В начале этого года я делал небольшой обзор цен черного рынка на российские персональные данные, и вот пришло время его обновить и дополнить. Заодно посмотрим, изменились ли цены и предложение на «рынке».
Следует учитывать, что анализ услуг и цен на них делался по объявлениям на различного рода андеграундных форумах и площадках в Dark Web. Я не могу гарантировать подлинность предложений третьих лиц по любой отдельно взятой компании или банку.
- Базы данных (формат MS Excel) по всем регионам России. Содержат: ФИО, пол, телефон, полные паспортные данные (серия, номер, кем и когда выдан), СНИЛС, адрес регистрации и проживания. Данные за 2017-2018 г. Цена: 20-25 копеек за одну запись.
Такие базы используются в основном для спама и разного рода мелкого мошенничества.
По сравнению с началом года цены не изменились.
- Фотография паспорта и фотография владельца паспорта с паспортом в руках: от 150 рублей за комплект.
- Комплект из сканов паспорта, СНИЛС, водительского удостоверения и ИНН: от 300 рублей.
По фотографиям и сканам документов замечено снижение цен (примерно на 25%) и существенный рост предложения.
- Дебетовые карты российских банков (Сбербанк, Тинькофф, Альфа банк): от 5000 до 12000 рублей за карту. К карте прилагается договор (оформлен на третье лицо), скан паспорта владельца счета, ПИН код, привязанная SIM-карта, кодовое слово, логин и пароль для интернет-банка.
Тут видно существенное подорожание «услуги». Цены выросли более чем в 2 раза. Стоит отметить, что выбор банков также вырос, теперь можно заказать карточки на «левых» людей, выпущенные гораздо большим числом банков.
Отдельно хочу выделить целый сектор черного рынка персональных данных — так называемый «пробив». В прошлый обзор этот сегмент рынка «услуг» не попал, однако я его отслеживал и могу видеть динамику изменения цен.
Начнем с сотовых операторов.
- Билайн. Детализация звонков и СМС абонента за месяц – от 2000 рублей.
- Билайн. Определение местоположения абонентов в реальном времени – от 3000 до 4000 рублей за одно определение.
За неполный год цены выросли примерно на 25%
- МТС. Детализация звонков и СМС абонента за месяц – от 15000 до 20000 рублей.
- МТС. Определение местоположения абонентов в реальном времени – от 10000 рублей за одно определение.
Тут цены выросли более чем на 50%.
- Мегафон. Детализация звонков и СМС абонента за месяц – от 10000 рублей.
- Мегафон. Определение местоположения абонентов в реальном времени – от 10000 рублей за одно определение.
Цены практически не изменились.
- Теле 2. Детализация звонков и СМС абонента за месяц – от 5000 рублей.
Здесь по рынку видно резкое увеличение цен за год – почти в 5 раз.
Из интересных «услуг» на рынке мобильного «пробива», я бы отметил поиск пяти ближайших телефонов к указанному абоненту. За это просят от 90000 рублей.
Теперь посмотрим, как обстоит дело с банковским «пробивом».
- Тинькофф Банк и Сбербанк. Выписка по счету/карте физлица. За месяц — от 1500 рублей, за полгода — от 7500 рублей.
- Альфа Банк. Выписка по счету/карте физлица. За месяц — от 2000 рублей, за полгода — от 8500 рублей.
- Почта Банк, Банк Авангард, Русский стандарт. Выписка по счету/карте физлица за месяц – от 2000 рублей.
- Уралсиб. Выписка по счету/карте физлица за месяц – от 8000 рублей.
На «рынке» банковского «пробива» очень мало реальных продавцов и много посредников, при этом цены у посредников могут быть в 4 раза выше. Информация о ценах и банках быстро теряет свою актуальность. Также заметен существенный рост цен (более чем на 50% за год). Доступность той или иной «услуги» может зависеть от региона РФ. По некоторым банкам вообще нет предложений.
Отдельной категорией идет «пробив» по государственным базам данных. Сравнения с ценами начала года, к сожалению, не получится, т.к. я тогда не делал выборку по этим «услугам».
- ГИБДД (штрафы, автотранспорт в собственности, водительское удостоверение и т.п.) – от 1500 рублей за запись.
- Система «Розыск-Магистраль» (передвижения на самолётах, поездах, автобусах, паромах) – от 2000 рублей за запись.
- Доступ к московским камерам видеонаблюдения системы «Безопасный город» — от 5000 рублей.
Какие выводы можно сделать?
Во-первых, предложений на черном рынке не только не стало меньше, напротив, их количество зримо увеличилось. Возможно, возросло число перепродавцов одних и тех же данных, но дефицита в предложениях точно нет.
Во-вторых, цены почти на всё выросли. Особенно заметен рост цен на т.н. банковский «пробив». Можно предположить, что банки активно (но некоторые из них пока безуспешно) пытаются бороться с этим явлением, что вызывает рост цен.
В-третьих, судя по количеству предложений, низким ценам и спектру «услуг», с безопасностью пользовательских данных у некоторых мобильных операторов все совсем плохо. Именно в этом сегменте самый широкий выбор и продавцов, и данных (от всевозможных выписок до постоянного отслеживания геолокации абонента). «Конкуренцию» этим операторам могут составить разве что госорганы – здесь цены не высокие, зато выбор богатый.
На этом «рынке» изменения цен вызваны уходом или наоборот приходом новых поставщиков данных. Например, прикрыли нескольких инсайдеров из банков – цены на персональные данные клиентов подрастают. Появились новые – цены чуть уменьшаются.
Кроме того, влияет текущий уровень риска для поставщиков данных. Борьбу с ними ведут и правоохранители, и службы безопасности банков или операторов связи. И, например, если недавно провели спецоперацию против «пробивок» или массовых сливов данных, то цены подрастают.
Регулярные новости про отдельные случаи утечек данных, оперативно публикуются на канале Утечки информации.
Комментарии (145)
scifinder
26.11.2018 09:49А что делать, если, предположим, в таких базах есть мои реальные данные, и кто-то взял ипотеку на моё имя или купил карту банка со всем «довеском»? Ведь не докажешь потом, что ты не верблюд. Есть какие-то прецеденты?
Moskus
26.11.2018 09:57+1Ну, множество кредитных организаций, например, делают дополнительные фото заемщика при подписании договора. А так, придется вспоминать, где вы были в момент подписания договора.
altrus
26.11.2018 10:15+1Пишешь заявление в полицию, что это не ты, и пускай подчерковедческую экспертизу проводят и видео из банка истребуют.
Тут верблюдов не надо доказывать.zuek
27.11.2018 13:15+1Увы, всё не столь радужно — года четыре назад на мои данные была оформлена пачка потребкредитов и выпущено три кредитные карты. Банки Тинькофф, Альфа, Траст, МТС, Русский стандарт — аннулировали кредиты по моему заявлению по телефону (в Альфа пришлось заехать и написать заявление по форме, но карту заблокировали сразу), а вот c ОТПБанком мне повезло куда меньше. Злодеи изготовили "паспорт" с моими данными, но совершенно чужими подписями и фотографией (это выяснила не полиция, а мой знакомый, работающий в одном из банков, запросив копию договора с приложениями, которую мне выдавать почему-то отказывались). В ОТП заявление пришлось писать два раза, оба раза его "теряли"; заявления в полицию, одно оформленное участковым в опорном пункте, второе — в отделении, с приложенными копиями заявлений в ОТП, оба раза потерялись в процессе пересылок между отделениями (их пытались отправить по месту совершения правонарушения); где-то через полгода ОТПБанк начал регулярно "продавать" мою задолженность коллекторским агенствам, которые, видимо, возвращали этот долг банку, получив от меня пачку копий всех моих заявлений, но последнее агенство вывело меня из себя — они продолжали бомбёжку, даже получив все необходимые заявления… в итоге, пришлось идти в контратаку — обращение через онлайн-форму в прокуратуру, в МВД (на горячую линию) и в ФСБ — так как явная подделка бланков Гознака и, возможно, преступный сговор злодеев с сотрудниками банка и коллекторским агенством. Только после этого, где-то через пару недель, поступил звонок из банка с приглашением приехать в отделение, где передо мной устно извинились и вручили уведомление о том, что "мой" долг анулирован.
Но нервов, ёлы-палы, это стоило овердохрена.altrus
27.11.2018 13:23Это ваш индивидуальный опыт. Основные слабые места — ОТПБанк, который, видимо, не сильно заботится о своей репутации, и теряющиеся заявления в полицию.
Совет простой и очевидный: в следующий раз начинать сразу с последнего шага — онлайн заявления во все имеющие отношение к вопросу инстанции. Чуть нарушены сроки по рассмотрению заявления — жалоба в прокуратуру. И нервы сэкономятся на два порядка.
Если какой-то банк будет играть в непонятливость, хорошо действует угроза подать в суд иск с попаданием банка на юридические услуги представителя. Ну и угроза обнародования непонятливости банка в Инете или газетах.
pavelpromin
26.11.2018 10:15+1Не "если", а "когда"
http://geodesist.ru/threads/massovye-sluchai-oformlenija-na-kadastr-inzhenerov-kreditov-s-ispolzovaniem-nashix-personalnyx-dannyx.72057/axinav
26.11.2018 15:39Кстати, наши данные никто не покупал и не выкрадывал, просто Росреестр выложил их в свободном доступе
smart_alex
26.11.2018 10:39На самом деле проблема гораздо глубже — в информационном обществе персональные данные это сущность по важности сопоставимая законностью и обеспечением правопорядка в обычном обществе. Иными словами, безопасность персональных данных — это основа функционирования государства в современном мире.
Почему?
Потому, что все права привязаны к персональным (идентификационным) данным. И никакое нормальное общежитие невозможно в обществе, когда ваш счёт в банке в любой момент может быть обнулён неизвестно кем или на ваши идентификационные данные может быть взят кредит миллионов на 100 (самим же инсайдером банка) и т. д.Sabubu
26.11.2018 11:34А компании вроде Гугла или Яндекса, или LinkedIn, которые всеми возможными способами, в том числе запутыванием пользователей и скрытием важной информации в огромных запутанных ToS, накапливают огромные массивы персональных данных — это кто?
smart_alex
26.11.2018 11:53Чем занимаются подобные компании вы сами только что описали. Ужос (через о) вызывает то, что за копейки можно купить данные, с помощью которых можно совершить действия, наносящие вам неприемлемый ущерб (например, взять на ваши данные тот же кредит). И с точки зрения закона вы будете виноваты и вам придётся доказывать, что этот кредит вы не брали (что, как показывает практика, не всегда и не всем удаётся).
Особую изюминку в этом смысле представляют ваши биометрические данные. Один раз скомпрометировав их, вы полностью «выпадаете» из цивилизованного мира — от вашего имени можно совершать любые действия, а сменить свою биометрию вы уже не сможете (в силу её природы).darthmaul
26.11.2018 17:29-1Да нельзя уже взять кредит под левые данные. Единственное что светит жулику -всякие быстроденьги, но если на Вас взяли — просто не отдавайте, по закону Вы чисты, а их ресурсы ограничиваются бесполезными коллекторами.
hatari90
26.11.2018 17:44+2их ресурсы ограничиваются бесполезными коллекторами
Про 230-ФЗ им расскажете при встрече как раз.
А вообще, даже если они не будут преступать закон, вам их внимание в любом случае не понравится. Плюс, микрофинансовые организации тоже отчитываются в бюро кредитных историй, а уж это вам жизнь вполне себе может подпортить. Причем, вы об этом узнаете лишь когда пару-тройку кредитов вам не одобрят, и попробуете сделать запрос по себе в БКИ.darthmaul
26.11.2018 17:46-1О чём Вы? Этот закон наоборот ограничил их возможности. А в суде придётся доказывать что это именно я взял, да и из-за таких денег (больше 15 тысяч вряд ли дадут же) судится — им же дороже.
balexa
27.11.2018 12:21Судиться будете вы. Это вы будете бегать по судам, доказывать что вы не брали 5 тысяч до зарплаты и что ваши данные надо удалить из БКИ.
zuek
27.11.2018 13:23Самая изюминка — это структура данных в БКИ — из неё, как из модного нынче блокчейна, нельзя изъять какую-то одну запись — только обнулить полностью. Что тоже не очень приятно — знаю на личном опыте (чуть выше описал вкратце).
EKV-ch
26.11.2018 18:51Вспомнилось, как некоторое время назад (не знаю как сейчас) LinkedIn при регистрации навязчиво требовал пароль (!!!) к почтовому ящику (типа мы синхронизируем адресбук, дадим рекомендации контактов и больше ничего делать не буде, честное пионэрское) и отказывал в полноценной (завершенной ) регистрации при отказе сообщить пароль… Вот такой вот «ненавязчивый» сервис… Не помню уже как поборол, ящик левый вроде скармливал
SpiritOfDarkDragon
26.11.2018 20:25а вы точно заходили на LinkedIn или можем там двойник какой-то? (ну там фишинг, все дела)
Aquahawk
26.11.2018 20:48+1они любят, и фейсбук так раньше делал, хз как сейчас. типа дай пароль мы сходим заберём оттуда инфу о друзьях и сразу всех зафрендим.
Moskus
27.11.2018 22:45Фейсбук так и сейчас делает, если зайти на страницу Find Friends, справа будет блок Add personal contacts с логотипами Gmail, Outlook и т.п., если по ним щелкнуть, предлагают ввести email и т.п.
Lennonenko
28.11.2018 14:22email же, а не пароль
потом гугл спросит вас, готовы ли предоставить фейсбуку доступ к адресной книгеEKV-ch
28.11.2018 16:20В упомянутом мною случае/ях — именно пароль! (на всякий случай, для тех, кто не в курсе, напомню: email же, а не пароль вводиться при регистрации. При чём не только на Linked. Причём в подавляющем большинстве случаев, требующих регистрацию. Причём с испокон существования интернетов)
NetBUG
27.11.2018 21:53Точно. В 2011 или 12 году они начали очень настойчиво просить влезть в почту.
У меня к тому моменту аккаунт уже был и почту компрометировать не пришлось, но поверю, что могли не давать «заполнить» аккаунт без этого.
Кстати, году в 14 или 15 их за это в США засудили, вроде кому-то с этого премиум перепал, кого-то удалили из базы.
Ещё Facebook Messenger любит подсосать все контакты и спамить по ним, достаточно одного раза :(
EKV-ch
27.11.2018 12:332 SpiritOfDarkDragon Да, уверен. Хотя это оооочень давно было. Сейчас такого суперхамства они, вроде, не демонстрируют, но, если честно — не проверял регистрацией.
Aquahawk
26.11.2018 12:12+1Некоторые банки, например Райффайзен предлагают уже имеющимся клиентам кредит на весьма существенную сумму, который как утверждается можно получить пройдя удалённую верификацию голом. На попытки сказать что я не даю согласия на такие операции и просьбу заключить бумажное соглашение о том чтобы любые договора могли быть заключены между мной и банком только в письменной форме полное непонимание проблемы. Вот сейчас думаю как юридически правильно оформить отказ от удалённо заключаемых договоров.
odiemius
26.11.2018 13:42+1Так а Вы думаете для чего сейчас на госуровне вводится идентификация по голосу и биометрии при общении с банками? Для чего сбер пыхтит и тужится? :) Все хотят заработать… Потом еще останется законодательно запретить небиометрическую идентификацию в банке… Отпечатки пальцев подделываются, голос нейронными сетями синтезируется.
AndyRadist
26.11.2018 15:11+1У моего друга подключили вторую СИМ с другим номером на его лицевой счёт Мегафона и перевели с лицевого счёта на QiWi 50 тыс. рублей. При разборках QiWi послал вопрошающих к тому, на имя кого был оформлен этот второй номер, т.е. к самому потерпевшему. Круг замкнулся. Это к слову о защите персональных данных и о надёжности платёжных карт, имеющих общий счёт с лицевым счётом телефона.
maxwolf
27.11.2018 00:44Самое грустное, что ничего не меняется к лучшему :( У меня полтора года назад была очень похожая история с Мегафоном: maxwolf.livejournal.com/84342.html
Списанные деньги удалось вернуть, но никаких извинений, или хотя бы пояснений, от Мегафона не последовало. А ментовскую отписку до сих пор чешутся руки прицепить к тому посту. Она в стиле: мы ему по телефону звонили-звонили — не дозвонились, домой пришли, в дверь стучали-стучали — не достучались, ну а раз нет человека, то и нет проблемы. Дело закрыли.
LLIypLLIuk
26.11.2018 16:27Доказать можно, хоть и не просто. Прецедент есть rg.ru/2018/11/21/vs-raziasnil-kak-dokazat-chto-grazhdanin-ne-bral-dengi-u-banka.html
altrus
26.11.2018 09:51+1В интернете и «калаши» по 200 т.р. продают с хорошими отзывами покупателей…
Насколько данная информация соответствует действительности, у автора есть какая-то оценка?ashotog Автор
26.11.2018 10:14Анализировались только проверенные селлеры, работающие через гаранта и находящиеся давно на рынке.
altrus
26.11.2018 10:23+1Кто-нибудь напомнит прородителя Даркнета, который лет 12 назад ФБР заделавшись проверенными селлерами и провайдерами безопасных прокси по всему миру наглухо хлопнула?
Такой приятный был сервис. Водительские права американские, помню, за 100 баксов можно было прикупить. Безлимитный сотовый по миру — $150 на полгода. Магнитные полосы платиновых кард — по доллару. С пин-кодом — по полтиннику. Рай для патрицией…matrixs
26.11.2018 14:51carderplanet но это было 97-200х, когда можно было в paypal забивать карты из генератора )
altrus
26.11.2018 15:05Не-не-не
carderplanet был наш дорогой и некачественный ) сервис с кучей кидалова
А то был реально satisfaction guaranteed
ShadowCrew, вспомнил
Вот история, полезная к прочтению
Завербовали «проверенного селлера» VPN-ов для вендоров и простых участников, и тот весь поток информации пустил через United States Secret Servicedarthmaul
26.11.2018 17:32Если они ограничивались «проверенным ВПН» то туда им и дорога. Ещё и в США «работали»…
bopoh13
26.11.2018 10:51Писал о мошеннических действиях с вложением скриншотов на 911@mts.ru, вместо ответа демон стал спамить мой ящик. Спасение утопающих дело… самих утопающих.
Те, кто наркотой барыжет, имеет многое. А вот можно ли законно сменить ИНН?TimsTims
26.11.2018 11:54можно ли законно сменить ИНН
Знаю одного ИП, который в силу религиозных убеждений отказался иметь ИНН. Вот так и получился ИП без ИНН, вполне законно работает.bopoh13
26.11.2018 15:35Хоть ИП и отвечает имуществом физ.лица, у физика всё-таки свой ИНН. Кажется понял: при смене места жительства меняется ИНН физика.
kisskin
26.11.2018 17:04Нет, инн не зависит от места жительства и даже при смене ФИО не меняется
bopoh13
26.11.2018 17:56Похоже, раньше было именно так, а теперь не регулируется. На форумах называли ТП — технические погрешности в работе ИФНС. Второй год присылают налоги неизвестного.
zuek
27.11.2018 17:11На самом деле все причины для смены ИНН перечислены на обратной стороне свидетельства о его присвоении. Я менял "по смене пола" — сотрудница вбила всё вероно, а вот пол указала "женский"… с тех пор во всех договорах проверяю и эту графу.
darthslider
28.11.2018 09:55Однокласснику в 14 лет так паспорт выдали. Геннадий Петрович, пол женский, всё в порядке :D
qsecadm
26.11.2018 23:04+1Можно. Когда-то давно у меня их по мало зависящим от меня историческим причинам оказалось три ИНН, причем я знал только об одном и догадывался, что может быть второй. Когда налоговая поняла это и вызвала меня для разборок, то единственный выход, который они смогли предложить после получения моих объяснений — это… получить четвертый… <картинка про четырнадцать стандартов>
bopoh13
27.11.2018 08:28Благодарю. Теперь ясно, что в алгоритме выдачи ИНН не предусмотрена защита от дурака.
ashotog Автор
26.11.2018 10:18Лажи и мамкиных пробивщиков очень много в Телеграме и на отдельных форумах.
Часто бывают и случаи мошенничества (смешно, что на криминальном рынке услуг одни мошенники других накалывают). Что делают — находят проверенного селлера, узнают его акк в Телеге (общение все-равно в основном через Телегу идет) и регают похожие ники. Потом маскируются под него.Xapu3ma-NN
26.11.2018 10:47общение в телеге? а что случилось с жабой+ОТР? нормальные продованы всегда только там общение вели (кажется).
ashotog Автор
26.11.2018 10:48ничего не случилось, каналов общения много. просто появилась Телега и многие селлеры сразу указывают акк в ней.
BelBES
26.11.2018 19:53Это довольно странно — покупать стафф на грани фолла, пользуясь аккаунтом привязанным к телефону...
skyscaper
27.11.2018 01:04… телефону, купленному на сайтах по аренде симкарт в режиме онлайн на несколько минут для получения смс с определенного ресурса.
Получить смску с телеги стоит 3-4 рубля, не так уж и много для одноразового аккаунта.
Igor_Shumilov
26.11.2018 10:37+1Может быть я не знаю всех тонкостей организации хранения этих данных в БД конкретных организаций, но проблему с выявлением их незаконного использования решил бы сугубо автоматизировано.
Например так:
1. Делается счётчик обращений к этим данным в БД;
2. Делается счётчик официальных запросов этих данных со стороны клиента/работника (которому данные нужны для выполнения своих обязанностей);
3.1. Сопоставляются эти два счётчика, выявляются не стыковки и определяется логины тех, кто их допустил;
3.2. Выявляются работники, которые запрашивают данные слишком часто или в слишком больших объёмах.
Если, конечно, в этих организациях вообще есть механизмы разграничения и журнализации доступа к этим данным.Nizametdinov
26.11.2018 10:46А если пробивают те кто следит за этими счётчиками?
Igor_Shumilov
26.11.2018 10:49Данные счётчиков фиксируются автоматически, и хранятся в БД. Возможно резервируются в отдельную. И их всегда могут проверить те, кто следят за теми, кто следит за счётчиками.
Хотя это должны делать сотрудники службы собственной безопасности, которые не должны иметь доступа к данным клиентам. Только к этим счётчикам.Nizametdinov
26.11.2018 10:52У тебя всегда есть 2-3 человека, например админ и безопасник, которые договорившись сделают все без следов
Igor_Shumilov
26.11.2018 10:582-3 человека подозреваемых это лучше, чем 100 девочек-стажёров-операционисток.
Nizametdinov
26.11.2018 10:592-3 из сотни в безопасниках и сотне в админке. То есть из каждой сотни надо найти по одному.
hatari90
26.11.2018 11:41У девочек-операционисток в идеале не должно быть способа выгрузить весь список клиентов с их данными, так как это им не требуется в работе. Найти конкретного по ФИО, телефону и тд. — пожалуйста.
Если админам-стажерам дают доступ на получение данных из боевой БД — это тоже косяк IT безопасности.odiemius
26.11.2018 13:50Этим Вы только поднимет цену, так как прийдётся такой девочке писать на бумажку кого посмотреть, чтою она потом на работе нашла конкретные фио и т.п. и сфоткала на телефон чтоб отправить в телеге. И из-за неудобств такой схемы просто ленивее будет таким заниматься.
Ktulkhu_Triediniy
26.11.2018 14:42Я вам по-секрету скажу, любые обращения к такого рода информации всегда логируются в нормальных банках. То бишь, девочка конечно может нафоткать на телефон персданные, но выяснить, что это сделала именно она и точное время/дату не составит труда.
dimm_ddr
27.11.2018 16:22Если персональные данные вообще у организации есть, то любой способ при котором эти данные там остаются только повышает цену получения этих данных. Смысл в том, чтобы повысить ее настолько, чтобы это стало невыгодно максимальному количеству людей при адекватных на это затратах.
sordid
27.11.2018 11:22А вам еще не приходили звонки из Сбера типа, — “я тут вижу, что вы перечислили деньги физику и значит вам, наверное, нужен зарплатный проект.”? Девочка операционист имеет полный доступ ко всей информации и деталям по всем платежам юр. лица в банке и может вытащить из системы любые детали…
Igor_Shumilov
27.11.2018 12:44Такие не приходили. Но я звонил в службу поддержки, где мы с другой девочкой операционисткой подробно обсуждали мои последние финансовые операции.
ashotog Автор
26.11.2018 10:50в целом все так. есть банки, по которым нет пробива по счетам (но можно запросить баланс, т.е. цифру, которую реально просто запомнить).
Deosis
26.11.2018 12:39Почему тогда СБ не устраивает "контрольные закупки"?
Создать спец.запись, которая под видом баланса подсунет номер оператора.
Это на некоторое время отложит проблему утечек.
vanxant
26.11.2018 17:33Упускаете например ментов, которые могут делать запросы в рамках своих расследований. Причём банк там или опсос знать не знает что за расследования, каким боком там конкретный индивид (свидетель, потерпевший, ...). Плюс там всё довольно сильно автоматизировано.
Igor_Shumilov
26.11.2018 17:41Полиция — это уже дело службы их собственной безопасности. Они же тоже должны иметь разрешения на запрос таких данных. Не может простой следователь запросить данные по моему счёту просто так, на всякий случай. Банк у него потребует разрешение суда.
vanxant
26.11.2018 20:57Сфероконный банк в вакууме — да, будет запрашивать. Только не суда, а прокурора.
В реальности ответственному товарищу организуют АРМ сотрудника банка с правами ++, чтобы он там сам шарился где ему надо.
balexa
27.11.2018 12:24А может и не потребует. Тот же вконтакт был уличен в том, что охотно сливал все личные данные и переписку активистов штаба Навального «простому следователю» безо всяких официальных запросов. И ничего.
bro-dev0
26.11.2018 20:31Скорее всего это просто никому не надо нафиг, у нас не США не будет штрафов за утечки, сопоставимыми со стоимостью разработки.
Nizametdinov
26.11.2018 10:49«Конкуренцию» этим операторам могут составить разве что госорганы
А почему такое разделение? Про СОРМ все забыли? Туда валится вся детализация по всем абонам — так что проблема пробивки сотового (судя по ценам) не в операторах.
ashotog Автор
26.11.2018 10:52реально? т.е. в СОРМ по Вашему валится и биллинг? ;) Там же пробив возможен по всем фронтам.
И потом СОРМ работает совершенно нет так, он не собирает все по всем абонентам.Nizametdinov
26.11.2018 10:58+1По биллингу не уверен. Если выдают детализацию с деньгами, то скорей всего утечка где то из техподдержки. Простые операторы мониторятся на запросы по абонам.
Нет, это записи разговоров не по всем абонам идут в СОРМ…
Sabubu
26.11.2018 11:40Вообще, в утечке данных при огромном числе минусов (бандитам проще вас найти) есть и плюсы. Во-первых, можно недорого по недостоверным данным регистрироваться во всяких платежных системах и саботировать тем самым дурацкие законы об идентификации, сохраняя анонимность. Во-вторых, утечки данных позволяют обществу идентифицировать преступников, как это произошло недавно.
hatari90
26.11.2018 11:47+1можно недорого по недостоверным данным регистрироваться во всяких платежных системах и саботировать тем самым дурацкие законы об идентификации, сохраняя анонимность
То есть взять данные другого лица, потенциально подложив ему нехилую такую свинью? Интересная борьба с системой за чужой счет получается.Sabubu
26.11.2018 12:02В чем свинья? Я ничего особо незаконного не собираюсь делать. Просто не хочу, чтобы меня посадили за репост. Да и тот человек, если он сам ничего незаконного не делал, не понесет ответственности. Если кто-то использовал ваши документы, это ведь не значит что вы должны отвечать за его действия.
hatari90
26.11.2018 12:06То есть вы были бы не против, чтобы некий не собирающийся ничего незаконного делать гражданин зарегистрировался под вашими данными в какой-нибудь платежной системе?
Свинья в том, что, случись чего, придется доказывать свою непричастность.Sabubu
26.11.2018 12:08-2Вот как раз использование чужих документов поможет избежать описанной вами ситуации. Не для того, чтобы делать что-то незаконное, а чтобы при краже данных украли чьи-то чужие данные.
Но, конечно, если вы предпочитаете, чтобы на черном рынке оказались ваши данные, или чтобы за репост посадили вас, то можете регистрироваться всюду под настоящим именем. Начните с Хабра, например.
Ну банальный пример: что, если вам понадобится Пейпал, а он при регистрации требует столько данных, как будто вы визу получить пытаетесь? Неужели вы предлагаете сдавать свои ПД потенциальному противнику, с лучшей в мире разведывательной службой? Который вас завтра же по этим данным и арестует?Igor_Shumilov
26.11.2018 13:06+2Гнусно это как-то.
Ztare
26.11.2018 17:09Поддерживаю. Но на правах шутки: Предложить товарищу выше использовать перс данные людей считающих анонимность в интернете злом и вообще им нечего скрывать. Вот это мне кажется более честно — они друг-друга стоят в деструктивности идей
KyZZMI4
28.11.2018 01:02Вот им, как раз, не жалко свои данные дать. Они далеко, они адекватные, им я доверяю, потенциальным противником их не считаю, в отличии от местных сервисов, которые и продадут или так отдадут все данные по первому запросу или за не большую цену.
glestwid
28.11.2018 18:35А что, своя Контора Глубокого Бурения не арестует что ли? Или там ангелы в сравнении с CIA и другими заведениями на 3 буквы?
alexhott
26.11.2018 12:15По закону там нехилые наказания за утечку ПД. Вот только у нас ждут видимо пока не у того человека не туда данные уйдут. Тогда найдут и у кого утекли и кто виноват.
А пока муж жену палит по звонкам и расходам дела никому нет.
Чтобы админ и безопасник инфу не украли надо им ЗП платить раз 5-10 выше чем сейчас.
jevius
26.11.2018 13:34«Тот человек» обычными телефонами не пользуется, деньги в России не хранит, имеет влиятельных друзей. С ним такое не случится, а если и случится, через такого что-то проворачивать себе дороже выйдет преступникам.
alexhott
26.11.2018 13:36Ну это совсем «тот», а многие если и не сами то детки и жены сидят в контактиках и вайберах и шлют турагенту папин паспорт для визы в грецию по емаилу.
jevius
26.11.2018 13:45А это уже естественный отбор. Все знают, что нельзя совать пальцы в розетку. Элементарная ТБ в мире. В интернете тоже есть ТБ и каждый должен об этом знать, если не хочет остаться в дураках. Хотя бы самую малость про невозможность удалить что-то из интренета и шифрование.
amarao
26.11.2018 14:05+1Мне не надо платить ЗП в пять раз больше, чтобы я не воровал информацию у работодателя. Этика, всё такое. Если меня зарплата не устраивает, я во-первых про это скажу, а во-вторых просто пойду искать другого работодателя.
А вот админа, который «перестанет воровать если ему в пять раз больше платить» надо гнать с работы за отсутствие профессиональной этики.alexhott
26.11.2018 14:10Это здорово, значит уровень вашей ЗП таков что за 2000рублей вы не будете сливать инфу.
Но я про тех работников, которые имеют доступ к базам из сотен тысяч записей ПД. и меют ЗП порядка 30т.р.
В таком варианте очень трудно отказаться от еще 30т.р в месяц за два десятка записей.
Этика как вершинка пирамиды, а когда жрать нечего не до этикиKtulkhu_Triediniy
26.11.2018 14:49Чота я при зарплате 18 тыр ни фига не сливал персданные клиентов, работая в банке админом. Наверное, не дошёл до порога жрать нечего…
alexhott
26.11.2018 14:50Не предлагали просто и не настаивали
hatari90
26.11.2018 14:55По меньше мере некрасиво такое незнакомому человеку приписывать. Про себя так же считаете?
alexhott
26.11.2018 14:58Извиняюсь, если чем-то задел, но не имел ввиду конкретно вас.
Хотел показать что одним из рисков так или иначе является несоответствие ЗП и уровня доступа к данным.
Сейчас я уже тоже могу говорить об этике и лояльности. Но вот лет 10 назад, возможно принял бы предложение.hatari90
26.11.2018 15:26Мне кажется, тут речь идет уже о добросовестности самого человека, которая с зарплатой не очень коррелирует. В зависимости от важности данных, могут предложить столько, что компания на ФОТ разорится, чтобы уменьшить этот риск. Дешевле будет потратиться на организацию нормальной информационной безопасности.
Ну и большинству, все-таки, не хочется сесть ни при зарплате в 30к, ни при 150к.
bopoh13
26.11.2018 16:38Прежде чем говорить об этике, нужно уметь разделять людей и психопатов (к слову, они вменяемые): первые — развиваются и решают задачи, вторые — не способны к обучению, плагиатят, самокоронуются, подсиживают и чешут языком.
Если работодатель не имеет качественную СБ, его бизнес загнётся очень скоро.Роберт Хаэр приводит список профессий (Канада) привлекательных для психопата- финансовые консультанты
- торговые агенты
- советники
- адвокаты
- военные
- стражи порядка
- мед. работники
- психиатры
- психологи
- учителя
- работники детских садов
- компьютерные мастера
- художники
- писатели
alexhott
27.11.2018 08:32А если работодатель самокоронуется, подсиживает и чешет языком?
Наказание за мошенничество на бирже вплоть до уголовки, но доказать очень трудно.bopoh13
27.11.2018 13:16Такой работодатель будет держать не специалистов, а только подхалимов, обязанных выплачивать ипотеку и кормить детей. Но самое страшное, что люди могут бессознательно копировать его привычки вплоть до абьюза окружающих.
Ktulkhu_Triediniy
26.11.2018 15:32Вот и нет. Дело сугубо в моём моральном облике. А сливать данные можно и при зарплате в 500 тыр, ибо добавка в виде тех же 50 тыр и при таком доходе будет не лишней, исходя из вашей логики.
darthslider
26.11.2018 17:34Я бы сказал, что при любом моральном облике решает скорее соотношение стоимости такой «услуги» к зп, если говорить про деньги. Согласитесь, абсурдно большая сумма даже вас бы заставила на мгновение задуматься.
Так же это цена может быть вполне себе не материальной. Например добыть данные можно шантажом или угрозами. А вот услуги угрожающего впоне себе могут иметь денежную стоймость. Так и получается, что стоимость данных в 20 т.р. это не 20 т.р. сливающему, а 15 организатору и 5 какому-нибудь громиле.Ktulkhu_Triediniy
26.11.2018 18:32Согласен, при таком раскладе сложно будет отказать, но вероятность такого сценария не слишком велика, ибо никто не будет путаться с полумкорухой из-за такой мелочи, да ещё и при возможности добычи интересующей информации «мирным» путём.
darthslider
28.11.2018 10:01Тут просто вопрос, а чьи данные нужны. Чем выше их стоимость для получателя — тем «дороже» могут быть меры для доступа к этим данным.
vanxant
26.11.2018 17:38Ну админы ладно. Вот «девочки» даже не с телефонной техподдержки, а просто из региональных офисов — они действительно копейки зарабатывают, и ТЫЩЩИ В ДЕНЬ для них решают. Кредиты за ойфоны отдавать то надо.
amarao
26.11.2018 17:41Я не могу говорить про профессиональную этику ресепшена (наверное, она тоже есть). Но я точно могу сказать, что нарушать закон, действуя против интересов работодателя — это нарушение любой профессиональной этики. Вне зависимости от размера зарплаты.
Я не спорю, что такие люди есть, но я отказываюсь их оправдывать. Кому-то чужие данные слить на сторону «ничего такого», а кому-то и «отжать мобилку у лоха» — тоже достижение.vanxant
26.11.2018 20:55А я не оправдываю. Понимание мотивов — это не есть оправдание, это возможный ключ к решению проблемы.
balamutang
27.11.2018 12:32Да ну какие мотивы, есть трудовой договор, в нем всё написано. Понимание мотивов годится только для доказательства вины. Если расходы превышают доходы — это проблема лично того у кого это происходит и ее надо решать законным путем, а не уголовным.
amarao
27.11.2018 13:25Повышение зарплаты человеку, который уже нарушает этику, всего лишь поднимет цены на эти нарушения. Была зарплата 15000, «пробив» стоит 1000, стала зарплата 150000, пробив стал стоить 10000.
Если говорить про исправление — это повышение престижности профессии, уважение со стороны работодателя.
balexa
27.11.2018 12:35Для этого у девочки в региональном офисе не должна быть возможность массово сливать данные клиентов. И даже возможность просмотреть профиль случайного клиента не должна быть. И все просмотры должны логироваться.
Merkat0r
27.11.2018 10:14У каждого есть цена, у вас она просто выше и ее никто пока не предложил.
balamutang
27.11.2018 12:35Необязательно предлагать именно ему, ее можно предложить тому кто может его заставить. У каждого есть слабая сторона на которую можно надавить и есть люди, которые специализируются на надавливании
amarao
27.11.2018 13:23Это другой вопрос. Который совершенно не оправдывает сотрудников, которые пренебрегают профессиональной этикой ради денег.
amarao
27.11.2018 13:23Если мы говорим про легальное пространство, то может быть, что такой цены нет. Люди из принципа даже жизнью иногда готовы жертвовать, не то, «деньги».
Я понимаю, что комфортно думать, что «все вокруг продажные», но нет.Merkat0r
27.11.2018 13:34Все так говорят, пока им миллион[1..?] долларов не предложат.
А условному пареньку, 18 лет, только что приехавшему с деревни в колл-центр на зп " 12к, а там посмотрим" и 100к вотпрямщазвруки — миллионamarao
27.11.2018 15:59И за сколько денег вы свою мать убьёте?
Merkat0r
27.11.2018 16:10У меня нет родителей в живых
amarao
27.11.2018 16:38близкого человека. Вы поняли принцип. Есть вещи, которые просто no, вне зависимости от цены.
darthslider
28.11.2018 09:59Цена — жизнь ваших детей, например. Такая вот дурацкая аксиома Эскобара.
В Чёрном зеркале была хорошая серия на эту тему (про свинью и примьер министра).amarao
28.11.2018 13:38Не передёргивайте, мы говорим про деньги, а не про ситуации, угрожающие человеку или его близким.
bopoh13
28.11.2018 15:07В серии S01E02 люди прогибаются за баллы. Когда встанет вопрос о жизни, — большинство о них не вспомнит, потому что время окажется важнее «бумаги».
balamutang
27.11.2018 10:30Платить зарплату раза в полтора выше рынка нужно только для того чтоб иметь возможность выбирать между мелким воришкой и нормальным человеком. Воришке сколько не плати — он все равно приворовывать будет. А у воришки с зп 5х-10х и расходы будут соответствующие, соответственно и воровать ему больше придется
jevius
26.11.2018 13:28Ввести нужно ответственность оператора ПД нормальную, где речь о действительно больших суммах. Перед государством и перед пострадавшим, даже если серьезный ущерб ему нанесен не был. Тогда они сами бояться начнут, и сразу и специалистов найдут, и организуютв все правильно. Только страхом потерять свои интересы таких дебилов можно заставить изменитсья. А простым гражданам — вести журнал, кому, когда и что передал. После окончания пользования услугами отзывать согласие на обработку. Увы, тут иначе никак
Tangeman
26.11.2018 20:16А простым гражданам — вести журнал, кому, когда и что передал.
Если речь про стандартный набор (ФИО, дата рождения, адрес и телефон, иногда ИНН) — то вести журнал не имеет смысла, потому что эти данные нужны почти всем, и выяснить у кого именно утечка невозможно.
Если на каждую передачу данных давать новый номер телефона, и если он утечет — можно выяснить источник, но это непрактично, но даже в этом случае останется как минимум два варианта — либо телефонный провайдер, либо тот кому был дан телефон.
Собственно, это фундаментальная проблема всех ПД — они весьма стабильны, и почти все операторы имеют идентичный набор данных, без индивидуальных маркеров.
Отследить можно только утечки данных с маркером (биллинг, выписки etc) — но опять-таки, этого мало. Если условный злодей где-то нашел скан паспорта и стандартный набор, то вариантов слишком много (для среднего потребителя).amarao
27.11.2018 16:40Для почтового адреса работают микроопечатки в адресе.
«пр. Возрждения» одному, «пр. Возжродения» другому и т.д.
3dcryx
26.11.2018 13:34-2"Я не могу гарантировать подлинность предложений третьих лиц по любой отдельно взятой компании или банку."
Эту фразу можно интерпритиповать только двумя способами:
1) Вы сами торгуете данными и можете гарантировать подлинность информации продоваемой лично.
2) Все изложенное в тексте бесдоказательные домыслы.
В первом случае текст имеет право на существование. Во втором это уже близко к слову "клевета".
alexhott
26.11.2018 13:38Предлагаю всем у кого есть возможность повешать по фейковому сайту о продаже инфы. И реальная потеряется в море дезы и рынок помрет.
vesper-bot
26.11.2018 14:38Только палки ментам нарабатывать. Создание сайта тянет за собой нехилый след, по которому пройти может почти кто угодно. А раз есть инсайдеры в госструктурах, они конкурентов с болшим шансом мониторят, и легко могут слить в ФСБ наличие такого сайта. Ну и велкам, как говорится, на Колыму. (Хотя это для «белого» интернета, в даркнете может и прокатит ещё, но тоже вряд ли надолго хватит)
Tangeman
26.11.2018 20:29Просто любопытно, а по какой статье отправят на Колыму за продажу фиктивных ПД?
Если по принципу «был бы человек, а статья найдётся» — то никто не мешает вести сайт вне зоны досягаемости ФСБ, особенно с учётом того что до него не будет дела никому кроме как в РФ. Если госорганы РФ сделают запрос хостеру на выдачу данных о владельце, то в адекватной стране их отправят за решением местого суда, на этом след оборвётся, и даже если нет — что они сделают условному американцу, который формально ничего не нарушил?
Igor_Shumilov
26.11.2018 17:51Клевета на кого? На тех святых людей, которые грудью стоят на защите наших персональных данных?
kamilkamilkamil
26.11.2018 15:40Предлагаю лайфхак для Жарова: выделяем по 12 т.р. в день из его огромной зарплаты на разоблачение одного мошенника. Через пару месяцев отчитается о 100% деградации сети по продаже персональных данных в даркнете.
valdemartorch
26.11.2018 15:40Ничего криминального с этими ланеыми они не сдеоают, спамом только составят неудобства.
bro-dev0
26.11.2018 20:37Могут быть серьезные проблемы у жертв буллинга, телефон сейчас каждый носит при себе, его нужно указывать много где, так что связать аккаунт с местоположением не трудно, а там и криминал может быть.
man_without_face
27.11.2018 22:35Из интересных «услуг» на рынке мобильного «пробива», я бы отметил поиск пяти ближайших телефонов к указанному абоненту. За это просят от 90000 рублей.
Ближайшие — это сколько метров?
titbit
26.11.2018 23:06Очевидно, что если данные агрегируют в огромные базы, то они либо 100% утекут, либо доступ к ним будут продавать — это вопрос только времени. Основной аргумент при заведении ещё одной базы — на ней можно неплохо подзаработать, т.е. давайте её соберём, а там и покупатели найдутся, а если сразу не найдутся — то немного шантажа, и спрос пойдёт. Так что ждите новых инициатив вида «а что бы ещё собрать в большую базу?»
glestwid
28.11.2018 18:06Y укак сказать. Есть, например, база УРАФ ФСБ, но что-то не видел я ни раз предложений по предоставлению инфы из нее. Может, все-таки дело в том как охранять доступ?
Naps
27.11.2018 01:52>Доступ к московским камерам видеонаблюдения системы «Безопасный город» — от 5000 рублей
Эх. А ведь несколько лет назад прям тут всем желающим доступы раздавали.
saipr
27.11.2018 10:49+1Вот бы кто провел анализ цен и затрат на защиту персональных данных, включая сертификацию, аттестацию и т.л. Интересная картина получилась бы.
ashotog Автор
27.11.2018 10:53+1Кстати отличная идея! готов даже такое исследование оформить и опубликовать. Мы со своей стороны можем только оценить затраты на сертификацию софта под ФЗ-152, а реальные затраты оператора ПнД знают скорее интеграторы и внедренцы.
saipr
27.11.2018 11:05Только не опустите аттестацию объектов информатизации, где обрабатываются персональные данные. А это практически все компьютеры!!!
DrZlodberg
Судя по цене у билайна с безопасностью всё совсем плохо.
nuneTka
Да всё куда проще, они их сами же и сливают. (субъективное мнение)
Zloy_tarakan
У Билайна и рядовые менеджеры на телефоне могут получать информацию об абоненте, включая содержимое смс. Чего уж там более страшнее?
severgun
Просто пользователей билайна меньше.
Меньше спрос.