«Да, наш сотрудник скачал вирус, но осмотрительно!»
Ирония современных законов о мошенничестве в том, что ты никогда не знаешь заранее, кто будет виноват: потерпевший, виновник, третьи лица или карма. Сегодня расскажу про неожиданный для меня исход суда с хостингом, который был взломан.
Существует небольшая, но гордая грузинская криптоплатформа Cryptal, бенефициаром которой является бразилец Гвидо Малато. В 2016 году он арендовал виртуальную машину на хостинге DigitalOcean, чтобы безопасно держать там часть активов компании в размере 66 биткоинов (сегодня это 375 млн руб). В октябре 2021 года хостинг взломали достаточно примитивным методом — сотрудник поддержки открыл фишинговую ссылку и скачал документ, который оказался вирусом. Биткоины, естественно, пропали.
Малато провел аудит безопасности, обнаружил, что хостинг использует уязвимый VPN, уязвимый 2FA, уязвимых сотрудников и подал в суд.
В суде хостинг заявил, что невиновен, и привел доказательства, которые убедили судью:
1. Электронный адрес, с которого было отправлено фишинговое письмо, не находился в черном списке VirusTotal,
2. Вирус, который скачал сотрудник, был «изощрённым ПО с высоким уровнем сложности»,
3. В Пользовательском соглашении было указано, что компания не несёт ответственности за последствия своей деятельности 🤡,
4. Привлеченный эксперт дал заключение, что «Клиент проявил беспечность в виде бездействия на фоне массовых новостей о взломах других пользователей» (хотя неясно, что именно надо было делать, чтобы тебя признали бдительным).
⚖️ Вердикт судьи «Сам виноват. Не надо было хранить биткоины где попало».
В общем, если у вас своя компания, и вы ищете возможность никогда не встревать в неприятности, вот заклинание, которе надо вставить мелким шрифтом в Пользовательское соглашение:
«Наша компания не может быть признана ответственной ни за какие косвенные, случайные, особые последствия или убытки, связанные с доступом или использованием услуг». Не благодарите.
Ирония современных законов о мошенничестве в том, что ты никогда не знаешь заранее, кто будет виноват: потерпевший, виновник, третьи лица или карма. Сегодня расскажу про неожиданный для меня исход суда с хостингом, который был взломан.
Существует небольшая, но гордая грузинская криптоплатформа Cryptal, бенефициаром которой является бразилец Гвидо Малато. В 2016 году он арендовал виртуальную машину на хостинге DigitalOcean, чтобы безопасно держать там часть активов компании в размере 66 биткоинов (сегодня это 375 млн руб). В октябре 2021 года хостинг взломали достаточно примитивным методом — сотрудник поддержки открыл фишинговую ссылку и скачал документ, который оказался вирусом. Биткоины, естественно, пропали.
Малато провел аудит безопасности, обнаружил, что хостинг использует уязвимый VPN, уязвимый 2FA, уязвимых сотрудников и подал в суд.
В суде хостинг заявил, что невиновен, и привел доказательства, которые убедили судью:
1. Электронный адрес, с которого было отправлено фишинговое письмо, не находился в черном списке VirusTotal,
2. Вирус, который скачал сотрудник, был «изощрённым ПО с высоким уровнем сложности»,
3. В Пользовательском соглашении было указано, что компания не несёт ответственности за последствия своей деятельности 🤡,
4. Привлеченный эксперт дал заключение, что «Клиент проявил беспечность в виде бездействия на фоне массовых новостей о взломах других пользователей» (хотя неясно, что именно надо было делать, чтобы тебя признали бдительным).
⚖️ Вердикт судьи «Сам виноват. Не надо было хранить биткоины где попало».
В общем, если у вас своя компания, и вы ищете возможность никогда не встревать в неприятности, вот заклинание, которе надо вставить мелким шрифтом в Пользовательское соглашение:
«Наша компания не может быть признана ответственной ни за какие косвенные, случайные, особые последствия или убытки, связанные с доступом или использованием услуг». Не благодарите.
🤣9🔥6❤2😁2😱2🥰1
This media is not supported in your browser
VIEW IN TELEGRAM
Моё любимое упражнение, когда кто-то пытается продать мне рекламу на своём сайте 😁
😁14👍3🔥3👏1🤩1
Я спросил: «Вы коррупционеры?», они сказали «Нет»
Уверена, хотя бы раз в жизни вы смотрели 🏁Формулу-1, или матчи английской Премьер-лиги, права на показ которых принадлежат британской компании MP&Silva. 10 лет назад, когда ее купил крупный китайский инвестфонд, она оценивалась в целых $1,4 млрд.
Правда спустя 2 года компания обанкротилась. Она много лет успешно вела сделки согласно «индустриальному стандарту», и аудиторы фонда только после покупки решили узнать, что это за стандарт такой. Оказалось, что это взятки. Более того, бизнес-модель компании без откатов была нежизнеспособна.
Естественно, китайцы подали в суд. Суд они проиграли (иначе бы я не писала этот прекрасный пост), но самое смешное в том, как это произошло. Ещё до покупки фонд получил от MP&Silva гарантийное письмо, что агентство ни сейчас ни ранее не оказывалось замешано в коррупционных скандалах. В этом и заключалась роковая ошибка.
Тот факт, что компания не замешана в коррупционных скандалах еще не значит, что она не занимается коррупцией. Это значит, что она просто не попадалась.
Как сказал суд: «Если вы не знаете, как работает бизнес и все равно его покупаете, вы сами виноваты».
P.S. Ирония ситуации еще и в том, что даже если бы китайцы поддержали взяточную модель, то они все равно ничего не смогли бы сделать. Потому что сколько и кому надо платить, знали только бывшие вдадельцы — Риккардо Сильва и Андреа Радриццани. Но они уже радостно регистрировали на том же рынке две новые конторы Leeds United и Eleven Sports 😆
Мораль: не забывайте подписывать бумажки о неконкуренции и не верьте людям на слово.
Уверена, хотя бы раз в жизни вы смотрели 🏁Формулу-1, или матчи английской Премьер-лиги, права на показ которых принадлежат британской компании MP&Silva. 10 лет назад, когда ее купил крупный китайский инвестфонд, она оценивалась в целых $1,4 млрд.
Правда спустя 2 года компания обанкротилась. Она много лет успешно вела сделки согласно «индустриальному стандарту», и аудиторы фонда только после покупки решили узнать, что это за стандарт такой. Оказалось, что это взятки. Более того, бизнес-модель компании без откатов была нежизнеспособна.
Естественно, китайцы подали в суд. Суд они проиграли (иначе бы я не писала этот прекрасный пост), но самое смешное в том, как это произошло. Ещё до покупки фонд получил от MP&Silva гарантийное письмо, что агентство ни сейчас ни ранее не оказывалось замешано в коррупционных скандалах. В этом и заключалась роковая ошибка.
Тот факт, что компания не замешана в коррупционных скандалах еще не значит, что она не занимается коррупцией. Это значит, что она просто не попадалась.
Как сказал суд: «Если вы не знаете, как работает бизнес и все равно его покупаете, вы сами виноваты».
P.S. Ирония ситуации еще и в том, что даже если бы китайцы поддержали взяточную модель, то они все равно ничего не смогли бы сделать. Потому что сколько и кому надо платить, знали только бывшие вдадельцы — Риккардо Сильва и Андреа Радриццани. Но они уже радостно регистрировали на том же рынке две новые конторы Leeds United и Eleven Sports 😆
Мораль: не забывайте подписывать бумажки о неконкуренции и не верьте людям на слово.
🔥14🤪10💯6🤣4👍2❤1😁1🤩1🤝1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁23❤1👏1🤯1
Что реально происходит при «продлении договора на SIM-карту у оператора» 👇
Схема со звонком от оператора довольно известная, и люди знают о ней примерно следующее: «если ты назвал код из смс, то у тебя взломали Госуслуги». Поэтому часто происходит путаница, потому что схема работает не так.
Что нужно мошеннику: доступ к вашим банковским приложениям
Как он планирует это сделать: выпустить eSIM на ВАШ номер телефона на СВОЁМ устройстве. Благодаря этому он сможет заходить в ваши онлайн-банки, получая коды для входа, которые должны были получать вы.
В чем сложность: ему необходимо 1️⃣ попасть в ваш личный кабинет оператора, 2️⃣ оформить заявку на выпуск eSIM, 3️⃣ верифицировать её через ваши Госуслуги.
Хронология в деталях:
1️⃣ Мошенник звонит вам и говорит, что он — ваш оператор, у вас заканчивается договор на действие SIM-карты, и его надо продлить. Для этого сперва надо сообщить код, который сейчас придет в смс. На самом деле это код для входа в ЛК оператора, который позволяет мошеннику авторизоваться там под вашей учетной записью.
2️⃣ Далее мошенник оформляет заявку от вашего имени на выпуск eSIM.
3️⃣ Теперь он сообщает вам, что необходимо подписать договор, который вы только что продлили, подтвердив личность через Госуслуги. Поэтому сейчас вам придет ссылка, по которой нужно авторизоваться в ГУ. На самом деле, переходя по ссылке, вы подтверждаете, что согласны выпустить eSIM.
P.S. Ранее мошенники на шаге 3 просто требовали код для входа в Госуслуги. Сегодня такая схема работает только с теми, кто намеренно отключил авторизацию через MAX и не поставил иной 2FA, кроме как код из смс (не делайте так🫠).
Схема со звонком от оператора довольно известная, и люди знают о ней примерно следующее: «если ты назвал код из смс, то у тебя взломали Госуслуги». Поэтому часто происходит путаница, потому что схема работает не так.
Что нужно мошеннику: доступ к вашим банковским приложениям
Как он планирует это сделать: выпустить eSIM на ВАШ номер телефона на СВОЁМ устройстве. Благодаря этому он сможет заходить в ваши онлайн-банки, получая коды для входа, которые должны были получать вы.
В чем сложность: ему необходимо 1️⃣ попасть в ваш личный кабинет оператора, 2️⃣ оформить заявку на выпуск eSIM, 3️⃣ верифицировать её через ваши Госуслуги.
Хронология в деталях:
1️⃣ Мошенник звонит вам и говорит, что он — ваш оператор, у вас заканчивается договор на действие SIM-карты, и его надо продлить. Для этого сперва надо сообщить код, который сейчас придет в смс. На самом деле это код для входа в ЛК оператора, который позволяет мошеннику авторизоваться там под вашей учетной записью.
2️⃣ Далее мошенник оформляет заявку от вашего имени на выпуск eSIM.
3️⃣ Теперь он сообщает вам, что необходимо подписать договор, который вы только что продлили, подтвердив личность через Госуслуги. Поэтому сейчас вам придет ссылка, по которой нужно авторизоваться в ГУ. На самом деле, переходя по ссылке, вы подтверждаете, что согласны выпустить eSIM.
P.S. Ранее мошенники на шаге 3 просто требовали код для входа в Госуслуги. Сегодня такая схема работает только с теми, кто намеренно отключил авторизацию через MAX и не поставил иной 2FA, кроме как код из смс (не делайте так🫠).
👍13✍6
«Если вы считаете, что мы нарушаем закон, оставайтесь на линии, с вами свяжется первый раскаявшийся сотрудник»
В 2024 году уголовная статья за пробив (ст. 272 УК РФ) ужесточилась, что привело к закрытию половины сервисов пробива. По Telegram-ботам РКН прошелся ковровыми бомбардировками — за 1,5 года уничтожен Глаз Бога и почти 10 000 (⚠️) его зеркал и аналогов. Часть выживших сервисов ушла в тень, а часть попыталась «легализоваться». И если вам тоже не до конца понятно, как можно легализовать пробив, то вот что было в ходу:
▪️«Мы не агератор данных из утечек, а только поисковая система» — 🚫потрачено (согласно норме закона, обработка утечек теперь равносильна хранению)
▪️«Пользователь обязан дать нам гарантию, что у него есть согласие субъекта на обработку его перс.данных» — 🚫потрачено (пробив незаконен даже при наличии согласия на обработку ПДн)
▪️«Мы пробиваем только по номеру телефона и email, что не является перс.данными» — 🚫потрачено (в ряде случаев, если идентификаторы однозначно указывают на конкретное физлицо, они признаются ПДн)
Но есть и успешные (пока что) кейсы — это два сервиса пробива биометрических данных: Search4faces и PimEyes. Кратко говоря, это пробив по фото с распознанием лиц. Каждый из сервисов пошел своим любопытным путем.
Search4faces теперь осуществляет поиск только по аватаркам и иным публикациям, владение которыми делегировано пользователем в сторону соцсети (кто не в курсе, сегодня рекомендательные ленты забирают у вас право распоряжаться вашими фото, чтобы не иметь проблем). Таким образом пробив идет по данным, которые пользователь сам согласился считать не приватными.
А PimEyes просто переехал в юрисдикцию, где нет строгой необходимости иметь разрешение на обработку биометрии. Сервис был основан в Польше, потом релоцировался на Сейшелы, и наконец – в ОАЭ.
Примечательно, что начиная с 2024 года разные правоохранительные органы закидывают сервис претензиями и требованиями предстать перед судом, но никто так ни разу не смог привлечь PimEyes к ответственности потому, что тот просто никому не отвечает. И пока это действительно работает, так как международного разбирательства против сервиса инициировано не было. Хотя скорее всего просто не смогли найти реальных потерпевших, понесших реальный ущерб.
В 2024 году уголовная статья за пробив (ст. 272 УК РФ) ужесточилась, что привело к закрытию половины сервисов пробива. По Telegram-ботам РКН прошелся ковровыми бомбардировками — за 1,5 года уничтожен Глаз Бога и почти 10 000 (⚠️) его зеркал и аналогов. Часть выживших сервисов ушла в тень, а часть попыталась «легализоваться». И если вам тоже не до конца понятно, как можно легализовать пробив, то вот что было в ходу:
▪️«Мы не агератор данных из утечек, а только поисковая система» — 🚫потрачено (согласно норме закона, обработка утечек теперь равносильна хранению)
▪️«Пользователь обязан дать нам гарантию, что у него есть согласие субъекта на обработку его перс.данных» — 🚫потрачено (пробив незаконен даже при наличии согласия на обработку ПДн)
▪️«Мы пробиваем только по номеру телефона и email, что не является перс.данными» — 🚫потрачено (в ряде случаев, если идентификаторы однозначно указывают на конкретное физлицо, они признаются ПДн)
Но есть и успешные (пока что) кейсы — это два сервиса пробива биометрических данных: Search4faces и PimEyes. Кратко говоря, это пробив по фото с распознанием лиц. Каждый из сервисов пошел своим любопытным путем.
Search4faces теперь осуществляет поиск только по аватаркам и иным публикациям, владение которыми делегировано пользователем в сторону соцсети (кто не в курсе, сегодня рекомендательные ленты забирают у вас право распоряжаться вашими фото, чтобы не иметь проблем). Таким образом пробив идет по данным, которые пользователь сам согласился считать не приватными.
А PimEyes просто переехал в юрисдикцию, где нет строгой необходимости иметь разрешение на обработку биометрии. Сервис был основан в Польше, потом релоцировался на Сейшелы, и наконец – в ОАЭ.
Примечательно, что начиная с 2024 года разные правоохранительные органы закидывают сервис претензиями и требованиями предстать перед судом, но никто так ни разу не смог привлечь PimEyes к ответственности потому, что тот просто никому не отвечает. И пока это действительно работает, так как международного разбирательства против сервиса инициировано не было. Хотя скорее всего просто не смогли найти реальных потерпевших, понесших реальный ущерб.
❤11👍9🔥6🤩1
Пока мы сидели без интернета, MAX боролся за то, чтобы не вылететь с международной арены
(вы удивитесь, но на международной арене ОН ЕСТЬ, в других странах тоже скачивают МАХ, и сегодня около 8% пользователей — иностранцы)
Итак, хронология событий:
💀 30 апреля 2026 года Cloudflare помечает домен max.ru как шпионское ПО. А это очень серьезное обвинение, после которого браузеры имеют право заблокировать сайт и отказать вам в доступе. Основная претензия сервиса заключается в том, что MAX инициирует загрузку контента из внешних источников без вашего ведома.
🗨️ В тот же день MAX выпускает пресс-релиз, из которого следует, что «вы просто неверно поняли, так работает наша веб-аналитика».
⛔ Что бы там ни было на самом деле, к 1 мая метка уже удалена.
⛔ А затем был удален слепок на web.archive.org, который позволяет проверить этот факт ⚠️
Уверена, РКН просто пригрозил Cloudflare, что если тот не бросит свои шутки, то США отключат от интернета 🤣
(вы удивитесь, но на международной арене ОН ЕСТЬ, в других странах тоже скачивают МАХ, и сегодня около 8% пользователей — иностранцы)
Итак, хронология событий:
💀 30 апреля 2026 года Cloudflare помечает домен max.ru как шпионское ПО. А это очень серьезное обвинение, после которого браузеры имеют право заблокировать сайт и отказать вам в доступе. Основная претензия сервиса заключается в том, что MAX инициирует загрузку контента из внешних источников без вашего ведома.
🗨️ В тот же день MAX выпускает пресс-релиз, из которого следует, что «вы просто неверно поняли, так работает наша веб-аналитика».
⛔ Что бы там ни было на самом деле, к 1 мая метка уже удалена.
⛔ А затем был удален слепок на web.archive.org, который позволяет проверить этот факт ⚠️
Уверена, РКН просто пригрозил Cloudflare, что если тот не бросит свои шутки, то США отключат от интернета 🤣
😁23🤡7🔥2👏1🥴1
Какие законы, такие и мошенники.
🇨🇳 В Китае существует закон о реинкарнации, который гласит следующее: если в прошлой жизни вы были ламой и возродились, то вы должны заверить этот факт в Управлении по делам религий. Иначе не считается.
То есть вы поняли всё верно: Коммунистическая партия Китая проверяет вашу прошлую жизнь.
Естественно она не проводит магических обрядов, а просто обращается за верификацией в один из буддийских храмов. Сделано это не для того, чтобы вы унаследовали долги и налоговые отчисления из прошлой жизни😄, а чтобы защитить обычный народ от мошенников. Дело в том, что сегодня реинкарнация — просто плодородная почва для разного рода инфоцыган, которые заявляют, что в прошлой жизни были Буддами.
Не так давно появился фейковый Линг Ринпоче, который набрал в соцсетях аж 80 000 подписчиков и имел миллионы фанатов. Вот лишь часть его регалий:
🚩 Он назвался «самым красивым живущим Буддой»,
🚩 Продавал невероятно дорогие курсы по реинкарнации с наставничеством. Стоимость одного индивидуального курса составила 300 000 юаней, а это больше трёх миллионов рублей (Блиновская отдыхает),
🚩 И на волне вдохновения даже выпустил свою пластинку 👍
Этот гениальный план позволил ему зарабатывать довольно долгое время, ведь ни один китаец и тибетец после смерти не пожаловался на то, что его способ реинкарнации не работает.
Но всё испортила Коммунистическая партия. Они ввели реестр реинкарнировавшихся, и не выдали бедному Ринпоче лицензию. Более того, разоблачение Будды проходило по принципу «кто к нам с мечом того мы кирпичом», госслужащие нашли НАСТОЯЩУЮ реинкарнацию Кьябдже Линга Ринпоче в Индии, о чём выпустили пресс-релиз.
✍ Однако «Ринпоче» или его последователи еще несколько лет использовали легенду, чтобы собирать деньги на строительство монастырей в недоступных скальных территориях (где их нельзя проверить) и спасение людей от COVID (видимо, Ковид мешает жить вечно).
🇨🇳 В Китае существует закон о реинкарнации, который гласит следующее: если в прошлой жизни вы были ламой и возродились, то вы должны заверить этот факт в Управлении по делам религий. Иначе не считается.
То есть вы поняли всё верно: Коммунистическая партия Китая проверяет вашу прошлую жизнь.
Естественно она не проводит магических обрядов, а просто обращается за верификацией в один из буддийских храмов. Сделано это не для того, чтобы вы унаследовали долги и налоговые отчисления из прошлой жизни😄, а чтобы защитить обычный народ от мошенников. Дело в том, что сегодня реинкарнация — просто плодородная почва для разного рода инфоцыган, которые заявляют, что в прошлой жизни были Буддами.
Не так давно появился фейковый Линг Ринпоче, который набрал в соцсетях аж 80 000 подписчиков и имел миллионы фанатов. Вот лишь часть его регалий:
🚩 Он назвался «самым красивым живущим Буддой»,
🚩 Продавал невероятно дорогие курсы по реинкарнации с наставничеством. Стоимость одного индивидуального курса составила 300 000 юаней, а это больше трёх миллионов рублей (Блиновская отдыхает),
🚩 И на волне вдохновения даже выпустил свою пластинку 👍
Этот гениальный план позволил ему зарабатывать довольно долгое время, ведь ни один китаец и тибетец после смерти не пожаловался на то, что его способ реинкарнации не работает.
Но всё испортила Коммунистическая партия. Они ввели реестр реинкарнировавшихся, и не выдали бедному Ринпоче лицензию. Более того, разоблачение Будды проходило по принципу «кто к нам с мечом того мы кирпичом», госслужащие нашли НАСТОЯЩУЮ реинкарнацию Кьябдже Линга Ринпоче в Индии, о чём выпустили пресс-релиз.
✍ Однако «Ринпоче» или его последователи еще несколько лет использовали легенду, чтобы собирать деньги на строительство монастырей в недоступных скальных территориях (где их нельзя проверить) и спасение людей от COVID (видимо, Ковид мешает жить вечно).
😁15🔥7❤2
This media is not supported in your browser
VIEW IN TELEGRAM
Как пользоваться МАХ под VPN
1. Уведомление смахиваем вниз
2. Нажимаем на стикеры
3. Переключаем на клавиатуру
4. Профит!
1. Уведомление смахиваем вниз
2. Нажимаем на стикеры
3. Переключаем на клавиатуру
4. Профит!
🔥8👍5😁3🥰1