Мобильный пробив: что, где, почем. И главное — доколе?

Я так проникся «клиентоориентированным» отношением операторов связи к своим абонентам, что сделав 4 расследования по скрытым мобильным подпискам, решил пойти дальше и проверить:, а как они относятся к персональным данным абонентов?  

В информационном поле тема пробива постоянно возникает — достаточно вспомнить тот же «Глаз бога» — телеграм-бот для поиска информации о людях по разным, в том числе закрытым базам. Сотовые операторы рапортуют об успехах в борьбе с этим явлением. Известный журналист Эльдар Муртазин доказывает,  что получить доступ к персональным данным абонентов совершенно невозможно!

Ведь, цитирую:

«Персональные данные абонентов — это та информация, что считается особенно важной внутри каждого оператора. И эти данные охраняют, вся система выстроена так, чтобы никто не мог получить к ним доступ, даже попав на работу внутрь оператора связи». 

Операторы уверяют, что сохранность персональных данных абонентов — предмет их неустанной заботы.

«МегаФон»: Tele2: «Билайн»: image-loader.svgМТС: 88c4f06ab74299b61e4313828056d5e3.jpeg… и даже:

Но я решил проверить лично, можно ли получить персональные данные, хранящиеся у сотового оператора, и если да, то как сложно, сколько стоит и как это все выглядит.

Мы начали со стартовых условий, рассмотрев варианты выдачи официального служебного задания кому-нибудь из коллег. Все-таки это нелегально, поэтому мы решили обезопасить себя бюрократически. Посоветовавшись с юристом, мы решили, что самый безопасный вариант — «пробить» самого себя, благо после предыдущих расследований у всех нас были симки от всех операторов.

Перед этим сотрудник зашел в салоны всех операторов и попросил по паспорту сделать справку об оформленных на него номерах. Тут интересный момент: все, кроме Tele2, ее безмолвно выдали. Представьте с погрешностью на ковидные времена: в салон заходит дядя в маске на пол лица и очках, дает паспорт с фото десятилетней давности без маски и без очков, и ему все печатают. Tele2 все-таки попросил написать заявление. Возможно, поэтому, как пишет журнал «Хакер», пробив абонента Tele2 стоит дороже.  

Подготовительный этап закончен, начинается пробив

Что сначала запрашивал:  паспортные данные владельца определенного номера.

На самом деле тут выбор «услуг» большой: можно и заказать распечатку звонков, с детализацией базовых станций, и определить местоположение по последнему звонку, и даже самое неприятное — перевыпустить чужую симку. Если кто-то сталкивался с такими кейсами, напишите.

Перед нами стояла цель проверить, насколько это простая/сложная задача для человека «не в теме», сколько требует времени и денег, и убедиться на собственном примере, что такой рынок мобильного пробива существует. 

Поэтому в итоге в проекте участвовали два человека, один пробивал и другой оказывал информподдержку (искал информацию в Сети). Инженерное + гуманитарное образование, ноль опыта с пробивом, но какой-никакой опыт работы с источниками.

Сразу скажу, адресов-паролей-явок я в тексте не дам, это плохой бизнес, который должен исчезнуть. Так что без рекламы.

Пробив в Telegram

Начали коллеги (спойлер — ошибочно) с самого простого. Поискали группы с услугами пробива в Telegram. Их там великое множество.

Но обе попытки организовать пробив закончились одинаково — обманом «клиентов». Решив не тратить на это силы и средства, коллеги отправились дальше — в дарквеб.

Пробив в Дарквебе

Сам сайт, где можно запросить пробив, нашелся быстро — в первой же строке поисковой выдачи. Но если в Телеграме быстро отвечают и также стремительно кидают, то на форумах в дарквеб обсуждения и сделки идут долго. Видел статьи журналистов от 2019 года, где им все удалось провернуть за несколько часов, как, например,  в этой статье BBC, но то ли времена изменились, то ли наш коллега, который занимался этой задачей, не такой профи.

Сделки можно провести через гаранта — посредника, уважаемого участника форума/старожила, который берет деньги у покупателя и отдает продавцу, только если тот выполнит заказ, что дает относительную защиту от кидал. Но нужно дополнительно оплатить услуги этого гаранта, по 200 рублей за сделку. 

Общение в итоге все равно переходит в Telegram. Забавно, что перенося контакт того, с кем коллега договорился на форуме, вручную с компьютера на телефон, он сделал ошибку (эти коварные i, I и l), и общался, соответственно, ничего не подозревая, с другим человеком, мошенником, косящим под настоящего пробивщика. Он пообещал выполнить заказ, но так как сделка проходила через гаранта, то его фокус не удался — деньги ушли по назначению настоящему пробивщику. Так что на рынке суровая конкуренция.

Итоги

Пробив удался у всех четырех «больших» операторов связи. Коллеге чаще всего присылали фотографии с экранов мониторов: судя по всему, это какие-то программы, используемые операторами. Если есть тот, кто знает подробнее, что за софт — свяжитесь, пожалуйста, с проектом или напишите в комментариях.

Отношение к собственной безопасности у конечных исполнителей, работающих у оператора, очень разное. Так, в одном случае на фото не было никакой идентифицирующей информации и у самой фотографии были удалены метаданные, в двух других случаях люди не потрудились даже убрать ФИО сотрудника. Мы это сделали за них. В итоге мы даже нашли их в ВК.

Итак, пробив номер 1, МТС.

Сотрудник (салона?) позаботился о себе, сделав фото так, чтобы на нее не попали его данные. Метаданные фотографии он тоже удалил. Оранжевым цветом мы закрасили персональные данные пробиваемого коллеги, но они правильные

Пробив номер 2, «Билайн».

Тут уже пришлось и данные коллеги, и данные сотрудника оператора стирать самостоятельно. Но данные, опять же, все верные.

Пробив номер 3, «Мегафон».

Тут тоже все наивно и прекрасно. Данные коллеги — верные, данные гения, который это сфоткал, я замазал. Хорошо, хоть он свой паспорт не приложил.

213b8b6762faa8fc5c8064fea3027f48.jpeg

Пробив номер 4, Tele2.

Самый сложный оператор. Услуги найти номер по данным паспорта у пробивщиков нет вообще. Но получить данные паспорта по номеру телефона — можно.

Есть два нюанса: во-первых, пробив у Tele2 стоит заметно дороже, во-вторых, присылают только запрошенные данные в текстовом виде. То есть коллега запрашивал данные паспорта по номеру. И ему прислали правильные данные его паспорта в текстовом сообщении.

Найти всё? Да!

Кстати, услуги типа «по номеру телефона узнать, какие еще номера телефона зарегистрированы на человека» нет, но вариант получения данных в два захода срабатывает.

У МТС удалось получить паспортные данные владельца номера, а потом по номеру паспорта коллега получил остальные зарегистрированные на этот паспорт номера. Понятно, что он делал это со своими собственным данными, но этот «фокус» можно проделать и с любыми другими. Пробовал именно с МТС, так как там на него было зарегистрировано несколько номеров. Все они в лучшем виде с приветом из очень отдаленного от Москвы региона:

ad674eca47ea65b0937e71e0b3a8da97.jpeg6efb50cc30f4fb572db308a7ef0344ed.jpegea1db49123f602d7ade84d6baa5299ba.jpeg

Cчитаем потраченное на пробив, и отдельно — на какую сумму нас кинули.

Кинули на 4 300 рублей. Все настолько мило и наивно, что в качестве оплаты просили скинуть деньги на карту «Сбербанка». Пожаловались на мошенничество в «Сбер», конечно.

Теперь посчитаем, какая сумма была потрачена на «работающий» пробив.

Два раза за МТС: один раз — паспорт по номеру телефона, и второй — номер телефона по паспорту; «Билайн» и «Мегафон» по 1 200 рублей за каждый пробив, итого — 4 800 рублей; аналогичная информация от Tele2 обошлась нам в 4 000 рублей. Если отдельно посчитать, сколько мы затратили за однотипный пробив «паспорт по номеру телефона», у всех четырех операторов, получится 7 600 рублей. Еще какое-то немалое количество денег ушло на комиссии. В дарквебе продавцы предпочитают криптовалюту.

Слово юристу:

Какие нормы права нарушает так называемый «пробив»?

Что нарушает пробивающий?

Согласно статье 137 УК РФ, «Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации — наказываются

  • штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо 

  • обязательными работами на срок до трехсот шестидесяти часов, либо 

  • исправительными работами на срок до одного года, либо 

  • принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо 

  • лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Те же деяния, совершенные лицом с использованием своего служебного положения,  наказываются

  • штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо 

  • лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо

  • принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо 

  • арестом на срок до шести месяцев, либо 

  • лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет».

Согласно статье 138 УК РФ, «Нарушение тайны переписки,  телефонных переговоров, почтовых, телеграфных или иных сообщений граждан — наказывается 

  • штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо 

  • обязательными работами на срок до трехсот шестидесяти часов, либо 

  • исправительными работами на срок до одного года

То же деяние, совершенное лицом с использованием своего служебного положения, наказывается 

  • штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо

  • лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо 

  • обязательными работами на срок до четырехсот восьмидесяти часов, либо 

  • принудительными работами на срок до четырех лет,  либо 

  • арестом на срок до четырех месяцев, либо 

  • лишением свободы на срок до четырех лет»․

Про ответственность оператора

Согласно статье 63 ФЗ »О связи»,  «На территории Российской Федерации гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи. Ограничение права на тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи, допускается только в случаях, предусмотренных федеральными законами. Операторы связи обязаны обеспечить соблюдение тайны связи».

А кто вообще имеет право на доступ к этой информации?

Несложно догадаться. Согласно 64 статье того же ФЗ «О связи», «Операторы связи обязаны предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, указанную информацию, информацию о пользователях услугами связи и об оказанных им услугах связи и иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами».

Согласно ст. 13 ФЗ «Об оперативно-розыскной деятельности», «На территории РФ право осуществлять оперативно-разыскную деятельность предоставлено оперативным подразделениям: органов федеральной службы безопасности, органов внутренних дел РФ, федерального органа исполнительной власти в области государственной охраны; таможенных органов РФ, службы внешней разведки РФ, федеральной службы исполнения наказаний».

То есть детализацию данных абонента могут вообще заказать либо сам абонент, либо уполномоченные (далеко не все) органы государственной власти.

Если говорить о судебной практике, связанной именно с походом в суд абонента, недовольного незаконным распространением его данных, обычно все сводятся к статьям 137 и 138 УК РФ. То есть речь идет только об ответственности сотрудника оператора за содеянное. Достаточно часто встречается формулировка про злоупотребление служебными полномочиями. Случаи участия сотрудников в «пробиве» замечены у всех операторов «большой четверки».

Итак, что же грозит пробивающему?

Недавно корреспонденты BBC рассказали про дело сотрудника «Вымпелком», который продал данные троих абонентов компании. Отмечалось, что кроме детализации соединений, сотрудник копировал и геолокационную информацию о местоположении абонента в момент конкретного вызова. Предоставленные данные позволяли составить карту передвижений субъекта. К счастью, этот сотрудник был пойман и получил 440 часов обязательных работ.

В 2018 году сотрудник Tele2 получил полтора года условно за незаконную детализацию номеров 53 абонентов. Отмечались и дела сотрудников МТС (7 «пробитых» телефонных номеров и приговор на 240 часов обязательных работ) и «Мегафона».

Следует также упомянуть дело о работнике оператора связи, который, ради помощи другу, предоставил ему детализацию звонков его бывшей супруги. В его отношении было возбуждено уголовное дело по ч. 2 ст. 138 УК РФ за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан. В конкретном случае сотрудник оператора был признан виновным и оштрафован на 120 тысяч.

«Известия» со ссылкой на сервис разведки утечек данных DLBI отмечают, что количество судебных дел, связанных с хищением персональной информации, в 2020 году увеличилось в два раза по сравнению с 2019-м. И большая часть уголовных дел была возбуждена против сотрудников операторов и салонов сотовой связи. В 2020 году их доля составила 67%, в то время как в 2019 — 46%.

Кроме того, свою негативную роль в деле незаконной передачи информации об абонентах сыграла и пандемия: в связи с переходом сотрудников на удаленную работу часть утечек переместилась в «серую зону» и не была зафиксирована.

Выводы

Грустные.

Нам бы очень хотелось, чтобы дела обстояли так, как это описано в статье Эльдара Муртазина, но реальность не такая оптимистичная. 

Пробив существует. Если вы новичок со стороны, он отнимет у вас сколько-то средств на кидал, но найти настоящего пробивальщика достаточно просто. Пробив сегодня для новичка отнимает довольно много времени на переговоры, заказ, исполнение, так что, вероятно, услуги типа «вспышки» (геолокация, откуда был сделан последний звонок) — это уже для постоянных клиентов.  

Законодательство вполне себе старается защищать персональные данные. Другое дело — отношение оператора к хранению информации. Проще реагировать на какие-то статьи в СМИ, выгонять сотрудников, штрафовать и т.д., чем озадачиться обеспечением безопасности данных пользователей.

В нашем случае заказы явно выполнялись рядовыми сотрудниками салонов, это — «слабое звено» системы. Но наказание одному из них не остановит других любителей легких денег. Решать эту глобальную проблему нужно на более высоком уровне.

Что я предлагаю

  1. Подозреваю, что есть целая куча «звоночков», которые говорят, что данные пользователя вызываются с целью пробива. Почему они не срабатывают? Например, я живу в Москве, а пробив был осуществлен в Рязани. Да даже если моей симки нет в соте салона, это уже повод для службы безопасности позвонить мне и спросить, запрашиваю ли я информацию по собственному номеру. Опять же, если оператора салона начинает интересовать куча людей из разных регионов, разве это не повод задуматься?

  2. А зачем вообще на экран оператора в салоне одновременно выводится столько данных обо мне? Если они будут выводиться частями и с персональным паролем, например, показывается адрес — исчезает ФИО и т.д., то это хотя бы замедлит скорость их добычи. А если при этом ничего не происходит — ни покупок, ни изменения данных или перечня услуг, — это опять же повод сработать триггеру, что что-то здесь не то.

  3. Все-таки признать вину компании в таких ситуациях. Компания несет ответственность за найм сотрудников, которые потом так поступают с данными клиентов, она закупает софт.

  4. Многие эксперты называют повышение штрафов неплохой мерой, но тогда наказывать надо и сотрудников, и в первую очередь, саму компанию.

Если есть еще идеи — делитесь.

Призываем операторов зайти и почитать.

Нет, я понимаю, выгнать с работы спалившегося сотрудника салона и даже посадить его гораздо дешевле, чем дорабатывать ИТ-решения. Но меня сейчас больше заботит безопасность моих данных, а не рост выручки оператора, корпоратив для его сотрудников в Монако и бонусы в размере зарплаты за год.

P.S. По итогам этого текста мы направили запросы всем четырем операторам, «принявшим участие» в нашем тексте, будем держать вас в курсе.

© Habrahabr.ru