Comments 21
Супер
С точки зрения безопасности хранение массива агрегированных данных - это серьезная угроза для утечек (ну и злоупотреблений путем изменением данных). Но складывается впечатление, что ни одна история утечки никого ничему не научила, все продолжают упорно собирать и агрегировать всё что можно, понятно что за это хакеры и другие "заинтересованные лица" только спасибо говорят.
В ГК «Солар» предупредили, что у людей может быть две руки и две ноги
Вообще, конечно, печально, что далеко не все это понимают.
Иной раз возникают конфликты, когда разные организации требуют твои данные (которые к услуге ну вот никак не относятся), а ты отказываешься. Ещё и смотрят, как на шиза
у хакеров может быть
Как закон заголовков Беттериджа утверждает, что «если заголовок заканчивается вопросительным знаком, то на него можно ответить „нет“», так и другой закон утверждает, что если в заголовке есть фраза "может быть", то следует после неё добавить "а может и не быть".
Однако то, что Госуслуги утекли — это медицинский факт. И доказательства есть.
Однако то, что Госуслуги утекли — это медицинский факт. И доказательства есть.
Коммент на хабре от анонимуса из интернетов? Ну такое себе доказательство.
А какое Вас доказательство устроит, тащмаёр?
Ежели чё, то тот "коммент на хабре от анонимуса из интернетов" — это мой коммент. И то спам-письмо у меня в особой папочке лежит.
В идеале - подтверждение от ГУ, по закону вроде как обязаны сообщать.
На втором месте - база в продаже, и кусочек базы в открытом доступе, с однозначным подтверждением откуда она.
Ну и на третьем (не будет однозначным подтверждением, но уже заставит задуматься) - разбор от заслуживающих хоть какого-то доверия людей/компании.
А ваши слова - это слова анонимуса в интернете. Даже вообще без пруфов, хоть каких-то. Я тоже могу много всего написать ради лулзов. А учитывая, что у вас в профиле написано "Illinois, США" и риторику некоторых ваших комментов, я склоняюсь к тому, что это простой наброс.
Письмо с любым произвольным содержанием в особую папочку я тоже могу положить если что.
В идеале - подтверждение от ГУ, по закону вроде как обязаны сообщать.
У Вас там по закону много чего обязаны делать — да вот никак не срастается почему-то.
На втором месте - база в продаже, и кусочек базы в открытом доступе, с однозначным подтверждением откуда она.
Тащмаёр, я сейчас страшную вещь скажу, но преступники сейчас всё-таки не настолько тупые, чтобы сами против себя все доказательства на блюдечке с голубой каёмочкой приносить.
разбор от заслуживающих хоть какого-то доверия людей/компании.
Разбор ЧЕГО?
Даже вообще без пруфов, хоть каких-то.
Ну так повторяю: пришло (в разное время) несколько писем, на адрес, известный только госуслугам и мне, с данными, известными только ГУ и мне (емейл, ФИО, СНИЛС, телефон).
учитывая, что у вас в профиле написано "Illinois, США"
Учитывая, что я уезжал под аккорды мухожука, а американское гражданство получил через лет эдак много, нет ничего удивительного в том, что у родной стороны обо мне есть весьма немалое количество информации.
риторику некоторых ваших комментов
А я вот такой сам по себе мальчик, свой собственный. Так бывает, знаете ли. Риторика моих комментов вообще никому не нравится — ни западникам, ни славянофилам. Однако вне зависимости от подрыва их точек факс всё равно останется факсом.
Подскажите пожалуйста, какие сейчас на 2024 год есть решения для безопасного хранения данных в реляционной СУБД?
А что конкретно интересует? Использовать при работе шифрование, при интерактивном входе двухфакторку, не хранить креды на диске в открытом виде и т.д. и т.п. Словом, выполнять требования соответствующих стандартов.
Забыл дописать в каких целях, верно. В целях защиты от утечек данных.
Ну тоесть есть сайт, работающий как на cmf или на rest-api, данные хранятся в базе. Вот что можно сделать, чтобы минимизировать риск утечки такой базы данных с данными пользователей.
Нет какого-то одного вундервафельного решения. Для начала настройте нормально доступа и к БД и к API. Проверьте что данные не дергают по чем зря и где не надо. А дальше у вас море всего что можно сделать и за что отдать денег, от шифрования носителя до поведенческого анализа тасков на бд.
Следовать стандартам безопасности. Там, собственно, большая часть правил - это не технические, а организационные требования, типа банальных: "уволился сотрудник - заблокируйте доступ/смените общие секреты (которых при этом надо максимально избегать)"...
Сами БД сейчас надёжные, если их вовремя обновлять. Основные риски - в неверной организации доступов к разным компонентам (сетям, серверам, сервисам). Если элементарно ревьюить код сайта с т.з. безопасности (в помощь "что искать" - сайт https://owasp.org/Top10/ ), и прежде всего смотреть, что он пишет в логи, то всё с большой вероятностью будет хорошо.
Меня вот всегда удивляет в подобных вопросах то, что люди почему-то думают, что какие-то технические "решения" способны спасти от дурошлепства кожмешков и обеспечить "безопасное хранение". Ну сделаете вы БД на зашифрованном диске или будете использовать зашифрованные поля или еще что-то. У кого будет доступ ключу/ключам? Это вы в последнюю очередь собираетесь обдумывать?
Давно пора понять что информационная безопасность это не "давайте реализуем или купим решение X, чтобы все было кошерно и безопасно", а непрерывный процесс по установлению правил информационной безопасности и неуклонному следованию им с использованием имеющихся в наличии тех. средств. А также непрерывный процесс по контролю и проверке этой самой безопасности.
Клевер дело говорит.
Ну утекли! Будем считать, что все личные и интимные документы уже в открытом доступе. Надо жить с этой мыслью - "фарш" обратно не прокрутить. И какие конкретные предложения будут? Вот я, например, чётко против биометрии, которая тоже "утечёт"!
Вообще как бы да. У меня телега id. Слит номер, а через него все сервисы когда госуслуги ломали. ИНН, СНИЛС, Паспорт, фио...
Во взломе сдека тоже я есть.
Увы, сливали вообще со всего и чтобы не быть слитым наверное надо быть цифровым анархистом и жить под чужими доками. Да и сложно уже представить человека, живущего в РФ, но не пользующегося Госуслугами...
В ГК «Солар» предупредили, что у хакеров может быть база данных с информацией почти по каждому россиянину