629

НЕ персональные данные

Только что возле одного бизнес-центра в Москве в районе Угрешской сняла такую картину. В газель то ли загружают , то ли выгружают ворох бумаг с ксерокопиями паспортов и заявками на кредиты. Удалось рассмотреть ВТБ и Халву.
Куда они уйдут неизвестно.

НЕ персональные данные Персональные данные, Утечка данных, Длиннопост
НЕ персональные данные Персональные данные, Утечка данных, Длиннопост

Дубликаты не найдены

+21

Иду утром на работу, а возле крыльца строительной компании, где накануне проходила встреча руководства оной компании и дольщиков, ветер таскает по газону бумаги - документы, значит... А прям под крыльцом лежит куча бумаг, а на ней большая куча дерьма, кольцами прямо наложено. Какой-то мужик немаленький как-будто отложил. Иду и думаю - он прямо во время встречи это все сделал или позже вернулся и нагадил?

+56

В приём макулатуры. Ваш адмирал Ясенхуй.

раскрыть ветку 2
+20
Иллюстрация к комментарию
раскрыть ветку 1
+12

Дас ист дайне Нахферкерсцуг, Lokomotivführer !

Иллюстрация к комментарию
+18

Везут официально утилизировать в специализированные организации либо просто на помойку))

раскрыть ветку 5
+18

Это какое то распиздяйство документы должны уничтожатся по акту, а не вилами в газельку закидываться, как минимум они должны быть в коробках чтобы не сдуло.

У нас в конторе для уничтожение заказывают машину (типа такой) которая и уничтожает и вывозит макулатуру.

Иллюстрация к комментарию
раскрыть ветку 3
+16

Да, должны. Но всем похуй.

-6
Ну нет надписи на борту газели, но по итогу выпишут акт об уничтожении. Или спец контора будет как-то по-другому грузить??
раскрыть ветку 1
ещё комментарии
0

А разве не дешевле утилизировать сперва шредером прямо на месте, а остатки уже на макулатуру... Есть ведь специальные шредеры с высоким классом защищённости

+3

У меня жена, сотрудница банка, как-то притащила пачку непонятных бумаг. На мой вопрос чтозанахер она пояснила что у них шредер сломался, а уничтожить надо.

Сидели во дворе до полуночи, жгли эти долбаные бумажки.

На предложение тупо выкинуть их я был послан нахер.

раскрыть ветку 2
+1
Пффф, мама работала налоговиком-их отправляли в архив рвать бумаги руками.
раскрыть ветку 1
+2

ну жена сейчас в другом, более серьезном банке. Я оформлял через её коллег некоторые бумаги и они опечатались. В тех доках содержались ПДн, так их при мне уничтожали и даже взяли с меня подтверждение об уничтожении бумажных носителей ПДн.

В некоторых банках на это кладут пикабушный болт...

+9

На утилизацию грузят. По договору со спец. организацией.
Ряд данных хранится всего 3 года. С объемами того же ВТБ уничтожать это в обычных офисных шредерах почти нереально. Поэтому все это пропускается через специальный промышленный шредер. По акту.

раскрыть ветку 3
+6
А в акте что указывается? Уничтожена копия паспорта Иванова Петра Сидоровича, серия 1234 номер 567890 выдан...
Так? Или "уничтожили пицот листов формата А4"?
раскрыть ветку 1
0

По-разному. Зависит от документооборота конкретной организации.

+1
Не пойму,за что минусуете коммент) Понятно,что в нашей жизни уже везде подвох ищешь,но, по-моему,это самый логичный вариант:)
+7

Как куда? Кредиты сами себя не оформят

+3
Как сказала мне одна пизда-впаривалка НПФ: "ФИО и номер телефона - не такие уж прям персональные данные".
+1

На самом-то деле, в прошлой работе я поднимал вопрос на счет персональных даннвх клиента. Требовал установки в офисах шредеров, хотя бы самых дешевых. Но нет. В законе о стандартах хранения и уничтожения ПД ничего внятно не сказано. Поэтому меня послали с этим вопросом куда подальше.

+1
Небось коллекторам отгружают.
+3
На приёмку вторсырья увозят. Ничего страшного не произойдёт.по крайней мере не должно)
+1

Куда куда, тут пост недавно был, как на мужика ООО оформили и он спрашивал что делать, вот ещё партию на оформление грузят.

0

В пенсионный фонд "Доверие" поехали.

0

помню, в центре города по улице ментовские бумажки валялись - дела всякие, протоколы, итд... походу такая же газелька с архивом ехала и что-то пошло не так...

0

я как то по осени карточки с местной больнички на трассе собирал. Умершие старики и военкоматские призывники. На утилизацию везли и растеряли по дороге немножко)

раскрыть ветку 1
0

Призывники с медицинской точки зрения эквивалентны умершим старикам =)

-1

а разве в банк(ВТБ или Халва) принимают ФОТО паспорта с пальцами на ней же?:) очень подозрительное сообщение

Похожие посты
38

И снова "сливающий" СДЭК

Буквально несколько дней назад читал про то, что курьеры СДЭКа сливают данные клиентов телефонным мошенникам. Хорошо, сливают, принял к сведению.


И вот вам здрасти - понадобилось в достаточно сжатые сроки привезти из Казани в Москву книгу в подарок тестю. Книга специфичная, в московских магазинах не продается, так что брат купил её в казанском музее и отправил мне СДЭКом. Точка приема/выдачи СДЭКа оказалась самой близкой и мне, и ему, потому услугами курьеров мы не пользовались.


Отмечу отдельно - до этого телефонные мошенники мне звонили один раз, года полтора назад. Брату не звонили вообще никогда. И вот, вечером 11 августа брат отправляет мне посылку СДЭКом. Утром 12-го (то есть вчера) мне уже звонит девушка, напористым поставленным голосом сообщает, что она из СБ Сбербанка, называет какой-то там табельный номер, и говорит, что некий Первыйпопавшин Придуман Нашарович пытался снять деньги с моей карты в Краснодаре, и если он мне неизвестен, то я им должен сообщить код, чтобы отменить, и бла-бла-бла... У меня через три минуты должен был быть звонок по работе, так что я устало ответил, что сообщу её номер в настоящую СБ Сбера и повесил трубку.


Итак, мошенники мне не звонят полтора года, мне отправляют посылку СДЭКом, и звонок от разводил поступает сразу на следующий день... Совпадение? Не думаю, честно говоря.


Но история имеет продолжение. Вчера же и написал брату, рассказал о звонке и об информации о том, что СДЭК уже попадался на сливе личных данных. Сказал, что ему, возможно, тоже брякнут из "СБ Сбербанка" в ближайшее время. И... Ему позвонили сегодня утром, буквально час назад! Вот теперь - парапарапам-фьють.


Оба номера зарепорчены на сайте Сбера, теперь думаю, как и куда пожаловаться на СДЭК. Если есть идеи - буду благодарен. Учитывая вышеизложенные события и их хронометраж, лично для себя факт слива личных данных СДЭКом считаю доказанным.

113

Очень странные дела при подаче объявлений на ЦИАН

UPD. Как и писал в конце поста – если мне покажут, где я ошибся, я посыплю голову пеплом.

Нужно отдать должное специалистам Циан – очень быстро отреагировали и разложили все по полочкам. Привожу их объяснения без изменений:

Олег Масленников, Архитектор ИБ Циан:

«Занимаюсь безопасностью в Циан, хочу обратить внимание на пару фактических и технических ошибок в статье. Во-первых, утверждается, что данные «улетают» и обрабатываются заграничным сервисом. Это не так. Мы используем компанию Sumsub, это глобальная организация с HQ в Лондоне и офисами в тч в России, работающая в соответствии с законодательством Российской Федерации.

Российские паспорта обрабатываются российским юридическим лицом компании, ООО «Технологии цифровой безопасности» (sumsub.ru).

Информация о хранении:

— Ссылка на соответствующий раздел сайта: sumsub.ru/security

— Хранение по требованиям РКН: в соответствии с уведомлением, отправленным в РКН, персональные данные хранятся в ЦОДе компании «Селектел», в базе данных, доступ к которой разграничен средствами защиты информации, сертифицированными ФСТЭК России.

— ООО «Технологии цифровой безопасности» внесена в реестр Операторов ПДн Роскоомнадзора под регистрационным номером 78-17-003488 10.03.2017.

Во-вторых, про то, что данные уходят на сервер, который физически находится в Америке. Для защиты сайтов и сервисов Sumsub использует систему CloudFlare. CloudFlare является прокси, поэтому у них всегда один IP, но маршрут данных, при этом, идет в ближайший ДЦ. В России таких ДЦ два – в Москве и Санкт-Петербурге. Вы можете легко проверить этот маршрут с помощью traceroute.»

Добавлю, что подразделение безопасности cian.ru оказалось на удивление открытым и готовым обсуждать вопросы по безопасности.



TL;DR При загрузке паспорта на сайт cian.ru он «улетает» к заграничному сервису распознавания лиц на api.sumsub.com


Преамбула

И снова здравствуйте. Возможно шапочка из фольги снова давит голову, но есть вопросы и подозрения, которыми хотелось бы поделиться с вами. В одном из прошлых постов была показана странная и спорная «фича» в почтовике mail.ru. Новый день принёс новые открытия. На этот раз доброжелатель пожелал остаться анонимным. Но всё равно спасибо ему за то, что поделился фактурой.


Cian.ru – сайт, позиционирующийся как «достоверная база данных о продаже и аренде жилой, загородной и коммерческой недвижимости» и принадлежащий «ЦИАН. Групп». Ресурсы этой компании довольно популярны. Компания заявляет, что она – «Лидер онлайн-недвижимости России (по количеству посещений сайта cian.ru пользователями сети Интернет по данным LiveInternet в разделе «Недвижимость» по состоянию на 12 марта 2020 г.). Всё это есть в подвале сайта. Интересно другое.


Пару лет назад в Сети начали появляться вопросы относительно нового требования от ресурса: пользователь должен загрузить свой паспорт. Беглый гуглёж сразу приводит нас в справочный раздел, где перечислены необходимые действия для идентификации и поясняется, почему это хорошо.

Тем не менее, пользователи выказывали опасения (раз, два, три и т.д.), т.к. набор данных состоит как минимум из паспортных данных + скан паспорта РФ + фото с раскрытым паспортом в руке. Это для физлиц. Если вы ИП или Юрлицо, данных нужно ещё больше.


Но довольно лирики. Посмотрим, что будет, если пользователь просто подаёт объявление на продажу квартиры.


Фабула

Смотреть действия будем через нашу DLP. Интерес в первую очередь представляет перехват с модулей HTTPController и MonitorController. Думаю, из названия понятно, что каждый из них перехватывает. Заранее прошу прощения за качество скринов. На данный момент никто из сотрудников квартиру не продаёт, поэтому полностью воспроизвести кейс у себя не смогли. Показывать и пояснять будем на «боевой» системе.


Итак, отсортируем перехват с двух каналов по времени, чтобы чётко видеть хронологию действий.


Действие 1. Человек заходит на cian.ru, начинает подавать объявление. Видно в перехвате по http, что полетели фото. 4 штуки (строки №6-9 на скриншоте).

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Сразу же можно, не отходя от кассы, посмотреть вложение, которое улетело к cian.ru. Убеждаемся, что грузятся фото интерьера квартиры.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Перехват MonitorController’a (строка №10) всё подтверждает. Виден браузер, видны 4 загруженных фото, видны эти же фото в теле объявления.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Действие 2. Наступает интересный момент. После загрузки фото летят разные пакеты да по разным местам. Что-то на api циана, что-то в mail.ru, что-то в facebook. Зачем? Не знаю. Но явного криминала тут не нашли. Наконец, наступает момент, когда появляется шаг с подтверждением личности.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Некоторые читатели возможно задаются вопросом, а как это так удачно и в нужное время система скрины делает? Всё просто. У MonitorController’a есть опция «Делать скрин при смене активного окна». Здесь мы видим как раз такую ситуацию: человек нажимает кнопку, чтобы добавить фото, открывается окно, система реагирует. Никакого колдунства.


Взглянем на скрин поближе.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Если вы следили внимательно, то могли запомнить, что этот скрин находился на строке №27. Что же дальше по хронологии? Строка №28 спешит убить интригу – человек добавил свой паспорт. Но!

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Вы только посмотрите, что творят канадцы! (а может и не они). Паспорт улетает на api.sumsub.com. Можно убедиться, открыв в перехвате сам файл.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Осталась последняя надежда. Может этот сервис обрабатывает изображения в России? Хотелось бы драматически бросить в зал доказательства, но если быть честным, то надо быть им до конца. В данном случае наша DLP в качестве IP получателя фиксировала адрес прокси-сервера.


Поэтому предлагаю самим вам убедиться, когда улетают ваши паспорта при подаче объявлений. Со своей стороны могу в команду «ping –a», которая выдала «104.26.10.41».

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

В целом, в этот светлый сисадминский праздник, который к тому же ещё и пятница(!) хотелось бы верить в то, что я где-то ошибся или недопонял. Что ж, в таком случае, готов буду посыпать голову пеплом, публично извиняться и учить матчасть. А пока, призываю сообщество самостоятельно проверить изложенные факты и по возможности поделиться результатами.

P.S. Мой оригинал поста на Хабре.

UPD к посту имеются вопросы: #comment_176036026

Показать полностью 8
108

Банки такие банки...

Понадобилось открыть ИП. Как только мои данные попали в налоговую, сразу начались звонки от банков (персональные данные? не, не слышал). Все предлагают открыть счет именно у них. На просьбу отправить условия на почту большинство отвечает "там очень длинно, давайте мы вам голосом расскажем". Ну да, конечно, голосом-то я все цифры отлично запомню. Пара человек посоветовали поискать документацию самому, на сайте банка.

Звонить начинают с девяти утра, ведь информацию о том, что будильник у меня стоит на десять я в налоговую не предоставлял.

Один из банков позвонил трижды с разницей в полчаса. Поругался чуть-чуть, больше не звонят.

Банк, через который я для простоты оформлял всё в налоговой позвонил и тоже не смог прислать тарифы. А потом подключил меня на самый простой тариф автоматически, так как я поставил такую галочку где-то на старте, когда документы передавал. Зачем звонили?..

Начал отвечать, что счет открыт, но если очень хотите - пришлите мне информацию о тарифах, я подумаю. Один банк прислал в телеграмм скриншот кратких условий. Второй - уточнил, в каком я городе, чтобы прислать правильную информацию, после чего скинул смской ссылку на сайт, где нужно выбрать свой город.

Не понимаю, как они вообще так работают...

4099

Когда было скучно в "Сапсане"

Пассажир «Сапсана» взломал Wi-Fi поезда и получил доступ к данным пассажиров. Это он сделал из-за скуки пока ехал из Санкт-Петербурга в Москву.

Пользователь «Хабра» под псевдонимом keklick1337 рассказал, как взломал Wi-Fi в «Сапсане» пока ехал из Санкт-Петербурга в Москву. Как оказалось, на сервере скоростного поезда хранится информация о всех текущих и прошлых рейсов.

Keklick1337 рассказал, что ехал в Москву с конференции по информационной безопасности ZeroNights, на которой не было «интересных задач». Сначала он решил почитать книгу, но ему это быстро наскучило и он решил поработать, но в пути часто ловил только 2G-интернет, которого не хватало, даже чтобы подключиться к почте.

"Я решил подключиться к местному Wi-Fi «Сапсана». Делал я это впервые! Ну так вот, он попросил меня ввести номер вагона, места и последние 4 цифры паспорта для авторизации, и тут меня уже немного заинтересовало, что же я могу сделать с этой сеткой Сапсана, но всё же в приоритете были пентест-задачи по работе".

Из-за плохого соединения пользователь так и не смог поработать и собирался вернуться к книге, но решил попробовать взломать «Сапсан». Он отметил, что раз для авторизации в Wi-Fi нужно вводить цифры паспорта и номер места с вагоном, то поезд хранит у себя данные обо всех пассажирах.

Пользователь решил выяснить, насколько трудной получить к ней доступ. Оказалось, для этого достаточно просканировать сеть и использовать пару публичных экплоитов.

Сначала Keklick1337 просканировал сеть «Сапсана» с помощью утилиты nmap с параметрами -v -A. Он обнаружил множество сервисов с открытыми портами и отметил, что такой «взлом» занял 20 минут — и то, потому что сервер «Сапсана» глючил.

Лишь часть открытых портов в сети «Сапсана» Скриншот пользователя «Хабра» Keklick1337

Пользователь решил зайти на каждый сервис по отдельности. Вскоре он понял, что в «Сапсане» всё работает на одном сервере, на котором установлен Docker — среда для управления и развёртывания контейнерных приложений.

После этого Keklick1337 зашёл в cAdvisor — утилиту для мониторинга ресурсов и удивился показателям. Оперативная память сервера была загружена на 96% — вероятно, из-за этого он и глючил.

Пользователь решил изучить содержимое контейнеров и с помощью публичных эксплоитов смог попасть в файловую систему. Он пояснил, что у «Сапсана» установлены простые пароли, а по ssh можно получить доступ к Root.

В базе данных на диске «Сапсана» оказалась информация обо всех пассажирах текущего и прошлых рейсов. Кроме того, там оказался VPN в сеть «РЖД». Однако больше всего пользователя удивило, что компания не стала покупать сертификат шифрования для HTTPS, а воспользовалась бесплатным Let's Encrypt.

Keklick1337 пришёл к выводу, что в «Сапсанах» всё настроено «ужасно». По его словам, везде используют одни и те же пароли, а данные хранят в текстовых документах.

Пользователь решил не публиковать данные авторизации, которые оказались одинаковыми для всех «Сапсанов». Он пояснил, что несколько лет назад уже обращался в РЖД с уязвимостью, но ему не выплатили вознаграждения и просто молча исправили ошибку.

Keklick1337 призвал компанию исправить уязвимости и пообещал проверить их ещё раз через пару месяцев. Заодно он напомнил всем пассажирам «Сапсана», что их данные находятся под угрозой.

"Все, кто подключен к их WiFi подвержены снифу трафика, ибо всё идёт через их прокси, можно легко собирать HTTP трафик, но если чуть постараться, то и HTTPS (проверенно). К данным пассажиров рейса получить доступ не составляет труда, и занимает это от силы 20 минут".

Редакция TJ обратилась к РЖД за комментарием по ситуации, но пока не получила ответа.

https://habr.com/ru/post/476034/

Показать полностью
31

В сеть утекли персональные данные 703 000 сотрудников РЖД

Персональные данные 703 тысяч человек, предположительно сотрудников ОАО «РЖД», появились в свободном доступе в интернете, сообщил технический директор DeviceLock Ашот Оганесян 27 августа в телеграм-канале «Утечки информации».

Среди доступных данных — фамилия, имя, отчество, дата рождения, адрес, страховой номер индивидуального лицевого счета (СНИЛС), должность, фотография и телефон человека. Для некоторых пользователей указан адрес электронной почты.

Источник утечки неизвестен. В разделе подробной информации хакеры разместили надпись «Спасибо ОАО РЖД за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников».

Напомним, в июле 2018 года СМИ сообщали о выдаче поисковой системой «Яндекс» данных клиентов сайтов РЖД, Сбербанка, ВТБ, муниципальных служб города Москвы и некоторых сервисов покупки билетов. Тогда в открытый доступ попали и копии паспортов пользователей.

Источник

В сеть утекли персональные данные 703 000 сотрудников РЖД Персональные данные, Утечка данных, РЖД, Хакеры
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: