Сразу 2 новости об ОФД, хорошая и не очень.
Хорошая
1-ОФД выложили открытый код [1] их BigData analytics platform: Yupana
Лично я ещё не пробовал, но любой хороший и открытый продукт по анализу данных всегда найдет применение. Что радует - создатели дают подробное описание и много примеров
Не очень хорошая
У ОФД "Дримкас" [2] утекло 14 миллионов записей и, признаться, реакция этого ОФД на событие необоснованно вялая. Будем надеяться что все ОФД проведут ревизию мер обеспечения безопасности.
Ссылки:
[1] https://github.com/rusexpertiza-llc/yupana
[2] https://iz.ru/921673/vadim-arapov/ushli-iz-bazy-v-set-utekli-14-mln-zapisei-kompanii-i-pokupatelei
#data #dataleaks #leaks
Хорошая
1-ОФД выложили открытый код [1] их BigData analytics platform: Yupana
Лично я ещё не пробовал, но любой хороший и открытый продукт по анализу данных всегда найдет применение. Что радует - создатели дают подробное описание и много примеров
Не очень хорошая
У ОФД "Дримкас" [2] утекло 14 миллионов записей и, признаться, реакция этого ОФД на событие необоснованно вялая. Будем надеяться что все ОФД проведут ревизию мер обеспечения безопасности.
Ссылки:
[1] https://github.com/rusexpertiza-llc/yupana
[2] https://iz.ru/921673/vadim-arapov/ushli-iz-bazy-v-set-utekli-14-mln-zapisei-kompanii-i-pokupatelei
#data #dataleaks #leaks
GitHub
GitHub - rusexpertiza-llc/yupana: BigData analytics platform
BigData analytics platform. Contribute to rusexpertiza-llc/yupana development by creating an account on GitHub.
Для тех кому долго самостоятельно искать тот слив из банка на каймановых островах, вот прямая ссылка [1]. Он там под кодом "Sherwood"
Только помните - там 2 терабайта. Для опытного специалиста это несколько часов работы, для неопытного может занять месяцы. Для современного журналиста расследователя это должно быть по силам, а если чувствуете что "сложно это всё", то срочно беритесь за журналистику данных.
Ссылки:
[1] https://ddosecrets.com/data/corporations/
#leaks #data #datajournalism
Только помните - там 2 терабайта. Для опытного специалиста это несколько часов работы, для неопытного может занять месяцы. Для современного журналиста расследователя это должно быть по силам, а если чувствуете что "сложно это всё", то срочно беритесь за журналистику данных.
Ссылки:
[1] https://ddosecrets.com/data/corporations/
#leaks #data #datajournalism
Канал Нецифровая экономика пишет с критикой [1] про Ашота Оганисяна, технического директора компании Device Lock и автора канала об утечках данных. Пишут справедливо про ситуацию с публикациями про утечки с сайта Госуслуг, но всей картины явно не знают. Device Lock не только активно торгует продуктом по выявлению утечек, но и одним из их клиентов является Ростелеком. Как минимум 2017 и 2018 годах их продукт продавался через Акционерное общество "Смарт Лайн Инк" (владельцем которого является также Ашот Оганесян) и которые заключили договора 31806519034-01 и 57707049388170034600000, а может быть и в этом году было, точно не скажешь потому что Правительство позволяет с 2018 года скрывать поставщиков по 223-ФЗ, но желающие быстро найдут список клиентов по ключевым словам "DeviceLock" в базах госконтрактов [2]. Сам продукт DeviceLock, видимо, на одноимённой компании где, опять же, Ашот Оганесян является владельцем (иначе говоря технический директор это совсем не то что конечный бенефициар).
Поэтому, при всей моей малой любви к тому же Ростелекому проблема с публикациями об утечках, к сожалению, несёт большой этический вопрос:
1. Публикация любых сведений об утечках до предупреждения и разумного времени на устранение проблем у компании - это, в первую очередь, создание ситуации когда страдают все те граждане сведения о которых в утечках содержаться. Более того, обнародование непубличных канал потенциальной утечки и придание им публичности - это и есть утечка. Иначе говоря - утечка персональных данных становится не "потенциальной", а реальной именно тогда когда ей придаётся максимальная публичность.
2. Наличие у владельца компании контрактных отношений с Ростелекомом и одновременно публикации об их утечках можно трактовать как "шантаж" потенциального или прошлого клиента. Если Ростелеком и Минкомсвязь найдут зацепку засудить DeviceLock за подобное - они будут совершенно правы.
Я напомню что этические вопросы в проблемах с утечками персональных данных являются первоочередными. При передаче РБК материалов по утечкам персональных данных [3] лично я выдержал паузу более чем в 8 месяцев после уведомления Роскомнадзора.
2020 год пройдет под эгидой этики, поверьте моему слову, "этика" будет главным словом.
Ссылки:
[1] https://t.me/antidigital/2088
[2] https://clearspending.ru/contract/?productsearch=DeviceLock&search-submit=&grbs=®num=&daterange=&price_gte=&price_lte=&customerregion=&address=&budgetlevel=&okdp_okpd=&sort=-signDate&fz=None&customerinn=&customerkpp=&supplierinn=&supplierkpp=
[3] https://www.rbc.ru/politics/29/04/2019/5cc2df569a7947c83b69b0d5
#dataleaks #leaks #data #personaldata
Поэтому, при всей моей малой любви к тому же Ростелекому проблема с публикациями об утечках, к сожалению, несёт большой этический вопрос:
1. Публикация любых сведений об утечках до предупреждения и разумного времени на устранение проблем у компании - это, в первую очередь, создание ситуации когда страдают все те граждане сведения о которых в утечках содержаться. Более того, обнародование непубличных канал потенциальной утечки и придание им публичности - это и есть утечка. Иначе говоря - утечка персональных данных становится не "потенциальной", а реальной именно тогда когда ей придаётся максимальная публичность.
2. Наличие у владельца компании контрактных отношений с Ростелекомом и одновременно публикации об их утечках можно трактовать как "шантаж" потенциального или прошлого клиента. Если Ростелеком и Минкомсвязь найдут зацепку засудить DeviceLock за подобное - они будут совершенно правы.
Я напомню что этические вопросы в проблемах с утечками персональных данных являются первоочередными. При передаче РБК материалов по утечкам персональных данных [3] лично я выдержал паузу более чем в 8 месяцев после уведомления Роскомнадзора.
2020 год пройдет под эгидой этики, поверьте моему слову, "этика" будет главным словом.
Ссылки:
[1] https://t.me/antidigital/2088
[2] https://clearspending.ru/contract/?productsearch=DeviceLock&search-submit=&grbs=®num=&daterange=&price_gte=&price_lte=&customerregion=&address=&budgetlevel=&okdp_okpd=&sort=-signDate&fz=None&customerinn=&customerkpp=&supplierinn=&supplierkpp=
[3] https://www.rbc.ru/politics/29/04/2019/5cc2df569a7947c83b69b0d5
#dataleaks #leaks #data #personaldata
Telegram
Нецифровая экономика
⚔Рыцарь утечек
Вчера федеральные СМИ наперебой перепечатывали новость про утечку в Ростелекоме, которую впоследствии опровергли. За валом недовольных комментариев и хором экспертных мнений легко не заметить уши, которые торчат буквально из всех статей про…
Вчера федеральные СМИ наперебой перепечатывали новость про утечку в Ростелекоме, которую впоследствии опровергли. За валом недовольных комментариев и хором экспертных мнений легко не заметить уши, которые торчат буквально из всех статей про…
One Nation Tracked [1] декабрьская статья в New York Times о том что приватности не существует для всех включая президента Трампа. Журналисты "где-то" раздобыли файл с 50 миллиардами записей пингов (коротких сообщений о метонахождении) от телефонов к базовым станциям в США, проделали большую работу по сопоставлению их с координатами и сделали массу визуализаций.
Я писал об этом ранее, а сейчас вышли ещё и технические подробности [2]. Можно ли на основе этих данных идентифицировать конкретного человека? Да, можно.
Ссылки:
[1] https://www.nytimes.com/interactive/2019/12/19/opinion/location-tracking-cell-phone.html
[2] https://medium.com/nightingale/twelve-million-phones-one-dataset-zero-privacy-an-interview-with-the-new-york-times-stuart-a-e2988d398ba3
#privacy #leaks
Я писал об этом ранее, а сейчас вышли ещё и технические подробности [2]. Можно ли на основе этих данных идентифицировать конкретного человека? Да, можно.
Ссылки:
[1] https://www.nytimes.com/interactive/2019/12/19/opinion/location-tracking-cell-phone.html
[2] https://medium.com/nightingale/twelve-million-phones-one-dataset-zero-privacy-an-interview-with-the-new-york-times-stuart-a-e2988d398ba3
#privacy #leaks
Nytimes
Opinion | Twelve Million Phones, One Dataset, Zero Privacy (Published 2019)
What we learned from the spy in your pocket.
Рубрика "Без комментариев". Я так понимаю что пока Meduza [1], а вскоре и остальные СМИ пишут о том что база паспортов всех проголосовавших через электронное голосование оказалась в открытом доступе.
Плохое в этом то что вообще была эта программа и то что она оказалась в открытом доступе (как и база к ней). Это не фатальная утечка, там только номера паспортов, но крайне неприятная, в виду контекста. Я пока не могу придумать рабочий кейс при котором просто список номеров паспортов без иной информации может повредить, но, как бы, даже такого лучше не допускать. Если, кстати, кто-то понимает как такие утечки могут наносить ущерб - напишите в @begtinchat
Хорошее, в том что при таких масштабах голосования неизбежно должны были быть и ошибки в паспортах и я не удивлюсь если сам реестр недостоверных паспортов на который ссылается Медуза, мягко скажем, не вполне достоверен. Во всяком случае доверия к данным МВД у меня лично по умолчанию значительно ниже чем к данным в Минкомсвязи.
P.S. То что некоторые телеграм каналы и не только эти сведения распространяют, это как раз разница политактивизма и профессионального подхода. Лично я считаю правомерным распространять причины утечек только после выполнения последовательных шагов:
- предупредить источник утечки данных
- передать журналистам для публикации материала (при условии отсутствия раскрытия самих персональных данных)
А распространять саму базу - это, мягко скажу, если доказать что это перс данные - то незаконно, а даже если не доказать, то неэтично. Конкретные примеры каналов приводить не буду.
Ссылки:
[1] https://meduza.io/feature/2020/07/09/vlasti-fakticheski-vylozhili-v-otkrytyy-dostup-personalnye-dannye-vseh-internet-izbirateley
#pdleaks #leaks
Плохое в этом то что вообще была эта программа и то что она оказалась в открытом доступе (как и база к ней). Это не фатальная утечка, там только номера паспортов, но крайне неприятная, в виду контекста. Я пока не могу придумать рабочий кейс при котором просто список номеров паспортов без иной информации может повредить, но, как бы, даже такого лучше не допускать. Если, кстати, кто-то понимает как такие утечки могут наносить ущерб - напишите в @begtinchat
Хорошее, в том что при таких масштабах голосования неизбежно должны были быть и ошибки в паспортах и я не удивлюсь если сам реестр недостоверных паспортов на который ссылается Медуза, мягко скажем, не вполне достоверен. Во всяком случае доверия к данным МВД у меня лично по умолчанию значительно ниже чем к данным в Минкомсвязи.
P.S. То что некоторые телеграм каналы и не только эти сведения распространяют, это как раз разница политактивизма и профессионального подхода. Лично я считаю правомерным распространять причины утечек только после выполнения последовательных шагов:
- предупредить источник утечки данных
- передать журналистам для публикации материала (при условии отсутствия раскрытия самих персональных данных)
А распространять саму базу - это, мягко скажу, если доказать что это перс данные - то незаконно, а даже если не доказать, то неэтично. Конкретные примеры каналов приводить не буду.
Ссылки:
[1] https://meduza.io/feature/2020/07/09/vlasti-fakticheski-vylozhili-v-otkrytyy-dostup-personalnye-dannye-vseh-internet-izbirateley
#pdleaks #leaks
Meduza
Власти фактически выложили в открытый доступ персональные данные всех интернет-избирателей В голосовании по поправкам участвовали…
Более миллиона жителей Москвы и Нижегородской области проголосовали за поправки к Конституции или против них через интернет. «Медуза» выяснила, что паспортные данные этих избирателей лежали практически в открытом доступе. Более того, оказалось, что некоторые…
Огромная по масштабам утечка кодов Intel, более 20гб доступны уже сейчас [1] и это только начало, главные риски Intel в том что там могут найти специально зашитые бэкдоры, смешным образом, по слову "backdoor" в исходном коде и в том что поскольку Intel не так много исходного кода раскрывало и подвергало публичной проверке кода на безопасность, есть хороший шанс на большое число zero-day уязвимостей которые будут ещё долго всплывать.
В Arstechnica подробнее о том как такое стало возможно [2], если коротко то плохо настроенный сервер в Akami CDN и криво настроенное ПО, а также пароли в формате Intel123 и intel123.
Нет 100% защиты от таких утечек, но в в целом это плохая ситуация для Intel. Если в этой утечке найдут бэкдоры или какие либо подтверждения сокрытия проблем с их процессорами, то это неизбежно отразится и на стоимости их акций и в виде проблем на рынке.
Ссылки:
[1] https://t.me/exconfidential/590
[2] https://arstechnica.com/information-technology/2020/08/intel-is-investigating-the-leak-of-20gb-of-its-source-code-and-private-data/
#security #leaks
В Arstechnica подробнее о том как такое стало возможно [2], если коротко то плохо настроенный сервер в Akami CDN и криво настроенное ПО, а также пароли в формате Intel123 и intel123.
Нет 100% защиты от таких утечек, но в в целом это плохая ситуация для Intel. Если в этой утечке найдут бэкдоры или какие либо подтверждения сокрытия проблем с их процессорами, то это неизбежно отразится и на стоимости их акций и в виде проблем на рынке.
Ссылки:
[1] https://t.me/exconfidential/590
[2] https://arstechnica.com/information-technology/2020/08/intel-is-investigating-the-leak-of-20gb-of-its-source-code-and-private-data/
#security #leaks
Помните в мае 2019 года я публиковал доклад об утечках персональных данных из государственных информационных систем? [1] Хотите знать что изменилось за эти годы? А ничего не изменилось.
1. Официальной реакции Роскомнадзора не было да и диалога с ними тоже.
2. Официального технологического аудита информационных систем не было
3. Кое-что происходило кулуарно и непублично, об этом эхом мне потом рассказывали коллеги из разных органов власти.
4. Во многих случаях никакие изменения в информационных системах не вносились и данные по прежнему публикуются.
В качестве примера сайт http://xn--80akibckndbdsx1ezg.xn--p1ai/ от Роструда где собираются жалобы граждан. И, конечно же, они публикуются.
Мне очень не хотелось возвращаться к этой теме, потому что у неё есть сопутствующих ущерб, больше людей узнают об утечках и знают где их найти.
Ссылки:
[1] https://begtin.tech/pdleaks-p3-govsys/
#privacy #PersonalData #leaks
1. Официальной реакции Роскомнадзора не было да и диалога с ними тоже.
2. Официального технологического аудита информационных систем не было
3. Кое-что происходило кулуарно и непублично, об этом эхом мне потом рассказывали коллеги из разных органов власти.
4. Во многих случаях никакие изменения в информационных системах не вносились и данные по прежнему публикуются.
В качестве примера сайт http://xn--80akibckndbdsx1ezg.xn--p1ai/ от Роструда где собираются жалобы граждан. И, конечно же, они публикуются.
Мне очень не хотелось возвращаться к этой теме, потому что у неё есть сопутствующих ущерб, больше людей узнают об утечках и знают где их найти.
Ссылки:
[1] https://begtin.tech/pdleaks-p3-govsys/
#privacy #PersonalData #leaks
Но вернуться к этой теме всё равно придется несмотря на её "подвешенное состояние", с её регулятором Роскомнадзором, взаимодействовать бессмысленно, по моему опыту, у Минцифры тема не на повестке, у Счетной палаты у неё нет полномочий, а говорить об этом с людьми в Прокуратуре - это сразу жесткий вариант и неизвестно работающий ли.
Поэтому те несколько примеров что я привожу это то, что есть на сайте онлайнинспекция.рф в открытом доступе и очень легко находимое. А есть много других примеров также в открытом доступе, но не находимые самыми очевидными способами.
#privacy #leaks
Поэтому те несколько примеров что я привожу это то, что есть на сайте онлайнинспекция.рф в открытом доступе и очень легко находимое. А есть много других примеров также в открытом доступе, но не находимые самыми очевидными способами.
#privacy #leaks
В Бразилии масштабнейшая утечка персональных данных о гражданах [1], утекли сведения о доступе к информации о 243 миллионах бразильцев через систему e-SUS-Notificia [2]
А я хочу напомнить что в России сейчас параллельно существуют и создаются сразу несколько федеральных государственных информационных систем содержащих информацию о гражданах:
- Портал Госуслуг
- ЕГР ЗАГС
- Единая государственная информационная система в сфере здравоохранения
- Цифровой профиль
- Единый реестр населения
Главный критерий риска которых можно измерить в ответе на вопрос "О скольки гражданах в информационной системе сведения могут утечь одномоментно?". Можно даже индекс риска систем составлять по масштабу охвата граждан.
Ссылки:
[1] https://tjournal.ru/tech/244359-dannye-243-millionov-zhiteley-brazilii-popali-v-set-iz-za-parolya-v-ishodnom-kode-gosudarstvennogo-sayta
[2] https://notifica.saude.gov.br/
#privacy #leaks
А я хочу напомнить что в России сейчас параллельно существуют и создаются сразу несколько федеральных государственных информационных систем содержащих информацию о гражданах:
- Портал Госуслуг
- ЕГР ЗАГС
- Единая государственная информационная система в сфере здравоохранения
- Цифровой профиль
- Единый реестр населения
Главный критерий риска которых можно измерить в ответе на вопрос "О скольки гражданах в информационной системе сведения могут утечь одномоментно?". Можно даже индекс риска систем составлять по масштабу охвата граждан.
Ссылки:
[1] https://tjournal.ru/tech/244359-dannye-243-millionov-zhiteley-brazilii-popali-v-set-iz-za-parolya-v-ishodnom-kode-gosudarstvennogo-sayta
[2] https://notifica.saude.gov.br/
#privacy #leaks
TJ
Данные 243 миллионов жителей Бразилии попали в сеть из-за пароля в исходном коде государственного сайта
Пароль полгода провисел в открытом виде на сайте местного Минздрава.
Новость достаточно важная чтобы о ней написать, но недостаточная чтобы говорить только о ней. Утечка данных о заболевших COVID-19 в Москве - это не первая и не последняя такая утечка в мире. Недавно была куда большая по объёмам утечка данных в Бразилии. Но это не отменяет всего того безобразия того как реестр заболевших COVID'ом вели в Google Docs.
Слов нет, но эмоций много. Я сегодня отказывался комментировать это СМИ чтобы не ругаться матом в прямом эфире.
#leaks
Слов нет, но эмоций много. Я сегодня отказывался комментировать это СМИ чтобы не ругаться матом в прямом эфире.
#leaks
Мне очень не хочется это комментировать, но, простите, не могу удержаться. (c)
Ведение баз заболевших в таблицах в Google - это называется не человеческий фактор, а халатность. Это данные составляющие врачебную тайну и их вообще не имели право использовать за пределами медицинских информационных систем или иных регламентированных ГИС. А когда утекут данные по слежки Правительства Москвы за горожанами через городскую сеть WiFi, приложение Активный гражданин и др. - это тоже будет "человеческий фактор"? А неспособность властей Москвы сформировать четкие этические и технические регламенты работать с персональными данными - это тоже человеческий фактор?
Как бы помягче сказать, это ситуация не про дисциплинарные проверки и не про увольнения, а про уголовные дела. Особенно если канал утечки до конца не перекрыли и пытливые умы найдут в этих таблицах тех людей кого они там найти не должны были и не найдут тех кого были должны.
#leaks #moscow
Ведение баз заболевших в таблицах в Google - это называется не человеческий фактор, а халатность. Это данные составляющие врачебную тайну и их вообще не имели право использовать за пределами медицинских информационных систем или иных регламентированных ГИС. А когда утекут данные по слежки Правительства Москвы за горожанами через городскую сеть WiFi, приложение Активный гражданин и др. - это тоже будет "человеческий фактор"? А неспособность властей Москвы сформировать четкие этические и технические регламенты работать с персональными данными - это тоже человеческий фактор?
Как бы помягче сказать, это ситуация не про дисциплинарные проверки и не про увольнения, а про уголовные дела. Особенно если канал утечки до конца не перекрыли и пытливые умы найдут в этих таблицах тех людей кого они там найти не должны были и не найдут тех кого были должны.
#leaks #moscow
Большая утечка данных в Бразилии, в блоге компании PSafe [1] (португальский язык) упоминается о 220 миллионах лиц, а утечка, похоже, затрагивает также юридические лица и базу автомобилей. Нет подробностей о её источнике и где эти данные можно скачать, но первоисточник новости по ссылке выше, остальные, лишь ссылаются на него [2].
Ссылки:
[1] https://www.psafe.com/blog/vazamento-expoe-numero-de-cpf-de-milhoes-de-brasileiros-alerta-psafe/
[2] https://olhardigital.com.br/en/2021/01/20/safety/database-leak-exposes-cpf-of-almost-the-entire-population-of-brazil/
#leaks #brazil
Ссылки:
[1] https://www.psafe.com/blog/vazamento-expoe-numero-de-cpf-de-milhoes-de-brasileiros-alerta-psafe/
[2] https://olhardigital.com.br/en/2021/01/20/safety/database-leak-exposes-cpf-of-almost-the-entire-population-of-brazil/
#leaks #brazil