Ключевая

За последние несколько дней уже у пяти чеченских оппозиционеров похищены родственники.

 22 декабря: Тумсо Абдурахманов

Тумсо Абдурахманов заявил, что ночью силовики похитили его двоюродных дядьев — Мовлды, Мусу и Мовсара Абдурахмановых, троюродного брата Мохмада Абдурахманова, а также братьев его матери — Саламбека и Муслима Хасаровых.

Он связал похищение с критикой его брата Мухаммада Абдурахманова в адрес главы парламента Чечни Магомеда Даудова.

27 сентября около 30 силовиков приходили к родственникам Абдурахманова и угрожали «кровной местью», если блогер не прекратит критиковать главу Чечни.

24 декабря шестерых из девяти похищенных родственников Тумсо Абдурахманова отпустили. Не известно, где сейчас находятся дядя, двоюродная сестра и племянник блогера.

Минкаил Мализаев рассказал, что его родственников похитили и подвергли пыткам. Видеообращение Мализаева опубликовал телеграм-канал «Осторожно, новости».

По словам Мализаева, неизвестные прислали ему фотографии его матери и жены в обнаженном виде, а мужчина по имени Хасан требовал прекратить критику властей.

«Позавчера забрали всех моих родственников и по отцовской, и по материнской линии — мужской пол, женский пол. До сих пор их пытают, избивают, насилуют, издеваются над ними. Мне отправили несколько фотографий моих голых родственников-женщин. Где они находятся, никто не знает».

Чеченская правозащитная ассоциация "Вайфонд" сообщила о похищении родственников своего учредителя Мансура Садулаева.

В Чечне задержаны близкие родственники Садулаева: Хасан Хасанов, Хусей Хасанов и Ибрагим Хасиев, сообщается на странице организации в фейсбуке. В настоящее время местонахождение похищенных не известно.

Мансур Садулаев является одним из последовательных критиков политики главы Чечни Рамзана Кадырова. Ассоциация "Вайфонд", которую он возглавляет, помогает чеченским беженцам в странах Европы.

Ссылка на новость.

24 декабря: Аслан Арцуев

Активист из Чечни и директор правозащитной организации Human Rights Center Ichkeria Аслан Арцуев сообщил о задержании его родственников чеченскими силовиками.

На данный момент Арцуев проживает в Германии. Как рассказал активист, вечером 22 декабря ему сообщили о задержании его двоюродных братьев Хизира Абдулмуслимова и Селима Аслаханова, дяди Султана Арцуева и троюродного брата Мусы Арцуева. По мнению Аслана Арцуева, к задержанию его родственников причастны сотрудники ФСБ и начальник ОМВД по Ачхой-Мартановскому району Чечни.

Произошедшее активист связывает со своей оппозиционной деятельностью: он критиковал Владимира Путина и Рамзана Кадырова, а также требовал объективного расследования убийства бывшего чеченского полевого командира Зелимхана Хангошвили, которое произошло в Берлине.

24 декабря: Хасан Халитов 

В Чечне похитили родственников оппозиционного блогера Хасана Халитова. Об этом он сообщил в своем телеграм-канале.

По его данным, силовики похитили отца, братьев и Мохьмада Халитова — дядю блогера. А также несколько дальних родственников, которых Халитов «знать не знает»: Узарова Муслима, Азарова Магомеда и Авдеева Абу-Муслима. Халитов связывает похищения с тем, что он регулярно выступает с критикой Рамзана Кадырова.

Ранее на семью Халитова силовики уже оказывали давление. В частности, родных блогера заставляли публично, под видеозапись, «унижать и ругать» его. Кроме того, в одном из телефонных разговоров брат Халитова сказал ему, что семье угрожают физической расправой в том случае, если блогер «не успокоится».

Back to the Sovok: Управление Беларусской столицы хочет восстановить студенческие сельхоз работы

Владимир Кухарев сегодня поностальгировал по годам своей студенческой юности и предложил вернуть сельскохозяйственные работы для студентов. Вместо скучных пар — сельская романтика.

То, что университеты — это не аграрные училища и не источник бесплатной рабочей силы, он, видимо, не догадывается. Но отношение студентов к такой инициативе предсказать нетрудно. 

Кстати, часть из них платит за обучение немалые деньги, так что государству будет двойная выгода — за бесплатный труд своих детей в полумёртвом колхозе родители ещё и доплатят из своего кармана.

Главное - не сдаваться.

Объявление на школе

Центр Луганска захвачен войсками ДНР.

Сегодня около полудня центр, и так оккупированного, Луганска оккупировали военные в российской форме без опознавательных знаков, но с хорошо заметными белыми лентами. По неподтвержденной информации белоленточники являются бойцами "ВВ ДНР". Сами бойцы отказываются что-то комментировать.

  

Официальных требований никто не предъявляет, а всякие "министры" не могут прийти к согласию о том, что творится: то прорыв дрг, то плановые учения, то кадровые перестановки. 

Всё указывает на то, что происходит государственный переворот, спонсирующийся из заграницы. По видимому, пятая колонна в лице недавно уволенного "министра МВД" Корнета, вступила в сговор с иностранным правительством кровавого "ДНР", дабы сбросить "легитимного" правителя Плотницкого. Подробностей очень мало, но вполне возможно, что Плотницкому осталось недолго. Будет ли "ДНР"  аннексировать "ЛНР" или просто поставит марионеточное правительство пока не известно...

Бессмысленный и беспощадный русский BugBounty и новый смысл выражения «вычислю тебя по IP»

Сейчас я расскажу вам прекрасную историю, в которой выражение «я вычислю тебя по IP» приобретает реальный смысл, про бессмысленный и беспощадный российский bugbounty, отношение к персональным данным своих клиентов и бессмысленного регулятора, который вместо контроля за предыдущим, занимается ухудшением жизни жителей РФ (и которого в Прекрасной России Будущего не будет).

История началась около 11 лет назад, когда я изучал устройство сетей крупных операторов с помощью инструмента whois — смотрел распределение адресов для клиентов т.д.), и в одном российском сегменте интернета набрёл на такое, от чего потерял дар речи.
Аккуратно сдампил результаты whois по сетям этого оператора (десятки тысяч адресов), и это настолько меня шокировало, что я предпочёл об этом поскорее забыть.

Месяц назад мне написал один из читателей: смотри, что происходит. И тут я всё вспомнил, и охренел ещё сильнее — от того, что за ~11 лет ничего не поменялось.

Есть такой московский оператор — «Комкор», сейчас работает под торговой маркой Акадо-Телеком.
Среди их клиентов — физические лица, фирмы (много банков, объекты инфраструктуры города) в московской области — жители элитных посёлков (Рублёвка, Барвиха, Жуковка и т.д.).

Многие уже догадываются, о чём будет дальше, но всё равно не могут поверить.

Да, Комкор (Акадо) выкладывает персональные данные своих клиентов прямо в БД RIPE, которая доступна с помощью whois.
Там всё:
ФИО клиента (или название компании), адрес подключения, телефон клиента.

Вот их сети:
212.100.128.0/19
212.45.0.0/19
178.208.128.0/19

Вот элитного посёлка «Жуковка»:

Вот клиенты в Барвихе, включая местный Альфа-Банк:

А что это за Никита Сергеевич в посёлке Николина Гора пользуется услугами горе-провайдера, не известный ли кинорежиссёр? Ага, он:

«Какая-то невероятная дичь», — воскликните вы, и будете совершенно правы.
Давайте теперь посмотрим, как обстоит дело с защитой персданных клиентов-фирм и объектов инфраструктуры Москвы.
Вот IP-адреса объектов ДИТ Москвы — Департамента инфромационных технологий — к Акадо подключены сотни таких объектов. Это интернет для камер, телеметрии и других служебных устройств и пользователей:

Давайте поищем по ключевому слову «Bank».
Что же мы видим? Сотни банков подключены к Комкору, и любой человек на свете может узнать IP-адрес конкретного филиала, контакт технического специалиста, его ФИО и так далее:

Что должен сделать приличный человек, который осознал что все эти ~11 лет персданные клиентов большого оператора лежали в паблике?
Правильно, написать об этом в Комкор. Ну не знали же они, что делают всё это время, в самом деле — надо им об этом рассказать!
Что я и сделал:

Через 1 рабочий день я получил ответ от начальника ИБ — мол информацию получили и проверят (странная задержка в сутки при такой-то страшной дыре, но ладно):

Ещё через 5 дней я решил поинтересоваться результатами проверки информации:

на что мне ответили, что всё исправили:

Ого, думаю я, наконец-то в России стала повышаться ответственность компаний и рост культуры реакции на сообщения о дырах. Но решил всё же проверить: убрали персданные только из блока person и только из двух моих примеров в первом письме, но в блоке inetnum персданные остались даже в моих примерах, о чём я написал:

и получил очень странный ответ, что «принято решение» убрать персданные пользователей белых сетей (когда убрать?!), но поле inetnum они обязаны заполнять:

Да никто не спорит, что обязаны — но провайдеры записывают туда информацию о назначении сети, или, если это фирма — максимум, её название и юр. адрес (и даже это далеко не всегда, точнее — почти никогда), но никак не ФИО клиента-физлица.
На моё письмо от 24 октября с уточняющим вопросом никто не ответил:

И тут мои силы закончились — я перестал понимать, почему я должен уговаривать большую компанию с огромной ответственностью заставлять устранить такую страшную дыру. Я перестал понимать, почему эта переписка вообще должна была длиться больше двух писем, ведь каждому здравомыслящему человеку абсолютно очевидно, насколько это дико — персданные твоих клиентов в паблике. И я уже не говорю об ответственных лицах в компании, которые должны только и заниматься тем, что устранять эту страшную дыру.
Я очень не хотел писать этот пост — мне ответили, со мной общались вежливо, даже в музей пригласили :). Но это попытка сделать хорошую мину при плохой игре. Никаких действий по факту предпринято не было, сроки их тоже озвучены не были. Поэтому следующим шагом я должен перейти к информированию об этой опасной уязвимости общественность, чтобы они вывели себя из-под угрозы и перестали пользоваться оператором, который так относится к персданным своих клиентов.

А теперь — простым языком для людей, которые не поняли, что всё это значит.

Whois — это публичный инструмент, которым может воспользоваться каждый человек, чтобы получить информацию об IP-адресе или домене.
В нём содержится служебная информация о владельце домена или IP-адреса (в данном случае — провайдере).
По правилам организации RIPE, которая выдаёт IP-адреса, провайдер обязан содержать в актуальном виде информацию о назначении подсети IP-адресов (например, служебная или клиентская), контакты для связи (почта и телефон провайдера), и если провайдер выдаёт в аренду крупный блок адресов — информацию об арендаторе.
Но никакому провайдеру не приходит в голову указывать ФИО, адрес подключения и контакт физического лица, которому выдан 1 IP-адрес. Тоже самое — с юридическими лицами. В случае выдачи большого блока, максимум — указывается юрлицо, его контакт и юридический адрес. И то, так делают далеко не все провайдеры, и никаких санкций, конечно же, за это нет.
Не очень умные технические специалисты Комкора (ныне Акадо) в какой-то момент просто настроили автоматическую трансляцию информации из своей служебной базы клиентов (CRM) в базу данных RIPE, и таким образом персданные клиентов стали доступны для всех желающих.
Для оператора такая дыра — катастрофа дважды, потому что:
1) Собственно, песональные данные клиентов — в публичном доступе. Какое доверие может быть к такому оператору?
2) Твоих клиентов могут просто переманивать другие операторы, за полчаса просканировав все IP-адреса и собрав базу данных.
3) Можно узнать IP-адреса определённого клиента или устройства, очень несложно забить канал трафиком и выключить, таким образом, интернет у клиента.
В случае с ведомственными объектами, большое количество которых подключено к Акадо — это же прямая угроза безопасности города.

Этот пост прочитает много клиентов Акадо — вы, конечно, решайте сами, но я бы никогда не стал пользоваться услугами оператора, который выкладывает ваши персональные данные в паблик, и не убирает их в срочном порядке после приватного сообщения об этом.
И даже через 3 недели всё еще не убирает.
Такое поведение, конечно, абсолютно неприемлемо в 2018 году.

И в завершение, я хочу отдельно написать о Роскомнадзоре.
Это регулятор, под надзором которого оператор связи оказывается дважды — как оператор связи, и как оператор персональных данных.
Эти никчёмные и бесполезные дармоеды вместо ухудшения жизни всех жителей России и ежедневной блокировки до 10–15 IP-адресов нашего прокси для Telegram (вы представляете, там сидят специальные люди на зарплате, которые почти круглосуточно резолвят домен и добавляют актуальные IP-адреса в выгрузку — что может быть бессмысленнее), должны заниматься как раз пресечением таких вот историй.
Дорогие журналисты, которые будут звонить в Акадо — сделайте, пожалуйста, следующий звонок в Роскомнадзор и спросите, почему они не выполняют свою работу, а вместо этого занимаются ухудшением жизни граждан России.

Источник: https://medium.com/@itsorm/бессмысленный-и-беспощадный-русский-bigbounty-или-отношение-к-персональным-данным-из-двухтысячных-d9e0e8a7601e

А чего добился ты?

Местные власти нашли объяснение и утверждают, что тут никакой коррупции нет

Пресс-секретарь губернатора Денис Арапов сообщил «Интерфаксу», что в декларации отражены деньги, которые несовершеннолетняя дочь Любимова получила от продажи недвижимости, которой она владела

В декларации губернатора за 2018 год говорилось (.docx), что в собственности одной из его дочерей находились 153-метровая квартира и нежилое помещение, в собственности другой дочери — две квартиры площадью 68 и 43 квадратных метра, а также гараж

губер Рязанской области Николай Любимов с дочками

По информации из открытых источников, в сентябре 2019 года старшей дочери губернатора исполнилось 18 лет, младшей дочери, тоже в сентябре, исполнилось 13 лет. Старшая дочь губернатора в декларации за 2019 год не указана