Može li se verovati data brokerima?

Sajber hronika, 22.10.2013, 08:17 AM

Američko tužilaštvo optužilo je dvadesetčetvorogodišnjeg Vijetnamca Hieu Minh Ngoa za krađu i prodaju ličnih podataka stotine hiljada ljudi, a otužnica protiv Ngoa koja je podignuta još u novembru prošle godine otpečaćena je tek prošle nedelje. Ngo je uhapšen u februaru ove godine pošto je najpre namamljen na Novi Zeland odakle je isporučen SAD.

Tužilaštvo tvrdi da je Ngo zajedno sa svojim saradnicima prodavao brojeve socijalnog osiguranja, datume rođenja, brojeve vozačkih dozvola i druge podatke više od pola miliona ljudi. Mnogi od ovih podataka kupljeni su od kreditnog biroa Experian, koji je sada navodno pod istragom tajne službe SAD. Experian je pored TransUnion i Equifax jedan od tri glavna kreditna biroa u SAD koji prikupljaju podatke o američkim građanima, kao što su informacije o plaćanju kredita, podaci o dugovanjima građana, podaci o radnom mestu i mestu stanovanja, zatim podaci o tome da li je neko bio hapšen, tužen ili podneo zahtev za bankrot i druge informacije o građanima. Ti podaci se prodaju bankama, poslodavcima, osiguravajućim društvima i drugim kompanijama koje žele da provere nečiju prošlost i tekuće obaveze kao što su one koje se tiču plaćanja kredita i pozajmica.

Ono što je posebno zanimljivo u ovom slučaju je da Experian, između ostalog, prodaje i sopstvenu liniju usluga za sprečavanje krađe identiteta. To znači da je kompanija bila u poziciji da istovremeno zarađuje od podataka koje je prodavala servisima za trgovinu ukradenim identitetima Supeget.info i findget.me kojima je rukovodio Ngo ali i da ostvaruje profit od servisa za prevenciju krađe identiteta. Ngo je izgleda podatke dobijao od Court Ventures, kompanije koju je u martu prošle godine kupio Experian.

Ngo se predstavljao kao američki privatni istražitelj i tako na prevaru dobijao pristup bazama podataka US Info Search, kompanije sa kojom je kompanija Court Ventures imala ugovor o saradnji.

Mark Martin, direktor US Info Search je rekao Brajanu Krebsu, novinaru koji je dugo istraživao ovaj slučaj, da je o svemu ovome prvi put čuo kada ga je kontaktirala američka tajna služba. Vlasti su obavestile Experian da Court Ventures prodaje podatke US Info Search-a vijetnamskim kriminalcima koji ih potom koriste za svoj servis na kome se prodaju ukradeni identiteti. Martin smatra da su Experian ili Court Ventures morali ranije da otkriju curenje informacija, s obzirom da su uplate od Superget.info Experian-u dolazile iz Singapura. Direktor US Info Search-a je rekao Krebsu da je ugovor obavezivao Court Ventures da podatke prodaje samo ovlašćenim američkim kompanijama, ali je Court Ventures prekršio ugovor prihvatajući uplate iz Singapura.

Prevara je uspešno funkcionisala više od godinu dana.

Servisi kojima je rukovodio Ngo bili su specijalizovani za prodaju „fullz“, što je izraz koji kriminalci koriste za pakete informacija pomoću kojih je moguće utvrditi nečiji identitet i u koje spadaju ime i prezime, adresa, datum rođenja, kompanija u kojoj je zaposlena žrtva krađe identiteta, radni staž, broj socijalnog osiguranja, devojačko ime majke, brojevi računa, email adrese i lozinke naloga. Dva servisa kojima je rukovodo Ngo su prodali podatke oko pola miliona ljudi.

Krebsova istraga nametnula je pitanje bezbednosti podataka koje prikupljaju i čuvaju data brokeri koji znaju najintimnije pojedinosti o stotinama miliona ljudi širom sveta. Trgovci podacima su se pojavili onda kada je internet počeo da prerasta u mašinu za prikupljanje informacija o korisnicima koje se prikupljaju pomoću kolačića i drugih sredstava za praćenje korisnika na internetu. Podaci se prodaju svakom ko može i želi da plati za njih. Brokeri koji trguju tim podacima uglavnom su okrenuti marketing agencijama koje su zainteresovane za ove podatke kako bi ponudile relevantnije reklame korisnicima. Krebsovo otkriće dobro ilustruje opasnosti koje nosi prikupljanje personalnih informacija korisnika i njihovo čuvanje u online bazama podataka.