Цены российского черного рынка на пробив персональных данных (плюс ответ на ответ Тинькофф Банка)

    В конце прошлого года я делал обзор цен черного рынка на российские персональные данные, и вот пришло время его обновить и дополнить.


    Заодно посмотрим изменение цен и предложений на этом «рынке», а также реакцию «Тинькофф Банка» на вот это вот все.



    Поехали...


    Важно помнить, что анализ предлагаемых данных, услуг и цен на них делался по объявлениям на различного рода андеграундных форумах и площадках. Я не могу гарантировать подлинность предложений третьих лиц по любой отдельно взятой компании или банку. Вся информация в этом обзоре представлена исключительно для ознакомительных целей и основана на информации, влияния на которую я оказывать не могу, соответственно упомянутые в обзоре организации, компании и банки в случае возникновения претензий должны предъявлять их своим службам безопасности.


    «Пробив»


    Для тех, кто не знает, что это такое, поясню: «пробив» – это предоставление информации по конкретному человеку (или юрлицу) из базы данных организации практически в режиме реального времени, инсайдером, то есть лицом, имеющим доступ к этим данным в силу своих служебных обязанностей.


    Можно выделить несколько видов «пробива» — «банковский», «мобильный», «пробив» данных из государственных БД.


    Вначале «банковский пробив»


    — Сбербанк. Выписка по счету/карте физлица. За месяц — от 8,000 до 15,000 рублей, за полгода — от 20,000 рублей.


    По сравнению с прошлым годом заметен значительный рост цены – в 4-7 раз за месячную выписку и в 2-3 раза за полугодовую.


    У некоторых продавцов данных по Сбербанку есть «интересная» услуга – предлагается узнать адреса банкоматов, которыми пользуется клиент. Цена вопроса — от 8,000 рублей за месяц.


    Вообще стоит отметить, что именно по Сбербанку традиционно наблюдается наибольшее количество продавцов и самый широкий спектр услуг. Продают практически всё – от выписок и балансов до кодовых слов.


    — Альфа Банк. Выписка по счету/карте физлица. За месяц — от 1,000 до 9,000 рублей, за полгода — от 6,000 до 20,000 рублей.


    По сравнению с прошлым годом здесь видно снижение цены – в 2 раза за месячную выписку и в 1.5 раза за полугодовую. Однако отмечу, что самую низкую цену предлагает только один продавец, остальные предложения дороже как минимум в те же самые 2 раза.


    — Тинькофф банк. Выписка по счету/карте физлица за месяц от 7,000 до 10,000 рублей.


    По сравнению с прошлым годом здесь также виден значительный рост цены – в 3-5 раз за месячную выписку.


    Отдельно скажу, что по некоторым банкам нет предложений совсем или есть редкие объявления от непроверенных продавцов, не вызывающих доверия. Фактически на рынке «банковского пробива» остались предложения всего по нескольким банкам, указанным выше и все продавцы (а их количество не сократилось) торгуют ими.


    Конечно, есть еще услуги «пробива» юридических лиц, где выбор банков немного шире, но в данном обзоре я рассматриваю только продажу персональных данных.


    Для статьи издания «Коммерсантъ», в основу которой легли данные из моего исследования, официальные представители банка Тинькофф дали весьма интересный комментарий (цитата из статьи):


    В Тинькофф-банке считают «подобные исследования и оценки спекулятивными, так как они исходят от "экспертов", которые используют их в собственных коммерческих интересах», в частности, «вбрасывают на рынок информацию об утечках из конкретных банков, а затем предлагают им свои коммерческие решения». При этом в кредитной организации заявили, что проводят «регулярную проверку объявлений о продаже персональных данных клиентов и во всех случаях эти объявления не имели под собой реальных подтверждений».

    Для подтверждения реальности предлагаемых на черном рынке услуг я решил воспользоваться тем фактом, что являюсь клиентом банка Тинькофф, и заказал месячную выписку (с 24 июня по 26 июля 2019 г.) со своего личного счета (карта Tinkoff Black). Выписка делалась через несколько дней после выхода статьи в «Коммерсанте», по номеру моего мобильного телефона, привязанного к карте, а в качестве результата были присланы фотографии экрана (6 шт.) внутренней информационной системы банка. Срок выполнения «заказа» составил около 3 часов, а его стоимость – 10,000 рублей.



    Все данные в этой «выписке» полностью совпали с данными из выписки, которую я, как клиент банка, получил через интернет-банкинг:



    После этого представитель банка Тинькофф в комментариях Фейсбука признал, что проблема существует и пообещал разбирательство:



    Теперь посмотрим на «мобильный пробив»


    — Билайн. Детализация звонков и СМС абонента за месяц – от 2,500 рублей. Данные абонента по номеру его мобильного телефона – от 400 рублей.


    По сравнению с прошлым годом цена практически не изменилась.


    — МТС. Детализация звонков и СМС абонента за месяц – от 15,000 рублей. Данные абонента по номеру его мобильного телефона – от 900 рублей.


    По сравнению с прошлым годом цена практически не изменилась.


    — Мегафон. Детализация звонков и СМС абонента за месяц – от 20,000 рублей. Данные абонента по номеру его мобильного телефона – от 1500 рублей.


    Цены выросли в 2 раза.


    — Теле 2. Детализация звонков и СМС абонента за месяц – от 8000 рублей. Данные абонента по номеру его мобильного телефона – от 3500 рублей.
    Цены на детализацию выросли в 1.5 раза, а цена на поиск абонента по номеру почти в 2 раза.


    У многих продавцов есть комплексная «услуга» поиска всех номеров абонента (по паспортным данным) по трем операторам (Билайн, МТС и Мегафон), ценой от 3,000 рублей.


    Разовое определение местоположения абонента в среднем стоит от 30,000 до 45,000 рублей (Мегафон, МТС, Теле 2). Исключение только по Билайну – от 2,000 рублей.


    Доступ к содержимому (тексту) СМС – от 150,000 рублей за один месяц.


    Количество предложений и продавцов в секторе «мобильного пробива» значительно превосходит количество предложений и продавцов в секторе «банковского пробива».


    Перейдем к «пробиву» по государственным базам данных


    — ГИБДД (установление собственника транспортного средства, сведения о выдаче водительского удостоверения, история регистрационных действий, штрафы и т.п.) – от 500 до 1,000 рублей за одну операцию.


    По сравнению с прошлым годом цена практически не изменилась.


    — Система «Розыск-Магистраль» (передвижения на самолётах, поездах, автобусах, паромах) – от 1500 рублей за запись.


    По сравнению с прошлым годом цена незначительно снизилась.


    — АС «Российский паспорт» (данные по всем выданным внутренним и заграничным паспортам) – от 1,000 рублей.


    По сравнению с прошлым годом цена практически не изменилась.


    Традиционно в госсекторе много инсайдеров, торгующих персональными данными. Принято считать, что это связано с большим количеством госслужащих и низкими зарплатами в госсекторе.


    Новости про утечки информации и инсайдеров всегда можно найти на моем Telegram-канале «Утечки информации».

    Поделиться публикацией

    Комментарии 318

      +41
      А тинькофф деньги вам не вернул, потраченные на проверочный «пробив»?
        +37
        ха-ха. надо им в чат написать про это
          +15
          Есть мнение, что ответ
          предопределен

            +2
            что ответили в чате?
              0
              "… потом просите" :)
          +37
          Интересно, через сколько месяцев внесут поправки в закон о банковском инсайде, или как он там называется, что данная статья попадёт вот в эту самую категорию инсайда, и публикация таких статей станет незаконной. За статью будет статья, вот такой каламбур-с.
            +4
            Теперь, после того, как вы им подсказали, скоро.
              +3
              Статья про пробив своих данных. Чего тут инкриминировать?
                +38
                Пропаганду пробива, описание методов, очернение госслужб, нарушение устойчивости российской финансовой системы, мало ли что можно придумать…
                  +2
                  Очернение честного частного бизнеска предприимчивого клерка ТКС!
                  Малый бизнес и так страдает, а тут вы ещё…
                    +2
                    Слишком сложно, 128.1 УК РФ — Клевета, до 1 миллиона рублей штраф. Практика показывает, что еще могут обыск провести дома, клевету поискать.
                    +1
                    Насколько я понимаю российские законы,

                    УК РФ 272 ч1,. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации.

                    Информация, защищенная законом, есть, копирование есть. Корыстных мотивов, ущерба или служебного положения, нет, и именно поэтому ч1 упомянутой статьи, а не ч2, 3 или 4.

                    А то, что информация об авторе же — ну, это бы работало, если бы автор в собственный личный кабинет вломился, куда у него доступ и так есть. А доступа к ИС банка у него не было и быть не должно, поэтому копировать полученную оттуда информацию (пусть даже и о самом себе) он права не имел.

                    Если бы не такое широкое освещение в медиа — думаю, автору бы прилетело, Тиньков иногда бывает импульсивен.
                      +5
                      А еще он зафинансировал преступников на 10к рублей.
                        +5
                        Технически говоря, ТС не осуществлял доступ к информации, это делал злоумышленник. Так что тут можно крутить в любую сторону — в зависимости от компетентности адвоката, от полной невиновности до какого-нибудь сговора.
                          +1
                          О, точно, группой лиц по предварительному сговору!

                          На самом деле, двухходовка, которую вы описываете — то есть, два формально не не особо незаконных действия, (или одно из которых не особо незаконно) но неразрывно связанные и вместе составляющие четкую картину правонарушения, уже давно и просто трактуются как правонарушение.

                          Ну то есть все вот эти «какие налоги, какие чеки, какие разрешения, я ему ничего не продавал. Я подарил ему картину, он подарил мне деньги», или там кошелёк из кармана тащит один воришка, и тут же передает его второму. Если первого ловят — у него нет главного вещдока, а второй — он вроде как и не крал… В общем, всё это не работает. И то, что ТС лично не заходил в интерфейс оператора банка — не изменяет того, что информацию, которую он сознательно получил, да при пособничестве сотрудника банка, он получить не должен был.
                            +4
                            Одной из обязательных составляющих преступного деяния является умысел. Нет умысла — нет состава преступления. В данном случае умысел был на выявление дыр в безопасности, а не на незаконное завладение информацией.
                            И, пожалуйста, про «вы ничего не докажете» давайте не будем, мы же обсуждаем формальную сторону.
                              0
                              Умысел — это не то, что автор хотел сделать на самом деле, а то, что пишет следователь в обвинительном заключении. Это если говорить именно о формальной стороне.
                                +2
                                И причем этот идиотизм уже начинает реально работать — помните, пару лет назад в Штатах хотели посадить несовершеннолетнюю девушку за пост своей фотки с обнаженкой в соцсети: ретивый прокурор привлек ее по формальной статье — порнография с участием несовершеннолетних. А что сама себя — так про это в законе ничего не говорится.
                                Этак скоро вскрывать вены, вешаться и травиться перестанут — приехала скорая, откачала, и героя сразу в тюрьму на 10 лет — покушение на убийство. Самого себя, но про это в законе опять же уточнения нет.
                                  +2
                                  Причем иногда этот идиотизм работает во благо. В Финляндии детишек, которые сильно прогуливает школу, судят за нарушение их собственно права на образование и приговаривают к проживанию в воспитательном приюте.

                                  Правда у них в приютах взрослых в два раза больше, чем детей, поэтому сей метод работает хорошо. У нас юридическая техника помещения в приют иная, но работает плохо, потому что у нас в приютах меньше взрослых.
                                    +1

                                    В Германии вот нет права на школьное образование. Вместо него есть Schulpflicht — обязанность детей определенного возраста (различается в разных Землях, находится в промежутке 5 — 17 лет) посещать школу.
                                    За нарушение этой обязанности суд может наложить штраф на родителей. Если же ребенок достиг определенного возраста (в разных Землях по разному, обычно — 13-14 лет), и был сам виноват в прогулах, то суд по заявлению родителей может вместо штрафа назначить ребенку обязательные работы (100 — 300 часов). Дети привлекаются к не требующему квалификации труду (обычно уборка помещений, территории) обычно в различных заведениях социальной направленности (больницы, дома престарелых, детские сады и т.п.). В общем получается так: прогулял школу — поработай метлой.
                                    Ну а в Jugendanstalt (воспитательное заведение закрытого типа для несовершеннолетних) отправляют только в совсем экстремальных случаях. Например если ребенок начинает прогуливать те самые назначенные ему обязательные работы.

                                      0
                                      судят за нарушение их собственно права
                                      Это, простите, что-то немыслимое. По такой логике выходит, что права и обязанности — это одно и тоже. Мечта наших отцов народа. Можно, к примеру, издать указ, в котором будет явно прописано ваше право публично хвалить государя в комментариях на хабре. Соответственно, если вы этого не будете делать, то вас можно увозить в «воспитательный приют», т.к. вы нарушаете своё собственное право.

                                      Я к тому, что если ходить в школу — это обязанность детей, то так и нужно говорить. Иначе это подмена понятий и, как следствие, нарушенное мышление.
                                        0
                                        Такое бывает и с другими правами.

                                        Например, есть право на жизнь. Но если вы совершили неудачный роскомнадзор, то ваш будут принудительно лечить в психушке. Собственно за отказ от собственного права на жизнь.

                                        Есть право на жилье. Если вы его не используете, вы нигде не зарегистрированы. И из-за этого теряете в других правах. То есть любой документ, где требуется регистрация, вам не получить. Например, с полисом ОМС — огромные проблемы.

                                        Могу ещё несколько примеров привести. Так что бывает такое.

                                        P.S. Разумеется то относится не ко всем правам. Но для некоторых — отказ от права наказуем.
                                          0
                                          Не стоит ли из этого заключить, что на самом деле речь идёт об обязанностях? Само по себе наказание человека за то, что он не пользуется своим правом — абсурд. Наказать можно только за невыполнение обязанностей, но никак не за нежелание пользоваться правом.
                                            –1
                                            Почему? Из каких аксиом это вытекает?

                                            «Право» означает, что вы можете его использовать разными способами. Но откуда вытекает, что вы имеете право совсем отказаться от использования любого права?
                                              +1
                                              Но откуда вытекает, что вы имеете право совсем отказаться от использования любого права?
                                              Из смысла слова «право» в русском языке. Право — это предоставленная возможность, но не обязанность. Иначе бы не было никакой разницы между правами и обязанностями.
                                                0
                                                Это юриспруденция, забудьте про русский язык и здравый смысл. По смыслу — «несовершеннолетний» — это одно понятие. А у юристов — два разных, одно в ГК, другое в УК.

                                                И в УК у нас "Несовершеннолетними признаются лица, которым ко времени совершения преступления исполнилось четырнадцать, но не исполнилось восемнадцати лет."

                                                Русский язык, ау? Здравый смысл, ау? Нету их. Есть законы.

                                                Мне лень искать источники, но вот вам вики:

                                                Если правоотношение урегулировано диспозитивной нормой, управомоченный субъект может отказаться от принадлежащего ему права, в том числе передав его другому субъекту (такой отказ, будучи юридическим действием, прекращает либо изменяет правоотношение).

                                                Если общественное отношение регулируется императивной нормой, то отказ от соответствующего субъективного права не имеет юридической силы (к правам такого рода относятся, в частности, права человека).
                                                  0
                                                  Я не спорю по поводу того, что здравого смысла в этом нет. Однако, юриспруденция сама основана на обычном языке и, если подходить рационально, никак не может превалировать над ним, иначе вообще станет не ясно, за что судят человека. Т.е. человек в суде будет говорить, что никого не убивал, а ему скажут что-то из серии: «Вы просто не понимаете юридического языка». Опять же, я согласен с вами, что в реальности всё печально, и на практике порой происходят откровенно абсурдные ситуации, но я ведь с того и начал, что высказал мнение против подобных практик. Считаю, что это одурачивание людей и поле для жонглирования понятиями и законами.
                                                    0
                                                    Мне кажется, что рациональный подход (с точки зрения домохозяйки) не применим. И не только к юриспруденции, но и к программированию.

                                                    Ну что рационального (для домохозяйки) в том, что 1 и 1.0 имеют разные битовые представления? Мы к этому привыкли и понимаем причины.

                                                    Видимо и юристы понимают необходимость прав, отказаться от которых нельзя. Вроде права на жизнь vs эвтаназии.

                                                    Кстати, ещё есть личные права, которые не передать по доверенности, вроде права на написание завещания. Они тоже не очень рациональны (для домохозяйки).
                                                      0
                                                      Видимо и юристы понимают необходимость прав, отказаться от которых нельзя
                                                      Чем вообще в таком случае права отличаются от обязанностей?
                                                        0
                                                        Из вики: субъективное право определяет меру и пределы возможного (т.е. дозволенного) поведения правомочного субъекта в отличие от обязанности — меры до́лжного поведения, и запрета — меры недопустимого поведения

                                                        Вы имеете право работать. Вы сам решаете, где работать, кем, за какие деньги, по какому графику. Но за тунеядство в СССР была уголовная статья.

                                                        Сравните с обязанностью, ну скажем, платить налоги. Где, как и сколько вы платите — решаете не вы сами, а государство.

                                                        То есть реализацию права вы выбираете сами, а реализацию обязанности выбрать не можете (или этот выбор сильно ограничен).

                                                        Но это лучше к юристам.

                                                        P.S. Ещё один пример. Завести детей — это право, но налог на бездетность в СССР был.
                                                          0
                                                          То есть реализацию права вы выбираете сами, а реализацию обязанности выбрать не можете
                                                          Этим самым вы утверждаете, что право это в принципе вид обязанности, и единственная разница — реализация обязанности. Я с такой трактовкой не согласен. Не лучше ли это назвать определённым видом обязанности, дабы не путать понятие права как возможности, не предполагающей принудительной реализации, с понятием обязанности в том или ином виде?

                                                          Сравните с обязанностью, ну скажем, платить налоги. Где, как и сколько вы платите — решаете не вы сами, а государство.

                                                          Дело в том, что режим налогообложения тоже можно выбирать. Таким образом это в соответствии с вашей же интерпретацией является правом, а не обязанностью. Выходит путаница.

                                                          Можно полно привести примеров, которые никак не вяжутся с тем, что вы предлагаете. Например, я обязан содержать помещение, в котором проживаю, в соответствии с определёнными требованиями неких законов. Как я буду это делать — я выбираю сам, таким образом по-вашему — это не обязанность, а право.
                                                            0
                                                            Я не юрист, поэтому не утверждаю, а объясняю. Но могу и ошибаться. Нет смысла со мной спорить.

                                                            Вопрос о том, кого как лучше назвать — смысла не имеет. Не лучше ли назвать «программу» ну скажем «прокодом», ибо в ней нет ничего про граммы? :-)

                                                            понятие права как возможности, не предполагающей принудительной реализации
                                                            Хорошая мысль. У обязанностей есть принудительная реализация, а у прав нету. Налог на бездетность все-таки очень далек от принудительного совокупления. :-)

                                                            Можно полно привести примеров, которые никак не вяжутся с тем, что вы предлагаете.
                                                            Так я вообще ничего не предлагаю. Просто вместе с вами разбираюсь во взаимосвязи прав и обязанностей.

                                                            По мне, общая обязанность платить налоги не противоречит частному праву на выбор налогового режима. Кстати, если этот выбор вас касается — от него нельзя отказаться, ибо все равно какой-то режим будет выбран по умолчанию.

                                                            Знаете, что? Понимайте этот так. У любой переменной в Си есть значение. Оно может быть неопределенным, но какое-то значение всегда есть. А вот в SQL — бывает NULL, что означает «нет значения». Вы хотите, чтобы везде было как в SQL, но технически — это неудобно.
                                    0
                                    Путаница в терминах получилась. «Формальная сторона» в моём понимании — это то, что произошло «на самом деле» и должно быть отражено в деле, актах и заключениях. Случаи неправомерной, незаконной работы судебной машины здесь неинтересны и я ещё раз прошу их оставить за скобками, чтобы не разводить флейм.
                                    У вас есть мысли насчёт того, что произошло на самом деле между автором и банком Тинькофф?
                                      0
                                      Автор в результате не пострадал. Он просто получил данные о себе, и заяву сам на себя писать не будет. А вот сотрудник, незаконно сливший данные на сторону неавторизованному пользователю, вдобавок получивший за это финансовое вознаграждение — злоупотребляет положением, и есть статья.
                                      0
                                      Так получается, что умысел на получение информации всё равно был. А то, что делалось это для выявления дыр в безопасности, не играет никакой роли.

                                      Отсутствие умысла в данном случае было бы в том случае, если бы автор не хотел получать выписку со счета, а просто спросил, возможно ли это сделать, на что продавец не просто ответил бы ему «возможно», а осуществил доступ и предоставил данные.

                                      Т.е. автор хотел получить эти данные? Хотел. Производил целенаправленные действия для получения данных? Производил. Умысел налицо.

                                      Если бы автор не хотел получать эти данные, и действий, направленных на их получение, не производил, но данные все равно оказались бы у него, то умысла не было бы.
                                        0
                                        автор хотел получить эти данные?

                                        Ну нет же. Автор хотел получить другую информацию — о возможности неправомерного доступа. Ему не нужна была информация о себе самом!
                                        Если я шатаю забор для проверки прочности, хочу ли я его сломать, есть ли у меня умысел на доступ к охраняемой забором территории?
                                          0
                                          Автор хотел получить другую информацию — о возможности неправомерного доступа.

                                          Как я уже написал:
                                          Отсутствие умысла в данном случае было бы в том случае, если бы автор не хотел получать выписку со счета, а просто спросил, возможно ли это сделать, на что продавец не просто ответил бы ему «возможно», а осуществил доступ и предоставил данные.

                                          Если я шатаю забор для проверки прочности, хочу ли я его сломать, есть ли у меня умысел на доступ к охраняемой забором территории?
                                          В данном случае аналогия будет такой: для проверки прочности забора, вы наняли человека с инструкцией: «Сломай забор». После этого человек его благополучно сломал, получив за это от вас деньги.

                                          Автор же не пентестил сайт банка для проверки его на уязвимости (шатал забор для проверки прочности), чтобы потом разбираться, хотел ли он просто взломать сайт или скачать с него охраняемые данные. Автор заплатил за результат — выписку по счету (ценную вещь с охраняемой забором территории).
                                            0
                                            Если бы автор просто спросил, он бы не получил требуемого, а требовалось ему достоверное свидетельство о наличии уязвимостей, в которое можно было бы ткнуть носом сомневающихся. Ещё раз — не список своих собственных транзакций, которые он мог получить штатным путём.
                                            С понятием информации вообще тонкий момент — то, что ничего не меняет для субъекта (наблюдателя), информацией и не является — ценной вещи автор за деньги не получил. Он получил данные, которые не несли информации. Точнее, не несли охраняемой законом информации. Если бы он заказал выписку с чужого счёта, то он бы получил охраняемую информацию, а в данном случае нет. С помощью посредника или без, он провёл именно тестирование уязвимостей и получил информацию, разрешённую для получения, а именно о надёжности хранения данных в банке Тинькофф. Клиент банка имеет полное право на достоверную информацию подобного рода.
                                              0

                                              Если говорить о том, что автор не получил информации, к которой у него не было допуска, то выходит, что отсутствует одна из составляющих преступления — не состоялось нарушение банковской тайны, не произошло нарушения ничьих прав на какую-либо тайну (смотря, кстати, что за преступление мы пытаемся инкриминировать автору, потому что неправомерный доступ к охраняемой законом информации таки произошел, но это ладно, мы сейчас про умысел).


                                              Мы же обсуждаем умысел на получение своей выписки. Которую, как вы сами сказали, автор хотел получить, чтобы предъявить в качестве доказательства возможности её получения в обход законных процедур. Т.е. ему не просто надо было узнать, можно ли её получить, а ему нужна была сама выписка (вы сами так сказали). И он заказал саму выписку, а не проверку на возможность её получения. Т.е. договор между автором и исполнителем звучал как "дай мне выписку по номеру ххх", а не "проверь, можно ли получить выписку по номеру ххх, и если можно, дай доказательства, что можно". Автор, как вменяемый человек, понимает и отдает себе отчёт в том, что заказ "дай мне выписку по номеру ххх", в случае его успешного исполнения, приведет к получению и предоставлению ему выписки со счета. С учётом того, что автор заплатил за это, и был удовлетворен результатом, о чем свидетельствует эта статья и написанное в ней, автор заранее понимал, что он получит в результате этого заказа и получил именно то, что хотел, т.е. выписку со счета. В этом и есть умысел на получение выписки, т.е. на совершение конкретного объективного действия.


                                              Вы же все время подменяете понятия. Вы говорите, что автор не хотел нарушать чужую банковскую тайну, а потому заказал выписку по своему номеру. Т.е. у него не было умысла на нарушение банковской тайны. Но это работает немного не так, умысел нужен не на то, чтобы стать преступником, а на формально, физически проведенное действие, т.е. на получение выписки.


                                              По аналогии с забором, мы не ищем умысел на "испортить чужую собственность", мы ищем умысел "сломать забор". А если умысел в случае с забором был "достать свою вещь с территории", то этот умысел все равно был, но т.к. эта вещь своя, то самого преступления, т.к. кражи чужого имущества, не произошло (хотя произошло проникновение на охраняемую территорию, но это уже другой вопрос).

                                        0
                                        Одной из обязательных составляющих преступного деяния является умысел. Нет умысла — нет состава преступления.

                                        А если я вас случайно насмерть молотком по голове ударю, или случайно с крыши столкну вам на голову кирпич, или на машине собью не заметив — тоже нет состава преступления?
                                          0
                                          Про случайности и неосторожности есть отдельные статьи, тут не про это.

                                          Предположим, вы пошли на рынок, нашли исполнителя и заказали ему украсть шкатулку с драгоценностями из квартиры. Вашу шкатулку из вашей квартиры. Он её успешно спёр и принёс вам, после чего вы сдали его полиции. Вполне вероятно, что если все будут в адеквате, то вам ничего не предъявят, т.к. собственно и предъявлять-то по большому счёту нечего, состава преступления с вашей стороны нет.
                                            0
                                            Предположим, вы пошли на рынок, нашли исполнителя и заказали ему украсть шкатулку с драгоценностями из квартиры.

                                            состава преступления с вашей стороны нет.

                                            Очень даже есть. Согласное статье 33 УК РФ, в предложеной вами ситуации, «я» соучастник преступления. (к стати, автор этой статьи, теоретически, тоже)

                                            Статья 33 УК РФ. Виды соучастников преступления

                                            4. Подстрекателем признается лицо, склонившее другое лицо к совершению преступления путем уговора, подкупа, угрозы или другим способом.
                                              0

                                              Тут важна субъективная сторона. Если вы сообщили исполнителю (а еще лучше если предъявили доказательства), что это ваша квартира и сказали ему: "Знаешь, я забыл очень важные документы дома, сломай дверь топором и срочно привези их мне" — тут преступления не будет. Если же вы просто сказали: "Вломись в квартиру по адресу такому-то, забери документы и привези их мне" и при этом исполнитель не знал, что квартира ваша, то это однозначно преступление и вы — соучастник (организатор и подстрекатель).

                                                +1
                                                Можно ли говорить о подстрекательстве в ситуации, когда исполнитель сам открыто рекламирует свои услуги? Его никто не склонял к совершению преступления, он имел намерение совершить преступление задолго до вашего прихода.
                                                0
                                                Исполнитель взял шкатулку по просьбе её владельца. О каком преступлении вообще может идти речь? Тут уже скорее, при условии что все будут в адеквате, заказчик рискует получить по 306 ст. УК РФ.
                                            –1

                                            Не понял, какую информацию он не должен был получить? Доступную в его же ЛК выписку? Операции по своей карте, которые он совершал и поэтому информацию эту заведомо имеет?

                                              0
                                              не-не.
                                              вот хоть ту же торговлю свечками в храмах возьмите.
                                              факт передачи товара и денег на лицо, а ккм как не было, так и нет.
                                              подумываю зарегистрировать церковь святого опохмелия и причащать в обмен на пожертвование.
                                              круглосуточно и в передвижных молельных домах.
                                              0

                                              Все норм, пойдёт как "группой лиц по предварительному сговору". Можно ещё роль организатора докинуть.

                                        0
                                        Если человек работает в банке.
                                        Автор, надеюсь, что вы не работаете в Тинькофф?
                                          0

                                          Думаете, что автор так хитро прорекламировал свои услуги?
                                          :)

                                            0
                                            Нет, опасался, что это инсайд… А это видите, теперь карается, все дела. То есть писать банковскому служащему о том, как в этом банке все плохо — нельзя, инсайд же. Акции упадут!
                                          0

                                          Инсайдер — имеющий доступ в силу служебных обязанностей, как-то так, скорее это будет в другой части…
                                          ИМХО проблема в том что искать тех, кто продаёт информацию можно только имея точную информацию о том что, по кому и когда слили, да и то не так просто, но из-за этих уродов в ближайшее время сотрудникам банков запретят пользоваться не только интернетом с рабочего компа (я не про операциониста) но и в принципе своими телефонами (а сейчас уже есть проблема того, что ответы на технические вопросы приходится искать через смартфон)

                                            +1
                                            Ну ТильковБанку это будет сложновато, учитывая, что он хвалится отсутствием офисов. У него же люди по домам сидят и из дома работают. Как тут контролировать? Только собирать в одном месте людей имеющих доступ к перс. данным.
                                            Ну и абсолютно ничего не мешает самому банку делать контрольные закупки и по логам посмотреть, кто пробив делал или Тинькову 10К жалко?
                                              0
                                              нормальная тема) наделать кучу аккаунтов и рекламировать пробив, скидывать любые левые данные и все деньги себе, банк счастлив что слива нету, оператор счастлив с деньгами в кармане
                                                0
                                                В тех местах, где сливают такую инфу, репутация — это все (ибо ни за что другое просто не зацепиться). Новичку будут очень неохотно предлагать хорошо если /10 от среднерыночного ценника. А если ньюфагов-кидал по данному направлению станет слишком много, то еще меньше.

                                                Да и аккаунтов там наделать не выйдет, ибо все по инвайтам.
                                                  0
                                                  Да и аккаунтов там наделать не выйдет, ибо все по инвайтам.
                                                  эх, а я думал тёмная сторона интернета свободна от этих предрассудков) стартап закрылся, даже не начавшись
                                            0
                                            Закон не имеет обратной силы. По идее ;)

                                            Впрочем, если кто-нибудь сделает репост — придраться можно будет к репосту.
                                              0
                                              Примут закон об обратной силе. Делов-то.
                                                0
                                                Это положение конституции РФ, обычным законом тут не обойтись.
                                                  0
                                                  Смотри, дадут срок за упоминание конституции (увы, уже не сарказм)
                                                  Обходят на раз. Самое известное — роспозор против тайны переписки и заодно свободы слова.
                                            +4
                                            Нужно в банковское ПО внедрять водяные знаки, а потом вычислять нарушителя.
                                              +31

                                              Наверняка имея примерное время можно без водяных знаков по логам посмотреть кто запрашивал. Не думаю что там будет большое количество запросов через внутренюю систему.

                                                +7
                                                Если бы банки действительно массово боролись с этими утечками, а не действовали в лучшем случае точечно, а так же «слившему» информацию сотруднику вместо увольнения и штрафа грозил реальный или в самом лёгком случае условный срок, продавались бы только фейки с редким и быстро вычисляемым реальным сливом.
                                                И это только банки. Масштаб проблемы если его озвучить/выложить в месте где его услышат/прочитают хотя бы сотни тысяч, вызовет массовую истерию и панику у правительства. Правда паника правительства ничем хорошим не заканчивается, в первую очередь они заблокируют ресурс где была выложена информация, затем меры могут последовать ещё более идиотские(вроде ареста автора публикации).
                                                  +3
                                                  Правильно, нормальный не ленивый аналитик будет знать, что данные из ИС можно вытянуть не из интерфейса операциониста, а запросом к базе, причём запросом оттуда, где данные и так ходят тоннами (для аналитики, только для аналитики), и логи этих запросов можно будет разбирать до посинения.
                                                    +6
                                                    Для аналитики зачастую логи обезличиваются. Как минимум, имена заменяются на внутренние cli_id.
                                                      0
                                                      В идеальном мире.
                                                      +1
                                                      Проблема в том, что неленивых аналитиков (а также админов и других) с прямым доступом к таким данным — единицы, возможно десятки. Почти все из них чётко осознают последствия и если занимаются таким, то выявить их будет крайне сложно. А ещё за свои услуги они сразу будут просить много. А ещё у них будет достаточно большая зарплата и голова на плечах, чтобы ради не слишком больших денег не рисковать своей свободой.

                                                      А вот «специалистов первой-второй линии поддержки» с доступом через логируемые интерфейсы — сотни, а часто и тысячи. И вот такие как раз на раз палятся на контрольной закупке.
                                                      Тем более, что у них часто не хватает мозгов догадаться, что ВСЕ доступы к любой информации логируются и даже самый тупой безопасник может сопоставить событие «данные Иванова А.А. были проданы 01.01.2019 в 00:45» и запись в логах «сотрудник Петров В.В. заходил в карточку Иванова 01.01.2019 в 00:10», а тут уже и до уголовного дела с реальным сроком недалеко.
                                                      +8
                                                      мм, я очень радовался, после того как пришлось брать карту в сбербанке и мне начали названивать из разных компаний такси с рекламой много лет назад.
                                                      тут даже идиот догадается, что слив из банка.
                                                        –1
                                                        Мы сейчас в США.

                                                        У супруги есть карты нескольикх банков, но только с одном у неё на карте написано не NAME SURNAME а NAME L SURNAMЕ, то есть в банке поставили в середине первую букву отчества. Это было только в этом банке (в котором есть слово America). И теперь, когда нам прилетают офферы на кредитки из всяких других мелких банков и там в поле «кому» есть первая буква отчества, мы сразу знаем, кто слил инфу :)
                                                          +1
                                                          Так если вы расплачиваетесь этой картой через терминал какого-либо банка, то этот банк узнает имя/фамилию указанную на карте. А если вы расплатились где-нибудь онлайн с указанием email/телефона, то вот вам и связь с вашими контактами. В нынешних реалиях, к сожалению, источников слива слишком много.
                                                        0

                                                        Банки может и хотят, но увы это превращается в бюрократию от, иногда, недолёких иб-ников в стиле всё запретить и подложить себе бумажку…
                                                        В принципе многое сделано, но самое сложное понять когда слили, на фото слив вероятно из чего-то похожего на АБС, там найти можно, а что делать если это где-то в 10-й пред прод системе рисковиков по которой ещё документации нет?
                                                        Тут нужна слаженная работа и безопасности и МВД, но вот не быстрое это дело...

                                                          0
                                                          да кого эти сроки останавливают? к примеру, гос эксперт имеет прямую уголовную ответственность, но тем не менее может написать отсебятину, а ты потом попробуй докажи, что он не наврал, а здесь риск попасться невелик, а поощрение в деньгах, судя по статье, норм. так что вопрос цены совести…
                                                          +1
                                                          Если нарушитель не дурак, будет делать эти запросы от другого лица. Как правило, сотрудники не задумываются о внутрикорпоративной безопасности, и украсть пароли у коллег совсем несложно, да и степень защиты (сложность паролей) часто невелика.
                                                          Также у него может быть прямой доступ к базе данных банковской системы.
                                                            0
                                                            Мне кажется, можно и не работать там. Найти друга который там работает и заразить его комп. В некоторых банках люди дистанционно работают. На обучении банковских работников говорят: пароли делать сложными, не хранить их на бумажке и блокировать комп даже если в гостях лучший друг, потому что именно друг может оказаться крысой. Возможно, эти правила писаны чьей-то кровью?
                                                              0
                                                              что мешает такому «другу» воткнуть вам шпиена в систему? вывод — пользуемся дома linux XD без судо
                                                                0
                                                                Что такое Linux XD? Какой-то дистр?
                                                                И да, у меня вполне стоит на одной из домашних машин, для работы. Хотя для поиграться есть ещё комп с виндой.
                                                                  0
                                                                  эх молодежь, молодежь. ну не виноват я, что для вас на хабре автоматически не меняют текстовые смайлы на графические…
                                                                    0
                                                                    Для этого они должны быть на месте и в тему.
                                                              +1
                                                              внутри Сбербанка используются повсеместно iButton. Они их на связке ключей таскают. Это видно и по операционистам, да и знакомого спрашивал. Там даже заявки на ремонт компов через подпись закрываются.
                                                                +1
                                                                Да уж не операционисты таким бизнесом занимаются, можно не сомневаться.
                                                                Quis custodiet ipsos custodes…
                                                                0
                                                                Ну, такое тоже можно отсдедить при желании с помощью какого-нибудь SIEM. Мол, если сотрудник заходит с нового места и начинает запрашивать базу — то это плохой звоночек.
                                                                  0
                                                                  Если служба безопасности не дура, то логируются не только имя пользователя, но и имя компьютера. А получить скрытно доступ к чужому компьютеру гораздо сложнее.
                                                                +3
                                                                зачем? есть же логи! Достаточно разогнать туповатых «погонов» из СБ и набрать на работу нормальных не ленивых аналитиков.
                                                                  +1
                                                                  При условии, что разраб не забил на написание логов в ПО
                                                                    +1
                                                                    Проверить и прикрутить, если еще не прикручено.
                                                                      +2

                                                                      Готов спорить что хранится всё это в каком-нибудь Oracle и лог транзакций там всегда включён.

                                                                        +2
                                                                        Только select не является транзакцией.
                                                                          –1
                                                                          Транза́кция (англ. transaction) — группа последовательных операций с базой данных, которая представляет собой логическую единицу работы с данными.
                                                                          wiki
                                                                          В общем случае наверное скорее является.
                                                                      +2

                                                                      Проще еще чтобы любой доступ к данным клиента, вне рамок стандартных процедур без авторизации клиента (не чат, телефон, отделение) требовал смс подтверждения, код высылать клиенту — типа "Сотрудник банка получает доступ к Вашей информации, сообщите код из приложения банка"? Или чтобы если вы в банк не обращались, вам поступало бы сообщение, о том, что с вашими данными ктото работает из сотрудников. Если операции легальны и доступ к анкете/операциям тоже то не вижу в этом ничего страшного для клиента, сообщения можно высылать по смс/ в чат банковского приложения.

                                                                        0
                                                                        Вроде бы такое, при общении с сотрудниками банка часть действий требует сообщения сотруднику кода из смс.
                                                                          0
                                                                          в Тинькофф Брокере так
                                                                            0
                                                                            И в поддержке самого банка.
                                                                            +1
                                                                            Почему только часть? Само открытие карточки клиента без его авторизованных обращений в банк не требует подтверждения??
                                                                              0
                                                                              Хм, посмотрел историю обращений в банк: когда были проблемы с NFC и шёл отказ операций был запрос кода. Когда было неверное списание с зависшего терминала — не просили код, создали тикет на разбор ситуации. Просмотр состояния счёта в инвестициях — без кода. Ещё одна проблема с бесконтактной оплатой — тоже код. Замена карты — код. Ошибочное зачисление суммы не на тот счёт с конвертацией — тикет, без кода. Перевыпуск карты — без кода. Вопрос со списанием обслуживания карты — код. Просмотр последнего снятия налички — без кода. Консультация и подключение услуги — код.
                                                                              В целом видно, что только часть операций требует этот код. Иногда также запрашивают ФИО, дату рождения и телефон.
                                                                              Скорее всего имеет место быть некий баланс между безопасностью, удобством и скоростью обслуживания, чтобы не спрашивать код на любой вопрос.
                                                                                0

                                                                                Первая линия — нет доступа к вашей информации либо через подтверждение.
                                                                                Запрос ФИО — проверка что вы это вы а не тот кто нашёл телефон (код не поможет).
                                                                                В принципе норм. ситуация когда места с меньшей текучкой имеют более широкий доступ.

                                                                            +1
                                                                            Ок, у меня сломалась мобила/сеть не ловит или я просто ретроград. Что, мне теперь картами пользоваться запрещено будет? Короче есть много всяких НО.
                                                                              0
                                                                              Обычно для этого используют паспортные данные, контрольные слова, контрольные вопросы или одноразовые коды со скретч карты.
                                                                                0
                                                                                Некоторые банки высылают в смс единоразово код доступа. При звонке вам нужно назвать пару цифр из него, чтобы сотрудник осуществил доступ к вашей клиентской карточке. Либо кодовое слово.
                                                                                0

                                                                                Это и так есть, для тех кто работает с клиентом, а что делать с теми кто работает с данными, вот пщапускает аналитик запрос… А оператор миллионами смски шлёт.
                                                                                И с обезличивание не всё так просто, если по хорошему, то того что мы часто можем знать о человеке, может быть достаточно для идентификации, не говоря уже о том что обезличивание платёжки не очень выходит, ибо нет быстрее способа ввести подтип транзакций в АБС под нужды какого либо учёта, чем добавление кодов и спецпоследовательностей в текст описания ;)

                                                                                  +4
                                                                                  Смс: «Подтвердите согласие раскрытия выписки сотруднику МВД»
                                                                                  через час
                                                                                  Смс: подтвердите согласие раскрытия выписки старшему следователю по особо опасным экономическим делам"
                                                                                  Через час «просим вас не выходить из дома, нужно уточнить детали»
                                                                                  0

                                                                                  А нормальный, не ленивый аналитик точно захочет работать за зп тупого погона?

                                                                                    0
                                                                                    Исходя из того что я наблюдал работая в банках — те самые «погоны» как раз таки получают вполне и вполне себе.
                                                                                    А вот спецы с отдела информационной безопасности — не особо…
                                                                                  0
                                                                                  На одной из статей Хабра видел про отслеживание «инсайдера», от которого утекают данные, по автоматически вшиваемым спецсимволам UTF-8 в копируемый им из документов текст. Для каждого пользователя уникальная комбинация символов. Полагаю, в отображаемые, копируемые и логируемые данные можно напихать очень много подобных неявных и неотображаемых идентификаторов, чтобы вылавливать утечку на любой стадии при проверке.
                                                                                    0
                                                                                    Поэтому надо не копировать неотображаемые символы, а фотографировать их на телефон, как это и было сделано.
                                                                                      0
                                                                                      Потому я и упомянул отображаемые идентификаторы. Это может быть как однотонный узор фона, который не бросается в глаза, так и точечки, добавленные под/внутри буквами, картинкой (логотип), с краю экрана, так и ещё очень много способов, если подумать. Мало ли способов скрыть или замаскировать идентификаторы.
                                                                                        0
                                                                                        Способов ровно столько же, сколько способов скрыть их. Фотография экрана на телефон, ее распечатать в чб и отсканировать, потом пофотошопить и еще раз…
                                                                                          0
                                                                                          При условии наблюдения за пользователями, их действиями и подключаемыми устройствами это может стать заметно. Даже если это групповой сговор, то они рано или поздно оставят достаточно следов в системе, чтобы гарантировать вину.
                                                                                            +1
                                                                                            Под наблюдением достаточно делать только снимки экрана. Остальное можно делать в специальном офисе с яркой вывеской «ТРУБА ШАТАЕМ ИНФОСИСТЕМЫ», с бейджем «Иванов И.И, специалист по краже персональных данных 3-й категории».
                                                                                          0
                                                                                          Перепечатают с фото и всё.
                                                                                            +2

                                                                                            Я протру жирным пальцем объектив телефона перед тем, как фотать — и плакали ваши точечки...

                                                                                              0
                                                                                              Невидимые глазу QR с избыточным кодированием уже 100 лет как придуманы
                                                                                            0
                                                                                            В цветных принтерах вшивался (сейчас не знаю, применяется ли такая практика) уникальный код из цветных точек (практически незаметный на рисунке) для поиска при использования принтера в подделке банкнот. На страницах интерфейса тоже можно в «случайных» местах ставить «случайные» пиксели, по которым можно даже по фотографии монитора определить логин пользователя.
                                                                                              0
                                                                                              Вот только после поимки и публичного освещения одного инсайдера таким способом все остальные будут прогонять фотки/скрины через OCR и предавать данные в текстовом виде без закладок.
                                                                                                0
                                                                                                Зачем освещать метод поимки? Его могут знать только следователи и судья.
                                                                                                  +3
                                                                                                  Уголовные дела несекретные, а заседания суда гласные и открытые (за редкими исключениями по особым статьям, подделка бумаг к которым не относится). Любой может придти на любой процесс и слушать, что там говорят.
                                                                                                0
                                                                                                чтобы такое работало, камера должна фотать пиксель-в-пиксель. а фотографировать с такой точностью мы не научимся еще лет 50.
                                                                                                могу еще предложить увлекательный эксперимент: попробуйте любым стеганографическим методом зашить сообщение в картинку, потом сфотать экран на телефон или на профессиональную камеру в идеальных условиях и попробовать считать сообщение.
                                                                                                  0
                                                                                                  любым стеганографическим методом
                                                                                                  любым точно сможет. Три бита закодирую цветом фона, считает без проблем.
                                                                                                    0
                                                                                                    (ಥ﹏ಥ) любым незаметным глазу…
                                                                                                      0
                                                                                                      Странная формулировка. Почему «любым незаметным глазу»? Я например могу некие декоративные элементы на станице иметь, с разным отношение длины к ширине. Если два монитора рядом поставить, может и заметишь различия, если знаешь куда смотреть, но обычный пользователь не догадается.
                                                                                                        0
                                                                                                        Это не формулировка такая, это определение стеганографии) Как вы видите на скриншоте, никаких декоративных элементов там нет. Если менять саб-параметры, например, межстрочное/межбуквенное расстояние на несколько пикселей, на фото не будет видно. А если менять сильно, то пользователю будет видно (глазом воспринимается как непрогрузившееся css). Это сложная задача, поэтому, наверное, в посте мы и видим именно фото, а не скриншоты.
                                                                                                          0
                                                                                                          Это не формулировка такая, это определение стеганографии
                                                                                                          Вы сами подобное определение придумали? Вы сначала предлагаете любым способом внедрить стеганографию чтобы можно было через фотографию определить, а теперь рассуждаете про то как это выглядит сейчас. Не очень понятно про что разговор.
                                                                                                            0
                                                                                                            так я и говорю, что нельзя так внедрить, чтобы можно было определить через фотографию!
                                                                                                            и что не так с моей формулировкой: если я глазом вижу элементы, которых в тексте быть не должно, я могу догадаться, что имеется скрытая передача информации.
                                                                                                              0
                                                                                                              я могу догадаться, что имеется скрытая передача информации.

                                                                                                              Даже если глазу не будет заметно, через какое-то время все равно все узнают.
                                                                                                              Но в целом, не скрывать даже лучше, так как не будут сливать втупую, нагло и дешево, из-за страха быть пойманными.
                                                                                                                0
                                                                                                                А лучше сделать две. Одну явно видную и заметную и вторую скрытую. На всякий случай.
                                                                                                    0
                                                                                                    достаточно просто сделать так, выдача в рабочее время смартов, которые только звонить умеют, чтобы сотрудник не мог фотать что-попало и без связи не остался, мало ли дома какое ЧП, а личные смарты сдаются охране на пост под роспись в журнал. XD
                                                                                              +1
                                                                                              Я не думаю что проблемно найти того кто слил(если жертва заявит о таком факте). Проблема в том что как отличить штатный запрос детализации от нештатного(когда заявления нет, а не будет его вероятно в 99% случаев).
                                                                                                0
                                                                                                Можно и без знаков. Нужно разделить на 3 части:
                                                                                                1) Доступ к файлам базы, тут всё неплохо описано в PCI DSS, немного паранойи, отдельный физически контур с доступом через некое подконтрольное API. Сюда же — резервные копии данных которые обычно не шифруют и хранят вне доверенного контура или доступ к ним не так строго контролируется, также передаваться данные могут не в шифрованном виде (будь то интернет или грузовик)
                                                                                                2) запросы в базу делим на 2 части, автоматизированные (проверки целостности, отмывания денег и прочее, что делается скриптами) — анализируем на аномалии, учитывая что это может быть взлом одной из автоматических систем
                                                                                                3) слив сотрудниками. Логировать, кто куда обратился и с какими фильтрами, в том числе для разделения — это попытка слива всей базы, пробив клиента или легитимная обработка.
                                                                                                Сами логи при этом тоже являются особо важной информацией и нужно ограничить к ним доступ даже для админов, оставив только для СБ, и принять все меры для невозможности их модификации или удаления вне регламента. Удаление только по регламенту, автоматизированно (где-то было обязательство хранить такие логи 5 лет, а потом они не нужны)

                                                                                                Также влить в базу некоторое количество «пустышек» и как-то их актуализировать, периодически добавляя новых. Информации о том что это пустышка не должно быть нигде кроме СБ.
                                                                                                0
                                                                                                Любая информация в мире продаётся и покупается, вопрос только в цене. Больше удручает тот факт, что количество ресурсов, хранящих наши данные, с каждым годом увеличивается.
                                                                                                  0

                                                                                                  Скоро плявится ресурс с более чуткими и конкретными данными и оптом :) С деанонимизацией вме скоро станет возможным

                                                                                                    +8
                                                                                                    Дело не в ее принципиальной доступности, а в том, что этим занимаются рядовые служащие. Все настолько плохо, что даже простые люди, которые в иное время боялись бы наказания, приторговывают тем, что у них есть, по принципу «значит и нам можно» и «мы тоже хотим». Тут как и с футболом: если даже в самом грязном переулке, самые бедные мальчишки пинают самодельный мяч, то у страны есть сильная футбольная сборная.
                                                                                                      0
                                                                                                      Любая информация в мире продаётся и покупается, вопрос только в цене.

                                                                                                      Увеличение цены вопроса на несколько порядков тоже приемлемо.
                                                                                                      А так, страшно становится. Имея доступ к базе можно написать простой скрипт, который покажет тех, кто регулярно снимает в банкомате больше определенной суммы, в определенные дни месяца в определенное время. И найти покупателя на такие данные.
                                                                                                      –18
                                                                                                      Интересно, как с этим обстоят дела в загнивающей Америке и Гейропе?
                                                                                                        0
                                                                                                        А точно также. Мало что ли на всяких ибеях «услуг» по разлочке телефонов и получению информации о них из баз данных? - где сидят такие же кроты, только у провайдеров.
                                                                                                          +3
                                                                                                          Я бы не сказал, что «точно также». Разлочка телефона и выписка из банка — немного разные вещи. Да, здесь бывают моменты типа взлома Equifax и Capital One, где утекают личные данные на сотню миллионов человек, но это сравнительно редкие явления (раз в год), и подобный snapshot — это не то же самое, что готовый рынок подобных данных в реал-тайме. Здесь более распространен угон мобильных номеров и последующий взлом аккаунтов c 2FA и/или восстановлением паролей, но сколько я ни слышал про такие случаи — это были не нарушения правил оператора, а именно что небезопасные правила (т.е. номера угонялись простой социнженерией). Некоторые операторы уже внедрили нечто вроде заморозки, когда симку невозможно сдублировать без личного присутствия с документами в офисе оператора. Еще раз — это совсем не то же самое, когда за 3 часа добывается свежайшая выписка из банка.
                                                                                                            –4
                                                                                                            То есть, спокойненько сделать рабочим краденный/неоплаченный телефон - это, по Вашему, не одно и то же? Этим занимаются точно такие же кроты в операторе, как и те, что данные у банков воруют.
                                                                                                              +2
                                                                                                              Я писал не об этом. Мои слова были про угон номеров, выполняемый с помощью социнженерии. Важное отличие в том, что 1. Социнженерия не предполагает осознанного нарушения закона со стороны сотрудников, и 2. С этим можно хоть как-то бороться изменением политик (т.к. в момент угона номера сотрудник не осознает наличия проблемы, и смена инструкций на более устойчивые к СИ будет воспринята и исполнена). Кроты — это судя по публикуемым здесь новостям и косвенным данным, куда менее частое явление, и уж точно не настолько распространенное, как в России.
                                                                                                                0
                                                                                                                А я как раз пишу о том, что кроты - достаточно частое явление у американских операторов связи, иначе не было бы на ибеях тысяч объявлений вида "%operatorname% premium unlock service", которые работают и удаляют imei из блэк-листов операторов. Это вам не социнженерия.
                                                                                                                  +1
                                                                                                                  То, что мне удалось найти, рекламируется только для «чистых», не украденных телефонов, не прописанных в стоп-листах. Представляю, что «исключения» могут быть сделаны, но с трудом верится, что такие аккаунты могут иметь по 600+ фидбэков на на том же eBay и не блокируются площадкой по первому же запросу от оператора. Видимо к конкретике, которой они занимаются, прикопаться сложнее, чем было бы, будь это явно незаконная деятельность кротов.
                                                                                                                    0
                                                                                                                    Ну Вам слабо верится — а многие, в том числе и я, успешно пользуются. Прощайте, дальше с Вами дискутировать мало смысла.
                                                                                                                      0
                                                                                                                      Спасибо за инсайд. Позволю себе поинтересоваться, есть ли у подобных действий какая-либо цель, не связанная с нарушением законов (к примеру, разлочка/сбыт краденых телефонов)?
                                                                                                                        0
                                                                                                                        Мой кейс - купил на ибее телефон, у которого в описании было всё прекрасно. По приезду из США оказалось, что на нём висит невыплаченный кредит - телефон не даёт пользоваться никакими симками. За умеренную цену и пару дней ожидания всё было сделано. Всего таких случаев в моей практике было три. Незаконные кейсы мне не интересны, но по утверждениям некоторых продавцов они любые, в том числе и blacklisted (ворованные) могут очищать.
                                                                                                              +2

                                                                                                              Два года назад после ливня я пришел в салон T-Mobile в Нью-Йорке и попросил поменять симку, ибо старая от ливня кончилась. Мне потребовалось только назвать свой номер и дать старую симку, которую сотрудник повертел в руках и выкинул (то есть, я мог дать произвольную).

                                                                                                                0
                                                                                                                Я бы после такого накатал жалобу. Иначе когда-нибудь она может кончиться не от дождя. Verizon несколько лет назад начал требовать присутствия в офисе, мне казалось, T-Mobile тоже, но видимо что-то пошло не так (тм).
                                                                                                                  0
                                                                                                                  Как вариант он не просто «повертел» симку, а сверил указанный на ней ICCID с тем, чтоб в базе данных.
                                                                                                            +16
                                                                                                            У мобильных операторов разговоры из «пакета Яровой» еще не предлагаются?
                                                                                                              +9
                                                                                                              :sarcasm
                                                                                                              Ну судя по заголовку новости от 30 июля:
                                                                                                              «Ростелеком» впервые закупил системы хранения данных по закону Яровой
                                                                                                              Ждём новые пакеты услуг =D
                                                                                                              :sarcasm
                                                                                                                0
                                                                                                                3 миллиарда отработать надо, конечно появятся такие сервисы.
                                                                                                                  0
                                                                                                                  Клиенты уже всё оплатили! Теперь можно в плюс работать
                                                                                                                0

                                                                                                                Мне три пакета Яровой и немного Клишаса на сдачу.

                                                                                                                  0

                                                                                                                  Зачем вам такой тухляк?

                                                                                                                +10
                                                                                                                Плюс с вышеприведенному, можно наверное ожидать продажу данных с Яндекса. Вот где разгуляться-то можно — где и что ел, куда ездил, что смотрел, слушал, говорил, где и что покупал, чем интересовался в поиске, с кем дружил и прочее.
                                                                                                                  +15
                                                                                                                  да, Вы правы. есть пробив по Уберу и Яндекс.Такси
                                                                                                                    0
                                                                                                                    А по Google и Apple?
                                                                                                                      0
                                                                                                                      а есть сливы по умным колонкам и записи разговоров?
                                                                                                                      +3
                                                                                                                      Яндекс.Пробив
                                                                                                                        +1
                                                                                                                        После национализации Яндекса и такой сервис будет. Но видимый только для уважаемых людей из «компетентных структур»©.
                                                                                                                      –17
                                                                                                                      Цена растет из-за ваших (и других подобных постов). Вот сейчас тиньк прибьет у себя канал утечки, но найдется другой, который просто будет стоить дороже.
                                                                                                                      Спрос неэластичный, так как данный «товар» всегда будет востребован и всегда будут пути слива.

                                                                                                                      Это как «борьба» с наркотиками
                                                                                                                        +28

                                                                                                                        Вот и славно, что цена растёт. Любопытных обывателей будет меньше, останутся только профессионалы.

                                                                                                                          +1
                                                                                                                          С одной стороны это хорошо, с другой — настанет момент, когда дешевле будет заплатить господину майору, чем сотруднику провайдера или банка (который получит данные через «пакет» или другим законным способом). И тогда цены стабилизируются очень на долго.
                                                                                                                            +2
                                                                                                                            Цена растет из-за ваших (и других подобных постов).

                                                                                                                            Вы приверженец Security through Obscurity?
                                                                                                                              0
                                                                                                                              А я бы предпочел схему, где нужна авторизация, что бы получить информацию о клиенте. Элементарное кодовое слово… не сверка с тем, что указано в базе, а оператор должен ввести то слово, которое ему сообщит клиент. Прям как пароль. И если оно совпадает, то только тогда можно просмотреть данные.
                                                                                                                              +21
                                                                                                                              В атмосфере всеобщего поклонения баблу и уверенности в безнаказанности воровства, некоторые клерки думают о приемлемости подобного «заработка» (нуачо, они воруют, а мне — нельзя?).
                                                                                                                              А вот если за торговлю такими данными начнут давать большие сроки и дикие штрафы, освещая в СМИ каждое подобное дело, то этот «бизнес» сойдёт на нет. Желающих торгануть поубавится, цены сильно повысятся, не каждая банда наберёт денег на такую покупку.
                                                                                                                              К тому же, тут широкий простор для применения ИИ: выявление нехарактерных действий пользователя; действий, не связанных с выполнением служебных обязанностей и пр.
                                                                                                                                +27
                                                                                                                                Да вы что, это же работать надо, контрольные закупки делать, протоколы оформлять, дела писать, прокуратуру напрягать. На защиту детей от опасного интернета времени не останется.
                                                                                                                                  +1
                                                                                                                                  не сойдет (пример, наркоторговля). Только цена повысится. Плюс возможен выход на новый уровень: агрегаторы всех возможных персональных данных и продажа их уже на уровне b2b, а не p2p, как сейчас.
                                                                                                                                    +9
                                                                                                                                    Наркотики — не тот пример. «Дурь» нужна зависимым от неё людям. Родную мать продадут за дозу.
                                                                                                                                    А данные о богатеньких нужны бандитам и мошенникам. Эти не станут покупать данные, если цена не отобьётся грабежом или обманом. Просто сменят подход.

                                                                                                                                    На негодяев действует не строгость наказания, а его неотвратимость, поэтому «новый уровень» будет сомнительный. Клерки перестанут продавать из-за огромного риска: срок и голая задница на многие годы станут весьма вероятны, не то, что сейчас.
                                                                                                                                    Те, кто сможет продать оптом (начальники и админы), и так не хило получают, и дальше хотят получать. Мараться не станут.

                                                                                                                                    Рынок этих данных реально сожмётся, ибо исчезнет массовость, останутся «реальные дядьки», охотящиеся на крупную дичь.
                                                                                                                                    Уже неплохо.
                                                                                                                                      0
                                                                                                                                      Покажите мне компанию, в которой админы неплохо получают. Это не Сбер и не Тиньков точно.
                                                                                                                                        +1
                                                                                                                                        Чукча — не читатель?
                                                                                                                                        Речь в статье идёт именно о них, родимых.
                                                                                                                                          +1
                                                                                                                                          Ну так это тоже следствие «невысокой цены».

                                                                                                                                          Повысится ответственность за утечки (неважно как, преследование по закону, общественный резонанс или ещё что-то), появится стимул минимизировать риск утечки. А это не только технические меры, но и сотрудники, которым есть что терять. Хорошо зарабатывающий сотрудник трижды подумает, рисковать ли сложившейся карьерой или сдать предложившего подзаработать в СБ, как потенциальную угрозу.
                                                                                                                                            +1
                                                                                                                                            1. Неплохо это сколько?
                                                                                                                                            2. Админы разные бывают, речь про которых? Не думаю что DBA кормят плохо хоть в сбере, хоть в любом банке из топ-100.
                                                                                                                                              +1
                                                                                                                                              Т.е. вы хотите сказать, что админы в Сбере мало получают? Какой у них грейд у админов? От 9 до 11-го? С этим на еду не хватает?
                                                                                                                                              Уж не говорю, что если вскроется, то потом ни в банк, ни к ОПСОСам, ни в сетевой ритейл с такой «историей» не возьмут.
                                                                                                                                              +1

                                                                                                                                              Есть много людей которые не разделяют точку зрения о том, что наказание должно быть не только соизмеримо деянию но и оказывать профилактический эффект на окружающих. Многие считают что за первое воровство надо чуть ли не по голове погладить и помочь исправиться, в такой среде, на мой взгляд, отлично уживаются безпринципные жулики, увы.

                                                                                                                                            –1
                                                                                                                                            А вот если за торговлю такими данными начнут давать большие сроки и дикие штрафы, освещая в СМИ каждое подобное дело, то этот «бизнес» сойдёт на нет. Желающих торгануть поубавится, цены сильно повысятся, не каждая банда наберёт денег на такую покупку.

                                                                                                                                            Правительство прилагает все усилия, чтобы 'свести на нет' такой бизнес. Недавно же только новость про 'отжим яндекса' была.
                                                                                                                                              +1
                                                                                                                                              А вот если за торговлю такими данными начнут давать большие сроки и дикие штрафы, освещая в СМИ каждое подобное дело

                                                                                                                                              Если в СМИ просто разрешить одну реально независимую колонку, то жить мы будем совсем по-другому.

                                                                                                                                                0
                                                                                                                                                На въездных воротах города Jüterbog в Германии прибит деревянный щит с большим железным топором и на щите написано, что этим топором были отрублены руки последнему вору города в 1786 году.
                                                                                                                                                Другие методы вряд-ли помогут.
                                                                                                                                                +1
                                                                                                                                                заказал месячную выписку (с 24 июля по 26 августа 2019 г.)
                                                                                                                                                Судя по скриншотам, наверное, с 24 июня по 24 июля?
                                                                                                                                                  +2
                                                                                                                                                  да, сорри. опечатка
                                                                                                                                                  +6
                                                                                                                                                  В качестве эксперимента было бы неплохо видеть такие расследования в фокусе чинуш/депутатов, особенно тех, что на людях «кричит» в таких вопросах. Только делать такое нужно анонимно, конечно. Пробить пару чинуш и выложить анонимно всю подноготную(адреса, паспортные данные, состояния счёта, СМС любовницам, кодовое слово) — авось кто-нибудь зачешется. Мечты…
                                                                                                                                                    +18
                                                                                                                                                    Точно зашевелятся. Но в первую очередь в сторону поиска «анонима».
                                                                                                                                                      +10
                                                                                                                                                      Могу подтвердить этот факт, лично видел людей, представившихся сотрудниками отдела К, которые выясняли у провайдера персональные данные человека, писавшего на форуме компромат про чиновника. Они приходили несколько раз и им были интересны только имена людей, писавших то или иное. Странно даже не это, а то как радостно их принимали: «бросайте дела, будем искать, они тогда с нами дружить начнут». Это было несколько лет назад, еще до пакета яровой.
                                                                                                                                                        0
                                                                                                                                                        Я тоже сталкивался с этим. И, дайте угадаю, официального запроса не было?
                                                                                                                                                          +23
                                                                                                                                                          Вы правы. Пришли два человека, показали корочки и директор был готов для них на все. Пока они разговаривали, я удалил логи и к общей досаде, не смог их потом обнаружить. А потом уволился, но вот уверенность, что и меня тоже продадут даже не за копейки, а за намеки, теперь со мной.
                                                                                                                                                      0
                                                                                                                                                      авось кто-нибудь зачешется

                                                                                                                                                      Будет показательная казнь и хороший повод закрутить гайки еще на полоборота для каких-нибудь месседжеров.
                                                                                                                                                        0
                                                                                                                                                        а ты думаеш расследования про состояния и собственность чиновников каким образом в прессе появляются? ))
                                                                                                                                                          +1
                                                                                                                                                          я думаю, что наличие пачки данных в паблике, и расследование с их помощью — разные категории.
                                                                                                                                                        +4
                                                                                                                                                        Я не понимаю, почему действительно крупным корпорациям, вроде банков из ТОП 10 или операторов сотовой связи сложно бороться с такой пробивкой?
                                                                                                                                                        Лицо слившее данные, можно определить элементарной контрольной закупкой и сопоставлением обращений к этим данным из логов.
                                                                                                                                                          –6
                                                                                                                                                          Никто не логирует все запросы к БД. Никакого хранилища не хватит, что бы логировать запросы на чтение. Обычно логируют только запросы на изменение данных. И то, при масштабах того же Тинькова, а уж тем более Сбера — это будут десятки если не сотни гигабайтов данных в час.
                                                                                                                                                            0
                                                                                                                                                            Есть и другие методы — например получение фактов просмотра конкретных экранов конкретным человеком непосредственно из трафика. Вот только у безопасников обычно не так уж горит, чтобы всем вот этим заниматься, хотя первых особо эффективных обычно ловят меньше чем через месяц от начала пилота, проверено на реальных банках ;)
                                                                                                                                                              +13
                                                                                                                                                              По своему опыту скажу-как раз безопасники часто такими данными и торгуют. «Что охраняешь то и имеешь» (С)
                                                                                                                                                                0
                                                                                                                                                                Дык, надо увеличить расход скипидара, выделяемого на СБ, чтоб горело сильнее. :-)
                                                                                                                                                                +7
                                                                                                                                                                Зачем логировать все запросы к БД? Инсайдеры данные берут не через консоль ведь. Явно через интерфейс для операторов, который работает через некий метод, который обращается к модели.

                                                                                                                                                                И есть большая уверенность что обращение к БД таким образом так или иначе уже логируется (каждое обращение пользователя определённо точно хранится в системе).
                                                                                                                                                                  +6
                                                                                                                                                                  У некоторых весь трафик пишется. А вы говорите что доступ к приватной информации не логируют. Это можно объяснить только безалаберностью. Для мобильных приложений логируется каждый чих, чтобы смотреть тенденции в поведении пользователей. Так и своих работников надо мониторить и смотреть каждый чих и запрос. И если будут подозрения в сливе инфы, это будет явно видно.
                                                                                                                                                                    +1
                                                                                                                                                                    Логировать просмотры оператор/клиент — это три копейки. Это же не соц сеть из сотен миллионов юзеров.

                                                                                                                                                                    К тому же, это не очень чувствительные данные, можно обойтись без оракла, HP-сервера, сертификация от регулятора, тогда вообще о стоимости хранения и говорить не стоит.
                                                                                                                                                                      0
                                                                                                                                                                      Не знаю как сейчас, но раньше регулятору нужна была бумажка на критические системы, а как оно реально реализовано — регулятор уже не разбирался.
                                                                                                                                                                      +4
                                                                                                                                                                      Никто не логирует все запросы к БД. Никакого хранилища не хватит, что бы логировать запросы на чтение.


                                                                                                                                                                      А все и не надо. Достаточно внести в систему ханипоты — фэйковые клиенты, при запросе которых СБ получает соответствующее уведомление. Ну и периодически «закупать» пробивку ханипотов.
                                                                                                                                                                        0
                                                                                                                                                                        что такое сотня гигов в час в 2019 году для банков с их миллиардными бюджетами, когда уже в пользовательском сегменте продаются винты на десятки терабайт?
                                                                                                                                                                        Это всего-то 200мбит/с трафика
                                                                                                                                                                          +1
                                                                                                                                                                          Там не то что все логируется, там запись экрана оператора пишется в видео онлайн. Так что найдут элементарно
                                                                                                                                                                          0
                                                                                                                                                                          Потому что всем нужен удобный быстрый инструмент получения информации в обход закона. Кому бизнес-партнёра пробить, кому любовницу, кому знакомого мента
                                                                                                                                                                            0

                                                                                                                                                                            К вариант проблема в том, что банк должен заплатить жуликам, чтобы поймать инсайдера. При этом наверняка 99% таких жуликов — мошенники. Т. е. денежки заплатил, а в ответ ничего. Банк должен е