❣️ Утечка в сфере красоты

В открытом доступе оказались данные клиентов интернет-магазина косметики и парфюмерии «Подружка» (podrygka.ru).

Частичный SQL-дамп из CMS «Bitrix» содержит 2,194,148 строк:
🗣 имя/фамилия;
🗣 телефон (2 млн уникальных номеров);
🗣 адрес эл. почты (2 млн уникальных адресов);
🗣 хешированный пароль;
🗣 пол;
🗣 дата регистрации и последнего захода (с 14.03.2017 по 29.07.2023).

До этого хакеры из «UHG» взламывали лабораторию «СИТИЛАБ» и сервис по продаже билетов kassy.ru.

#утечки

💲 Amazon AWS начнёт брать плату за публичный IPv4-адрес

Amazon Web Services введёт оплату $0,005 в час за общедоступные адреса IPv4 с 1 февраля 2024 года. Компания ссылается на растущую нехватку таких адресов и повышение цен на них на 300%.

Новые сборы будут взиматься с услуг виртуального частного облака (VPC), Amazon Global Accelerator и AWS Site-to-site VPN-туннелей, использующих общедоступные IPv4-адреса.

❗️ Тариф будет применяться к каждому общедоступному IPv4-адресу, выделенному в учётной записи, независимо от того, подключен ли он к сервису AWS или нет.

🇷🇺 Перечень обязательного российского ПО

Михаил Мишустин утвердил перечень российского ПО, обязательного для предустановки в 2024 году:

🔵 на мобильные телефоны;
🔵 компьютеры;
🔵 телевизоры с цифровым блоком управления.

В него входят 40 наименований, в том числе продукция «Яндекса», VK и «Касперского».

*️⃣Отмечается, что владельцы электронных устройств по-прежнему смогут самостоятельно делать выбор, какой программой или приложением пользоваться.

#импортозамещение

❗️ Политика конфиденциальности: типовые ошибки

Владельцы сайтов обязаны разрабатывать документ определяющий политику оператора в отношении обработки персональных данных. Иначе говоря — политику конфиденциальности.

В Роскомнадзоре рассказали об ошибках, которые допускают операторы:

1️⃣ Политика отсутствует или размещена не на всех страницах, где проходит сбор данных.

2️⃣ Размещен документ другой организации.

3️⃣ Отсутствуют обязательные сведения, предусмотренные п. 2 ч. 1 ст. 18.1 №152-ФЗ.

4️⃣ Указанные сведения не соответствуют фактической деятельности оператора.

5️⃣ Полное дублирование положений закона №152-ФЗ. Нужно указать, как конкретный оператор обрабатывает данные на конкретном сайте.

✏️ Далее расскажем, что нужно отразить в документе, чтобы не нарушать нормы закона.

Пока можно ознакомиться с полезными материалами:
🗣 Шпаргалка по трансграничной передаче ПДн
🗣 Тильда и персональные данные
🗣 Обработка и защита персональных данных: кто ответственный?

#персданные #польза

👀 Как оформить политику конфиденциальности и согласие на обработку ПДн?

Политика конфиденциальности:
🔵 информация об операторе;
🔵 цели обработки, перечень и категории обрабатываемых данных, способы, сроки обработки и хранения, категории субъектов (п.2 ч.1 ст. 18.1 ФЗ-152;
🔵 правовые основания обработки ПДн (чаще всего - согласие на обработку или пользовательское соглашение/оферта);
🔵 меры, выполняемые оператором для соблюдения ФЗ-152;
🟢 способы связи с оператором.

Согласие на обработку ПДн:
🟢 информация об операторе;
🟢 цели обработки, перечень и категории обрабатываемых данных, способы, сроки обработки и хранения, категории субъектов (п.2 ч.1 ст. 18.1 ФЗ-152;
🟢 ссылка на политику конфиденциальности;
🟢 способы связи с оператором (в т.ч. для отзыва согласия).

❗️ Если на сайте используются метрические системы, например, "Яндекс Метрика", оператор обязан:

1️⃣ Проинформировать пользователей при попадании на сайт и взять соглашение на обработку с помощью метрических систем.

2️⃣ Указать перечень используемых систем.

3️⃣ Добавить в политику конфиденциальности сведения об использовании систем.

#персданные #польза

🔎 Открытое исследование «Защита персональных данных 2023»

🚓 За 2022-2023 год ужесточились условия и регулирование по 152-ФЗ.

На форумах мы слышим как всё меняется, но лозунги со сцен конференций и обновление ФЗ - это одна сторона медали, а реальная практика и опыт сообщества - совсем другая.

🧭 По данным опроса в июне, мы выяснили что 82% специалистов видят проблему, а 42% решают её самостоятельно.

Поэтому мы проводим открытое исследование «Защита персональных данных 2023» чтобы выяснить:

⏺ Как эксперты на местах смотрят на ситуацию;
⏺ Как в действительности обстоят дела с ПДн и их защитой на практике.

🟢 Пожалуйста поделитесь своим мнением и пройдите короткий опрос на 3 минуты по этой ссылке, вы очень поможете.

🛡 Результатами исследования поделимся осенью в этом открытом канале.

👋 Передаёте ПДн другим лицам? А договор заключили?

Закон ФЗ-152 обязывает юридически подкреплять взаимодействие с иными лицами по поводу обработки ПДн, а именно – заключать соглашение о поручении на обработку ПДн.

Однако, такое соглашение требуется не всегда.

На примере кадрового делопроизводства разбираем, в чём отличия между:
🤝 соглашением о поручении обработки ПДн
👨‍💻 соглашением о передаче ПДн

📍 Материал размещён здесь.

#персданные #инфобез #польза

👮‍♀️ Отсрочка для ИТ-специалистов без высшего образования

Минцифры обратилось в правительство с инициативой по предоставлению отсрочки от военной службы сотрудникам ИТ-компаний со средним образованием.

*️⃣Сейчас отсрочка действует только для сотрудников аккредитованных ИТ-компаний с высшим образованием. В обращении уточняется, что в ИТ-сфере доля специалистов без профильного высшего образования - около 80%.

Также Минцифры предлагает расширить список специальностей выпускников вузов, которые могут претендовать на отсрочку.

#льготы_ИТ

💎 Инструменты для работы с памятью в Linux

🔵 procinfo
🔵 snap.py
🔵 memstats
🔵 processes2png
🔵 shmat
🔵 shmem
🔵 connections
🔵 find_instances

Ссылка на Github

#польза

⌨️ Взлом «Уралсиб»

3 августа социальные сети банка «Уралсиб» были взломаны. С помощью поста мошенники пытались похитить данные карт клиентов.

🅰️Сегодня ночью произошёл взлом соцсетей некоторых банков, в том числе и нашего. Если вы перешли по ссылке из фейкового поста и оставили данные своей карты, то для безопасности ваших средств советуем временно её заблокировать. Главное — не затягивайте. Мошенники в любой момент могут расплатиться вашей картой или снять с неё деньги🅱️ — сообщил «Уралсиб».

*️⃣В марте 2023 года «Уралсиб» прерывал работу сервисов из-за крупной DDoS-атаки. В связи с кибератаками работу некоторых сервисов также временно останавливали «Росбанк», банки УБРиР и «Ак Барс».

❗️О 5 самых крупных кибератаках 2022 года, в том числе, на инфраструктуру "ВТБ" и "Госуслуг", и опыте их отражения рассказывали тут.

#утечки

🍿 Microsoft случайно раскрыла Windows 11

В открытый доступ попал внутренний инструмент Microsoft - StagingTool. Он позволяет активировать скрытые возможности Windows 11, находящиеся в разработке. Также с помощью StagingTool можно игнорировать методы A/B тестирования и получить доступ к новым функциям в обход официальных каналов.

❓ Как инструмент попал в доступ?
Участники программы Windows Insider проводят мероприятие «охота на баги», в рамках которого Microsoft предлагает выполнить ряд заданий и отправить отзывы.

👀 StagingTool обнаружили в одном из квестов Feedback Hub, предназначенном для внутренних тестеров Microsoft. После того, как ссылка попала в Сеть, инструмент начал распространяться среди пользователей Windows 11.

👨‍💻 Nim 2.0: вышел язык системного программирования

Nim использует статическую типизацию и создан с оглядкой на Pascal, C++, Python и Lisp. Исходный код компилируется в представление на C, C++, Objective-C или JavaScript.

✔️ В дальнейшем полученный C/C++ код компилируется в исполняемый файл при помощи любого доступного компилятора, что позволяет добиться производительности, близкой к Си.

🟡 Поддерживаются средства метапрограммирования и возможности для создания предметно-ориентированных языков (DSL). Проект доступен на GitHub под открытой лицензией MIT.

👋 Можно и отдохнуть

Отличных выходных, друзья!

📌 «Литрес»: утечка данных

В открытом доступе оказались 3,083,408 строк данных пользователей сервиса электронных книг «Литрес» (litres.ru):

🗣 имя/фамилия (не для всех)
🗣 адрес эл. почты (590 тыс. уникальных адресов)
🗣 хешированный пароль (SHA1 без соли)

Самая "свежая" запись датируется 03.08.2023.

❗️ Источник - сервис «Shiptor», который ранее "сливал" информацию «СберЛогистики», «GeekBrains», «Delivery Club» и других. Он утверждает, что полный дамп содержит 97 млн строк.

#утечки

🟡 GitHub Copilot начнет показывать источник предложенного кода

В бета-версии GitHub Copilot добавили функцию показа ссылок на фрагменты кода, предложенные из других репозиториев. Можно увидеть список публичных репозиториев, уже использующих этот код, и лицензии.

👨‍💻 Функция ссылки на код даст возможность отклонить или использовать код напрямую. Также есть вариант, при котором Copilot перепишет код, чтобы он не соответствовал исходному.

⚖️ С юридической стороны это может снять ответственность с корпорации за нарушение лицензии на свободное ПО, приравняв GitHub Copilot к продвинутой поисковой системе.

⌨️ Утечка базы форума sysadmins.ru

Хакеры из группы CyberSec опубликовали дамп базы форума системных администраторов sysadmins.ru.

❗️ Файл размером 4.45 ГБ содержит личные данные пользователей (включая адреса электронных почт и хэшированные пароли), а также приватные переписки. База актуальна по состоянию на 18 августа 2022 года.

Взломщики заявляют, что опубликовали дамп лишь после того, как подобрали хэши большинства паролей, после чего база потеряла для них ценность.

#утечки

🤝 #нечаянный_инфобез

В связи с кратно участившимися утечками ПДн (2 ярких примера - выше), нам стали регулярно поступать вопросы о защите информационных систем. Один из самых популярных приведён на скриншоте.

Комментарий Вероники Нечаевой, директора по ИБ:

🅰️По умолчанию не все системы "Битрикс" и другие CMS имеют встроенную систему защиты информации. Поэтому оператор ПДн может:
🟢 либо "обязать" CMS защитить систему;
🟢 либо защищать CMS самостоятельно;
🟢 либо перенести защищаемую информацию на другие защищенные ресурсы.

Отмечу, что не все средства защиты информации предназначены для использования в рамках защиты веб. Здесь необходим комбинированный подход к комплексу технических мер, например, классическая связка требуемых по ФСТЭК СЗИ + межсетевой экран уровня веб (типа Г) и защита от атак различного вида и уровня🅱️

❗️ Поставьте "+" в комментариях, если интересен подробный разбор данной темы.

Пока можно ознакомиться с другими материалами по теме информационной безопасности:

🗣 Средства защиты информации: реально ли в 2023 году перейти на все отечественное

🗣 Информационная безопасность: главное за 10 минут - коротко и понятно о том, как построить защиту информации в организации

🗣 Мошенники в интернете и СЗИ - о технических и организационных мерах защиты от мошенников

🗣 Защита персональных данных. Как выполнить 152-ФЗ? - инструкция по выполнению требований закона о персданных

#персданные #инфобез #польза

⚠️ «Ненадежный оператор персональных данных»

Зампред Госдумы Борис Чернышов направил Максуту Шадаеву письмо с предложением разработать и внедрить специальный знак "ненадежного оператора" для компаний, допустивших утечку ПДн клиентов.

🅰️Прошу вас рассмотреть возможность разработки и внедрения специального графического знака "ненадежный оператор персональных данных", а также маркировки компаний, допустивших утечку персональных данных клиентов, таким графическим символом🅱️ - говорится в тексте письма.

По словам Чернышова, такой знак поможет россиянам при выборе той или иной компании сразу понять, стоит ли ей доверять.

#персданные

💬 Массовая блокировка VPN-протоколов OpenVPN и WireGuard

Пользователи по всей России говорят о постоянных разрывах и «вечной загрузке».

👋 Роскомнадзор: цель визитов к операторам ПДн

В 2023 году продолжает действовать мораторий на проведение плановых проверок бизнеса (подробнее рассказывали тут).

❗️ Однако, дружеские профилактические визиты остались – напомнил Роскомнадзор. Это – эффективный способ:
🟢 повысить уровень правовой грамотности операторов в рамках соблюдения №152-ФЗ;
🔵 предотвратить возможные нарушения прав и законных интересов граждан.

Некоторые особенности профилактических визитов:
1️⃣ Уведомления о предстоящем мероприятии получают операторы, которые только в этом году приступили к обработке ПДн.

2️⃣ От проведения визита можно отказаться.

3️⃣ Во время визита сотрудники РКН дают разъяснения и рекомендации по организации обработки ПДн.

4️⃣ Предписания по итогам мероприятий не выносятся.

#персданные