дайджест, посвященный утечкам данных из исключительно государственных баз данных.
https://t.me/itsorm/1896
https://t.me/itsorm/1896
Telegram
IT и СОРМ
Несколько новостей о хранении данных российским государством за последний месяц:
• База данных избирателей «Электронного голосования» оказалась в продаже;
• Больше трети утечек данных о заразившихся COVID-19 произошло в России;
• В интернете оказались…
• База данных избирателей «Электронного голосования» оказалась в продаже;
• Больше трети утечек данных о заразившихся COVID-19 произошло в России;
• В интернете оказались…
https://roskomsvoboda.org/63934
Мы провели расследование чёрного рынка данных, чтобы узнать, как обстоят дела с утечками данных россиян с камер видеонаблюдения.
https://roskomsvoboda.org/62591/
Выяснилось, что доступ к камерам может передаваться третьим лицам по прямой ссылке, а найти конкретного человека по данным с этих камер можно за 15 тысяч рублей.
❗️Запросы в ДИТ
После этого мы направили официальные запросы в ДИТ и МВД с требованием разъяснить ряд моментов, например, предоставляет ли ЕЦХД (Единый центр хранения данных) доступ для неавторизованных пользователей, а если да, для каких лиц и целей предназначена эта функция.
Из ответа ДИТ сложилось впечатление, что московские чиновники формально подходят к разъяснению своих действий, а многие ответы на наши вопросы и вовсе не содержат в себе конкретики.
https://roskomsvoboda.org/media/2020/09/09092020172527.pdf
❗️Теперь мы подали в суд иск к МВД и ДИТ, поскольку считаем, что в нынешнем виде система распознавания лиц – это серьезное нарушение права на неприкосновенность частной жизни, а власти Москвы не гарантируют защищенность персональных данных от утечек.
https://www.kommersant.ru/doc/4493628
Мы провели расследование чёрного рынка данных, чтобы узнать, как обстоят дела с утечками данных россиян с камер видеонаблюдения.
https://roskomsvoboda.org/62591/
Выяснилось, что доступ к камерам может передаваться третьим лицам по прямой ссылке, а найти конкретного человека по данным с этих камер можно за 15 тысяч рублей.
❗️Запросы в ДИТ
После этого мы направили официальные запросы в ДИТ и МВД с требованием разъяснить ряд моментов, например, предоставляет ли ЕЦХД (Единый центр хранения данных) доступ для неавторизованных пользователей, а если да, для каких лиц и целей предназначена эта функция.
Из ответа ДИТ сложилось впечатление, что московские чиновники формально подходят к разъяснению своих действий, а многие ответы на наши вопросы и вовсе не содержат в себе конкретики.
https://roskomsvoboda.org/media/2020/09/09092020172527.pdf
❗️Теперь мы подали в суд иск к МВД и ДИТ, поскольку считаем, что в нынешнем виде система распознавания лиц – это серьезное нарушение права на неприкосновенность частной жизни, а власти Москвы не гарантируют защищенность персональных данных от утечек.
https://www.kommersant.ru/doc/4493628
Роскомсвобода
РосКомСвобода через суд требует установить мораторий на использование систем распознавания лиц
Наш волонтер Анна Кузнецова, обнаружившая в даркнете свои «слитые» с московских камер биометрические данные, подала иск к Департаменту информационных технологий (ДИТ) Москвы и столичному МВД, требуя прекратить использование уличной системы распознавания лиц…
Forwarded from Ivan Begtin (Ivan Begtin)
Почему я в последнее время так много внимания обращаю на ДИТ Москвы и московскую информатизацию? Свежая статья в Коммерсанте [1] о том что Мэрия Москвы потратит 155 млн руб.[2] на систему мониторинга пассажиропотока на основе MAC адресов устройств. Даже с учётом того что только в iPhone 12 рандомизация MAC включена по умолчанию, система эта будет работать как минимум в части дешёвых устройств андроид. Фактически - это новый имущественный ценз по тому насколько за человеком можно следить и то, временно, поскольку неизвестно сколь много пройдет времени и на всех устройствах не появится рандомизация MAC.
Хуже этого, безусловно, очередная ситуация введения очередного элемента слежки за гражданами в КИС МП (попробуйте найти хоть где-то описание того как эти данные хранятся и обрабатываются).
Но я приведу другой пример, вот контракт ДИТ Москвы с ООО "Элар" [3] [4] от 2 октября этого года. Контракт длинный, на 860 дней, контракт по оцифровке архивных данных Главного следственного управления ГУ МВД России по г. Москве.
Там есть очень много вопросов и нюансов, начиная с того что оцифровка всего архива уголовных дел - это большой объём персональных данных и продолжая тем что региональные управления МВД давно уже как федерального подчинения, так как Мэрия Москвы (в лице ДИТа Москвы) может тратить средства бюджета Москвы на создание такого архива? В целом - это нарушение 11 принципа бюджетной системы "Подведомственность расходов бюджетов" [5]
Другой вопрос в обосновании этой закупки. В техническом задании указаны следующие основания:
- постановление Правительства Москвы от 09.08.2011 № 349-ПП «Об утверждении Государственной программы города Москвы «Умный город»;
- соглашение об информационном взаимодействии между Правительством Москвы и Министерством внутренних дел Российской Федерации от 15.05.2012 № 77-581;
- поручение Мэра Москвы от 24.01.2019 № 4-15-92/9;
- пункт 11.1 плана мероприятий по закупке, созданию, внедрению и эксплуатации средств информационных технологий, связи и защиты информации в интересах Главного управления МВД России по городу Москве на 2019-2022 годы от 23.08.2019 № 4-14-1100/9.
И тут по шагам:
1. № 349-ПП от 09.08.2011 - это изначально программа "Информационный город" и только в таком неактуальном виде опубликована на сайте Мэрии Москвы [6], в сети можно поискать в более полном и актуальном объёме.
2. Соглашение между МВД России и Мэрий Москвы предполагает только обмен данными и доступ МВД России к данным Мэрии, а не финансирование работы для УВД по городу Москве [7]
3. А вот и самое интересное "поручение Мэра Москвы от 24.01.2019 № 4-15-92/9" не только не является нормативно-правовым документом, но и отсутствует в открытом доступе. Последние поручения Мэра Москвы публиковались в 2018 году [8]
4. Про позицию плана мероприятий я вообще молчу, основание закупки не сама позиция, а документ который должен её утверждать.
Итого что у нас, ИТ работы для территориального управления федерального органа власти оплачиваемые из бюджета субъекта федерации, со ссылками на несуществующие в открытом доступе документы и устаревшие версии не относящихся к этим услугам НПА.
Сколько здесь нарушений законов/правил/регламентов я сейчас судить не буду. Но зачем мэрии оплачивать оцифровку архива уголовных дел кроме как для получения доступа к этой информации. А зачем Мэрии Москвы доступ к архивной информации о уголовных делах московского УВД? Вот над этим стоит поразмыслить.
Ссылки:
[1] https://www.kommersant.ru/doc/4539137
[2] https://zakupki.gov.ru/epz/order/notice/ea44/view/common-info.html?regNumber=0173200001420001132
[3] https://spending.gov.ru/goscontracts/contracts/2771087800020000119/
[4] https://zakupki.gov.ru/epz/contract/contractCard/document-info.html?reestrNumber=2771087800020000119
[5] http://budget.gov.ru/epbs/faces/p/Бюджетная система/Принципы бюджетной системы
[6] https://www.mos.ru/dit/documents/normativnye-pravovye-akty-goroda-moskvy/view/61220/
[7] http://docs.cntd.ru/document/537942874
[8] https://www.mos.ru/depnpol/documents/porucheniia-mera-moskvy/
#data #mvd #moscow #dit
Хуже этого, безусловно, очередная ситуация введения очередного элемента слежки за гражданами в КИС МП (попробуйте найти хоть где-то описание того как эти данные хранятся и обрабатываются).
Но я приведу другой пример, вот контракт ДИТ Москвы с ООО "Элар" [3] [4] от 2 октября этого года. Контракт длинный, на 860 дней, контракт по оцифровке архивных данных Главного следственного управления ГУ МВД России по г. Москве.
Там есть очень много вопросов и нюансов, начиная с того что оцифровка всего архива уголовных дел - это большой объём персональных данных и продолжая тем что региональные управления МВД давно уже как федерального подчинения, так как Мэрия Москвы (в лице ДИТа Москвы) может тратить средства бюджета Москвы на создание такого архива? В целом - это нарушение 11 принципа бюджетной системы "Подведомственность расходов бюджетов" [5]
Другой вопрос в обосновании этой закупки. В техническом задании указаны следующие основания:
- постановление Правительства Москвы от 09.08.2011 № 349-ПП «Об утверждении Государственной программы города Москвы «Умный город»;
- соглашение об информационном взаимодействии между Правительством Москвы и Министерством внутренних дел Российской Федерации от 15.05.2012 № 77-581;
- поручение Мэра Москвы от 24.01.2019 № 4-15-92/9;
- пункт 11.1 плана мероприятий по закупке, созданию, внедрению и эксплуатации средств информационных технологий, связи и защиты информации в интересах Главного управления МВД России по городу Москве на 2019-2022 годы от 23.08.2019 № 4-14-1100/9.
И тут по шагам:
1. № 349-ПП от 09.08.2011 - это изначально программа "Информационный город" и только в таком неактуальном виде опубликована на сайте Мэрии Москвы [6], в сети можно поискать в более полном и актуальном объёме.
2. Соглашение между МВД России и Мэрий Москвы предполагает только обмен данными и доступ МВД России к данным Мэрии, а не финансирование работы для УВД по городу Москве [7]
3. А вот и самое интересное "поручение Мэра Москвы от 24.01.2019 № 4-15-92/9" не только не является нормативно-правовым документом, но и отсутствует в открытом доступе. Последние поручения Мэра Москвы публиковались в 2018 году [8]
4. Про позицию плана мероприятий я вообще молчу, основание закупки не сама позиция, а документ который должен её утверждать.
Итого что у нас, ИТ работы для территориального управления федерального органа власти оплачиваемые из бюджета субъекта федерации, со ссылками на несуществующие в открытом доступе документы и устаревшие версии не относящихся к этим услугам НПА.
Сколько здесь нарушений законов/правил/регламентов я сейчас судить не буду. Но зачем мэрии оплачивать оцифровку архива уголовных дел кроме как для получения доступа к этой информации. А зачем Мэрии Москвы доступ к архивной информации о уголовных делах московского УВД? Вот над этим стоит поразмыслить.
Ссылки:
[1] https://www.kommersant.ru/doc/4539137
[2] https://zakupki.gov.ru/epz/order/notice/ea44/view/common-info.html?regNumber=0173200001420001132
[3] https://spending.gov.ru/goscontracts/contracts/2771087800020000119/
[4] https://zakupki.gov.ru/epz/contract/contractCard/document-info.html?reestrNumber=2771087800020000119
[5] http://budget.gov.ru/epbs/faces/p/Бюджетная система/Принципы бюджетной системы
[6] https://www.mos.ru/dit/documents/normativnye-pravovye-akty-goroda-moskvy/view/61220/
[7] http://docs.cntd.ru/document/537942874
[8] https://www.mos.ru/depnpol/documents/porucheniia-mera-moskvy/
#data #mvd #moscow #dit
Коммерсантъ
В сложной оперативной остановке
Пассажиров Москвы будут мониторить по смартфонам
Forwarded from IT и СОРМ
Обновлены инструкции по шифрованию:
— Шифрование системного диска на Windows
— Шифрование системного диска на macOS
— Создание шифрованного контейнера в Windows
— Создание шифрованного контейнера в macOS
Напоминаю, что шифровать диск обязательно, если вы:
— Политический активист
— Журналист
— Пользуетесь ВК и другими российскими соцсетями
— Живёте в России
В шифрованном контейнере (в файле) можно хранить важные данные — например, резервные коды для 2FA.
Сам контейнер можно положить, например, на флешку, внешний диск, или в облако.
— Шифрование системного диска на Windows
— Шифрование системного диска на macOS
— Создание шифрованного контейнера в Windows
— Создание шифрованного контейнера в macOS
Напоминаю, что шифровать диск обязательно, если вы:
— Политический активист
— Журналист
— Пользуетесь ВК и другими российскими соцсетями
— Живёте в России
В шифрованном контейнере (в файле) можно хранить важные данные — например, резервные коды для 2FA.
Сам контейнер можно положить, например, на флешку, внешний диск, или в облако.
Medium
Шифрование системного диска на Windows с помощью VeraCrypt
Обновлено 16 ноября 2020
Forwarded from the Matrix • Cyber News
Telegraph
Телефоны и заказы клиентов Яндекс.Еды утекли в Сеть
Сервис доставки блюд из ресторанов «Яндекс.Еда» сообщил об утечке данных клиентов. Отмечается, что в Сеть были слиты телефонные номера людей, а также информация об их заказах. В качестве ответных мер российский интернет-гигант решил сократить число сотрудников…
Forwarded from the Matrix • Cyber News
Как защитить свой капитал на фоне обвала фондового рынка с помощью криптовалют
24 февраля на российском фондовом рынке произошел крупнейший обвал за всю историю. Снижение индексов ускорилось более чем на 45%.
Это произошло после того, как президент России Владимир Путин объявил о проведении военной операции на Украине.
После этого украинские власти ввели в стране военное положение.
📖Посмотреть
𝕥𝕙𝕖 𝕞𝕒𝕥𝕣𝕚𝕩 ☫ 𝕕𝕚𝕤𝕔𝕝𝕒𝕚𝕞𝕖𝕣
24 февраля на российском фондовом рынке произошел крупнейший обвал за всю историю. Снижение индексов ускорилось более чем на 45%.
Это произошло после того, как президент России Владимир Путин объявил о проведении военной операции на Украине.
После этого украинские власти ввели в стране военное положение.
📖Посмотреть
𝕥𝕙𝕖 𝕞𝕒𝕥𝕣𝕚𝕩 ☫ 𝕕𝕚𝕤𝕔𝕝𝕒𝕚𝕞𝕖𝕣
Telegraph
Как защитить свой капитал на фоне обвала фондового рынка с помощью криптовалют
24 февраля на российском фондовом рынке произошел крупнейший обвал за всю историю. Снижение индексов ускорилось более чем на 45%. Это произошло после того, как президент России Владимир Путин объявил о проведении военной операции на Украине. После этого украинские…
Forwarded from the Matrix • Cyber News
Samsung поставила 100 млн смартфонов с проблемным шифрованием данных
Специалисты в области криптографии нашли «серьёзную брешь» в способе шифрования конфиденциальных данных на смартфонах Samsung.
Оказалось, что корейская корпорация поставила около 100 миллионов мобильных устройств с проблемами в шифровании — от Galaxy S8 (вышел в 2017-м) до Galaxy S21 (2021-й).
📖Посмотреть
𝕥𝕙𝕖 𝕞𝕒𝕥𝕣𝕚𝕩 ☫ 𝕕𝕚𝕤𝕔𝕝𝕒𝕚𝕞𝕖𝕣
Специалисты в области криптографии нашли «серьёзную брешь» в способе шифрования конфиденциальных данных на смартфонах Samsung.
Оказалось, что корейская корпорация поставила около 100 миллионов мобильных устройств с проблемами в шифровании — от Galaxy S8 (вышел в 2017-м) до Galaxy S21 (2021-й).
📖Посмотреть
𝕥𝕙𝕖 𝕞𝕒𝕥𝕣𝕚𝕩 ☫ 𝕕𝕚𝕤𝕔𝕝𝕒𝕚𝕞𝕖𝕣
Telegraph
Samsung поставила 100 млн смартфонов с проблемным шифрованием данных
Специалисты в области криптографии нашли «серьёзную брешь» в способе шифрования конфиденциальных данных на смартфонах Samsung. Оказалось, что корейская корпорация поставила около 100 миллионов мобильных устройств с проблемами в шифровании — от Galaxy S8 (вышел…
Forwarded from the Matrix • Cyber News
Как один пользователь habr.com взломал.
Через уязвимость в <iframe>
📖Посмотреть
𝕥𝕙𝕖 𝕞𝕒𝕥𝕣𝕚𝕩 ☫ 𝕕𝕚𝕤𝕔𝕝𝕒𝕚𝕞𝕖𝕣
Через уязвимость в <iframe>
📖Посмотреть
𝕥𝕙𝕖 𝕞𝕒𝕥𝕣𝕚𝕩 ☫ 𝕕𝕚𝕤𝕔𝕝𝕒𝕚𝕞𝕖𝕣
Telegraph
Как я Хабр взломал
Всегда хотел взломать . Мечта такая, но как-то руки не доходили. И вот, вдохновившись статьей о праведной борьбе с Безумным Максом, я, как и автор поста, решил исследовать функционал а на предмет уязвимостей. Начать решил с нового редактора, рассуждая следующим…
Forwarded from the Matrix • Cyber News
Инфостилер CryptBot распространяется с помощью сложных пиратских сайтов
📖Прочитать
𝕥𝕙𝕖 𝕞𝕒𝕥𝕣𝕚𝕩 ☫ 𝕕𝕚𝕤𝕔𝕝𝕒𝕚𝕞𝕖𝕣
📖Прочитать
𝕥𝕙𝕖 𝕞𝕒𝕥𝕣𝕚𝕩 ☫ 𝕕𝕚𝕤𝕔𝕝𝕒𝕚𝕞𝕖𝕣
Telegraph
Инфостилер CryptBot распространяется с помощью сложных пиратских сайтов
Новая версия вредоносной программы CryptBot, похищающей важную информацию, теперь распространяется с помощью ряда веб-сайтов, предлагающих абсолютно бесплатно скачать софт профессионального уровня или установить «кряки» для игр.
Forwarded from the Matrix • Cyber News
Telegraph
4 рекомендации по предотвращению DDoS-атак в 2022 году
Последние два года, прошедшие в условиях пандемии, привели к кардинальным изменениям в том, как мы живем, работаем и проводим свободное время. Рост удаленной работы прогнозировался давно, но пандемия воплотила эти прогнозы в реальность гораздо быстрее, чем…
Forwarded from the Matrix • Cyber News
Новый ботнет Golang опустошает криптовалютные кошельки пользователей Windows
📖Посмотреть
𝕥𝕙𝕖 𝕞𝕒𝕥𝕣𝕚𝕩 ☫ 𝕕𝕚𝕤𝕔𝕝𝕒𝕚𝕞𝕖𝕣
📖Посмотреть
𝕥𝕙𝕖 𝕞𝕒𝕥𝕣𝕚𝕩 ☫ 𝕕𝕚𝕤𝕔𝕝𝕒𝕚𝕞𝕖𝕣
Telegraph
Новый ботнет Golang опустошает криптовалютные кошельки пользователей Windows
Новый ботнет на основе Golng, находящийся в активной разработке, захватывает сотни устройств Windows каждый раз, когда его операторы развертывают новый сервер управления и контроля (C2). Этот ранее неизвестный ботнет, впервые обнаруженный в октябре 2021 года…
Forwarded from the Matrix • Cyber News
Telegraph
Подготовка к шатдауну. Как общаться после отключения интернета
Купить смартфон Android
Forwarded from the Matrix • Cyber News
Хакеры регистрируют одноразовые аккаунты через заражённые Android-девайсы
📖Посмотреть
𝕥𝕙𝕖 𝕞𝕒𝕥𝕣𝕚𝕩 ☫ 𝕕𝕚𝕤𝕔𝕝𝕒𝕚𝕞𝕖𝕣
📖Посмотреть
𝕥𝕙𝕖 𝕞𝕒𝕥𝕣𝕚𝕩 ☫ 𝕕𝕚𝕤𝕔𝕝𝕒𝕚𝕞𝕖𝕣
Telegraph
Хакеры регистрируют одноразовые аккаунты через заражённые Android-девайсы
Исследователи изучили сервисы для СМС-верификации аккаунтов и выявили масштабную платформу киберпреступников, построенную на ботнете. Последний насчитывал тысячи заражённых мобильных устройств на Android. По словам специалистов, их находка ещё раз подчеркнула…
Forwarded from the Matrix • Cyber News
Telegraph
Чувствуете запах? Пахнет утечкой ваших данных
Вступление Полное шифрование диска — один из краеугольных камней защиты конечных точек. Этот метод эффективен не только для защиты конфиденциальных данных от физической кражи. Он обеспечивает целостность данных, предотвращает атаки, нацеленные на подделку…
Forwarded from the Matrix • Cyber News
Telegraph
Смарт-контракты и их уязвимости
Сегодня мы разберём: Что такое смарт-контракты и как они работают? Как и на чём писать смарт-контракты? Какие бывают уязвимости и как их искать? Ну и в конце, ограбим банк! Содержание ВведениеЧто такое смарт контракты Solidity EVM Безопасность Пишем первый…
Forwarded from the Matrix • Cyber News
Telegraph
В Питере создали безопасную альтернативу JAVA
В компании также сообщили, что изучение Kotlin в 2021 году включили в свою программу 200 университетов в разных странах. Как отметила президент некоммерческого партнерства разработчиков «РУССОФТ» Валентина Макарова, использование Kotlin – важное достижение…
Forwarded from the Matrix • Cyber News
Telegraph
Насколько биткойн-транзакции защищены от взлома?
Биткойн-сеть защищена компьютерами-майнерами, которые используют криптографический алгоритм под названием SHA-256. Взломать этот код для обычных компьютеров практически невозможно, но квантовые компьютеры, теоретически могут взломать его. «О транзакциях объявляется…
Forwarded from the Matrix • Cyber News
Telegraph
Алгоритмы поддержки безопасности блокчейн
С ростом популярности внедрения блокчейн, возникают проблемы, связанные с безопасностью данной технологии. Таким образом, у людей увеличивается интерес к пониманию алгоритмов безопасности блокчейна. Если вы хотите узнать о том, какие алгоритмы используются…
Forwarded from the Matrix • Cyber News
https://telegra.ph/Principy-raboty-i-nyuansy-top-7-DeFi-ploshchadok-na-osnovanii-sobstvennogo-opyta-01-29
the matrix
the matrix
Telegraph
Принципы работы и нюансы топ 7 DeFi-площадок на основании собственного опыта
Основы DEFI (decentralized finance) – это различные сервисы и приложения с открытым исходным кодом на основе блокчейна, которые позволяют проводить вам определенные действия с вашими монетами с целью заработка. Алгоритм работы конкретного приложения прописан…