458

Утечка данных на сайте мэрии Москвы

Утечка данных на сайте мэрии Москвы Москва, Мэрия, Персональные данные, Информационная безопасность, Кибербезопасность

На сайте мэрии города Москвы оказались скомпрометированными персональные данные десятков тысяч жителей Москвы и их детей.


Так, например, каждый желающий может обнаружить в выдаче поисковых систем платежки, которые подтверждают факт оплаты тех или иных развивающих детских секций через сайт мэрии Москвы, с указанием образовательного учреждения, секций, суммы оплаты, имени ребенка и имени плательщика. Так же, можно найти огромное количество платежек за нарушения ПДД, с указанием номера постановления и суммы оплаты, оплаты ЖКУ, и прочие.

https://yandex.ru/search/?text=%D0%BE%D0%BF%D0%BB%D0%B0%D1%8...


Эксперт по кибербезопасности

Константин Живенков

Дубликаты не найдены

Отредактировала ltomme 9 месяцев назад
+78

- Шеф! У нас дыра в безопасности!!!111

- Слава богу. У нас хоть что-то в безопасности...

+32

И правда работает.
Звоните Яровой и Жарову.

раскрыть ветку 4
+21
Иллюстрация к комментарию
+4
Это вы еще на сайте псп не искали. Я про приставов.
раскрыть ветку 2
-2

а что там? кроме ФИО и номера исполнительного производства там особо ничего нет. тут другой немного случай. имя ребенка. имя родителя. номер школы. наименование секции. сумма оплаты. дата оплаты. собрав все это в кучу, и дополнив это копией квитанции можно всякого напридумывать, не особо приятного для родителей... поэтому, сайты приставов это не совсем корректное сравнение

раскрыть ветку 1
+14

Никогда такого не было, и вот опять :)


Я про индексацию поисковиками яндекс-доков и гугл-доков.

раскрыть ветку 2
0

Пока в гос.конторах работают "за идею" либо "за откат" всё так и будет продолжаться.

раскрыть ветку 1
0

Да если бы только в госконторах. Этой фигни с яндекс- и гугл-доками и у частников не меньше.

+40

Главное что сайт Навального заблокировали за, внимание, наличие счетчика ГуглАналитики. А то информация о количестве посетителей хранится на серверах в аж в самом США!

раскрыть ветку 7
+3

Пиздёж. Метрикой все пользуются. А у него было несколько нарушений федерального закона номер 115 "О персональных данных", за каждое из которых можно было заблокировать. А уж по совокупности --"Надо Федя. Надо".

Пруф: https://dostalo.livejournal.com/953696.html

раскрыть ветку 5
+2

Ууу, проклятый Навальный нарушил законодательство, а данные спиздили с сайта мэрии москвы. Как же так получилось? Пока ваши (не ваши на самом деле) доводы не проверял к сожалению, насколько они обоснованы. Давайте предположим что вы (ваш источник) правы на 100%. И на сайте действительно неверно прописана политика конфеденциальности. Привело ли это к реальному вреду гражданам и утечке их персональных данных?  Нет и скорее всего не приведет. По крайней мере если утечка и произойдет, то не по причине неправильно прописанной политики. Прописана ли такая политика на сайте московской мэрии? Скорее всего да( не проверял, но давайте примем как данность что там все в порядке с точки зрения оформления). Помогло ли это сохранить персональные данные москвичей? Как мы видим нет. Оказывается, если даже ты заявляешь на сайте что ты правильно хранишь данные в соответствии с законом, это не предотвращает реальные нарушения прав граждан. У нас есть суд. Суд должен защищать права граждан. Тем не менее в реальности права граждан были нарушены на сайте мэрии Москвы, а суд, по формальным основаниям, закрывает сайт Навального? Не кажется ли вам, что совоеменное законодательство вовсе не стремится защитить реальные права граждан в этом случае? Более того, скорость реагирования на вновь созданный сайт скорее говорит нам о том, что закон о персональных данных больше используется как инструмент политического давления, чем реальный инструмент защиты прав граждан.

раскрыть ветку 4
-1

Опечатался, ФЗ-152, конечно же.

+9

А "эксперт по кибербезопасности" в курсе, что для начала нужно уведомить тех, у кого возникла "дыра в безопасности", дождаться ее устранения (либо официального ответа, что так и было задумано), а только потом, месяца через два (или сколько займет устранение) выкладывать найденное в общий доступ? И что оправдание "я хотел предупредить окружающих о том, что их данные в сети" не прокатит, т.к., во-первых, вы оповещаете злоумышленников, а во-вторых, их данные и так уже в сети.

раскрыть ветку 21
+7

Дыра закрыта. Осталось поиск вычистить от фамилий.

{"errorDescription":"Session is expired or lost"}

Иллюстрация к комментарию
+4

Чот "эксперт" не гуглится, только какой-то рекламщик.

+5

А эксперт не несёт ответственности за сохранность дыры, так что может поступать, как ему хочется.

-11

непонятно отчего вы так нервничаете...

раскрыть ветку 17
+5

Где в моих словах вы увидели, что я нервничаю? Мне по этой "дыре" нет смысла переживать - не в Москве живу, не я нашел, не я создал, не мне нести ответственность, использовать не собираюсь. Просто вы гордо себя назвали "экспертом по кибербезопасности", а элементарные правила не соблюли или соблюли, но умолчали об этом. Либо не называйте себя "экспертом", либо ведите себя профессионально. А то развелось "экспертов", которые на проверку оказываются обычными менеджерами, разбирающимися в теме на уровне "прослушал недельный курс, дыры - плохо, безопасность - хорошо".

ещё комментарии
ещё комментарии
+1
Эксперт по кибербезопасности

А существует какая либо объективная оценка твоей "экспертности"? Ну там сертификат от любого вендора в ветке секьюрити или еще что?

ещё комментарии
+1

яндекс уже закрыл эти доки.

0

я конечно понимаю, что такого быть не должно и кому надо небось влетит, но что такого в утечке этих данных? как ими можно воспользоваться в своих целях?

раскрыть ветку 2
0
Можно вычислить злостных неплатильщиков и за пузырь купить у них квартиру
-5

Ну, представим, что обнаружилась квитанция, где написано что гражданин 1234 Сергей Иванович оплатил секцию детской гимнастики для дочери своей 1234 Алены Сергеевны, которая учится в средней школе 1218 г.Москва.

И вот какой-нибудь Вася, узнав по каким дням проходит эта секция, берет эту квитанцию, приходит в школу 1218 и говорит: Бонжур, дамы и господа. Тут меня Сергей Иванович попросил с секции детской гимнастики забрать дочь его Алену Сергеевну. Он на работе сегодня. Не могет. Ах, да... В этом месяц мы заплатим чуть раньше. В прошлом платили 12го числа, а в этом заплатим 10го. Алена Сергеевна, позвольте на выход. Сергей Иванович, папенька ваш, ждет всенепременнейше вас дома.

Возможно, для кого-то из воспитателей/учителей данной информации будет достаточно, чтобы отдать ребенка незнакомому человеку. Ведь он знает и как папу зовут, и где ребенок занимается, и даже в курсе когда и за что Сергей Иванович денег заносит в школу енту... И даже ведь квитанция у него есть.

Ну, то есть, для сумачеччих это достаточный объем данных, чтобы исполнять всякое... Оттого и боязно.

ещё комментарий
0

Ебать, Живенков. У тебя же бизнес в Таиланде?

ещё комментарии
0

@moderator, помогите пожалуйста с тегами, пытаюсь заменить "кибербезопасТность" на "кибербезопасность", ничего не получается.

раскрыть ветку 3
+2

Спасибо, что сообщили)

Исправили, поставили.

-6

Увы. Редактирование постов доступно пользователям с рейтингом более 5000 баллов.

Тег "КибербезопасТность" выскочил в подсказках к тегам. Не обратил внимание на Т, соррян.

раскрыть ветку 1
0

Да у меня тоже выскакивает и нельзя ничего сделать. Тут похоже какая-то техническая проблема.

ещё комментарии
0

уже закрыли дыру

раскрыть ветку 1
+1

А кеши поисковиков почистили?

0

А для других городов такие сайты есть?

-1

У вас еще есть желание использовать яндекс.браузер?)

-1

Охуеть, и правда платежки со всеми реквизитами, ВВ вопрос, срочно!

-1
Не может быть! Это не было запланировано, не былооооо. Значит не правда.
-4

как программист говорю ничего не взламываемого нет есть лиш время чтобы придумать как обойти всякий код

раскрыть ветку 1
+1

Ну, ну. Взломай https. Сразу миллиардером станешь.

-5

Да вы чтооооо, это.. это же... я теперь могу получить инфу о любом нарушителе ПДД и узнать сколько штрафов кто оплатил!!!!  Ну охуеть теперь.

раскрыть ветку 18
+2

Вы прикладываетесь? Даже этого впрлне достаточно.

раскрыть ветку 4
0

Не впрлне!

-3

Обычно прикладываются ко мне.

раскрыть ветку 2
-6

на нарушителей можно в целом забить. но можно ли забить на квитанции, где указано имя ребенка, образовательное учреждение в котором он учится, его спортивные и прочие секции, имя родителей в качестве плательщиков?

раскрыть ветку 12
+1

Простите, плохо с фантазией к концу недели, а кому эта информация может понадобиться?

раскрыть ветку 3
+1

Я могу.

0

Я не понял. Если всё выдаётся в таком виде, который на фото, то утечки персональных данных нет т.к. исключительно по ФИО невозможно установить личность гражданина, а остальные идентификаторы частично закрыты XXXX

раскрыть ветку 6
ещё комментарии
-9

Дыру оперативненько убрали. Пожалуй, на этом и закончим.

ещё комментарии
Похожие посты
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: