Новосибирский провайдер «Новотелеком» выложил данные о пользователях

    Новосибирский провайдер «Новотелеком» не позаботился о сохранении приватности данных пользователей. В течение нескольких часов после оповещения проблема всё ещё не решена: http://tv2.cn.ru/ftp/ticket/tickets.log.Новосибирские абоненты с восторгом обнаруживают в логах свои фамилии, е-мейлы и телефоны. UPDATE: Закрыли. За шесть, кажется, часов, узнали не только о существовании -Indexes, но и о существовании Order allow, deny.
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 57

      +1
      Вчера случилась беда,
      комп подсказал, что кабель порвал сатана.
      Скорее спешите исправить фигню,
      Пришлите кабелящика в нашу избу.
      Сами не можем исправить мы сетку,
      без ЭГо повесим себя мы на ветку
        +3
        Творчество сумасшедших из «Понедельник начинается в субботу»?
          +12
          Вот это еще неплохо:

          Здравствуйте, как я понял, вы заблокировали http. Видимо вам прислали запрос. В общем SQL инъекции я сделал в образовательных целях. И никакие linux серверы взламывать не собирался, какой смысл лезть дальше под вашим IP. А тем кому написал нехорошие url запросы, ничего деструктивного не случилось, так как запросы были безобидные типа: «проверка на уязвимость апострофом», «количество полей в базе», «имя юзера», «имя базы данных», и «индекс в базе текущей страницы». А загружать шелл на их сервер я бы не рискнул.

          В общем, делать это не буду больше. Я занимаюсь лишь созданием (написание драйверов на Linux, чистый Win32, DirectX, и вот недавно всё сменилось на Веб: Flex+Java+JavaScript), а так как на веб перешёл вот и получилось так, что веб привёл в эту сторону и любопытство одолело на миг, попался как первоклассник.

          Я не хакер. И это видно так как был замечен, а так как был замечен, угрозы не может исходить. Опытный бы не допустил такого.
          –2
          Epic Fail
            +12
            Вы хотели похвастаться?
            Нашел дырку — сообщи кому надо. А разглашая сведения о дырке Вы привносите, возможно, еще больший вред конкретным людям(!!!), нежели этот чудо провайдер.
            Не понимаю я когда вот так вот делают…
              0
              Кому надо сообщено уже часов 5 как.
              Данные лежат в гугле, собственно, где и нагуглились.
                +2
                … выстрелы прозвучали почти одновременно.
                  +3
                  >База обращенйи пользователей «Новотелеком» в поддержку на публике: t.co/PoETdW4U Читать t.co/DJJKUk0Q (15 минут назад)

                  Надеюсь ты сгоришь в аду.
                    +1
                    Должен вас расстроить, но в аду не сгорают, это было бы слишком легко
                      +19
                      Да и ада нет.
                        +4
                        И это говорит человек с таким ником и аватаркой.)
                          +6
                          Самая большая уловка дьявола — заставить поверить, что его нет.
                          0
                          Есть, но только для верующих.
                            0
                            Eskimo: «If I did not know about God and sin, would I go to hell?»
                            Priest: «No, not if you did not know.»
                            Eskimo: «Then why did you tell me?»
                            © Annie Dillard
                            0
                            он давно остыл
                      +2
                      Вы хотели продемонстрировать неумение читать? Великолепно получилось, я считаю. Я оповестил их по телефону. Описал проблему. Мой товарищ создал тикет. А вот через несколько часов мы решили предать огласке этот неприятный момент в их работе. Потому что данные уже по сети растеклись. Причём дырку нашёл в Гугле вообще человек с Сахалина. И лавину породил он, я лишь работаю на предотвращение.
                        0
                        Что примечательно, кеш в гугле до сих пор не почистили.
                      0
                      >В течение нескольких часов после оповещения проблема всё ещё не решена

                      Выложу пожалуй ее на хабру, помогу людям. Ну за ппц простите.
                        +2
                        Конечно. Вы абсолютно правы.
                          +3
                          Да бросьте, потенциальные злоумышленники, которых заинтересуют эти данные, вряд ли узнают об этом из хабра.
                            0
                            Вы точно уверены, что на хабре все белые и пушистые? Не будем думать о совсем плохом, но в пару спам-рассылок люди вполне могут угодить
                              +2
                              Вы точно уверены, что это был не сарказм?
                                0
                                я уже угодил. разослали спам от моего имени вконтакте. страницу заблокировали. слава Богу, смог разблокировать. кстати, спам рассылали в 6:40-6:45 по Москве. а в какое время логи выложили?
                            +7
                            Ку, росреестр даже ничего и не скрывает, все находится через его встроенный поиск.

                            Реестр кадастровых инженеров ФИО, номера телефонов, адреса, паспортные данные
                              +5
                              Ну конечно, лучше же на хабре написать, чем админам сайта.
                                +1
                                Зайдите на сайт росреестра и нажмите ссылку «Реестр кадастровых инженеров» и поймите, что это не уязвимость, это так и задумывалось создателями этого сайта.
                                  –3
                                  Не уверен что те кто указан в данном реестре в курсе, что их паспортные данные лежат в открытом доступе.
                                    +2
                                    Я уведомил сотрудников росреестра о том, что на сайте есть раздел в котором содержатся персональные данные, но с 99% они в курсе :)
                                      0
                                      сами инженеры поднимали вопрос. Есть отписка РосРеестра на эту тему
                                        0
                                        Спасибо, вы молодец!
                                  0
                                  В 221 ФЗ (О кадастре), 30 статья:
                                  9. Государственный реестр кадастровых инженеров подлежит размещению на официальном сайте органа кадастрового учета в сети «Интернет».
                                  30 статья Пункт 2 говорит о том, какие сведения относятся к реестру, именно они и публикуются. Туда входят и ФИО и паспортные данные и тд.

                                  Ну а в 152 ФЗ (о перс. Данных ) сказано:
                                  Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
                                  11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
                                  +2
                                  По теме
                                  grep "email: " tickets.log |awk -F# '{printf $3 "\n"}'|sort|uniq|wc -l



                                  7125 — уникальных рабочих email. неплохо.
                                    0
                                    Там и пароли попадаются.
                                      0
                                      Пользы от этих логов нет вообще… Злоумышленики просто поржут над ними. Кому нужно просто протроянит пользователей подсети.
                                        +1
                                        Да никто и не спорит, что толку нет :)
                                        А лог смешной. Местами пользователи жгут напалмом.
                                      0
                                      Думаю, что 7125 уникальных рабочих email, с географической и тематической привязкой — это не плохой вклад в копилку спамера.
                                      спамер
                                        +2
                                        Есть места где такие мыла продают от 100к. Так что от 7к мыл опять же толку мало(
                                          +9
                                          Ага… таким же макаром можно выдрать номера телефонов и совершить обзвон.
                                          Эта тематическая привязка имеет очень хороший порог вхождения.

                                          «Здравствуйте, мы компания Мегпапупер-телеком, мы узнали что Ваш провайдер потерял ваши персональные данные, сделал их доступными для всех пользователей Интернет. Мы предлагаем Вам подключиться к нашим услугам. В нашей компании безопасность пользователя и его данных на первом месте.»
                                          или
                                          «Мы юридическая компания Новосибирска. Нам стало известно что Новотелеком открыл доступ к Вашим персональным данным. Мы готовы помочь Вам с подачей иска в суд и получении возмещения ущерба.»
                                            +2
                                            Согласен. В этом контексте, данная информация стоит хороших денег.
                                              +3
                                              Wendor, спасибо за развернутое разъяснение моей мысли, так будет точнее и понятнее.
                                          +4
                                          В рунете последним писком моды стало искать утечки личных данных и громогласно о них сообщать. Смешно :)
                                            +2
                                            [sarcasm]

                                            Первый шаг к Security Through Obscurity.

                                            [/sarcasm]
                                            0
                                            Да ладно. У нашего провайдера вобще в открытом доступе на ftp я нашел всю инфу по предоставляемому виртуальному хостингу со всеми файлами (php, html и др) с возможностью чтения содержимого. От туда соответственно можно было узнать логины и пароли на почту, админку сайта и ко многим другим интересным местам.
                                            Аналогично же были найдены файлы с именами подключений к этому провайдеру, именами абонентов и их адресами.

                                            И все это через чертов гугл ((%
                                              0
                                              > Новосибирские абоненты с восторгом обнаруживают в логах свои фамилии, е-мейлы и телефоны.

                                              Учитывая сколько народа зарегистрированно в различных соц сетях и что они указывают о себе кучу правдивой личной инфы, то пусть новосибирские абоненты с восторгом обнаружат, что эта утечка для них не самое страшное.
                                                0
                                                Присоединюсь. По сути — нарыв инфу в соц. сетях различных. Можно, так сказать, инициировать утечку. Ну т.е. сделать «вид», что она была.
                                                Делаем файлик из 50, к примеру, человек. Выкладываем. И говорим, что «они были стащены с сайта ололо.ххх». Всё. Потом, конечно, выяснится, что никто ничего не ломал, но репутация запятнается.
                                                +2
                                                Кстати. В заголовке мало желтизны! Надо было написать: «Сенсация! Данные жителей Новосибирска выложены в сеть!».

                                                p.s. Мде…
                                                  –1
                                                  Всё проспал. Если у кого остались сохранённая копия — обезличьте и выложите в публичный доступ, пожалуйста. Поскольку, как мне кажется, провайдер не будет публично заявлять о том, что подобный инцидент был и, что самое главное, абоненты не получат информации о том, какие их данные могут находится в посторонних руках.
                                                    0
                                                    если Вам очень хочется — гуглокэш в помощь
                                                      0
                                                      там нет уже
                                                        +2
                                                        Если у гугля спросить «cache:tv2.cn.ru/ftp/ticket/tickets.log» (без кавычек) то всё вполне на месте
                                                          0
                                                          гм, и правда.
                                                            0
                                                            А он изначально был таким маленьким или это гугл его так?
                                                              0
                                                              В комментарии выше идёт речь о 7125 e-mail адресах, в гуглокеше я насчитал только 299.
                                                                0
                                                                У меня получилось 401 (искал по знаку @).
                                                                  0
                                                                  Для подсчёта мною был использовал тот же способ, что и в комментарии по ссылке.
                                                                    0
                                                                    Ааа. А я открыл cache:tv2.cn.ru/ftp/ticket/tickets.log и там искал.
                                                      +6
                                                      2007 год. Ну ниче так, столько лет файлик лежал и стрельнул только сейчас.

                                                      Only users with full accounts can post comments. Log in, please.