Приёмная Pavel Medvedev
35 950

ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются

В связи с последними скандалами по утечке персональных данных решили написать статью, где подробно объясним, почему это происходит и как с этим бороться. Рассказывает SEO-специалист, эксперт по поисковым системам в Rush Agency Павел Медведев.

В закладки
Павел Медведев

На фоне всеобщей истерии в ленте по поводу «Google Документов» и Power Bi я ввёл старый запрос 2011 года, чтобы посмотреть, изменилась ли ситуация, и ужаснулся.

Раньше проблемы были в основном у мелких интернет-магазинов, сейчас информацию сливают и такие гиганты, как ВТБ, «Сбербанк», департамент транспорта Москвы, агрегаторы авиабилетов и многие другие. Я считаю, это связано с тем, что из-за кризиса многие хорошие специалисты и разработчики переориентировались на Запад, и качество кадров в ИТ снизилось. Примеры данных, которые можно найти в поисковой выдаче:

Распечатки билетов с travel.vtb.ru
Данные транзакций через «Сбербанк»
«Сбербанк»
Пример пользовательских данных из заказа интернет-магазина
«Единый транспортный портал Москвы», dt-window.mos.ru
«Единый транспортный портал Москвы», dt-window.mos.ru
«Единый транспортный портал Москвы». Можно даже скачать сканы документов, паспортов пользователей в высоком разрешении

Вышеописанные три домена ВТБ, «Сбербанка» и «Единого транспортного портала Москвы» пренебрегают элементарными требованиями защиты данных — у них даже отсутствует файл robots.txt.

Как могло произойти так, что персональные данные — «Google Таблицы», отчёты с финансовыми показателями компаний в Power Bi могли попасть в выдачу поисковых систем?

Поисковые системы не могут получать доступ и читать информацию со страниц, которые требуют авторизации.

Современные системы требуют сложные пароли, пользователям не всегда удобно запоминать столько паролей, для их удобства доступа к личным страницам создатели сайтов придумали документы с уникальным длинным адресом из случайного набора символов, который невозможно угадать или получить перебором, пример: сайт.ру/проверить-статус-моего-заказа/orjY4mGPRjk5boDnW0uvlrrd71vZw9kphf8eGbhlTpS4q9cvHzFNngSdNNIG8H5Lt3. Проверяем защиту приведенного выше URL на предмет перебора:

Если быть более точным, то 18 миллиардов триллионов триллионов триллионов триллионов триллионов триллионов триллионов триллионов лет для перебора всех возможных вариантов. Звучит надёжно.

Как это работает: вам на email или в SMS приходит сообщение с такой ссылкой, и вроде бы логично, что только вы можете воспользоваться ей для просмотра, корректировки своих данных.

Но есть много способов, как поисковая система может узнать о ссылке — например, вы на каком-то полуприватном затерянном на окраинах интернета форуме, где сидите только вы, и пять ваших близких знакомых поделились этой ссылкой.

Поисковые системы регулярно переобходят даже самые малопосещаемые и никому неизвестные сайты, если они доступны для индексации роботам. Такая ссылка рано или поздно проиндексируется, и страница с личной информацией попадёт в индекс. В 2011 году был скандал с попавшими в выдачу SMS «Мегафона». Тогда я даже провёл семантический анализ текстов этих SMS.

Мало кто хотел бы, чтобы эта информация попадала в общий доступ, то есть ссылки точно на них не расставляли. Много измен, думаю, тогда было раскрыто. Дальше я в том же 2011 году решил проверить, как хранят персональные данные другие сайты, и сразу же обнаружил множество открытых данных с заказами в интернет-магазинах. Новость тогда прогремела, и запрос для поиска попал в топ-20 самых популярных запросов дня по Liveinternet. Пользователей почему-то больше всего заинтересовали данные покупателей секс-шопов. Хотя если человек покупал в магазине лопату и из-за этого утекли его ФИО, адрес, телефон и иногда паспорта — по-моему, такой же вопиющий провал.

Системы аналитики (счётчики, которые устанавливают на каждой странице сайта для исследования поведения посетителей на нём). Самые популярные в России — «Яндекс.Метрика» и Google Analytics.

Заходим в настройки любого счётчика «Метрики» и видим по умолчанию такие опции:

То есть все просмотренные пользователями страницы по умолчанию отправляются на индексацию, если не указать запрет

Но даже если установить запрет, приватные страницы всё равно попадают в индекс. Потому что это один из множества источников данных поисковых систем.

У Google есть браузер Chrome, у «Яндекса» — «Яндекс.Браузер». На них приходится более 70% всех посетителей.

Устанавливая браузеры, вы соглашаетесь с возможной обработкой, отправкой браузером анонимных данных о просмотрах и так далее. То есть это вполне легальный способ собрать большую часть когда-либо просмотренных пользователями страниц.

Когда вы скачиваете какую-нибудь бесплатную программу, часто с ней агрессивно навязываются программы и плагины для браузера от поисковых систем, которые многие специалисты расценивают как дополнительный канал для анализа трафика и поведения пользователей.

Помимо этого, поисковые системы могут покупать анонимизированные данные о трафике, просмотренных сайтах или страницах, как это делает известный сервис SimilarWeb.

Ваша секретная ссылка уже не выглядит такой защищённой?
Представьте ситуацию: вы купили авиабилет с вылетом через полгода, вам пришла SMS с ссылкой для просмотра и редактирования информации в личном кабинете. Вы перешли на неё в телефоне, проверили и забыли.

Тем временем ваш мобильный «Яндекс.Браузер», Android или счётчик метрики сообщил поисковику, что появилась неизвестная ранее страница, робот проверил — страница работает, проиндексировал её через какое-то время.

Потом злоумышленник вбивает в поиск запрос вроде «билет на Бали октябрь изменить бронирование» — попадает в ваш личный кабинет, переписывает фамилию на свою и через полгода улетает вместо вас. (Можно представить, что и такие сайты существуют, которые даже не предупредят об изменении и не запросят дополнительное подтверждение или авторизацию.)

Легально ли, что поисковики собирают такую информацию

Поисковый робот не знает — персональные ли данные в файле. Коммерческая ли тайна в таблицах с финансовыми показателями или, наоборот, вы хотели бы делиться этой информацией со всеми. Он переходит по страницам, доступ к которым не закрыт владельцами сайта.

Часто структура и навигация сайтов очень запутанные, используются различные хитрые JavaScript, так что попасть на полезные страницы по ссылкам с главной страницы поисковикам бывает просто невозможно. В этом случае выглядит логичным получать адреса страниц для индексации из максимального числа источников.

Кто виноват в сложившейся ситуации

Я считаю, что 80% вины лежит на владельцах сайтов, которые не обеспечивают должного качества разработки и оптимизации. Как специалист по поисковой оптимизации сайтов с 12-летним опытом могу сказать, что большинство сайтов до доработки SEO-специалистами выглядят плачевно, владельцы словно живут в параллельном мире без киберугроз, без поисковых систем, ботов, которые могут проиндексировать личные данные пользователей.

20% отдал бы поисковикам за то, что они недостаточно освещают свои механизмы ранжирования и индексации. Часто сталкиваешься с непониманием от разработчиков сайтов: «Как же поисковые системы проиндексируют страницу, ведь у них нет ссылки этой страницы?». Такие же вопросы часто слышу даже от специалистов по SEO.

Большинство современных разработчиков считает, что документ, доступный по длинной уникальной ссылке, — надёжно защищён и никогда не попадёт в индекс. Рекомендую представителям поисковых систем больше упоминать на своих профильных конференциях и вебинарах для профессионалов о том, что любая страница, доступная без авторизации, может рано или поздно попасть в индекс.

Ещё есть проблема в том, что разные поисковые системы по-разному используют директивы, их рекомендации по индексации иногда противоречат и взаимоисключаемы. То есть разработчики, сделав всё по инструкции Google, будут удивлены, когда в «Яндексе» директивы, наоборот, перестали работать, из-за чего в индекс попало множество документов, которые не должны были индексироваться.

Последний случай с индексацией персональных данных в «Google Документах»

Пароли и личные данные всегда попадали в индекс, можно было найти эти данные, просто не в таких масштабах. Я связываю последнюю утечку с ростом популярности самих сервисов Google — больше людей пользуется таблицами, теперь это не только айтишники, но и воспитатели детских садов, мамочки, составляющие план покупок. То есть это уже не только продвинутые пользователи.

Мои рекомендации для владельцев и разработчиков сайтов

  • Любые чувствительные данные максимально закрывать от посторонних с помощью авторизации.
  • Всегда запрещать роботам индексировать любую конфиденциальную информацию. Причём использовать не только один из рекомендуемых поисковой системой способов, а дублировать, используя все методы защиты, такие как robots.txt, clean-param, meta-noindex.
  • Проверять, чтобы методы защиты были универсальными и работали во всех поисковых системах.
  • Помимо этого, определять роботов по user-agent и блокировать им доступ к любой приватной информации, отдавая ответ сервера 4хх.
  • Обращаться к профессионалам SEO для экспертизы поисковой оптимизации сайта.

Рекомендации для поисковых систем и крупных сервисов вроде PowerBi, «Google Документов»

Чаще прислушиваться к мнению и просьбам специалистов по SEO. Например, в «Яндексе» работа некоторых директив индексации отличается от Google — из-за чего приходится делать сложные схемы обхода, например, с междоменными canonical. Из-за этого у мелких сайтов без высококлассных специалистов могут быть проблемы — закрытые страницы массово попадают в индекс, а там могут быть и частные данные.

Google же считает, что она единственная в мире поисковая система и не учитывает при разработке своих сервисов что есть такие системы, как «Яндекс» с их продвинутыми алгоритмами индексации. Из-за этого в индекс попали документы Google, доступные только по ссылке.

Если бы разработчики Google были более компетентны и учитывали работу всех поисковых роботов, они бы добавили в документы доступные по ссылке запрет индексации с помощью метатега robots noindex. А также блокировали бы доступ поисковых роботов к таким документам.

Также нужно выдавать предупреждение при открытии доступа по ссылке — что наличие ссылки только у вас не значит, что о ней никто не узнает — множество программ, браузеров, плагинов, счётчиков, скриптов собирают информацию и только из разработчикам известно, как они её хранят и куда дальше направляют.

Обновлено редакцией 14 июля. Представители «Сбербанка» сообщили vc.ru, что банк разбирается с описанной в статье ситуацией. «Уже сейчас можем сказать, что данных, которые могут нанести ущерб банку или клиентам здесь нет», — сказали они.

Обновлено редакцией 17 июля. «ВТБ провел расследование в связи с возникшей ситуацией. Установлено, что инцидент произошел по вине третьей стороны. При этом информация, относящаяся к банковской тайне, не была передана третьим лицам. Безопасность данных наших клиентов полностью защищена», — сообщили vc.ru в пресс-службе ВТБ.

#приёмная

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Pavel Medvedev", "author_type": "self", "tags": ["\u043f\u0440\u0438\u0451\u043c\u043d\u0430\u044f"], "comments": 148, "likes": 131, "favorites": 1, "is_advertisement": false, "subsite_label": "claim", "id": 41908, "is_wide": true }
00
дни
00
часы
00
мин
00
сек
(function(){ var banner = document.querySelector('.teaserSberbank'); var isAdsDisabled = document.querySelector('noad'); if (!isAdsDisabled){ var countdownTimer = null; var timerItem = document.querySelectorAll('[data-sber-timer]'); var seconds = parseInt('15395' + '50799') - now(); function now(){ return Math.round(new Date().getTime()/1000.0); } function timer() { var days = Math.floor(seconds / 24 / 60 / 60); var hoursLeft = Math.floor((seconds) - (days * 86400)); var hours = Math.floor(hoursLeft / 3600); var minutesLeft = Math.floor((hoursLeft) - (hours * 3600)); var minutes = Math.floor(minutesLeft / 60); var remainingSeconds = seconds % 60; if (days < 10) days = '0' + days; if (hours < 10) hours = '0' + hours; if (minutes < 10) minutes = '0' + minutes; if (remainingSeconds < 10) remainingSeconds = '0' + remainingSeconds; if (seconds <= 0) { clearInterval(countdownTimer); } else { timerItem[0].textContent = days; timerItem[1].textContent = hours; timerItem[2].textContent = minutes; timerItem[3].textContent = remainingSeconds; seconds -= 1; } } timer(); countdownTimer = setInterval(timer, 1000); } else { banner.style.display = 'none'; } })();
{ "id": 41908, "author_id": 101394, "diff_limit": 1000, "urls": {"diff":"\/comments\/41908\/get","add":"\/comments\/41908\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/41908"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199124 }

148 комментариев 148 комм.

Популярные

По порядку

Написать комментарий...
26

Автор данного комментария предоставляет информацию лишь в ознакомительных целях и никак иначе.
Так как они находятся в общем доступе и предоставлены на всеобщее обозрение.
Никакой пропаганды хакерства и киберприступлений данный комментарий не несёт.
Спасибо за внимание.
(Пунктуация сохранена)
1.SHELL - самые распространенные шеллы это r57shell, c99shell,remview...
Их можно отыскать запросом:
a)intitle:"phpremoteview" filetype:php
б) inurl:"remview.php"
r57shell и c99shell...
2.СVV2 - кредиты, кредитные карточки.
Их можно отыскать запросом:
а)filetype:txt intext:cvv2
б)filetype:txt intext:american express
3.SQL - ДАМП БАЗЫ.
Их можно отыскать запросом:
а)filetype:sql "IDENTIFIED BY" -cvs
4.VNC доступ.
Их можно отыскать запросом:
а)intitle:"VNC viewer for java"
5.Роутеры.
Их можно отыскать запросом:
а)intitle:"SpeedStream Router Management Interface"
6.Принтер сервер и веб камеры.
Их можно отыскать запросом:
а)inurl:webArch/mainFrame.cgi
7.Чужие IP телефоны.
Их можно отыскать запросом:
а)intitle:"Sipura SPA Configuration" -.pdf
8.Фото ч чужих цифровых аппаратов.
Их можно отыскать запросом:
а)index.of.dcim
9.Халявный нортон антивирус.
Их можно отыскать запросом:
а)inurl:"GRC.DAT" intext:"password"
10.Пассы -
inurl:"password.dat"
filetype:password.dat
filetype:dat passwd
filetype:dat passwd.dat
intext:"password"
11. Поисковые запросы веб камер:
inurl:MultiCameraFrame?Mode=
inurl:"ViewerFrame?Mode="
inurl:netw_tcp.shtml
intitle:"supervisioncam protocol"
inurl:CgiStart?page=Single
inurl:indexFrame.shtml?newstyle=Quad
intitle:liveapplet inurl:LvAppl
inurl:/showcam.php?camid
inurl:video.cgi?resolution=
inurl:image?cachebust=
intitle:"Live View / - AXIS"
inurl:view/view.shtml
intext:"MOBOTIX M1"
intext:"Open Menu"
intitle:snc-rz30
inurl:home/
inurl:"MultiCameraFrame?Mode="
intitle:"EvoCam" inurl:"webcam.html?quot;
intitle:"Live NetSnap Cam-Server feed"
intitle:"Live View / - AXIS 206M"
intitle:"Live View / - AXIS 206W"
intitle:"Live View / - AXIS 210"
inurl:indexFrame.shtml Axis
inurl:"ViewerFrame?Mode="
inurl:"MultiCameraFrame?Mode=Motion"
intitle:start inurl:cgistart
intitle:"WJ-NT104 Main Page"
intext:"MOBOTIX M1" intext:"Open Menu"
intext:"MOBOTIX M10" intext:"Open Menu"
intext:"MOBOTIX D10" intext:"Open Menu"
intitle:snc-z20 inurl:home/
intitle:snc-cs3 inurl:home/
intitle:snc-rz30 inurl:home/
intitle:"sony network camera snc-p1"
intitle:"sony network camera snc-m1"
site:.viewnetcam.com -www.viewnetcam.com
intitle:"Toshiba Network Camera" user login
intitle:"netcam live image"
intitle:"i-Catcher Console - Web Monitor"
inurl:/home/home
intitle:flexwatch intext:"Copyright by Seyeon TECH Co"
intitle:"snc-rz30 home"
intitle: Network camera

Ответить
6

Это программисты Сбербанка?

Ответить

Комментарий удален

4

Кстати говоря, на западе google hacking давно является серьезной угрозой.

Ответить
1

Согласен, с данным механизмом не могут многие справиться уже долгое время, так как их сервера ЖГУТ по полной, зато классно FREE DB и доступ почти к любой информации, кроме некоторых (у кого отдельные сети) которые не выделены в общую сеть =Р

Ответить
0

Ну да, там и распространено Bug Bounty - находишь баги и утечки, тебя поощряют. У нас до этого далеко)

Ответить
0

предположу, что у нас могут поощрить условкой или уголовным за кражу инфы

Ответить
–4

Не совсем понимаю зачем выкладывать практический пример использования... ведь даже барану будет понятно что статья написана для указания на проблемы, которые нужно исправить. Это в интересах всех пользователей рунета, которые пользуются сервисами с некомпетентными сотрудниками.

Предлагаю тебе приложить фото твоей кредитной карты с обеих сторон, ИСКЛЮЧИТЕЛЬНО в ознакомительных целях! Мы всем сообществом обещаем, что эта информация не будет использована в своих меркантильных целях.

Ответить
5

Уйди пожалуйста на пикабу со своими моральными ориентирами.

Ответить
0

cс таким рейтингом на VC не ) кто знает из какой вы сферы *)

Ответить
24

Интересно - кто оперативнее отреагирует и отпишется в комментах?
ВТБ, Сбер или МОС

Ответить
18

Скорее всего, никто.

Ответить
2

Проверим ;)

Ответить
3

Надо им разослать эту статейку или добавить в их доки, чтобы обратили внимание на проблемку.
Вот удивление было бы у сотрудников когда они открывают ДОК, а там ссылочка на эту статейку :D

Ответить
2

О, кстати нормальная идея) Пойду поищу :D

Ответить
0

Ниже предоставил в ОЗНАКОМИТЕЛЬНЫХ целях ;) несколько штук.

Ответить
4

Нормальная подборка получилась!)

Ответить
1

Если выложить всё, то листать и листать придётся )) Пойду ужин готовить, а то "гости" приедут :D

Ответить
0

А вот и не угадал :)
Сбербанк пришел - диджитализация идет полным ходом

Ответить
0

Орнул, взоржал. Они уху ели?

Ответить

Комментарий удален

1

Ко мне по крайней мере спустя сутки никто не обратился)

Ответить
0

Роскомнадзор

Ответить
1

они заняты телеГРАММом )

Ответить
2

Теперь еще и приложением бургеркинга.

Ответить
0

Думаю mos

Ответить
22

Нашел билеты в Екатеринбург через эти дыры, завтра лечу бесплатно

Ответить
4

Нормальная тема для стартапа. С промо-кодами же есть уже порталы. Тут что-то похожее будет.

Ответить
0

Там еще остались уже оплаченные билеты?

Ответить
–1

Взял последний

Ответить
0

Не справедливо получается.
Паш ты успел сохранить себе пару бесплатных билетов? Ты же первый нашел).

Ответить
17

Неожиданно, что проблема до сих пор имеет ТАКОЙ масштаб! После инцидента с Мегафоном я был уверен, что такие вещи уже давно включены в чек-лист каждого безопасника. Но вопрос: а есть ли вообще у этих сервисов безопасники? Или на эту должность племянника директора посадили?

Ответить
6

Про племянника в точку. Отсутствие компетенции на лицо.

Ответить
4

В почте рф точно нет ;)

Ответить
3

Неожиданно

Вы, видимо, далеки от айти в профессиональном плане. Я вот ничуть ни удивлён. Даже больше огорошу - такой бардак будет еще неопределенное количество лет. И есть очень нехилый шанс, что не разрулится никогда. Просто случится пиздец и всё на этом, айти-инфраструктуру страны выкосят какие-нибудь расторопные ребята.

Ответить
11

Привет всем в этом чатике! :D Давайте запилим конкурс мемов про IT безопасность под эти камментом! Если наберется 20 мемасов - выберу лучшего и отправлю бутылку вина (белое/красное на ваш выбор) - для тех кто в МСК. Если выиграет кто-то из региона - кину бутылку на карту ;) Завтра вечером определю главного мемолога). Оставляйте свой фб для связи - напишу туда
1й пошел - все школьники страны сегодня вечером

Ответить
13

И самое интересное это рассказывает SEO специалист, а не специалист по информационной безопасности ))

Ответить
10

У них разные чек-листы :D

Ответить
11

На е-коммерсе тоже часто встречается.
Я так закрывал неименные сертификаты с деньгами на одном очень известном магазине.

Ответить
1

Помню у одного из топовых коммерческих сайтов телефоны клиентов были прямо в URL. Помимо утечки данных - это кладезь для конкурентов - бери и обзванивай всех. Тоесь, пренебрежение безопасностью в данном случае и прямыми коммерческими потерями грозит.

Ответить
0

Огонь :)

Ответить
0

*Закрывал = закрывал дыры, чтобы сертификаты не попали в Яндекс / Гугл

Ответить
0

Да, с ecommerce вообще беда, там бюджеты не такие как у Сбера, ВТБ.

Ответить
11

Паша, это огонь!

Ответить
0

Привет из ИМЭС ))

Ответить
10

Закон Ярвой в ярости 😤

Ответить
0

у кого то начинает бомбить )

Ответить
6

Потрясающая статья.
Это все происходит в стране, где тратятся миллиарды на проведение конференций про киберугрозы.
Но не хватает денег на книжечку SEO для чайников.

Ответить
4

И принимаются решения всякие по блокировке телеграмма, бессмысленные законы Яровой. Это называется - когда люди занимаются не своим делом и решения принимают не эксперты а чиновники.

Ответить
6

Мля я уже ничему не удивляюсь в этой стране!

Ответить
5

Запилю robots.txt Сберу за 1000$, Греф пиши в лс

Ответить
2

SEO рассказывает про секьюрити данных. I have seen it all

Ответить
9

Слушайте, SEO уже пишут про защиту серверов сайтов от хакерских атак, уязвимостей, дырявых протоколов, которые можно расшифровать.
Реально такие чеклисты есть.

Даже у Финама - топ1 компании, какой-то из сайтов для трейдинга/инвестиций использует (по крайней мере недавно было, когда обращался к ним) незащищенный протокол HTTP. Мы переводем все сайты по продаже шампуней, детских игрушек на HTTPS а многомиллиардный Финам кидает пользователей сайта на HTTP, который может любой перехватить через wifi ))
Рассказал им об этом - сказали фигня, у нас везде СМС используется, все безопасно. Lol

Ответить
2

Я, разбирая логи сервера одного из клиентов (в том числе по SEO, кстати), нашел реф-спам с фишинговой ссылкой, имитирующей адрес личного кабинета пользователя одного из часто светящихся на VC банков.

Написал в их службу безопасности, поскольку сам клиент этого банка. Логи прикрепил, объяснил суть происходящего, рассказал, что делать с этим.

Ответа за неделю не пришло.

Ответить
0

Зачем далеко ходить, тут недавно статья была от какого то манимувера, которые на вопрос, а чего ж у вас https нет, ответили - они не умеют

Ответить
0

Ну если на это никто больше не обращает внимания - приходится нам)

Ответить
2

Странно что в СБ таких контор работают на столько некомпетентные люди.

Ответить
5

Зато откаты компетентные получают :)

Ответить
2

Зато их руководители получают зп за один день больше чем средний SEO-шник в Москве за год ;)

Ответить
2

Огонь!... Столько раз шум понимался, законы принимаются... А воз и ныне там!..

Ответить
3

"Трубу под давлением обматывают который раз изолентой и надеются на то что она выдержит"

Ответить
2

Синяя изолента выдержит!

Ответить
1

И эти "люди" хотят еще вводить биометрическую идентификацию) Ололо. И её проср*т.

Ответить
8

Вот! Я об этом сразу с появления новости что банки будут по биометрии работать насторожился. Пароль в соцсети или доступ к документам в облаке можно поменять. Отпечатки пальцев, сетчатку глаза, лицо и голос - нет!

Если специалист по безопасности в Apple получает 20.000$ в мес, а в каком-нибудь дата-центре биометрических данных Самары будут искать "спецов" за 15.000 рублей - мне страшно за эти данные :)

Ответить
3

Чтобы данные не утекали надо нанимать хороших спецов на хорошую з/п

Ответить
0

я думаю там сидят люди на больших таких зар платах, а ничего не умеют. в дата-центрах именно так, почти все сотрудники не знают о своих собственных компаниях и дата-центрах и 5%. и какой-ниб человек со стороны знает в 20 раз больше чем они. и денег не получает, как те люди, на которых выкидывают кучу бюджета. так можно говорить и маркетинге который сливает бюджеты в черную дыру, когда можно не рубля не потратить на рекламу и напродавать серверов столько же если не больше. я знаю кучу народу которые бесплатно вообще делают что-то и у них получается лучше, чем у сотрудника который сидит условно в таких вот компаниях и получает за сидение зар плату

Ответить

Комментарий удален

4

При чем тут честность? Воспользовавшись личными данными можно:
- взять на частное лицо кредит
- снять деньги со счета
- навести воров на квартиру...
продолжать?

Ответить
0

Потому что нужно больше верификации для получения кредитов.

Ответить
0

Верификации личности.

Ответить
1

взять на частное лицо кредит

Нельзя

Ответить
0

Имея определенные связи и возможности можно. Услуги тех же МФО никто не отменял.

Ответить
3

Огласите тогда тут свой номер ИНН, паспорт, пенсионное, ну и можно пароли к соцсетям и почте - чего скрывать то))

Ответить
2

Скрывать надо от тех, кому есть что скрывать

Ответить
1

Поэтому на честных всегда записывают по сто кредитов. Гг

Ответить
2

Тема си не раскрыта.
За пароли спокоен, а вот с транзакциями - это фейл!
А сбербанк, а греф, а большие данные? 🤔

Ответить
1

Это немного на других сайтах (форумах) крутится ;)

Ответить
0

Большие данные видно еще в зачаточном состоянии. Как сделают - будут и большие утечки.

Ответить
0

Сбербанк и Греф скупили все видеокарты и майнят биткоины.
Не мешайте им.

Ответить
–14

Сбербанк проводит разбирательство по данной ситуации. Однако уже сейчас могу сказать, что данных, которые могут нанести ущерб Банку или клиентам, здесь нет.

Служба заботы о клиентах
ПАО Сбербанк

Ответить
4

Мария, данных которые могут нанести ущерб здесь нет потому что вам просто повезло на этот раз. Это как вы забыли закрыть дверь в сейф где деньги лежат, но никто туда просто не заглянул. Но если Сбер будет так же халатно относиться к безопасности данных, рано или поздно произойдет катастрофа. У ваших коллег из топовых уже случалось похожее и они целую неделю не могли даже понять что произошло и что делать - показатель уровня :).

Ответить

Комментарий удален

2

Здесь нет потому, что автор требования закона о защите персональных данных соблюдает. А вы(банк)? И что ещё можно обнаружить в такой выборке, если провести её самостоятельно? Такой же вопрос и к остальным. А "честным гражданам", которым "нечего скрывать", уже советовали, публикуйте номера карт, пин-коды, cvv, сканы паспортов и прочее разное, хоть приватную переписку. Вот только принцип приватности всегда был и есть один: "Мне нечего скрывать, НО ЭТО НЕ ВАШЕ ДЕЛО!"

Ответить
1

Получай фашист гранату. За данными надо следить, а не отписки придумывать!

Ответить
1

Молодец Машенька, разбирательство проходит, а уже сейчас сказать можете)

Ответить
0

А как же паспорта???

Ответить
0

Мария, Вы хорошо подумали перед тем, как делать такие заявления в кругу людей, прекрасно представляющих, какой ущерб может нанести разглашение персональных данных и данных о транзакциях?

Ответить
0

А колыбельную споёте?

Ответить
2

Картинки с "котиками" на почту еще никто не отменял, сколько прошло времени, а они еще работают :D

Ответить
0

А я размышляю над тем - а вдруг кто-то этими данными пользовался по тихому все это время?

Ответить
4

Оно так и было (есть) долгое время.... и извините если можно получить доступ к бухгалтериям предприятий, то что говорить о более публичных данных.
Мне вот на днях один сервис прислал письмом мой логин и пароль не в зашифрованном виде, после чего я ушел от этого сервиса.

Ответить
1

один очень крупный интернет магазин присылал пароль в открытом виде, над образовательной площадкой, на которой в том числе обучают компутерной грамотности и программированию, поржал, там тоже пароль рассылается в открытом виде, пара очень больших книжных магазинов тоже не заморачивается, в одном из которых можно авторизоваться без пароля, просто по "коду" скидки, который есть в каждом письме и так же имеет ссылку для перехода на личную страницу.... и это только один из косяков этого магазина, дальше вообще пздц

Ответить
0

У нас давеча хотели 1С во всемирную паутину выставить не только веб-сервисом, но и базой... :)

Ответить
0

Этот сервис - rabota.ru, между прочим.

Ответить
1

Конечно пользуются.
В открытом поисковиках можно было даже доступы в Google.Docs к кошелькам где биткоины лежат.

Ответить
1

" - Они и будут продолжаться пока программистам будут мало платить. "
В сети можно найти всё, хоть фотографии с любого мобильника вытащить, хоть музыку.....

Ответить
0

Ну, вытащите фотографии и музыку с моего мобильника.

Ответить
0

Если будет необходимость, то это сделают )

Ответить
1

Супер статья!
В ВУЗах сейчас происходит приём абитуриентов на специальность 10.03.01"Информационная безопасность"
Интересно, кто преподаёт там SEO ???

Ответить
1

Никто. Нет такой дисциплины там) А нужна)

Ответить

Комментарий удален

1

Понятно что это задумывалось для удобной жизни.
Так же как и удобная авторизация везде через FB, например. А потом выяснилось что эти приложения в которых вы авторизовались сливают ваши данные.

Если бы владельцы всех сайтов с личными данными применили хотя бы 3 моих совета из статьи:
-robots.txt
-meta noindex
-блочить доступ основным поисковым индексаторам
99,9% утечек можно было бы избежать.

даже дорвейщики, сателиттчики, школьники-создатели PNB сеток это делают.

Ответить
1

Отличная статья! Спасибо!

Ответить
1

Где мемасики?)

Ответить
1

Хороший пример ньюсджекинга

Ответить
1

Вот вам и всемирный доступ к неограниченным данным... А умные и ушлые, этим пользуются...

Ответить
1

Павел, спасибо, пошел закрывать дыры на своих сайтах.

Ответить
1

Статья 17. Право на обжалование действий или бездействия оператора

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Ответить
1

Вы забыли упомянуть, что сейчас почта (e-mail) правомерно сканируется. И все данные попадают в базу анализа. С девизом «мы подберём вам лучшую рекламу» этим вполне себе занимается тот же гугл.

Ответить
0

Всегда можете пользоваться другой почтой.
Ах да, она не такая удобная, быстрая и надёжная, как Gmail.

Ответить
0

Только если это свой почтовый сервер. Все остальные такие же как жмайл.

Ответить
–5

О боже! Неужели нужна авторизация чтобы данные не утекали? Пойду погуглю про одноразовые диплинки...

Статья не про безопасность, а про самопиар :-)

Ответить
2

Почему не про безопасность?
Я привел советы реальные, которые, уверен, 99,9% новых утечек помогут предотвратить.
robots.txt, clean-param, meta-noindex + блочить поисковых ботов

Ответить
1

Да, вы правы. Я погорячился

Ответить
0

Статья отличная и вскрывает мега важные проблемы! Только почему официальные лица никак не реагируют на ТАКУЮ информацию?! И будут ли действительно решать эти проблемы или, как обычно, замнут дело, а обществу устроят очередные зрелищные игры, чтобы развлекались и не задавали ненужных вопросов? А еще лучше не думали вообще?

Ответить
0

Успели научиться пользоваться интернетом, успели доверить ему личную информацию. А вот укротить эту стихию пока не получается.

Ответить
1

Прямо сериал Black Mirror напоминает

Ответить
0

Укротитель SEO трафика . Звучит гордо.

Ответить
1

Укоротитель

Ответить
0

успели доверить ему личную информацию.

С появлением соцсетей - да... хорошо, что не повёлся на это всё. О себе - только самый минимум или же уже байки тех времён, с которых ничего не прилетит, то есть 10-15-20 летней давности.

Ответить
0

Ничему жизнь не учит ребят...

Ответить
0

Все из-за телеграма и инстаграма!

Ответить
0

Теперь рскмндзр всех заблочит. Так проще уже!)

Ответить
0

Не, ну а чего. Нормально всё. Интернет в нашей стране ещё очень молодой. Активно развиваться-то, регулироваться и расти начал лет десять-пятнадцать. А пока нет смысла доверять свои данные сети.

Ответить

Комментарий удален

0

Злоумышленник улетает на Бали вместо меня это конечно жестко. До такой степень вряд ли дойдет. Все равно подтверждение данных придут на телефон в смс. Но все равно неприятны такие утечки.

Ответить
0

Да. Но сайты с продажей билетов как на грибах растут. И кто знает какого они качества, если уже все кому не лень пилят свои агрегаторы. Пример: они высылают 3-4 значный номер на СМС и не имеют защиты от брута и повторную СМС при ошибке.
Можно тупо перебором эти 1000/10000 комбинаций ввести с помощью простого скрипта.

Ответить
0

Жена в тай хотела, но сначала нужно на теще эксперимен поставить)

Ответить

Комментарий удален

0

Что на счет СДЭКа?

Ответить
0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Команда калифорнийского проекта
оказалась нейронной сетью
Подписаться на push-уведомления