-3

Береги свои персональные данные

Пришло вчера время оформить новый полис ОСАГО на свой автомобиль.Решил не заморачиваться поездкой в офис своей страховой, а сделать рядом с домом у агента. Пришёл, посчитали(кстати без допов и впаривания всякой приблуды), стали оформлять. Но вот же не задача, паспорт мой остался у меня в офисе и забрать я мог его только на следующей день. Теперь самое интересное: у агента в ПК оказался мой паспорт со страницей с фото и пропиской, тк "они его хранят на всякий случай"(страховался у них три года назад). На моё предложение сделать копию паспорта агента  и отдать мне "на всякий случай" отказалась. После небольшого скандала копии были удалены. Правда она их просто скинула в корзину, а вот от туда я их уже сам удалил.

Пожелания всем: не давайте копировать паспорт, достаточно просто переписать данные, что бы не попадать в такие ситуации как я .

Береги свои персональные данные Паспорт, Персональные данные, ОСАГО

Дубликаты не найдены

+2

Ты так и так оставляешь свои данные для оформления полиса. Чего ты добился, я не понимаю!

раскрыть ветку 3
-2

добился что у них нет сканов моих документов, есть только данные.

раскрыть ветку 2
+4

Хм! Это определённо победа!

+1

у них нет сканов моих документов

Ты действительно думаешь, что оно там в единственном экземпляре и только у этой деффачки?

+1

Ты подебил

+1

Полис не купил значит?

раскрыть ветку 6
-2

полис купил

раскрыть ветку 5
+1

Тогда я тебя не понимаю вообще.

В той страховой, которой я сейчас страхуюсь вот уже два года мне следует звонок Гришмидр Гришмидрович, у вас через месяц полис заканчивается, давайте согласуем дату и время, когда Вы придёте и без очереди заберёте новый.

Надеюсь и дальше так будет.

раскрыть ветку 4
Похожие посты
113

Очень странные дела при подаче объявлений на ЦИАН

UPD. Как и писал в конце поста – если мне покажут, где я ошибся, я посыплю голову пеплом.

Нужно отдать должное специалистам Циан – очень быстро отреагировали и разложили все по полочкам. Привожу их объяснения без изменений:

Олег Масленников, Архитектор ИБ Циан:

«Занимаюсь безопасностью в Циан, хочу обратить внимание на пару фактических и технических ошибок в статье. Во-первых, утверждается, что данные «улетают» и обрабатываются заграничным сервисом. Это не так. Мы используем компанию Sumsub, это глобальная организация с HQ в Лондоне и офисами в тч в России, работающая в соответствии с законодательством Российской Федерации.

Российские паспорта обрабатываются российским юридическим лицом компании, ООО «Технологии цифровой безопасности» (sumsub.ru).

Информация о хранении:

— Ссылка на соответствующий раздел сайта: sumsub.ru/security

— Хранение по требованиям РКН: в соответствии с уведомлением, отправленным в РКН, персональные данные хранятся в ЦОДе компании «Селектел», в базе данных, доступ к которой разграничен средствами защиты информации, сертифицированными ФСТЭК России.

— ООО «Технологии цифровой безопасности» внесена в реестр Операторов ПДн Роскоомнадзора под регистрационным номером 78-17-003488 10.03.2017.

Во-вторых, про то, что данные уходят на сервер, который физически находится в Америке. Для защиты сайтов и сервисов Sumsub использует систему CloudFlare. CloudFlare является прокси, поэтому у них всегда один IP, но маршрут данных, при этом, идет в ближайший ДЦ. В России таких ДЦ два – в Москве и Санкт-Петербурге. Вы можете легко проверить этот маршрут с помощью traceroute.»

Добавлю, что подразделение безопасности cian.ru оказалось на удивление открытым и готовым обсуждать вопросы по безопасности.



TL;DR При загрузке паспорта на сайт cian.ru он «улетает» к заграничному сервису распознавания лиц на api.sumsub.com


Преамбула

И снова здравствуйте. Возможно шапочка из фольги снова давит голову, но есть вопросы и подозрения, которыми хотелось бы поделиться с вами. В одном из прошлых постов была показана странная и спорная «фича» в почтовике mail.ru. Новый день принёс новые открытия. На этот раз доброжелатель пожелал остаться анонимным. Но всё равно спасибо ему за то, что поделился фактурой.


Cian.ru – сайт, позиционирующийся как «достоверная база данных о продаже и аренде жилой, загородной и коммерческой недвижимости» и принадлежащий «ЦИАН. Групп». Ресурсы этой компании довольно популярны. Компания заявляет, что она – «Лидер онлайн-недвижимости России (по количеству посещений сайта cian.ru пользователями сети Интернет по данным LiveInternet в разделе «Недвижимость» по состоянию на 12 марта 2020 г.). Всё это есть в подвале сайта. Интересно другое.


Пару лет назад в Сети начали появляться вопросы относительно нового требования от ресурса: пользователь должен загрузить свой паспорт. Беглый гуглёж сразу приводит нас в справочный раздел, где перечислены необходимые действия для идентификации и поясняется, почему это хорошо.

Тем не менее, пользователи выказывали опасения (раз, два, три и т.д.), т.к. набор данных состоит как минимум из паспортных данных + скан паспорта РФ + фото с раскрытым паспортом в руке. Это для физлиц. Если вы ИП или Юрлицо, данных нужно ещё больше.


Но довольно лирики. Посмотрим, что будет, если пользователь просто подаёт объявление на продажу квартиры.


Фабула

Смотреть действия будем через нашу DLP. Интерес в первую очередь представляет перехват с модулей HTTPController и MonitorController. Думаю, из названия понятно, что каждый из них перехватывает. Заранее прошу прощения за качество скринов. На данный момент никто из сотрудников квартиру не продаёт, поэтому полностью воспроизвести кейс у себя не смогли. Показывать и пояснять будем на «боевой» системе.


Итак, отсортируем перехват с двух каналов по времени, чтобы чётко видеть хронологию действий.


Действие 1. Человек заходит на cian.ru, начинает подавать объявление. Видно в перехвате по http, что полетели фото. 4 штуки (строки №6-9 на скриншоте).

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Сразу же можно, не отходя от кассы, посмотреть вложение, которое улетело к cian.ru. Убеждаемся, что грузятся фото интерьера квартиры.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Перехват MonitorController’a (строка №10) всё подтверждает. Виден браузер, видны 4 загруженных фото, видны эти же фото в теле объявления.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Действие 2. Наступает интересный момент. После загрузки фото летят разные пакеты да по разным местам. Что-то на api циана, что-то в mail.ru, что-то в facebook. Зачем? Не знаю. Но явного криминала тут не нашли. Наконец, наступает момент, когда появляется шаг с подтверждением личности.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Некоторые читатели возможно задаются вопросом, а как это так удачно и в нужное время система скрины делает? Всё просто. У MonitorController’a есть опция «Делать скрин при смене активного окна». Здесь мы видим как раз такую ситуацию: человек нажимает кнопку, чтобы добавить фото, открывается окно, система реагирует. Никакого колдунства.


Взглянем на скрин поближе.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Если вы следили внимательно, то могли запомнить, что этот скрин находился на строке №27. Что же дальше по хронологии? Строка №28 спешит убить интригу – человек добавил свой паспорт. Но!

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Вы только посмотрите, что творят канадцы! (а может и не они). Паспорт улетает на api.sumsub.com. Можно убедиться, открыв в перехвате сам файл.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Осталась последняя надежда. Может этот сервис обрабатывает изображения в России? Хотелось бы драматически бросить в зал доказательства, но если быть честным, то надо быть им до конца. В данном случае наша DLP в качестве IP получателя фиксировала адрес прокси-сервера.


Поэтому предлагаю самим вам убедиться, когда улетают ваши паспорта при подаче объявлений. Со своей стороны могу в команду «ping –a», которая выдала «104.26.10.41».

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

В целом, в этот светлый сисадминский праздник, который к тому же ещё и пятница(!) хотелось бы верить в то, что я где-то ошибся или недопонял. Что ж, в таком случае, готов буду посыпать голову пеплом, публично извиняться и учить матчасть. А пока, призываю сообщество самостоятельно проверить изложенные факты и по возможности поделиться результатами.

P.S. Мой оригинал поста на Хабре.

UPD к посту имеются вопросы: #comment_176036026

Показать полностью 8
426

Ответ на пост «Как я работу искал» 

Зачем нужно фото с паспортом и почему никогда нельзя никому его отправлять! Не думаю, что дело в кредите. Зная паспортные данный на сайте ФНС можно спокойно узнать ИНН. Подозреваю, что и СНИЛС тоже узнать не проблема на сторонних ресурсах. Их можно подделать. А вот фото с паспортом - нет.  С помощью этого фото, на тебя выпускают ЭЦП и делают тебя директором однодневки ООО "Рога и копыта". При подаче документов через ЭЦП не требуется нотариус, который заверяет заявление по форме Р11001 (а ещё госпошлина не требуется), где требуется личное присутствие учредителя. На тебя оформляют удалённо счёт в банке с помощью твоей ЭЦП (уже как на ген.директора), проводят обнал, опционально могут зарегистрировать ИП, как прачечную. Совсем ленивые просто продают такие ЭЦП по бросовым ценам. С её помощью, к слову, можно и квартиру продать. К слову фоток других людей с паспортом в инете полно. Достаточно в Яндексе ввести "фото с паспортом" и заглянуть в картинки. Поражаюсь, насколько люди не видят реальной угрозы в том, что они отправляют своё фото не пойми кому. Не надо так.

Ответ на пост «Как я работу искал» Мошенничество, Поиск работы, Паспорт, Персональные данные, Ответ на пост
124

Хочу все знать #345. Действительно ХОЧУ ЗНАТЬ! Что это РПЦ всполошилось?

В РПЦ предупредили россиян об опасности электронных паспортов.

Появление электронных паспортов может грозить россиянам неограниченным сбором персональных данных.


Тююю опомнились...

Хочу все знать #345. Действительно ХОЧУ ЗНАТЬ! Что это РПЦ всполошилось? Хочу все знать, РПЦ, Паспорт, Зачем, Религия, Персональные данные, Длиннопост

Об этом заявил зампредседателя Синодального отдела Московского патриархата по взаимоотношениям церкви с обществом и СМИ Вахтанг Кипшидзе, передает агентство «Москва».

По его словам,

«сбор и концентрация данных обо всех сторонах жизни людей создают угрозу их использования против этих же граждан», тогда как для церкви важны «свобода человека и обеспечение неприкосновенности его частной жизни».

Кипшидзе отметил, что электронные данные могут быть использованы против россиян, поскольку их проще собирать, чем бумажные.


«Русская православная церковь никогда не выступала против развития новых технологий. Но церковь всегда свидетельствовала о том, что права всех людей, верующих и неверующих, должны быть учтены, и к ним следует относиться с уважением и безо всякой дискриминации», — заключил представитель церкви.

Ранее, 17 июля, вице-премьер Максим Акимов показал образец будущих электронных паспортов россиян размером с пластиковую банковскую карту.


Он продемонстрировал, что электронное удостоверение личности россиянина будет содержать информацию, которая в течение жизни человека не меняется, и такие данные, как фамилия, имя, отчество, дата рождения, место рождения, место проживания, водительские права, СНИЛС, ИНН и срок действия документа.

На обратной стороне образца карты, показанной Акимовым, расположен буквенный и QR-код, а также голографическое изображение владельца. Каждый паспорт будет действовать 10 лет.

По словам премьер-министра России Дмитрия Медведева, замена бумажных паспортов электронными произойдет к 2024 году и будет проводиться поэтапно.


По его словам, старые паспорта также будут действовать, чтобы переход был для россиян «комфортным и безболезненным». Акимов отметил, что власти не планируют проводить специальную кампанию по замене бумажных паспортов электронными. Так, если человек уже достиг 45-летнего возраста и получил паспорт, он сможет пользоваться документом «до гробовой доски», заявил Акимов.


В 2018 году патриарх Кирилл предупреждал граждан об опасности гаджетов, через которые можно тотально следить за населением и управлять массами.

Он посоветовал россиянам быть сдержаннее в соцсетях. Позднее в эфире телеканала
«Россия 1» он заявил, что гаджеты несут в себе опасность стать средством контроля информации из одной точки, что демонстрирует пришествие Антихриста.

Хочу все знать #345. Действительно ХОЧУ ЗНАТЬ! Что это РПЦ всполошилось? Хочу все знать, РПЦ, Паспорт, Зачем, Религия, Персональные данные, Длиннопост

Вам то зачем это? Нахера??

https://lenta.ru/news/2019/07/19/holydanger/

Показать полностью 1
57

Пробивоны по паспорту

В интернетах полно предложений пробива людей по документам. И почти все они – кидалово. Или очень некачественная услуга с использованием неполных и устаревших баз. Для того, чтобы грамотно проверять партнеров/сотрудников/контрагентов и пр., надо ориентироваться в том, какие проверки вообще существуют.


По паспорту можно узнать:

- Все ранее выданные паспорта и данные других документов

- Номера мобильных, детализацию звонков

- Соцсети, интернет активность

- Кредитную историю, долги и взыскания

- Информацию по местам работы с подробностями

- Судимости, административные правонарушения, штрафы

- Перечень имущества из росреестра, зарегистрированный транспорт с подробностями

- Оформленные фирмы, ИП с полным раскладом по ним (юрлица проверяются отдельно)

- Передвижения по стране на поезде и самолете

- Информацию по счетам, задекларированным доходам, налогам

- Информацию обо всех адресах и людях, зарегистрированных по прописке

- Учет в наркодиспансерах, психоневрологических и пр. «особых листах»

- Засветы в базах различных служб безопасности


Часть этих данных можно получить вполне законно, у приставов информация вообще открыта, берется прямо с их сайта. Кое-что делается через специальные сервисы (кредитный рейтинг можно посмотреть, не заглядывая в БКИ). Из закрытых источников данные достаются через адвокатские или детективные запросы. Есть даже услуги по легализации незаконно собранной информации с подгоном этих самых запросов к уже имеющимся данным.


Но чаще пользуются обходными путями, это проще, быстрее, дешевле и анонимно вдобавок. Проверками по базам МВД приторговывает сама неподкупная полиция. У них видно кто делает запрос, поэтому обычно просто называют данные, ничего не пересылая. Или еще могут отрезать у распечаток корешок с технической информацией и так передавать, это для своих вариант. Стоят такие услуги небольшие суммы, которые выглядят приличными с т.з. зарплаты участкового, например.


Другой вариант – уже упомянутые детективы, которые являются по сути частной полицией. Им для получения лицензии нужно отслужить какое-то время, у всех есть старые контакты, свои наработки. И подавляющее большинство соглашается работать анонимно и без договоров, просто предоставляя информацию. Ценники правда жирные выставляют.


Еще нужные связи есть у тех, кому по роду деятельности надо постоянно заниматься проверками и поиском людей. У МФО, коллекторов, охранников и т.д. Они тоже продают информацию, если уметь договариваться. Вариантов тьма, вобщем.


Но не всегда есть паспорт нужного персонажа. Тогда надо сначала получить инфу по паспорту, имея хотя бы полные ФИО и дату рождения. Или любой другой документ (ИНН, пенсионное, права и т.д.). Делается все теми же способами, просто дольше, дороже и с вероятностью погрешности (сначала надо точно идентифицировать личность).


Средняя разовая стоимость экспресс-проверок, в зависимости от региона и объема инфы, 500-5000 рублей. Либо ежемесячная абонентка, как договоритесь. Если нужна вся возможная информация из перечисленного в начале списка, то это будет сильно дороже, 20-50 т.р.


Если такого анализа недостаточно, существует глубокое бурение. Использование наружного наблюдения и слежки, прослушивание телефонов и определение геоданных, разные экспертизы, расследования, полиграфы, разыгрывание провокативных спектаклей, даже ломающих конечности за недорого не сложно найти. Тут уже стоимость варьируется довольно сильно, надо смотреть на конкретный запрос.



PS: Для всех, кто писал по поводу советов, консультаций и прочего. Я завел канал в телеграме для более прикладных тем. Ответы на большинство ваших вопросов будут там, там же есть контакт для обращения напрямую. Оставлю его в комментариях.

Показать полностью
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: