Лого vc.ru

Ишимский городской суд запретил статью на «Хабрахабре» о взломе карты «Тройка»

Ишимский городской суд запретил статью на «Хабрахабре» о взломе карты «Тройка»

Ишимский городской суд Тюменской области потребовал удалить статью об уязвимости в системе проездных карт «Тройка», размещённую на сайте «Хабрахабр». Об этом пишет «Роскомсвобода» со ссылкой на постановление суда.

Суд посчитал, что статья пользователя сайта «Хабрахабра» Игоря Шевцова «Мосметро взломано» распространяет информацию о «возможности подделки билетов на проезд». Как говорится в материалах дела, «билет, являющийся одним из оснований для осуществления проезда, является документом, свидетельствующим о заключении официального договора между пассажиром и компанией, осуществляющей перевозку». 

Таким образом, следует из постановления, билет — это официальный документ, подделка которого уголовно наказуема. Статья Шевцова о взломе проездной карты приравнивается к распространению информации о способах совершения уголовного преступления.

В мае 2016 года на «Хабрахабре» была опубликована статья, в которой разработчик исследовал защищённость системы электронного кошелька «Тройка». Он смог взломать её при помощи компьютера, смартфона на Android и NFC-чипа. В статье Шевцов детально объяснил подходы к системе и рассказал о самом простом способе взлома. 

Разработчик создал приложение TroikaDumper, с помощью которого можно пользоваться уязвимостями системы карты «Тройка». Шевцов указал на способы решения проблем безопасности электронного кошелька и заявил, что взлом производился в «исключительно в ознакомительных целях», потому что подделка проездных документов уголовно наказуема. После публикации статьи пресс-служба метрополитена заявила, что устранила уязвимость.

Сейчас публикация «Мосметро взломано» недоступна на сайте «Хабрахабр», а профиль автора деактивирован. Издатель «Тематических медиа» и основатель «Хабрахабра» Денис Крючков рассказал vc.ru, что компания не будет обжаловать решение суда. «Вопрос стоит адресовать автору публикации. Мы в этой истории являемся площадкой, которая предоставляет пользователям возможность размещать контент и не несем ответственность за его содержание», — добавил он.

В марте 2017 года Ишимский городской суд потребовал от сервиса для предпринимателей «Кнопка» удалить статью в блоге, описывающую легальные способы вывода денег из ООО.

Присылайте новости на news@vc.ru

Можете ссылку на вебархиве дать?

Пост всё ещё есть на СоХабре, внезапно.
sohabr.net/habr/post/301832/
И в кэше гугла, если отсюда потрут.

0

Вот еще здесь есть :https://itnan.ru/post.php?c=1&p=301832

"В марте 2017 года Ишимский городской суд потребовал от сервиса для предпринимателей «Кнопка» удалить статью в блоге, описывающую легальные способы вывода денег из ООО."

— Есть у кого ссылка? Для друга надо

0

Согласен, лично я бы проморгал

Как говорится, все проблемы с преступностью в Ишиме решены - взялись Москве помогать (и не надо благодарить).
Честно говоря, задолбало, что любой усть-урюпинский суд считает своим долгом что-нибудь заблокировать в интернете.

было бы логично создать отдельный "суд по интернет-делам", где судьями были бы реально профи в этой отрасли

0

Статья-то древняя. Чего это они только сейчас опомнились?

> Сейчас публикация «Мосметро взломано» недоступна на сайте «Хабрахабр», а профиль автора деактивирован.

"Лучше перебдеть, чем недобдеть" сказал Денис Крючков и исхлестал себя плеткой.

Я просто процитирую кусок из письма Роскомнадзора, поскольку вы, похоже, не в курсе, какие нынче законы в стране, иначе бы не пытались острить:

> В случае непринятия провайдером хостинга
> и (или) владельцем сайта мер по удалению
> запрещенной информации и (или) ограничению
> доступа к сайту в сети «Интернет», будет
> принято решение о включении в единый
> реестр сетевого адреса, позволяющего
> идентифицировать сайт в сети «Интернет»,
> содержащий информацию, распространение
> которой в Российской Федерации запрещено,
> а доступ к нему будет ограничен.

Но так профиль можно было бы и не деактивировать

У пользователя была указана одноразовая почта, поэтому суппорт и принял такое решение, подозревая, что этот аккаунт был создан одноразово специально для этой публикации. Нас довольно часто используют для подобных историй (вбросы, посевы), но в этом случае деактивация, наверное, была не нужна, хоть автор и не появлялся на сайте с момента размещения статьи.

Это неправда. Почта не одноразовая, а вполне себе постоянная, проверяемая и рабочая, как я уже объяснял техподдержке, но умышленно не защищена паролем. Аккаунт заблокировали либо без уведомлений, либо они были удалены из ящика. После отправки письма в техподдержку с вопросом о судьбе учетной записи с этого ящика, сотрудник техподдержки зашел в ящик и удалил все письма из него. Я несколько раз появлялся на сайте с момента публикации статьи. Посмотрите тикет LCK-DDUUT-935.

На морде сервиса discard.email помимо всего прочего четко сказано trash-mail, хоть там всё на немецком. Этого было достаточно, чтобы понять, что аккаунт зарегистрирован на одноразовую почту. Я выше отписал, что нас довольно часто используют для вбросов и посевов, поэтому и была такая реакция.

0

И обратите внимание, пока нас не трогал Роскомнадзор, нам было всё равно. Как только стали кошмарить, только тогда стали разбираться.

Одноразовый - устоявшееся название сервисов этого типа, которое отражено даже в слогане сервиса discard.email/ru/ и мы уже объясняли, что наши претензии к владельцу аккаунта заключаются не в частоте проверки почтового ящика, а в том, что проверять его может неограниченный круг лиц. Следовательно, любой пользователь сети Интернет может восстановить на него пароль от аккаунта на Хабре, получив, таким образом, доступ к аккаунту, и распространять с него запрещенную законом информацию. Чтобы устранить эту угрозу мы ограничили полномочия аккаунта, поскольку при проверке в почтовом ящике, к которому привязан аккаунт, были обнаружены уведомления от других сервисов, а, следовательно, есть все основания полагать что доступ к почтовому адресу имеют как минимум, модераторы электронных ресурсов, которые обнаружили "одноразовый" адрес в своей базе и решили полюбопытствовать, что это за хитрый пользователь у них зарегистрирован.

Вот и заблокировали бы доступ к данной статье исключительно для российских IP-адресов. Так делают многие ресурсы. Зачем целиком удалять аккаунт пользователя вместе со всеми его постами и комментариями?

Я выше отписал, что это не пользователь, а чей-то виртуал, зарегистрированный на одноразовую почту и не появлявшийся на сайте с момента размещения статьи.

0

Т.е. того, кто дал ему инвайт можно обвинить в сговоре? )
Или пост был в песочнице?

0

Пост не был в песочнице, автор зарегистрировался по приглашению от другого участника.

> Так делают многие ресурсы.

Примеры, кроме реддита пожалуйста

0

Ну вы прикиньте сколько нужно сил разработать такую систему – зачем, чтобы спасти пост о котором и так все почитают?

Лично я считаю, что не следует удалять подобные посты. В последние годы на ресурсе и так количество хороших статей не слишком велико. Для Роскомнадзора было бы вполне достаточно блокировки для российских IP-адресов. Реализовать такую блокировку средствами движка - дело пары минут и нескольких строчек кода.

0

> Реализовать такую блокировку средствами движка
> дело пары минут и нескольких строчек кода.

Это не так. Вы написали фигню. Пара минут - это когда говнокодишь.

> Это не так. Вы написали фигню. Пара минут - это когда говнокодишь.

1. Добавляем отдельный флаг для постов в БД.
2. Если флаг встречается (пост ограничен), проверяем IP-адрес пользователя по базе GeoIP. Если он из России - показываем заглушку.

Вот и всё. Для хорошего программиста работы на несколько минут.

Не думаю, что можно серьезно дискутировать про разработку, если человек в контексте хайлоад-проекта использует аргумент "несколько минут".

Открываем ХабраХабр, переходим в раздел "лучшее за сегодня", смотрим счётчики просмотров постов: 2.2K, 3.7K, 4.1K.

0

Потом на всякий случай заходим во вкладку за неделю и видим счетчики просмотров постов: 85,5k, 43,7k, 19,2k. Можно еще посмотреть за месяц.

На всякий случай три важные цифры из статистики за месяц, чтобы вы понимали, что нельзя за пару минут внести важные изменения:

<img src="https://habrastorage.org/files/7fa/9f5/231/7fa9f5231606465187dc9697f38e6fc8.png"/>

Неплохо. Но вы всё равно рассмотрите возможность ограничения доступа к статьям только для российских IP-адресов.

0

Наша текущая инфраструктура пока не позволяет быстрыми силами запилить блокировку контента по географическому принципу пользователя, плюс эти угрозы от Роскомнадзора в последнее время прилетают не так часто, но мы придумали решение и пофиксим этот момент (будем вешать заглушку).

0

Географическому расположению пользователя, опечатался.

Денис выше написал, это действительно не так просто запилить, учитывая, что эти вещи происходят довольно редко.

0

А на принцип слабо пойти? Или считаете народ прокси разучился использовать?

А фиксить уязвимость не надо?

0

Карты в Москве и Питере закупили уже новые, с фиксом, но сам протокол оставили без изменений. Т.е. у них за исправление уязвимости уже уплачено, но они этим не пользуются.

Плюс к этому они в своих докладах "зайцев" используют с целью оправдания дополнительных бюджетов.

0

Пофиксили в начале августа 2016-го

Деньги можно распечатать на принтере - заблокируйте этот комментарий.

В Ишимском городском суде новый маркетолог

Да пусть хоть весь хабр блокируют. Кармодрочерская параша с рекламными статьями от ламеров и маркетологов. Вторых больше.

0

Это вы как определили, на глазок?

0

Денис, а если не секрет - сегодня Хабр увеличивает рейтинги или раньше было больше ?

0

Не совсем понял про рейтинги. Можно чуть подробнее?

Ну, рейтинги посещений, просмотров статей/сайта ? То есть, если взять скажем год так 2012 и сегодня. Я вообще, из тех - кто пишет и читает ваш ресурс.

По сравнению с прошлыми годами высокий рейтинг публикации теперь набрать гораздо сложнее. Мы ограничили возможность голосовать за публикации только тем, у кого эти публикации есть. Сделали это в целях борьбы с накрутками и ботами. Из-за этого иногда складывается ощущение, что голосовать стали реже. Раньше в целом порог входа на сайт был гораздо ниже, чем сейчас. Можно было запостить пост из одной картинки и получить большой рейтинг, сейчас это практически невозможно, так как все публикации в основном лонгридные, обязательно должна быть какая-то практическая ценность. Как и раньше, можно набрать много просмотров (овер 100к за пару дней), но для этого публикация должна быть интересной широкому кругу читателей (например, история про реверс-инжиниринг Тройки). Вообще за последнее время Хабр трансформировался из медиа, которое позволяет получить текущую повестку в базу знаний. Соответственно у публикаций появился "длинный хвост". Например, из общей читаемости в 100к в первый день публикация может набрать 30% трафика, а в последующие 7-10 дней - остальные 70%. Если она попала в рассылку, сверх этого можно получить еще кучу просмотров.

Спасибо, что читаете и особенно - что пишите.

А сколько из избранного читается (переходы из избранных постов)?

0

Такой аналитики у меня нет. И физически нет возможности прошивать все посты utm-метками, чтобы трекать это событие.

0

Само приложение:
github.com/gshevtsov/TroikaDumper
Осталась статья на сохабре:
sohabr.net/habr/post/301832/
Вебархив:
web.archive.org/web/20160528005057/https://habrahabr.ru/post/301832/

Обычно за нахождение уязвимости дают премии, а тут грозят судом :(

0

Насколько я понимаю своим далеко не прогерским умом - сиё есть Этик Хак (или схожая с ним тема). Так зачес же блокировать и запрещать то, что несет пользу?
Хотя, у нас в РФ и похлеще бывает. Девушку оштрафовали за то, что она репостнула парад 1945 года, мол там демонстрируется свастика. Бред

Прямой эфир
Голосовой помощник выкупил
компанию-создателя
Подписаться на push-уведомления