "душевные", у нас богатый языковой пласт, мозги есть. Нехватает малого - причесать это все, минимизировать проявление безеудьтурия на дорогах, в политике, и тд. Кстати, не сказать что амеры сильно оттнас отличаются, так же бухают, так же есть бомжи, так же имеют огронмый культурный-языковой пласт, но блин, - нет у них коррупции в больницах, на дорогах. Если звежа гооливуда забухала щв рулем и спалилась - гоу исправляться! А у нас... Сами Знайте....корупуия есть везде. Но блин, пора ее с низов выключать. А у нас не с низов ее не выключает, ни с верхов. А все эти показные расстрелы губернаторов - это пщик. Убирают не угодных, проивнившихся перед властью чиновников, не перед народом проивнившихся. Схема стара как мир: собирают досье на человечка, позволяя ему воровать, а в нужный момент опа - досье отправляется в суд, и профит в пропаганду..
И все эти схемы напрямую связаны с темой которая заявлена в статье, и с культурным кодом. Надо немного вырасти.
theurs
24.12.2021 02:48Удалось получить детализацию разговоров, геолокацию итп? То что паспорта доступны работникам в салонах и так понятно было и то что Муртазин звездобол 80лвла тоже.
pima
24.12.2021 04:55Пришел человек на работу устраиваться завхозом.
Ему показывают склад:
Здесь у нас гвозди, здесь молотки лежат и т.д... только зарплата не очень большоая
Как! Здесь еще и зарплату платят?
dm_deko
24.12.2021 11:10+2И да не замиинусует меня хабр всемогущий!
Мне вот больше всего интересно: от всех этих бурлений хоть какой-то след аромата до опсосов долетает?
Или на Хабре только их вбросы рекламные возможны?! (задумался...)))
grvelvet
24.12.2021 12:45+1Вот и я об этом подумал, тут же есть их представители, ау, ответьте нам, да не по своей методичке "Ответы пользователям в соцсетях"
Zalechi
24.12.2021 14:27Оно и доходит и все всё прекрасно понимают, но комплектность проблемы ее устранения огромна: неповоротность компаний, высокая бюрократия, слабость наказания, ментальность...
Plovchik
24.12.2021 12:35+3У крупных операторов связи есть логи в которых указывается кто зашел в карточку абонента и когда зашел. Принимаются меры со стороны Компании о пресечении подобного. Есть отработанные механизмы обнаружения. Есть отдельная команда которая переодически заглядывает с проверкой.
Основная проблема, как мне кажется, это человеский фактор. Сливают данные рядовые сотрудники - операторы колл центра, или операторы на подключениях с самой низкой зарплатой в компании и самой большой текучкой. Руководители этим заниматься не будут, так как понимают все риски. Бизнесу проще уволить любопытного наглеца шпиона и нанять на его место нового, чем платить наглецу кучу денег чтобы он усмерил свое любопытство не лазить в карточки абонентов.
kogemrka
24.12.2021 16:16Основная проблема, как мне кажется, это человеский фактор.
А где здесь человеческий фактор?
Простите, если у вас, допустим,в банке, есть позиция "уборщицы", с текучкой кадров в духе "нанимаем с улицы, никаких проверок, сотрудники меняются каждые две недели" и банк этой уборщице выдаёт ключи от абсолютно никак не контроллируемого деньгохранилища - то, что каждый второй уборщик попытается положить в карман денег и скрыться - это не "человеческий фактор".
Demanih
24.12.2021 12:45-1Понимаю, что сейчас нахватаю кучу минусов, но не могу не написать ещё один метод (так как автор спрашивал про все возможные идеи) борьбы с данным злом, это борьба с дарквеб (только через который и удалось осуществить(найти и оплатить) данный пробив из-за его анонимности). Да, эта тема здесь(на хабре/в интернете) непопулярная, но, к сожалению (сам не рад), многое решающая (и не только по поднятой выше теме но и многим другим криминальным темам).
dead_undead
24.12.2021 17:10Если есть средство связи, надо ли бороться со средством связи, или все таки с теми кто его использует в нелегальных целях и пойман с поличным?
Пускай siloviki работают, внедряются, а то они только запрещать горазды (причем я не только про наших, в германии слышал собираются бодаться с телеграмом). Хотят как им попроще. А не должно быть им проще, их работа связана с ограничением и нарушеним прав граждан, и поэтому осложнена должна быть максимально.gecube
24.12.2021 17:35И не только осложнена, а скорее организована так, чтобы была прозрачной и не допускала возможности превышения полномочий. Или они могли быть легко определены и расследованы.
andry67
24.12.2021 14:29На территории Российской Федерации гарантируется...
А кто является гарантом? Государство или ООО ОПСоС?
hungry_forester
24.12.2021 15:49Закон о персональных данных написан так, что сохранность (в обывательском понимании) данных не гарантируется ничем. Оператор персональных данных обязан принять меры к защите данных, а какие меры и какие угрозы - это он всё определяет сам. Выработал меры и внедрил - всё, выполнил. Больше ничего не должен и ничего не нарушил.
Закон странный, но он такой есть.
Так что за все хорошее против всего плохого биться дело благое, но если вас интересует ваша безопасность, вам ее никто обеспечивать не должен, обеспечивайте сами :(
WiZzor
24.12.2021 16:32Не совсем так. Контролирующий орган за соблюдением этого закона - Роскомнадзор. И у Роскомнадзора есть и требования и рекомендации по соблюдению закона. И ФСТЭК в их выработке поучаствовал. Угроза жалобы в Роскомнадзор знающих и понимающих свою ответственность людей напрягает серьезно.
Но тут такое: одни плохо знают свои права и не жалуются, другие плохо знают свои обязанности и их не исполняют, третьи стоят перед необходимостью остановить бизнес у 90% предприятий страны и пока просто ругаются и штрафуют... как обычно, вообщем.
iMoHax
24.12.2021 18:33Так все же давно придумано, нужно также как с паролями поступить, не выводить на экран, а проверять введеные паспортные данные с хешем. Да, это замедлит обслуживание, но можно и распознование прикрутить, чтобы вручную операторы не вводили.
SignallerK
24.12.2021 22:25+110 лет назад, в операторе где я работал, какой-то чувак написал прогу, которая окрывала карточки абонентов по порядку и скринила данные. Вообщем он успел стянуть не мало данных, пока СБ не просекла.
А тут походу скрин на телефон, обмельчали мошенники.
korsarer
24.12.2021 22:33-1Полностью такой пробив не пропадёт. Он как минимум необходим для спецслужб - чтобы выявлять потенциальные теракты, угрозы нарушения закона и пресекать преступную деятельность. Вы бы стали защищать персональные данные преступника если от этого зависит жизнь сотен людей? Нет конечно, тут важна расстановка приоритетов. А вот то, что любой может за деньги купить такой пробив - это конечно плохо. Нужно исключать человеческий фактор. Вместо консультантов в салонах связи ставить роботов.
EnterSandman
Каждый раз когда я вижу статьи о пробиве, пишу.
Пишу о том что операторы давно могли бы вести лог обращений к карточке клиента и тем самым постфактум выяснять кто гуляет не там где нужно.
Или также приходить на борды и заказывать пробив: заказал пробив, смотришь кто получал данные по номеру, как минимум увольняешь.
Но реакции никакой. Так половину страны пересажать можно, а кто-то же должен говорить "но постойте, я же делаю вам выгодное предложение"
Мне пару лет назад в одном салоне связи выдали дубликат моей же симки без предъявления каких-либо документов. Оператор даже не соизволил ответить ничего по ситуации. Зачем проводить служебную проверку?
sergeyns
Я вот уверен что такой лог там есть.. В любой боле-менее промышленной системе, например, документооборота, с которыми я сталкивался, есть аудит работы в системе. Иногда его не включают, ибо жрет места больше чем сами данные.. Но он есть. И, надеюсь, что системы для операторов писали не совсем студенты... Так что скорее всего самим операторам это почему то выгодно.. Точно так же как и возможность покончить с воровством телефонов, блокируя их по IMEI... (и не надо про серые с одинаковыми номерами.. заодно и с ними бы покончили, и дополнительные N баксов на перепрошивку очень сильно уменьшат выгоду такой деятельности..)
ogost
В древнем китайском биллинге от ZTE, с которым я работал, был такой аудит, но вы верно заметили - места занимало дохрена, поэтому его даже не включали. В другом, намного более молодом биллинге от Uangel (эта такая корейская контора) такой системы аудита в помине не было.
NNikolay
Но если СБ работает, то нужно хранить последние пару месяцев только. Если государство штрафанёт разок, то операторы быстро наладят такой процесс. Это реально не сложно.
basilbasilbasil
а откуда размер?
IDсотрудника:время?
Magratena
+таблица(ы), +строка(и) Много набегает. Сотрудник может в течении дня десяток клиентов обслужить (поэтому строка). А руководитель или маркетинг могут сделать отчёт по тысячам клиентов (поэтому таблицы). Ну и это навскидку. От того как система сделана зависит. Даже с оптимизациями в масштабах страны много выходит
ArjLover
У меня в Чехии при походе в офис Водафона система требует у сотрудника спросить у меня 2 случайные цифры от пин-кода входа в мой личный кабинет и только при правильном ответе открывает ему мой профиль. Просто и изящно. Ну точнее мне приходится несколько напрячь мозги чтобы сказать 2-ую и 5-ую, но это некритично. Или как вариант код из смс - тоже популярно во многих банках, но там стали переходить на простой апрув в одно касание в мобильном приложении.
Alexeyslav
Большинство типичных пользователей не помнят пин-коды и вообще не заводили себе личный кабинет.
И ещё одна типичная ситуация: в салон приходят для замены нерабочей сим-карты... ну сдохла она в момент, или поломали при пересадке на другой телефон. Куда СМС принимать?
Карточки с PUK-кодом от симки тоже валяются гдето далеко в грудах других ненужных вещей, если вообще не выкинуты.
pansa
Из чего можно сделать вывод, что пин код у Водафона хранится в "открытом" виде, т.е не хэш. Норм, чо.
Cerberuser
Не обязательно. Была тут в начале декабря статья, в которой, в числе прочего, разбирались и варианты, как можно реализовать частичные пароли без открытого хранения.
Meklon
Все это есть. Находят и регулярно отстреливают. Там текучка кадров большая, все время новые идиоты.
Ru6aKa
В многих современных биллингах для того чтобы получить доступ к учетке надо ввести какие-то данные которые назовет абонент при обращении, типа дата рождения, примерно сколько на балансе или последний номер по которому звонил, вообщем набор из 2-3 несложных фактов, которые есть в системе, но недоступны оператору. Пробивальщику просто физически не забрутфорсить эту систему. Да даже банальной проверки "девечья фамилия матери" хватает чтобы прекратить нежелательный доступ к данным.
zuek
Ой, я дважды свою МТСовскую симку перевыпускал без паспорта - просто называл номер и ФИО. Билайн - очень любят сканировать паспорт при каждом визите (что, вообще-то, незаконно), без паспорта даже не начинают разговор, правда я к ним уже года два не заходил. Мегафон - очень похожи на Билайн, но от года к году отношение меняется - как-то выдали новую симку без предъявления паспорта, но последнее время паспорт требуют, и в большинстве случаев сканируют.
У Теле2 даже близко такого не встречал - паспорт требуют всегда, но при мне ни разу не сканировали.
gecube
почему это? Можно увидеть какую-то внятную аргументацию незаконности этого требования, с перечнем федеральных законов, подзаконных актов и пр.?
Zalechi
Во всем мире сканируют, - на каждый чих..
Uint32
Для начала - паспорт содержит фотографию владельца, позволяющую его идентифицировать - т.е. персональные биометрические данные. Сбор, хранение, обработка персональных биометрических данных только с письменного согласия субъекта. См 152 ФЗ
В отличии от многих прочих, ПАО "Вымпел-Коммуникации" зарегестрировано в качестве оператора биометрии - см. реестр, но это скорее исключение, а прочих разных вообще следует гнать тряпками при попытках затребовать фото с паспортом или скана паспорта, имхо.
Zalechi
Визуально проверит паспорт и сравнить с тем кто его презентует можно, а вот сканы Вы предоставляете в рамках двухстороннего договора об услуге которуб покупайте. А то что у Вымпела там, это скорей всего про электроный документо-оборот, эмиссию подписей и тд.. Я прав, или ошибаюсь?
gecube
Во-первых, фотография != персональная биометрия
Во-вторых, Вы уже дали согласие в момент заключения договора /там обычно допник идет об обработке ПДн/. Тонкий лед - старые клиенты, которые давно не приходили в салон, и которые не давали согласие, но наверняка это решаемо какой-нибудь строкой мелким шрифтом в договоре.
В третьих, Вы так и не ответили на вопрос
gerdoe
Решается своевременной потерей договора на стороне оператора. ;)
JerleShannara
Исправляется клиентом, который свой договор не пролюбил.
Uint32
А вот роскомнадзор считает что именно ==. См разъяснения,
где он пишет что ...
В то же время, необходимо принимать во внимание цель, которую преследует оператор при осуществлении действий, связанных с обработкой персональных данных, в том числе фотографического изображения, содержащихся в паспорте.
В случае, если они используются оператором для установления личности субъекта персональных данных (в том числе в случае проведения такой процедуры представителями операторов, имеющими полномочия на установление личности владельца паспорта), то данная обработка должна осуществляться в строгом соответствии со ст. 11 Федерального закона "О персональных данных".
Ну так отзовите биометрию, если дали
gecube
Извините, там, как обычно, принято в РФ, написано через одно место.
ну, и интересный пункт из той же ссылки. Так что Вы не совсем правы
чего-то Вы аггрессивный. У меня проблем нет. Просто обсуждаем, что все через Жо
Uint32
Думаю, в салоне Вас всё-таки идентифицировали. Так что это не тот случай.
Вы чёт путаете
K36
Странно, что не предлагают самое действенное решение - не привязывать симки к паспортным данным.
gecube
это тупо. Как потом доказывать, что ты владелец номера, в случае, если ты потерял симку, например, и подтвердить смской уже владение не можешь?
K36
А как это решают в тех странах, где не привязывают симку к паспорту?
Раньше в Украине так было, как сейчас, не знаю.
gecube
Я откуда знаю. Я так предполагаю, что если ты купил SIM'ку prepaid (без удостоверения личности, без договора, без нифига), попользовался ей, а потом потерял, то все - номер не восстановить. Ну, и пофиг. Но представьте себе ситуацию, когда телеграм, госуслуги и все прочее привязываются к номеру телефона, то потеря контроля над SIM - это прям беда-беда. Но это, конечно, проблема абонента...
В случае покупки по ID документу - проблем нет, берешь и восстанавливаешь номер.
Kroid
А может быть, просто не стоит "телеграм, госуслуги и все прочее" привязывать к номеру телефона?
gecube
@Kroid
А куда? Куча сервисов нынче активно пытаются привязаться к телефону. А еще активно навязывают т.н. 2FA через СМС... Часто уже и отказаться нельзя
@Babayka_od
теоретически Вы могли выкинуть упаковку и тогда какой-то левый чувак мог восстановить.
tmin10
Как раньше, к логину и паролю, вторым фактором временный код из приложения. Или к FIDO2 токенам, для продвинутых.
Babayka_od
Я когда потерял симку, то принёс в салон упаковку от симкарты, где был написан номер и штрих-код, и сказал куда в последнее время звонил и на сколько пополнял счёт. Это было в Украине
K0styan
До обязательной регистрации паспортных данных в России ровно так же было - во всяком случае с мегафоновскими Лайтами и МТС-овскими Джинсами.
tag8n9
Помню, работал очень давно в салоне МТС. Каждый второй клиент без паспорта или с сим-картой, зарегистрированной на другое лицо, обещал мне "пробить с ноги" или "устроить проблемы".
Zalechi
Убогие. Пока нет культуры в низах СБ и вынуждены строить "клетки безопаноти".
DesertEagle
Лог там есть. Время и учетка того, кто совершал операцию с данными (открывал, подключал, отключал, блокировал и тд). И даже больше: чтобы получить доступ к такой системе, нужно сдать определённый экзамен на предмет пользования этой системой. Все упирается в то, что СБ тупо нет дела до этих вещей, так как если бы хотели воздействовать - могли бы.
alex_kott
Дело не в том, что СБ до этого нет дела. Тут основная проблема с потенциальными тратами, ведь эти логи нужно а) анализировать; б) принимать меры на основании анализа этих логов, причём принимать меры требуется зачастую в оффлайне. Представьте это какой штат у СБ должен быть, чтобы контроллить персонал всех салонов связи по стране? И пока ты будешь разбираться с одним, то сотни продаванов из удалённых городов будут сливать данные.
Я, если что, не оправдываю опсосов, просто обосновываю почему с этим явлением так слабо борятся. Это банально дорого, гораздо дешевле в случае чего штраф заплатить.
AndreyAf
в софте на страницах с персональными данными нужно предусмотреть скрытый код сотрудника кто эту инфу просматривает. где он будет и под что закодирован уже дело десятое...
ArjLover
del