Результаты поиска по запросу «

О персональных данных

»

Запрос:
Создатель поста:
Теги (через запятую):



коронавирус персональные данные ...политика 

К неудобным для обсуждения новостям о коронавирусе

https://www.kommersant.ru/doc/5066303
"На теневых интернет-ресурсах выставлены на продажу данные граждан, которые покупали поддельные справки о вакцинации и ПЦР. В базах содержатся персональная информация более 500 тыс. человек, пока только из Московского региона. Она могла быть собрана на сервисах по продаже фейковых справок, которые, по мнению экспертов, были запущены как раз для этих целей и дальнейшего шантажа пользователей. Гражданам, попавшим в базу, может грозить уголовная ответственность, как и создателям самих нелегальных сервисов, предупреждают юристы.
В выставленных на продажу базах также содержатся данные ОМС граждан, рассказал программист, владелец Telegram-канала «Глаз бога» Евгений Антипов. По его словам, в самой большой базе содержатся персональные данные более 500 тыс. человек, а стоимость информации об одном человеке составляет около 30–40 руб. Предлагаемые данные пока ограничены только Московским регионом, добавил директор по стратегическим коммуникациям Infosecurity a Softline company Александр Дворянский."
Развернуть

персональные данные обнуление ...политота 

Продавец базы говорит, что спрос на данные велик, так как база еще актуальна
Медиазона
«Коммерсант»: в даркнете продают данные миллиона участников электронного голосования по поправкам в Конституцию
Продавец базы рассказал корреспонденту газеты, что сами по себе номера паспортов бесполезны, но


Развернуть

it персональные данные длиннопост ...политика 

Наши с вами персональные данные ничего не стоят

Во всем мире сейчас принимается много усилий с целью обеспечить безопасность персональных данных. Россия тоже не отстает, с энтузиазмом внедряя десятки законов, сотни подзаконных актов и регламентов. Есть ли результат?

Проведенное мною расследование покажет, что в России и на всем пространстве бывшего СССР написанные на бумаге законы этой области тщетны. Итоги ужасны: доступ к персональным данным физических и юридических лиц, банковской тайне, коммерческой тайне, имеют не только компании и государственные ведомства, но и любые мошенники. Все покупается и продается за цену уровня от пары чашек кофе до пары средних смартфонов.

АТТССТОООММЫЙ ПрОАЛОСЦ Г 9/2/1S ПРОДАМ Ц Ж Регуктроция: 19/2/15 Сообщения: 64 Сиупатии: 44 ПРОБИВ ИНФОРМАЦИИ ПО ФИЗИЧЕСКИМ И ЮРИДИЧЕСКИМ ЛИЦПМ ★ РАБОТАЕМ КАЖДЫЙ ДЕНЬ | ФИЗИЧЕСКИЕ ЛИЦА | © ИДЕНТИФИКАЦИЯ ЛИЧНОСТИ ПО НЕПОЛНЫМ ДА««ЫМ © «УСТАНОВЛЕНИЕ ПЕРСОНАЛЫ*« ДАННЫХ © РОЗЫСК ИМУЩЕСТВА И


Неутешительные подробности под катом.


В девяностые и нулевые все рынки Москвы были забиты дисками с базами данных. Базы жителей, базы автомобилей и автовладельцев, потом и базы операторов сотовой связи.

Не знаю, как сегодня ситуация с криминальной продажей таких баз в Москве (давно не живу в России), но могу сказать с большой долей уверенности, что это будут либо очень старые базы, либо лишь фрагментарные дампы современных. Сейчас объемы ведомственной и корпоративной информации доходят до петабайт и находится в cloud, так что уместить что-либо на обычный бытовой носитель, пригодный для продажи, дело достаточно сложное. 

Сегодня персональные данные активно продаются на ряде форумов, где есть продавцы, покупатели и даже целые системы арбитража, призванные разрешать возможные споры между оными. Мошенники умудрились построить очень мощную криминальную инфраструктуру: форумы живут жизнью, темы имеют много комментариев и отзывов, есть баны за «кидки» и системы рейтинга для «проверенных».

«В даркнете?» — подумали вы. Вот и не угадали. Эти сайты находятся в публичном доступе и даже могут быть не внесены в многострадальный реестр Роскомнадзора (кто бы сомневался). Конечно, некоторые из них действительно имеют зеркала в даркнете, но это лишь зеркала.

Речь в статье пойдет именно об этих сайтах и о тех «услугах», которые перечеркивают абсолютно всю бурную государственную движуху-показуху вокруг защиты персональных данных в последние годы.

Попрошу хабравчан воздержаться от публикации ссылок на данные ресурсы, хоть они и могут быть многим известны. Кто ищет — тот сам найдет. Во-первых, не хочу делать даже косвенную рекламу мошенникам. Во-вторых — это может поставить под удар существование данной статьи. В-третьих, дело не в самом существовании этих ресурсов, а в том, что имеют место быть такие государственные условия, в рамках которых перечисленные «услуги» вообще существуют.

Сотовые операторы

Посмотрите на эту картину, типичный форум, типичные услуги:

ПРОВЕРЕНО Пробив/Детализация звонков и Местоположения абонентов >, 13 июл 2016 ... ООО ПРОВЕРЕНО [ДЕШЕВО!] Пробив и детализация номеров , 8 мар 2016 Б%Я» ЛЯ9ЭМ9/1Г. и <Х* * ПРОВЕРЕНО [ДЕШЕВО!] Пробив и детализация V 31 авг 2017 ПРОВЕРЕНО ДЕТАЛИЗАЦИЯ И ПРОБИВ I, 13 апр 2017 ПРОДАМ


Мною были скрыты имена «продавцов» и названия операторов. Об операторах вы догадаетесь сами, в России их не так много. Пробиваются все без исключения.

Самое базовое — это пробив данных владельца номера: ФИО, паспортные данные, адрес. Как эти данные будут использоваться — зависит только от фантазии мошенника, к которому в руки они попадут.

Регистрация: 16/1/17 Сообщения: 128 Симпатии: 8 22/2/17 Автор темы ш. Сразу уточняйте регион и сроки. Какие то операторы делаем моментально Имею депозит, статусы, проверенные темы с отзывами на соседних ресурсах. Предоставлю ссылки по запросу. Лучше сразу пишите по контактам, на форуме бываю


Далее уже интересное. «Услуги» более высокого уровня: отслеживание местоположения человека по вышкам сотовой связи, история местоположений, детализация звонков, детализация sms. К счастью, хоть звукозаписей звонков нет (может, я плохо смотрел).

шт □ Местный <1 Написать в /1C Регутацил: 5 Статус: Оффлайн Поел, активность: 13.09.18 Регистрации: 31.05.17 Сос&цсккя: 19 Покупки мере) Гарант-сервис: 0 продажи чере» Гарант-сервис: 0 - данные (физ\юр. лица) при регистрации по номеру телефона - 400р - поиск номера телефона по ФИО, ДР


Очень впечатляет наблюдать, что любой мошенник может получить доступ к такой информации. Остается догадываться, реализуется это средствами самих сотовых операторов, либо через внешние интерфейсы, которые могут находятся у государственных служб (в существовании таких я даже не сомневаюсь). 

Лишний раз подумайте, оформляя сим-карту на свои паспортные данные при покупке. Может быть и правда лучше взять симку, оформленную на noname-приезжего из Средней Азии? Из известных мест продажи они никуда не исчезали. Передавая паспортные данные, вы идентифицируете себя не только перед сотовым оператором и государственным органами, но и перед любым преступником, которому не жалко потратить на вас стоимость пары чашек кофе, а то и чего побольше.

Государственные органы

Пожалуй, ничто не сравнится с объемами данных, которые известны о нас различным государственным ведомствам. Тысячи сотрудников имеют к ним доступ, результаты чего обильно просматриваются на форумах:

19/3/18 Автор темы Е2 1. анкетные данные (место рождения, номера ИНН и СНИЛС) 2. сведения о документах физлица (св-во о рождении, водительское удостоверение, паспорта) 3. сведения о действующем паспорте (серия и номер, когда и кем выдан, код подразделения) 4. адрес постоянной регистрации


Регистрация: 16/8/15 Сообщения: 131 Симпатии: 19 16/8/15 Автор темы Е£ Предоставляем услуги по пробиву: 1. Имущество физического/юридического лица - 700 рублей за запрос (для физ. лица нужны любые идентифицирующие данные(инн, снилс, ф.и.о., дата рождения или примерный возраст, адрес,


С одной стороны, вырисовывается четкая картина, какой информацией о нас обладают эти ведомства и с какой легкостью сотрудники могут собрать полное досье на любого человека. С другой стороны еще более живописная картина маслом: любой мошенник может собрать точно такое же досье.

Типичная услуга по автотранспорту:

Регистрация: Сообщения: Симпатии: Автор темы Работал !!там тоже был ник ! Пробив автомобиля по федеральной базе ГИБДД Вы получаете полную информацию об автомобиле, ограничении, запрете на регистрационных действий, информацию о текущем владельце, предыдущих владельцев, адрес, паспортные


Стандартный пример вопрос-ответ:

Регистрация: 24/11/17 Сообщения: 54 Симпатии: 20 2/12/17 Автор темы ГиГ написал(а): О Уважаемый ТС, карта ФИСМ в пробив входит? Спасибо Вы получаете информации по транспортному средству в виде учетной карты. В ней отображается полная информация по самому транспортному средству и по


Еще стандартно по разным ведомствам:

15/9/17 Автор темы #1 Регистрация: Сообщения: Симпатии: Всем добра! Пробиваю по действующим базам МВД. Информация актуальна на момент вбива. ★ Пробив по базе ИБД-Р МВД (запрос по указанному вами региону): Паспортные данные, регистрация (прописка), розыск (местный/федералъный),


Наибольшей популярностью пользуется услуга выгрузки из баз Магистраль, Сирена, Граница, Мигрант, Кронос, Спарк, Поток, комплексных баз ИБДР-ИБДФ. Я даже таких названий раньше не знал. Пробивается все, до чего дойдет фантазия, даже ПФР.

Банки

Отдельная категория «услуг» посвящена детализации банковских счетов и движению средств на них. Часть специализируется по счетам физических лиц.

Разведчик 13/4/18 Пробью различные данные по номеру телефона, привязанного к клиенту 1. Баланс по карте (картам) клиента 2. Любые операции по карте, их сумма и примечание (выписка) 3. Блокировка банковской карты клиента (заблокирую карту) 4. Полные данные клиента (паспортные данные и др.)


Ветеран □ Модератор </ Проверенный продавец 4 Написать в У1С Репутация: 579 Статус: Оффлайн Поел, активность: 11.09.18 Регистрация: 30.01.17 Сообщения: 978 Род занятий: Комплексный Пробив Сервис Депозит: Профиль на DS: ICQ: Telegram: VIPole: Покупки через Гарант-сервис: О Продажи


Но еще больше — по юридическим лицам. Здесь мошенничество переходит в изощренные формы промышленного шпионажа и откровенного криминала. Скриншоты выкладывать не буду, так как криминальный «комплекс услуг» выходит сильно за рамки утечек данных.

Откуда берутся эти чудовищные факты массового нарушения не то что бы законов о персональных данных, а о банковской тайне? Честно, я реально удивляюсь, что коррупция настолько повальная. Похоже, достаточно просто посмотреть все должности, где сотрудник имеет доступ к хоть каким-то данным клиентов — мошенник может находиться на любой. Вопрос лишь в том, куда смотрят службы безопасности.

Мне очень сильно хотелось бы перечислить наименования самых проштрафившихся банков открыто, но я не буду это делать, так как первыми в списке окажутся те, которые имеют на хабре корпоративные блоги, что чревато блокировкой статьи. Фирменные цвета этих банков тоже все знают. По моим наблюдениям, чем меньше банк — тем меньше вероятность того, что на форумах будут касающиеся его мошеннические услуги.

Продается и покупается абсолютно все

В своем расследовании я практически не касался информации, которая собирается и сливается о нас сетевыми магазинами электроники, одежды и обуви, питания, фитнес-клубами. Все это тоже продается, так что лишний раз подумайте, стоит ли оставлять реальный адрес и номер телефона, оформляя очередную дисконтную или клубную карту.

Любопытный факт: активно продаются базы пользователей букмекеров-форексов-опционов, услуг экстрасенсов-гадалок-ворожей, покупателей БАД-ов, средств для похудания и повышения потенции. Целевые аудитории этих специфичных продуктов настолько кристаллизовались, что эти базы переходят из рук в руки, постоянно дополняются и поддерживаются в актуальном состоянии. Бизнес просто огромный по своему масштабу. 

□ Местный ✓ Проверенный продавец <1 Написать в ЛС Репутация: 2 Статус: Онлайн Поел, активность: 19.09.18 Регистрация: 17.02.17 Сообщения: 47 JID: ICQ: Telegram: Покупки через Гарант-сервис: 0 Продажи через Гарант-сервис: 0 2017год. БАЗА БАДОВ ПО ВСЕЙ РФ - более ЮОтысяч контактов,


Не так плачевно, когда сливаются персональные данные, которые мы оставляем добровольно — просто соблюдай меры осторожности и не оставляй их. Гораздо хуже, когда сливаются те данные, не оставить которые мы в принципе не можем. Покупкой сим-карт без паспорта все проблемы не решишь.

В 2017 году я читал публикации российских оппозиционеров (в частности, Леонида Волкова), которые столкнулись с преследованием агрессивно настроенных криминальных элементов, внезапно получивших информацию обо всех перелетах и передвижениях. Этакие ждущие возле аэропорта мордовороты с битами и аккомпанементом в виде шоу-представления щедро оплаченных псевдосторонников власти с флагами и кричалками. В Украине их всех в свое время обобщенно называли титушками.

Почему так? Откуда титушки узнали про перелеты оппозиционеров? Все просто: потому, что доступ к базе перелетов покупается и продается так же, как и доступ ко всем остальным базам.

□ Пользователь Продавец 4 Написать в ЛС Репутация: 2 Статус: Оффлайн Поел, активность: 20.09.18 Регистрация: 29.03.16 Сообщения: 5 ICQ: Telegram: Покупки через Гарант-сервис: 0 Продажи через Гарант-сервис: 0 Предоставляю список пассажиров авиа/жд! От Вас необходимы данные паспорта


Аттестованный Продавец Регистрация: 5/12/14 Сообщения: 1,335 Симпатии: 593 Автор темы Предоставлю информацию о перемещениях людей по РФ и во многих случаях за ее пределы. Включая билеты, купленные на будущее время. Можно увидеть поездки авиа, железнодорожным, автобусным и водным (паром)


(Леонид, знаю что ты IT-шник, если вдруг прочитаешь эту статью, буду очень рад, если расшаришь — многое написано под впечатлением твоего «Облака»)

Скептический читатель может подумать: ты же говоришь про оппозиционеров, то есть людей, которые представляют определенную политическую позицию, их деятельность по определению сопряжена с рисками. И будет неправ: криминальный беспредел может коснуться каждого. Масштабы данных о нас, которые валяются на дороге, вы видите своими глазами.

У каждого есть смартфон, у каждого есть счет в банке, многие пользуются авто, многие часто перемещаются авиатранспортом, у многих бизнес на просторах пост-СССР. Вне зависимости от вашего социального статуса и политической ориентации: вы в опасности потому, что ваши данные никем и ничем не защищены, а у преступников абсолютно развязаны руки. То, что раскидано по форумам в виде коммерческих объявлений, на самом может деле быть получено «по звонку» имеющими связи людьми. России это касается в первую очередь. 

Многие вспомнят случай с Антоном Уральским в 2008 году и выложенным звонком интернет-провайдеру Стрим: «не было не единого разрыва!» Все тогда посмеялись, не задумавшись, что сотрудники совершили преступление, выложив аудиозапись разговора с клиентом в интернет. Второе преступление они совершили, выложив и персональные данные Антона, которые стали достоянием сотен пранкеров, испортивших человеку жизнь.

Как думаете, почему я проникся этой историей? Потому, что в том же 2008 году мои собственные персональные данные были без зазрения совести выложены сотрудниками интернет-провайдера Корбина.

Причина достойна анекдота: админам корбиновского локального форума не понравились некоторые мои публикации, поэтому кто-то из них сопоставил мой ip-адрес с внутренней базой и выложил все данные договора, включая паспортные данные и адрес предоставления услуги связи. Вот, смотрите, тот самый человек, сходите к нему и поговорите, дорогие форумчане. К счастью, аудиторией того форума были преимущественно школьники и ничем плохим мне это не сулило. Какая карикатура на мораль: «никогда не зли админа».

Админ сделал все в виде шутки, просто так: такое отношение к персональным данным и законам. Ведь тогда, в 2008 году, тоже были законы о персональных данных, хоть и не такие подробные, как сегодня. Как видите, за 10 лет ничего в лучшую сторону не изменилось, хоть и бумаги на законы потрачено несравненно больше. Все еще сильнее криминализовалось и даже встало на коммерческий поток с проработкой всех сопутствующих мошеннических «бизнес-процессов». Где раньше был «прикол», откровенная глупость и мелкокриминальные наклонности, сегодня финансовая выгода, холодный расчет и целая криминальная инфраструктура.

Я живу в Германии 5 лет и постоянно вижу то внимание и заботу, с которыми любые германские ведомства и коммерческие организации относятся к персональным данным. Первый закон в Германии в любой работе с людьми: беречь их приватность и конфиденциальность. Каждый раз, ощущая эту заботу на себе, я вспоминаю тех сотрудников российских интернет-операторов и мне хочется посчитать, сколько лет они бы отсидели в Германии за свои поступки. До сих пор бы не вышли. С другой стороны, подобной ситуации попросту не могло бы возникнуть: система не позволила бы безответственному, глупому и нечестному человеку получить доступ к данным, охраняемых законом. Расчетливому, умному, но все равно нечестному — тоже.

Послесловие

Уверен, что коррумпированные сотрудники фирм, банков, операторов и ведомств, владельцы и участники форумов, про которых я обобщенно сегодня написал, сами читают хабр и обязательно прочитают мою статью. Кто-то подумает «ты, негодяй, палишь темы на публику», на что отвечу сразу: вы занимаетесь очень плохими вещами, вы совершаете уголовное преступление, а я не намерен петь оды тому, что не считаю благом, равно как и не стану умалчивать о том, что считаю неприемлемым.

В своей статье я затронул лишь вершину пирамиды, не более 2% всей правды. Копая тематические ресурсы дальше, можно найти такие вещи, как криминальные «услуги» по удаленной блокировке сим-карт, перехвату sms, блокировке банковских счетов, всесторонней парализации работы компаний, любой криминальный каприз за ваши деньги. Везде замешаны либо сотрудники ведомств, либо сотрудники разного звена в коммерческих компаниях.

Кстати, с мобильными операторами есть еще ряд любопытнейших «услуг»: мошенники используют уязвимости сотовых сетей с целью геопозиционирования всех зашедших на сайт с мобильного интернета пользователей, подключения платных подписок, и сугубо для себя — полного обхода учета мобильного трафика (речь не о ерунде вроде раздачи интернета при закрытом tethering, а полном отключения учета скачанного на лимитированных тарифах). На удивление, корни тут растут отнюдь не с черных около-даркнетных форумов, а со всем известного в рунете форума 4pda.

Вдаваться вглубь черного рынка я не стал, это слишком скользко и противно. Меня интересовала лишь ситуация с персональными данными, которая катастрофическая и даже не то чтобы в глубинах черного рынка закопана, а находится в шаговой доступности.

Большая часть статьи была посвящена России, российским организациям и ведомствам. Читатели из Украины наверняка уже привыкли, что в русскоязычном интернете большинство плохих новостей обычно касается их северного соседа. К сожалению, на этот раз не смогу разделить вашего оптимизма: предложение описанных в статье «услуг» по Украине находится на ничуть не меньшем уровне, чем по России. Даже уровень цен такой же.

По моим наблюдениям, сильно меньше предложений по Беларуси и Казахстану. Может быть, плохо искал (честно признаюсь, долго находиться на этих ресурсах морально тяжело), но дело явно не в более низком уровне преступности. На мой взгляд, все гораздо прозаичнее: предложение пропорционально численности жителей, ведь в Беларуси и Казахстане живет людей сильно меньше, чем в России и Украине.

Нигде я не видел предложений подобных «услуг» по Европе, США и другим развитым странам мира. Максимум — пробив по общим базам (вроде Интерпола), к которым имеется доступ из России. Очевидно потому, что законы в этих странах не только написаны бумаге, а исполняются на практике. Законы — не для декорации, показухи и «выполнения плана».

Тем временем простым российским, украинским, беларуским и казахстанским владельцам малого бизнеса надзорные ведомства с удовольствием выпишут штраф за неправильную форму бланка согласия на обработку персональных данных, а сами с не меньшим удовольствием сольют всю базу, в которой вы, ваши персональные данные, данные вашего бизнеса, ваших клиентов, и даже ваш штраф будут отлично отражены.



Источник: https://habr.com/post/423947/

Развернуть

персональные данные it все плохо длиннопост провайдер ...политика 

Бессмысленный и беспощадный русский BugBounty и новый смысл выражения «вычислю тебя по IP»

Сейчас я расскажу вам прекрасную историю, в которой выражение «я вычислю тебя по IP» приобретает реальный смысл, про бессмысленный и беспощадный российский bugbounty, отношение к персональным данным своих клиентов и бессмысленного регулятора, который вместо контроля за предыдущим, занимается ухудшением жизни жителей РФ (и которого в Прекрасной России Будущего не будет).

История началась около 11 лет назад, когда я изучал устройство сетей крупных операторов с помощью инструмента whois — смотрел распределение адресов для клиентов т.д.), и в одном российском сегменте интернета набрёл на такое, от чего потерял дар речи.
Аккуратно сдампил результаты whois по сетям этого оператора (десятки тысяч адресов), и это настолько меня шокировало, что я предпочёл об этом поскорее забыть.

Месяц назад мне написал один из читателей: смотри, что происходит. И тут я всё вспомнил, и охренел ещё сильнее — от того, что за ~11 лет ничего не поменялось.

Есть такой московский оператор — «Комкор», сейчас работает под торговой маркой Акадо-Телеком.
Среди их клиентов — физические лица, фирмы (много банков, объекты инфраструктуры города) в московской области — жители элитных посёлков (Рублёвка, Барвиха, Жуковка и т.д.).

Многие уже догадываются, о чём будет дальше, но всё равно не могут поверить.

Да, Комкор (Акадо) выкладывает персональные данные своих клиентов прямо в БД RIPE, которая доступна с помощью whois.
Там всё:
ФИО клиента (или название компании), адрес подключения, телефон клиента.

Вот их сети:
212.100.128.0/19
212.45.0.0/19
178.208.128.0/19

Вот элитного посёлка «Жуковка»:

ip 212.100.129.68 212.100.130.168 212.45.9.104 212.45.12.240 178.208.130.48 212.100.154.112 178.208.131.228 212.45.6.224 212.45.18.240 212.45.8.148 212.45.12.152 212.100.158.216 178.208.158.224 212.100.156.220 178.208.132.248 netname COMCOR-Fed< COMCOR-Makj^M COMCOR-Administ* ■

Вот клиенты в Барвихе, включая местный Альфа-Банк:

ip netname 212.45.9.104 COMCOR-Administr 212.100.154.112 COMCOR-Chirikov-* 178.208.142.160 COMCOR-Elit-Stroy 212.100.158.108 COMCOR-Mostovsk 212.100.136.64 COM CO R-OAO-Aljf i 212.100.156.220 COMCOR-Posohov; ■ 212.100.156.32 COMCOR-Prefektur. 178.208.132.248 COMCOR-Rakovscf* 212.45.9.120

В таких посёлках много знакомых по расследованиям ФБК (и не только) фамилий — можете сами сграббить в базу и поискать.

А что это за Никита Сергеевич в посёлке Николина Гора пользуется услугами горе-провайдера, не известный ли кинорежиссёр? Ага, он:

ip netname descr person address phone 212.100.155.184 COMCOR-Mihalkov-Nikita-Sergeevich Network for Mihalkov Nikita Sergeevich Mihalkov Nikita Sergeevich Russia, MO, Odincovskiy r-n, poselok Nikolina Gora... +7 WM,политика,политические новости, шутки и мемы,персональные данные,it,все

«Какая-то невероятная дичь», — воскликните вы, и будете совершенно правы.
Давайте теперь посмотрим, как обстоит дело с защитой персданных клиентов-фирм и объектов инфраструктуры Москвы.
Вот IP-адреса объектов ДИТ Москвы — Департамента инфромационных технологий — к Акадо подключены сотни таких объектов. Это интернет для камер, телеметрии и других служебных устройств и пользователей:

netname descr ip 212.100.134.88 COMCOR-DIT-DepTrans-Entuziastov Network for DIT (DepTrans) Entuziastov 212.100.132.192 COMCOR-DIT-DepTrans-Lesnoy Network for DIT (DepTrans) Lesnoy 212.100.130.116 COMCOR-DIT-DepTrans-Parkovki-AMPP- Triumfal... Network for DIT DepTrans Parkovki AMPP T...

Кто-нибудь может забить канал на камеру и ограбить объект, например.

Давайте поищем по ключевому слову «Bank».
Что же мы видим? Сотни банков подключены к Комкору, и любой человек на свете может узнать IP-адрес конкретного филиала, контакт технического специалиста, его ФИО и так далее:

'P netname descr 212.100.132.72 COMCOR-AKB-NOVIKOMBANK-Zhukovskiy- Zhukovsk... Network for AKB "NOVIKOMBANK" Zhukovskiy... 212.100.132.248 COMCOR-AO-KB-ForBank Network for AO KB ForBank 212.100.130.152 COMCOR-BankIRS Network for Bank IRS 212.100.130.184 COMCOR-OAOMOSKOMBANK Network for OAO

Что должен сделать приличный человек, который осознал что все эти ~11 лет персданные клиентов большого оператора лежали в паблике?
Правильно, написать об этом в Комкор. Ну не знали же они, что делают всё это время, в самом деле — надо им об этом рассказать!
Что я и сделал:

Для службы безопасности — утечка переданных клиентов входящие х Vladislav Zdolnikov «vladislav.zdolnikov@gmail.ccm> кому: info, info •* Здравствуи-е' Мои коллеги обнаружили у вас серьёзную утенку персональных данных ваших клиентов через сервис whois. В подсетях, выделенных вашим, мохно

Через 1 рабочий день я получил ответ от начальника ИБ — мол информацию получили и проверят (странная задержка в сутки при такой-то страшной дыре, но ладно):

Обращение входящие х ■I ■ ■ ■ ■■ ■ @акайо-1е1есот.ги> кому: я ▼ Добрый день. Владислав! Спасибо за обращение в ГК "Акадо-Телеком". Поступившая информация будет проверена, дана оценка, результаты проверки также сообщу Вам. Благодарю Вас за сотрудничество. С уважением. Начальник отдела

Ещё через 5 дней я решил поинтересоваться результатами проверки информации:

Vladislav Zdolnikov <vladislav.zdolnikov@gmail.com> кому: Aleksandr ▼ <£> 22 окт. 2018 r, 12:01 (11 дн. назад) Александр, добрый день! Есть новости?,политика,политические новости, шутки и мемы,персональные данные,it,все плохо,длиннопост,провайдер,интернет

на что мне ответили, что всё исправили:

кому: я ▼ Добрый день! Информация по запросам \уЬо1Б была отредактирована. Также ищем другие возможные прецеденты. Спасибо Вам большое за обращение и содействие. пн, 22 окт., 15:04 (11 дн. назад),политика,политические новости, шутки и мемы,персональные данные,it,все

Ого, думаю я, наконец-то в России стала повышаться ответственность компаний и рост культуры реакции на сообщения о дырах. Но решил всё же проверить: убрали персданные только из блока person и только из двух моих примеров в первом письме, но в блоке inetnum персданные остались даже в моих примерах, о чём я написал:

Vladislav Zdolnikov <vladislav.zdolnikov@gmail.com> кому: <£> 23 окт. 2018 г.. 23:34 (10 дн. назад) здравствуйте. Да я только рад помочь, но. Адреса из моего примера перестали отдавать личную информацию в блоке person, однако ФИО (или название компании, если это юр. лицо) всё равно доступно в

и получил очень странный ответ, что «принято решение» убрать персданные пользователей белых сетей (когда убрать?!), но поле inetnum они обязаны заполнять:

кому: я ср, 24 окт., 17:42 (9 дн. назад) -fa 4s Владислав, добрый день! На данный момент принято решение убрать персональные данные всех пользователей белых подсетей, однако поле metnum мы обязаны заполнять по требованию RIPE. Также приглашаю Вас посетить нашу компанию для проведения экскурсии

Да никто не спорит, что обязаны — но провайдеры записывают туда информацию о назначении сети, или, если это фирма — максимум, её название и юр. адрес (и даже это далеко не всегда, точнее — почти никогда), но никак не ФИО клиента-физлица.
На моё письмо от 24 октября с уточняющим вопросом никто не ответил:

Vladislav Zdolnikov <vladislav.zdolnikov@gmail.com> кому: Добрый вечер,. ш ■ <S> ср, 24 окт., 19:10 (9 дн. назад) Спасибо большое за приглашение — будет побольше времени, обязательно посещу, очень интересно. То есть личные данные в inetnum сохранятся? Я знаю про правила RIPE, однако провайдеры

И тут мои силы закончились — я перестал понимать, почему я должен уговаривать большую компанию с огромной ответственностью заставлять устранить такую страшную дыру. Я перестал понимать, почему эта переписка вообще должна была длиться больше двух писем, ведь каждому здравомыслящему человеку абсолютно очевидно, насколько это дико — персданные твоих клиентов в паблике. И я уже не говорю об ответственных лицах в компании, которые должны только и заниматься тем, что устранять эту страшную дыру.
Я очень не хотел писать этот пост — мне ответили, со мной общались вежливо, даже в музей пригласили :). Но это попытка сделать хорошую мину при плохой игре. Никаких действий по факту предпринято не было, сроки их тоже озвучены не были. Поэтому следующим шагом я должен перейти к информированию об этой опасной уязвимости общественность, чтобы они вывели себя из-под угрозы и перестали пользоваться оператором, который так относится к персданным своих клиентов.

А теперь — простым языком для людей, которые не поняли, что всё это значит.

Whois — это публичный инструмент, которым может воспользоваться каждый человек, чтобы получить информацию об IP-адресе или домене.
В нём содержится служебная информация о владельце домена или IP-адреса (в данном случае — провайдере).
По правилам организации RIPE, которая выдаёт IP-адреса, провайдер обязан содержать в актуальном виде информацию о назначении подсети IP-адресов (например, служебная или клиентская), контакты для связи (почта и телефон провайдера), и если провайдер выдаёт в аренду крупный блок адресов — информацию об арендаторе.
Но никакому провайдеру не приходит в голову указывать ФИО, адрес подключения и контакт физического лица, которому выдан 1 IP-адрес. Тоже самое — с юридическими лицами. В случае выдачи большого блока, максимум — указывается юрлицо, его контакт и юридический адрес. И то, так делают далеко не все провайдеры, и никаких санкций, конечно же, за это нет.
Не очень умные технические специалисты Комкора (ныне Акадо) в какой-то момент просто настроили автоматическую трансляцию информации из своей служебной базы клиентов (CRM) в базу данных RIPE, и таким образом персданные клиентов стали доступны для всех желающих.
Для оператора такая дыра — катастрофа дважды, потому что:
1) Собственно, песональные данные клиентов — в публичном доступе. Какое доверие может быть к такому оператору?
2) Твоих клиентов могут просто переманивать другие операторы, за полчаса просканировав все IP-адреса и собрав базу данных.
3) Можно узнать IP-адреса определённого клиента или устройства, очень несложно забить канал трафиком и выключить, таким образом, интернет у клиента.
В случае с ведомственными объектами, большое количество которых подключено к Акадо — это же прямая угроза безопасности города.

Этот пост прочитает много клиентов Акадо — вы, конечно, решайте сами, но я бы никогда не стал пользоваться услугами оператора, который выкладывает ваши персональные данные в паблик, и не убирает их в срочном порядке после приватного сообщения об этом.
И даже через 3 недели всё еще не убирает.
Такое поведение, конечно, абсолютно неприемлемо в 2018 году.

И в завершение, я хочу отдельно написать о Роскомнадзоре.
Это регулятор, под надзором которого оператор связи оказывается дважды — как оператор связи, и как оператор персональных данных.
Эти никчёмные и бесполезные дармоеды вместо ухудшения жизни всех жителей России и ежедневной блокировки до 10–15 IP-адресов нашего прокси для Telegram (вы представляете, там сидят специальные люди на зарплате, которые почти круглосуточно резолвят домен и добавляют актуальные IP-адреса в выгрузку — что может быть бессмысленнее), должны заниматься как раз пресечением таких вот историй.
Дорогие журналисты, которые будут звонить в Акадо — сделайте, пожалуйста, следующий звонок в Роскомнадзор и спросите, почему они не выполняют свою работу, а вместо этого занимаются ухудшением жизни граждан России.



Источник: https://medium.com/@itsorm/бессмысленный-и-беспощадный-русский-bigbounty-или-отношение-к-персональным-данным-из-двухтысячных-d9e0e8a7601e

Развернуть

совфед данные ...политика 

СовФед предлагает использовать данные россиян без их разрешения

В соответствующем законопроекте говорится, что обладатель данных будет обязан их обезличить, но операторам будет нельзя такую информацию продавать - только передавать для улучшения работы сервисов, например, анализа трафика дорожного движения
Представители мобильных операторов считают, что готовящиеся изменения актуальны, поскольку введут в законодательство понятие обезличенной информации — это будет стимулировать развитие рынка больших данных. Также законодательное упрощение работы с большими данными может снять барьер при создании новых продуктов. Обезличенными данными можно делиться и с другими организациями: например, для аналитики потоков населения при расчете эффективности размещения новых офисов банков или продуктовых магазинов.
политика,политические новости, шутки и мемы,совфед,данные
Развернуть

данные ...политика 

«Цифровая экономика»: персональные данные можно сливать

В АНО «Цифровая экономика» разработали законопроект, согласно которому компании смогут без уведомления пользователей передавать на обработку третьим лицам их персональные данные.

В АНО «Цифровая экономика» входят представители различных крупных коммерческих организаций России, а среди учредителей числятся: Правительство РФ, Агентство стратегических инициатив, «1С», Билайн, «ВЭБ-инновации», Mаіl.Ru Group, Мегафон, МТС, Открытая мобильная платформа, Почта России, Rambler & Co, Росатом, Ростех, Ростелеком, Сбербанк, фонд «Сколково» и Яндекс.

Источник: https://roskomsvoboda.org/40990/
политика,политические новости, шутки и мемы,интернет,данные
Развернуть

Отличный комментарий!

в»°Вой , ФоРМе}У4°5ной
BoJack Horseman BoJack Horseman17.08.201814:15ссылка
+50.5

данные ...политика 

Российские власти сняли с себя ответственность за утечки персональных данных россиян

По мнению российского представителя в ЕСПЧ, права москвича, чьи личные данные в 2011 году утекли из баз ГУМВД Москвы и оказались на чёрном рынке вместе с данными множества других граждан, не нарушены.

В сентябре 2017 года Европейский суд по правам человека (ЕСПЧ) коммуницировал жалобу 46-летнего москвича Владимира Медведева (имя и фамилия изменены по его просьбе) о нарушении прав, гарантированных ст.8 (право на уважение частной и личной жизни) и ст.13 (право на эффективную правовую защиту) Европейской конвенции о защите прав человека. В 2011 году он обнаружил в открытом доступе на Савеловском рынке базу ГУВД Москвы, в которой содержались данные, что заявитель – носитель ВИЧ-инфекции и дважды судим. Информация оказалась доступна и его знакомым.

Утечки из ведомственных баз данных – не государственная забота, следует из ответа уполномоченного России в Европейском суде по правам человека замминистра юстиции Михаила Гальперина. Полиция имеет право обрабатывать данные о гражданах, необходимые для выполнения ее обязанностей, отмечает Гальперин, поэтому право на неприкосновенность личной жизни сотрудники ГУ МВД не нарушили.

Кроме этого, замминистра юстиции отметил, что в базах МВД не содержится данных о ВИЧ-статусе подсудимых. Следовательно, по словам Гальперина, купленную на рынке базу нельзя считать подлинной. Фактов несанкционированного доступа к базам МВД Минюст не зафиксировал. Гальперин также отказался рассказывать о результатах рейдов МВД по рынкам в 2011 году, когда были изъяты диски с базами данных. По словам замминистра, учетные карточки этих дел уже уничтожены из-за истечения сроков давности.

Россия отказалась признать в ЕСПЧ, что базы данных МВД есть в свободной продажеhttps://t.co/EEQxRvlEGY
— Meduza (@meduzaproject) February 26, 2018

Первоисточником данных о том, где и когда задерживали его клиента, куда доставляли и что предъявляли, могла быть только полиция — никто другой такими данными просто не располагал, отмечает представляющий интересы заявителя адвокат «Международной Агоры» Ильнур Шарапов.
«Насколько мне известно, московское УСБ с ФСБ все-таки проводило внутреннюю проверку по факту утечки данных, но ее результаты решили не делать достоянием гласности», — говорит он.

Причём в «ручном режиме», когда дело касается публичных личностей, государство способно защитить персональные данные россиян почти молниеносно. В качестве примера адвокат Медведева напомнил случай с Олегом Дерипаской, когда суд оперативно встал на защиту частной жизни бизнесмена: при желании установить источник утечки нетрудно.

С приватностью в России все очень плохо, говорит ведущий юрист РосКомСвободы Саркис Дарбинян: сколько угодно предложений пробить человека по базам данных различных служб. Но добиться по факту утечки возбуждения уголовного расследования нереально, отмечает эксперт.

Можно жаловаться в Роскомнадзор, но там занимаются лишь блокировкой сайтов-нарушителей. Никто и не пытается отследить источники утечки, констатирует юрист РосКомСвободы.

Сразу вспоминается случай с журналистом «Эха Москвы» Александром Плющевым, чьи персональные данные были выложены в интернете на странице Мещанского районного суда города Москвы. Адвокаты Плющева и сам журналист готовы добиваться в этом вопросе справедливости, пройдя все судебные инстанции и также дойти до ЕСПЧ.

В сословном обществе правоохранительная и судебная системы реагируют по-разному на запросы представителей разных сословий, говорит политолог Михаил Виноградов.

Случай, по которому появилось решение ЕСПЧ, хорошо иллюстрирует бессмысленность закона о персональных данных: он не охраняет частную жизнь, зато дает государству массу возможностей для ограничений — и в сфере политики, и в сфере регулирования интернета, заключает эксперт.

Источник: https://roskomsvoboda.org/36649/
Л, Л £ д & ^*'1 & £&*±&ʱ2ââAà К Ë-làlâÂlIlIâ pe ÊÊ,политика,политические новости, шутки и мемы,данные
Развернуть

Россия политзаключённый кевин лик Олег орлов саша сколиченко Лилия Чанышева ксения фадеева Илья Яшин Даниил Кринари ...политика 

Из колонии пропал Кевин Лик. Это уже шестой политзаключенный, которого увезли в неизвестном направлении за последние дни

Мать Кевина узнала о пропаже, получив ответ от сервиса по доставке продуктов в учреждения ФСИН Архангельской области. 

Ранее из российских колоний и следственных изоляторов в неизвестном направлении увезли Олега Орлова, Сашу Скочиленко, Лилию Чанышеву, Ксению Фадееву и Илью Яшина.

ИСТОРИИ «Я стараюсь передавать больше продуктов. Но он просит книги» Кевина Лика из Адыгеи обвинили по статье о «госизмене», когда ему было 16 лет. Его мама Виктория рассказывает историю сына 10:14,9 февраля 2024 • Источник: Мес!ига,политика,политические новости, шутки и
Развернуть

Отличный комментарий!

Госизмена в 16 лет? Как у него мог быть доступ к каким-то государственным секретам?
Reconquistar Reconquistar30.07.202415:21ссылка
+16.0
Родившийся в Германии Кевин Лик и его мать, майкопчанка Виктория, переехали в Россию, когда сыну было 12 лет. В 2022-м они решили вернуться в Германию, но в день отъезда 16-летнего Лика задержали сотрудники ФСБ. В декабре 2023-го Верховный суд Адыгеи приговорил его к четырем годам колонии по делу
Iwanako Iwanako30.07.202415:24ссылка
+30.7
Бред какой-то. Если любой школьник может сфотографировать, то со спутника уж тем более должно быть видно. Какой тогда смысл?
Reconquistar Reconquistar30.07.202415:26ссылка
+28.6
Смысл?
tipoima tipoima30.07.202415:29ссылка
+74.3

минкомсвязи пользователи данные ФСБ закон яровой ...политика 

Минкомсвязи подготовило список данных о пользователях, которые интернет-сервисы должны передавать ФСБ

Минкомсвязи разработало проект требований к оборудованию для проведениях оперативно-разыскных мероприятий (СОРМ) и данным, которые интернет-сервисы должны будут предоставлять ФСБ в рамках таких мероприятий. Документ доступен для публичного обсуждения с 8 августа по 6 сентября 2017 года.
ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ , „йпадаете любой щ||И§" . .. ... пл телефону. Ш и ¡1 4,минкомсвязи,пользователи,данные,ФСБ,политика,политические новости, шутки и мемы,закон яровой

Речь идёт об оборудовании и программно-технических средствах, которые должны установить себе организаторы распространения информации (ОРИ), входящие в специальный реестр — например, «ВКонтакте», «Одноклассники», «Яндекс», Rambler&Co, Telegram, Snapchat и другие.
ОРИ обязаны хранить на территории России данные о действиях пользователей и при необходимости предоставлять их уполномоченным органам, например, ФСБ. С 1 июля 2018 года, когда в силу вступит так называемый «закон Яровой», ОРИ также должны будут в течение шести месяцев хранить все данные, которыми обмениваются пользователи, включая звонки и сообщения.
По мнению авторов документа, оборудование СОРМ должно собирать следующую информацию пользователей интернет-сервисов из реестра ОРИ:
идентификатор пользователя;
дата и время регистрации (в случае заключения договора на обслуживание также дату и время заключения соглашения);
псевдоним;
фамилия, имя, отчество;
​дата рождения;
указанный пользователем адрес проживания;
данные паспорта или других документов, удостоверяющих личность;
список языков, которыми владеет пользователь;
список указанных пользователем родственников;
информация об учётных записях в других сервисах;
дата и время авторизации и выхода из сервиса;
IP-адрес;
контактные данные (номер телефона и адрес электронной почты);
используемое пользователем приложение;
текстовые сообщения;
записи аудио- и видеозвонков;
передаваемые файлы;
данные о совершённых платежах;
местоположение.

В сопровождающих материалах к проекту говорится, что отсутствие требований к оборудованию СОРМ, обязательного для установки организаторами распространения информации в интернете, «существенно затрудняет» работу правоохранительных органов при проведении оперативно-разыскных мероприятий, направленных на «обеспечение безопасности государства и обеспечение правопорядка».
В пресс-службе Mail.Ru Group сообщили, что компания внесёт свои предложения по документу, чтобы он учитывал интересы пользователей проектов холдинга, в который, в частности, входят «ВКонтакте» и «Одноклассники».
В «Яндексе» воздержались от комментариев, сославшись на необходимость изучить документ.
Развернуть

Отличный комментарий!

Сталингулаг @Б1а1т6и1ад -15 ч. Конституция гарантирует неприкосновенность частной жизни и тайну переписки? Да пошла ты на хуй, конституция! псевдоним • фамилия, имя, отчество • дата рождения • точный адрес • паспортные данные • список родственников • круг общения контактные данные •

ростелеком Россия Украина Вторжение в Украину конфиденциальность даркнет Кек ...политика 

Глава "Ростелекома" считает, что личные данные всех россиян уже утекли в сеть,ростелеком,Россия,страны,Украина,Вторжение в Украину,политика,политические новости, шутки и мемы,конфиденциальность,интернет,даркнет,Кек

МОСКВА, 19 ноября. /ТАСС/. Президент "Ростелекома" Михаил Осеевский считает, что персональные данные каждого россиянина уже в сети. Такое мнение он выразил на межотраслевой конференции "Безопасность клиента на первом месте".

"Что важно отметить: в основе таких массированных атак лежит то, что персональные данные всех россиян уже утекли. Если мы зайдем в даркнет, то там есть консолидированная украинскими спецслужбами или хакерами информация по каждому из нас. Я по себе [даже] просил <...>. И это, конечно, создает возможность для различного рода способов проникновения в нашу жизнь", - сказал топ-менеджер.

Ранее похожую мысль высказывал ТАСС глава центра противодействия кибератакам Solar JSOC группы компаний "Солар" Владимир Дрюков. По его словам, у хакеров уже может быть некая база данных на всех граждан России, и появилась она благодаря совокупности всех утечек информации.

Сурс

Развернуть

Отличный комментарий!

Конечно он в курсе, сам сливал.

ValD ValD20.11.202412:56ссылка
+50.0
В этом разделе мы собираем самые смешные приколы (комиксы и картинки) по теме О персональных данных (+1000 картинок)