Comments 25
узнать следующую персональную информацию о Вас:
Ваше имя,
Ваш E-Mail,
Ваши физические адреса, куда Вы заказываете суши,
Всю историю Ваших заказов, что может частично раскрывать Ваше финансовое состояние.
С точки зрения законодательства эта совокупность не является персональными данными, т.к. не позволяет однозначно идентифицировать конкретного человека. То есть, я могу хоть сейчас дать вам имя, адрес эл. почты и адрес куда я заказываю суши, но чтобы меня однозначно идентифицировать, вам понадобятся дополнительные действия.
Да, этой информацией можно обогатить другие базы, чтобы однозначно сопоставить запись с конкретным лицом, но вот тогда уже эта совокупность и будет являться персональными данными.
Это всё к тому, что пассажи про «федеральное преступление» тут вообще ни к месту.
Я не эксперт в юридических вопросах, но в законе (https://www.consultant.ru/cons/cgi/online.cgi?from=370272-0&req=doc&rnd=ECcSsQ&base=LAW&n=422875#VYdWpXT4y0JtvT581) написано:
В целях настоящего Федерального закона используются следующие основные понятия:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
С точки зрения нашего законодательства даже куки (!) являются перс данными (это конечно, когда надо кого то нужного прижать).
Если по имени и физическому адресу нельзя идентицифировать человека, то как тогда можно? По мне, так имя и адрес уже достаточно. По-хорошему, одного имени уже достаточно.
А то IT-отдел не знает. Такая реализация не сама ж завелась.
Интересно — хотя бы 60 тысяч с SushiStore возьмут? Или выяснится что автор статьи — украинский хакер ?(или гондурасский хакер на службе украины)
SushiStore, конечно, чудаки, но хорошим тоном является 30 дней между сообщением об уязвимости и раскрытием.
Ни одна компания такого рода проблемы за два дня не может устранить, хотя бы потому, что только на внутреннюю переписку уйдет несколько дней. А потом еще общение с внешним вендором - разработчиком сайта, а потом разработка, потом поставка и тестирование релиза и т.п..
В данном случае речь даже не о технической уязвимости, которую вендор исправлять как правило сам и максимально быстро, а об уязвимости в бизнес-логике, т.е. для закрытия этой дыры надо менять бизнес процесс, вырабатывать новую бизнес-логику. Это не делается ни за два дня, ни даже за две недели-месяц.
Обычно эксперт, выявивший узявимость, работающий в правоввм поле, заранее с оговаривает с организацией некий вменяемый срок на устранение такого рода проблем, после которого вы как частный эксперт публикуете узявимость.
За два дня, мир не меняется...
Вы описали какую-то невероятно забюрократизированную организацию. Современные подходы к разработке подразумевают, что компания может делает вплоть до нескольких релизов в день. А уж на то, чтобы закрыть аутентификацию на сайте достаточно буквально изменить одну строчку кода, если есть на то воля руководства.
Вы сначала закройте дыру оперативно, а потом уже можете думать о том что с этим делать и как задачу правильно решать. Просто кому-то важнее прибыль, а не безопасность данных клиентов.
Эм, это только если ежедневный релиз этого программного продукта уже был отстроен.
Вряд ли это про Сушильню...
В данном случае всё ещё проще. У Сушильни точно не может быть десять уровней согласований и описанной Вами бюрократии, это не Майкрософт и не гос. корпорация. Руководителю компании достаточно просто попросить сотрудника-разработчика (или подрядчика) закрыть аутентификацию напрямую. Учитывая критичность ситуации, это вопрос часа работы максимум с учетом всех согласований и необходимых действий.
с точки зрения бизнеса, то что вы описали, это не дыра )). Дыра, это когда доходы падают, или прокурор пришел :)
Но даже если вдруг и решат закрыть проблему, то есть договорные отношения с поставщиком - софтовой компанией. А любые договорные отношения это всегда документооборот, счет, поставка, акт выполненных работ.
В следующий раз, лучше не горячиться с сенсациями, мир вокруг "безопасности" не крутится вообще, а просто медленно и системно делать дело, помогая сделать мир лучше, не ожидая, что мир будет меняться быстро.
Простите, но как человек хорошо знакомый с аутсорсом. А вредил сушильня имеет свой it отдел:
- далеко не всегда аутсорс, даже хороший, может сделать что-то в тот же день. Тем более, когда это доработка логики
- закрыть регистрацию = простой всей доставки на что бизнес не готов и требовать это не разумно, учитывая, что до этого сайт висел и без Вашей статьи на хабре за 2-3 дня уязвимость более критической бы не стала
- реализовать вход через номер телефона, даже у нормального разработчика может отнять пару дней с учетом того, что необходимо выбрать смс шлюз, зарегистрировать там аккаунт, вероятно переделать и бек и фронт
- публикации статьи спустя 26 часов, что чуть больше суток является совсем некорректным поведением. Особенно учитывая наличие хоть какой-то реакции. + Вы на самом деле даже не ждали суток (вряд ли статья была написана за 2 часа), так что выглядит как попытка похайпиться. Если Вы хотели позаботиться о персональных данных - сделали все, чтобы на одну слитую базу ПД стало больше. Хабраэффект будет налицо
Да нет, это нормальная практика для любой компании, где работает больше 10 человек. А вот вы поступили не красиво дважды: во-первых, не обозначили компании срок, в течении которого вы расскажете об уязвимости (и да, как бы стандарт 30 дней), во-вторых теперь базу точно сольют.
Подход, где делается несколько релизов в день не означает, что за час выкатят хотфикс в прод, на него банально может не быть ресурсов/людей/времени. У этого магазина суши может и айти отдела своего нет толком, а сайт пилит какая-нибудь компания на аутсорсе и ей с большего безразлично на ваши гибкие методологии разработки и time to market.
Я вот вспоминаю две конторы финансового плана где работать приходилось:
- №1 — в субботу "небольшая проблема" на проде с мобилкой, проблема простая, диагностика понятна. CTO заказчика дергает меня в общем чате, через несколько часов с CI сборка уходит в PlayStore. Но при этом — у меня было полное право сказать "ждите понедельника"(и ждали бы — больше некому).
- №2 (значительно крупнее №1). экстренный релиз посреди недели — он вообще будет если либо креш в 100% случаях и увидят это чуть менее чем все и покажут по ТВ(ну или по конкретной фиче затронуто многое и бизнес убедил что ну край надо) и все равно — поиск, ревью патча, согласованная, постепенная раскатка. За час не выкатят точно, если все согласны что да надо фиксить СРОЧНО и никак иначе — ну скорее день будет. Если увидят не все — фиксить в лучшем случае в этом спринте будут а пользователи через несколько недель увидят. А на всякий случай — есть механизм отключения фичей.
А ещё компания может сначала выключить сервис, в котором такая дыра, а потом уже месяц общаться с контрагентами, менеджерами и коучами. Но они этого не будут делать, потому что убытки - а на утечку данных плевать, это не убытки.
Если бы им грозил штраф в размере 100% оборота от дня обнаружения проблемы до дня устранения - поверьте, они бы за день хоть весь сервис перестроили.
Проверил, уже пофиксили
Ваше имя, Ваш E‑Mail
Таки не конкретно Ваше имя, а то имя, которое было указано при регистрации / в профиле пользователя. Как и Е-маил.
Как компания SushiStore сливает персональные данные своих клиентов