Только что отшумела публично и думаю что крепко шумит теперь непублично история про утечку перс-данных вип персон, данных по инфраструктуре и т.д. у оператора Акадо [1] у которого обнаружили раскрытие персональных данных в их whois сервисе.

Случай не беспрецендентный, их не так уж мало, скорее тут важно что после обращения в службу безопасности Акадо не предпринял вообще никаких действий. Это действительно плохо, хуже может быть только если Акадо ещё и проблему не признает и никого не уволит.

Впрочем бывают ситуации гораздо серьёзнее. Я неоднократно сталкиваюсь с утечками перс. данных из государственных систем, но ничего не публикую об этом, вместо этого связываюсь с администраторами системы и объясняю им что надо исправить. Но бывают ситуации которые не исправить просто отключив whois сервис, часто проблемы куда глубже и куда серьёзнее.

Ссылки:
[1] https://bit.ly/2AHKFgZ

#dataleaks

Сразу 2 новости об ОФД, хорошая и не очень.

Хорошая
1-ОФД выложили открытый код [1] их BigData analytics platform: Yupana
Лично я ещё не пробовал, но любой хороший и открытый продукт по анализу данных всегда найдет применение. Что радует - создатели дают подробное описание и много примеров

Не очень хорошая
У ОФД "Дримкас" [2] утекло 14 миллионов записей и, признаться, реакция этого ОФД на событие необоснованно вялая. Будем надеяться что все ОФД проведут ревизию мер обеспечения безопасности.

Ссылки:
[1] https://github.com/rusexpertiza-llc/yupana
[2] https://iz.ru/921673/vadim-arapov/ushli-iz-bazy-v-set-utekli-14-mln-zapisei-kompanii-i-pokupatelei

#data #dataleaks #leaks

Тем временем утечки персональных данных на уровне стран перестают быть редкостью. В Эквадоре произошла утечка базы в 20.8 миллиона жителей (большинство жителей страны) [1] из-за некорректно настроенной базы Elastic Search. Можно сказать что это уже какое-то массовое бедствие в мире когда NoSQL базы данных MongoDB или ElasticSearch настраивают так что они оказываются общедоступными и утекают данные о миллионах людей.

И нельзя сказать что системно предпринимаются хоть какие-то шаги чтобы этого избежать.

Ссылки:
[1] https://www.zdnet.com/article/database-leaks-data-on-most-of-ecuadors-citizens-including-6-7-million-children/

#dataleaks #data #equador

Хочется писать про доброе, светлое и открытые данные, но на повестке куда более прозаические события вроде утечки данных о сетях связи, проектах и СОРМе в инфраструктуре МТС [1]. Всё это утекло через открытый rsync сервер о котором и пишет компания UpGuard.

Всё это о том что сейчас с сервисами мониторинга нескольких компаний которые регулярно сами сканируют сети или же пользуются Censys, Shodan и рядом других их менее известных аналогов, даже если администратор какой-то сети открывает доступ к нему на сутки, очень велика вероятность что этот сервис будет найдет и из него всё будет скачано.

Иначе говоря - параноидальность в защите данных никому не повредит. И отдельно я хочу сказать про обеспечение безопасности в органах власти. Массовое использование сотрудниками бесплатной почты, Dropbox'а, Яндекс.Диска и всего остального используемого для пересылки внутренних документов - может ещё ох как аукнуться. И не потому что эти сервисы нельзя использовать в корпоративных целях, а потому что их используют для преодоления ограничений как правило, довольно архаичных требований безопасности.

Возвращаясь к утечки из МТС - это само по себе, с одной стороны, интересно - всё таки материал о том как следят за россиянами и где и как СОРМ установлен. А с другой стороны более чем тревожно. Если подобные сведения утекают, то что же говорить об остальном?

Ссылки:
[1] https://www.upguard.com/breaches/mts-nokia-telecom-inventory-data-exposure#/security-lapse-russia/

#dataleaks #mts

И снова о неприятном. В блоге компании Comparitech публикация об утечке данных о 20 миллионах российских налогоплательщиках [1]. Особой изюминкой является то что данные обнаружились на серверах на базе Elasticsearch на Украине.

Я добавлю что на сером и черном рынке торговли данными в России - данные с Украины и по Украине встречаются сейчас особенно часто. Сложно ли удивляться тому что на Украине собирается немало особо значимых данных о России и из России.

В любом случае новость безрадостная для рядовых россиян. А вскрывшийся факт утечки перс данных на Украину и в открытый доступ поднимает немало вопросов о том как такое возможно и всё ли в порядке в российском ФНС.

Ссылки:
[1] https://www.comparitech.com/blog/vpn-privacy/russian-tax-records-exposed-online/

#privacу #dataleaks

Канал Нецифровая экономика пишет с критикой [1] про Ашота Оганисяна, технического директора компании Device Lock и автора канала об утечках данных. Пишут справедливо про ситуацию с публикациями про утечки с сайта Госуслуг, но всей картины явно не знают. Device Lock не только активно торгует продуктом по выявлению утечек, но и одним из их клиентов является Ростелеком. Как минимум 2017 и 2018 годах их продукт продавался через Акционерное общество "Смарт Лайн Инк" (владельцем которого является также Ашот Оганесян) и которые заключили договора 31806519034-01 и 57707049388170034600000, а может быть и в этом году было, точно не скажешь потому что Правительство позволяет с 2018 года скрывать поставщиков по 223-ФЗ, но желающие быстро найдут список клиентов по ключевым словам "DeviceLock" в базах госконтрактов [2]. Сам продукт DeviceLock, видимо, на одноимённой компании где, опять же, Ашот Оганесян является владельцем (иначе говоря технический директор это совсем не то что конечный бенефициар).

Поэтому, при всей моей малой любви к тому же Ростелекому проблема с публикациями об утечках, к сожалению, несёт большой этический вопрос:
1. Публикация любых сведений об утечках до предупреждения и разумного времени на устранение проблем у компании - это, в первую очередь, создание ситуации когда страдают все те граждане сведения о которых в утечках содержаться. Более того, обнародование непубличных канал потенциальной утечки и придание им публичности - это и есть утечка. Иначе говоря - утечка персональных данных становится не "потенциальной", а реальной именно тогда когда ей придаётся максимальная публичность.
2. Наличие у владельца компании контрактных отношений с Ростелекомом и одновременно публикации об их утечках можно трактовать как "шантаж" потенциального или прошлого клиента. Если Ростелеком и Минкомсвязь найдут зацепку засудить DeviceLock за подобное - они будут совершенно правы.

Я напомню что этические вопросы в проблемах с утечками персональных данных являются первоочередными. При передаче РБК материалов по утечкам персональных данных [3] лично я выдержал паузу более чем в 8 месяцев после уведомления Роскомнадзора.

2020 год пройдет под эгидой этики, поверьте моему слову, "этика" будет главным словом.

Ссылки:
[1] https://t.me/antidigital/2088
[2] https://clearspending.ru/contract/?productsearch=DeviceLock&search-submit=&grbs=&regnum=&daterange=&price_gte=&price_lte=&customerregion=&address=&budgetlevel=&okdp_okpd=&sort=-signDate&fz=None&customerinn=&customerkpp=&supplierinn=&supplierkpp=
[3] https://www.rbc.ru/politics/29/04/2019/5cc2df569a7947c83b69b0d5

#dataleaks #leaks #data #personaldata

Я несколько дней комментировал СМИ по поводу нового законопроекта (почти закона) вводящего оборотные штрафы за утечки персональных данных и, вроде бы, ещё не писал здесь.

Сформулирую несколько ключевых тезисов:
1. Утечки персональных и иных конфиденциальных данных - это, безусловно, серьёзная проблема. Она стала серьёзнее с того момента как российские компании потеряли возможность на диалог с зарубежными регуляторами и теперь не могут получить содействия в удалении утекших данных с зарубежных хостингов.
2. К предыдущим проблемам утечек связанных с работой коммерческих хакеров сейчас добавилась идеологизированная ситуация с тем что утечки не только происходят, но и на их основе создаются интерактивные продукты ориентированные уже не на хакеров, а на обывателей, чем обывателей довольно сильно пугают.
3. Декларируемый законопроект призван, как может показаться из выступлений инициаторов, защитить гражданина от утечек, а ещё точнее "ввести драконовские меры" напугать цифровые компании чтобы те вложили больше ресурсов в безопасность пользовательских данных
4. Все основные меры законопроекта - карательно контрольные. Мол получите штраф, подключитесь к ГосСопке и получите ещё штраф если не уведомили пользователей.
5. Главное чего нет в законопроекте - это интересов гражданина и пользователя. Штрафы идут в федеральный бюджет а гражданин не получает компенсации, ни материальной, ни моральной. Он вообще ничего не получает кроме того что узнает что вот этой компании сделали больно.
6. В то же время последние выступления о том чтобы ввести 3-х уровневое наказание для компаний и за первую утечку только пожурить вызывают только смех. У большинства крупных цифровых холдингов и не было больше одной утечки за последние 10 лет. Вот утечет вся база Госуслуг, чтоже, за первую утечку только пожурят? Очень смешно
7. Поэтому я не могу назвать эту меру ни то что системной, но и даже осмысленной. А самое главное, будущий закон не предлагает пути минимизации утечек как явления.
8. Что для этого нужно? Во первых, как минимум, введения требований по страхованию компаний от утечек и требований по обязательному полугодовому/годовому техническому аудиту. Это очень не понравится цифровым компаниям, потому что страховки будут дорогими, а в свою инфраструктуру никто пускать не любит, но ответственность за утечку должны нести, и компания, и аудитор.
9. Во вторых, и это важно, страховые выплаты в случаях утечек должны идти на покрытие судебных издержек и выплаты пользователям.
10. И, в третьи, и это тоже важно, если и вводить оборотные штрафы, то они также должны идти не в федеральный бюджет, а в специальный фонд по аналогии агентства страхования вкладов для выплат потерпевшим. А оборотные штрафы накладывать надо с учётом холдинговой структуры ИТ бизнеса, иначе у многих компаний сейчас будет ох[р]ененный соблазн вешать свои информационные системы на свои расходные, а не доходные дочерние компании, а потом штрафы платить именно с них.

#thoughts #regulations #dataleaks

Вах-вах, в Минцифре и другие чиновники читают мои тексты про то что надо делать компенсационный фонд [1] составленный из штрафов за утечки.

А где восторженные апплодисменты поощрение меня каким-нибудь благодарственным письмом лично из рук министра или ещё кого-нибудь из Правительства? ;)

Ну а если серьёзно, компенсационный фонд - это хорошо, а главное это понять что самые действенные меры в усилении граждан. Они в возможности получать значительно большие компенсации за понесенный ущерб.

Ссылки:
[1] https://t.me/begtin/4060

#dataleaks #digital #privacy

То что утекли данные о покупках во Вкусвилл - это, конечно, очень плохо. Как и любые иные максимально персонифицированные данные позволяющие локализовать потребителей. Но что хорошо и правильно - это то что команда Вкусвилла не спрятала голову в песок, а пишут о своей реакции на утечку и принимаемых мерах [1] несмотря на негатив, которого они по любому избежать не смогут.

Всё это, конечно, никак не отменяет того что каждая такая утечка - это необратимый процесс. Посмотрим на реакцию регулятора и коллективные иски и будет ли Вкусвилл публиковать результаты расследования, организует ли внешний аудит безопасности и тд.

Ссылки։
[1] https://vkusvill.ru/media/journal/baza-dannykh-chto-proizoshlo.html

#privacy #dataleaks #leaks

Была или не была утечка данных из school.mos.ru - это мы достоверно узнаем когда на их основе выйдет очередное расследование коррупции (или не выйдет, и мы тогда узнаем что утечки небыло). Скорее всего это прояснится очень скоро. Я бы словам ДИТа Москвы, чисто для профилактики, не верил, особенно после мутной истории с утечкой данных о заболевших ковидом в Москве.

Но давайте предположим что была или будет и вообще после начала мобилизации я на рынке инфобеза в России немало слышал о проблемах того что многие специалисты уехали из страны на фоне мобилизации назад не спешат. И что специалистов среднего уровня большой дефицит, так что сложно поверить что утечек не будет в каком-то разумном будущем.

Так вот предположим происходит утечка с данными из крупной государственной информационной системы. Что делать в этом случае? А далее этот вопрос опросом https://t.me/begtin/4474

#privacy #dataleaks