История маленького взлома, или адекватный багБаунти местного провайдера интернета

Введение


Доброго времени суток, друзья. Эта история небольшого взлома произошла со мной в середине августа этого 18-го года. Начиналась история в маленьком городе краснодарского края, с тырнетом плохо, есть 4g но это все не то, тут за городом можно было только мечтать о проводах. И вот недавно это чудо случилось, в мой район провели провода, и я сразу побежал подключать 100 мбит по оптоволокну, 8к за подключение с тарифом.

Любопытство


Радости полные штаны, тырнет хороший, провайдер небольшой местный, лк у него соответствует статусу местного провайдера, из любопытства ради я шарился по лк, смотрел какие поддомены есть, и нашел я поддомен admin.домен_провайдера.ru/ который сразу кидал на форму авторизации login.php, F12, открыл посмотрел что туда подгружалось, посмотрел js, там находились любопытные ссылки в ajax запросах "/?user_id=" + id, просто скопировав ссылку и вбив рандомное число, мне выкинули данные пользователя в таблице:

Серия/номер паспорта
Кем выдан
Дата выдачи
ФИО
адресс проживания
номер телефона
Логин(от тырнета)

«Да ну не может быть», воткнул в head jq библиотеку, трачу 5 минут на написание ajax запроса в цикле и выплёвывание это в body страницы, вывело 21 000 записей.

Быстро ctrl + f, вбил своё фио, и да я там был. Моё удивление, т.е. в свободном доступе висели данные пользователей. Посмотрел остальные ссылки в ajax запросах, там куча всего было, на какое-то управление свичами, на какие-то перезагрузки чего-то, по тому что выплевывало было трудно понять что за что отвечает, мне уже это было не так интересно.

Было уже поздно, я подумал «вот разрабы болваныоблажались», и лег спать.

На след. день я начал соображать, это как бы все не шутки, и я могу понести за это уголовную ответственность, а у нас в стране за репосты сажают. Стоить заметить я ничего не планировал такого делать, иначе я бы обезопасил себя vpn'ом/проксей. А с другой стороны если они оставляют такие дыры, то навряд ли они будут смотреть логи. А с третьей стороны, лучше если я им сообщу, чем они найдут мои следы, и тогда со мной точно не будут разговаривать.

Очко сыграло


Гуглю на Хабре название организации, нахожу организацию, с несколькими репами, в них ничего интересного, смотрю кто входит в эту орагнизацию, еще раз гуглю, нахожу разрабов в вк. Пишу: «Привет, а почему 21 000 запись пользователей со всеми их данными, находятся в открытом доступе?». Пишет что сообщил начальнику. Ок думаю, я свою работу сделал.

Расплата за любопытство


Я проснулся, часов 10 утра, надо поработкать, я фронтендлю. Стук в калитку, выглядываю в окно, смотрю стоит красненькая машинка, 3 человека, по фоткам узнаю одного из разрабов, думаю ну все, а записи то все я сохранил, просто как html страничку на рабочем столе, быстро shift + del > подтвердить, беру сигарету, беру зажикалку, иду думаю, сейчас будет весело, подкуриваю, выхожу.

— Здравствуйте
— Здравствуйте
— Я так понял вы понимаете, откуда мы
— Да, я уже понял — затягиваю дым
— Хочу вас прудпредить (показывает телефон) разговор я записываю
— Хорошо
— Вы вчера скачали нашу базу данных
— Нет я не скачивал, я нашел уязвимость, и сообщил вам.
— У наших айтишников есть данные что вы скачали эту базу
— Это невозможно, вы можете только увидеть что я ее посмотрел
— Мы настроены решить это тихо-мирно, наши айтишники могут убедиться что вы ее не сохранили себе?
— Впринципе да, вы ходите забрать системник или у меня дома это все проверить?
айтишник говорит:
— Лучше если мы возьмем системник и проверим в офисе
— Хорошо

Тут можно поспорить с моим решением, с одной стороны, вы кто такие, я ничего не скачивал, идите не мешайте, не дам я свой системник, и что вообще вы мне доказываете, с другой стороны это опасно, лучше я буду разговаривать с ними, чем с полицией. Их можно понять, они обосрались с сесюрити, они имеют право убедиться. Я принял решение что лучше разговаривать с ними.

Заходим с ними домой, вырубаю системник, натагиваю джинсы, кроссовки, едем в офис, выходим из машины, идем все вместе к директору. Разные вопросы, зачем ты это делал, почему, как ты это сделал, я рассказал что их база висела в открытом доступе, и любой это мог сделать. Поговорили, идем проверять системник, эти специалисты проверяли жетсяк, смотрели корзину, скачали прогу искали по ключевым словам, я им предлагал телефон еще мой проверить? Я мог на телефон сохранить, на флешку, а облака? Я мог в гугл драйв сохранить. В общем они для галочке посмотрели, я наблюдал и надеялся что они не догадаются скачать какую нибудь прогу по восстановлению данных, и посмотреть что было удалено. (вопрос в комменты, а c ssd данные также легко восстанавливаются как и с жесткого?)

Эпилог


Сидел часа 2 наблюдал за их потугами. Забрал системник, пошли с юристом к директору, предложили мне подписать договор по которому я якобы был нанят задним числом, на поиск уязвимостей в их системе, говорят но мы тебе платить не будем (договор я прочитал перед тем как подписывать(а вот попросить копию не догадался)), мы дадим тебе год бесплатного интернета как оплату, хорошо. Отвезли меня домой.

Как заметил потом мой коллега, хорошо что год бесплатного интернета а не год условно. 1500 стоит месяца безлима, умножайте на 12, столько у меня было на счету в лк, когда вернулся домой и проверил. Откидываюсь на кресле, выдыхаю.
Share post

Similar posts

Comments 127

    +6
    Может «адекватный» занести в ""?
      +2
      Баг баунти адекватный без ковычек, нашел баг => заплатили. К слову недавно была статья как один украинский хакер нашел серьёзный баг в Киевстаре, и ему заплатили 50$, хотя багбаунти у них был заявлен.
        +5
        А это уже из категории «совсем неадекватный».
          0
          Есть нюанс и я бы на Вашем месте сходил к юристу, знакомому с налоговым правом. Ну или самому на первом этапе вбить в поиск: «налогообложение подарков, совершенных в натуральной форме» (ну или что-нить похожее). Ибо ваше баунти и есть ничто иное, как подарок в натуральной форме. Кто по договору платит подоходный? Если это типовой ГПХ и вознаграждением является баунти, то наверно все в порядке. Короч, смотреть надо, но тут может зарыться свинья, сумма хорошая (НДФЛ-13% от 18000 = 2340), налоговики нынче довольно легко устанавливают кроссы «вознаграждение от ЮЛ == НДФЛ от ФЛ».
          Я бы перебдел.
            +1
            по такой логике можно и со скидки по карте «лента», или с акции «два по цене одного» на налог попасть. а что, подарок в натуральной форме, типа.
              +1
              К сожалению, я Вам не подскажу все тонкости этого процесса. Просто предлагаю вспомнить кипишь (условно) годов 2006-2007 у сотовых операторов. Когда они учитывали бонусные фишки как хрень, которая уменьшала налогооблагаемую базу, на что ИФНС резонно на мой взгляд им возразили.
              Про ретейлеров вообще налогообложение — отдельная песня, они с ясными глазами могут списывать из базы налога на прибыль до 3% оборота на «усушку, утруску, уноску...». Можете мне поверить — это существенные цифры.
              Я к тому, что проблематика этого вопроса есть. Куда относят затраты ретейлеры? Как оформлен договор? А читаете ли вы оферту к этим бонусам?
              Много вопросов. И чаще всего ответы лучше знать, тем более, что в ретейле у вас безименная (чаще всего) скидка, а в случае с сотовыми и провами — договор именной с Вашими реквизитами.
            +1
            «Заплатили» тоже в кавычках — ехать с мутными людьми неизвестно куда так себе оплата.
          +6
          Они: наши айтишники могут убедится что вы ее не сохранили себе?
          Я: да, вы ходите забрать системник или у меня дома это все проверить?
          Они: мы возьмем системник.

          Заходим с ними домой, вырубаю системник, натагиваю джинсы, кроссовки, едем в офис, выходим из машины, идем все вместе к директору.

          Специалисты смотрели все на жестяке, корзину.

          Я: «а телефон будете проверять?», «а облака? Я мог в гугл драйв сохранить», «а c ssd данные также легко восстанавливаются как и с жесткого?»

          Откуда в вас столько стремления быть наказанным?
          Почему вы не намекнули специалистам, что была возможность скинуть базу на флэшку,
          а флэшку спрятать в себя?
            0
            Я им намекал, им не очень то и хотелось что-то находить.
              +3
              Откуда в вас столько стремления быть наказанным?
              А есть смысл геройствовать, когда

              1) У провайдера все доказательства на руках и обеспечить посадку на 2 года по 272 УК они могут влёгкую. Особенно учитывая, что в мелком городе вся верхушка друг друга знает: владелец провайдера — администрация города — силовики — суды.

              2) Ссориться с единственным качественным провайдером неразумно, т.к. во-первых, в договорах всегда есть пункт, что провайдер может по своему усмотрению расторгнуть договор в одностороннем порядке, а даже если его принудить к обслуживанию, может не найтись технической возможности подключения, либо поставит он на подключение в очередь с неопределённым сроком.
                +1
                Оператор связи не имеет права расторгнуть договор по своему желанию, читайте законы… Только в результате нарушений с вашей стороны, описанных в договоре, или из-за ликвидации.
                  +2
                  У провайдера все доказательства на руках и обеспечить посадку на 2 года по 272 УК они могут влёгкую
                  Если забыть о Вашей приписке про «все друг друга знают» (а если о ней помнить, то в общем-то что бы присесть и взлом не обязателен), то в случае взлома провайдера с этого же провайдера не всё так однозначно.
                  В таком случае мало того, что «доказательства» находятся под полным контролем заявителя (что уже делает их по сути ничтожными), так еще и программное обеспечение заявителя скомпрометировано (что следует из самой сути дела) что делает весомость этих доказательств околонулевой.
                  p.s.: Про сорм и яровую в курсе, но это отдельный вопрос, который однозначно тут ситуацию не решает.
                    0
                    Промазал…
                      +2
                      Это все не в нашей стране победившей демократии, где правят силовики и «я друг друга знаю». И уж подавно не для «мелкого городка Краснодарского края», одним из которых является знаменитая Кущевская )
                        0
                        Упомянули об этом в скобках, поясним — в прикладном плане тут 2 нюанса.
                        а) Если захотят посадить, то и взламывать никого не надо, все равно посадят. В такой ситуации можно сразу сдаваться.
                        б) А вот если не стоит цель посадить именно Вас, то для спасения не обязательно «бежать быстрее медведя», достаточно бежать быстрее другой жертвы или бежать достаточно долго что бы медведь устал. Поэтому демонстрация своего знакомства с правовой позицией по этому вопросу и техническая грамотность может дать необходимую фору, что бы отстали именно от Вас или отстали вообще.
                      0
                      Оператор связи не имеет права расторгнуть договор по своему желанию, читайте законы
                      Если не затруднит, дайте ссылку на нормативный документ.
                        +1
                        1. Закон о связи, глава 44, п. 3
                        2. ППРФ №575, п. 21, 27, 47.
                          0
                          Ну там всё написано, что оператор имеет право приостановить оказание услуг, если абонент нарушает правила, но не написано, что оператор обязан подключить любого абонента.

                          Всегда можно ссылаться на отсутствие технической возможности.
                          «техническаявозможность предоставления доступа к сети передачи данных» — одновременное наличие незадействованной монтированной емкости узла связи, в зоне действия которого запрашивается подключение пользовательского (оконечного) оборудованияк сети передачи данных, и незадействованных линий связи, позволяющих сформировать абонентскую линию связи между узлом связи и пользовательским(оконечным) оборудованием;
                            0
                            да перетянет канал просто и все
                            иди потом судись по ЗЗП
                              0
                              Судится будет Роскомнадзор, если оператор, конечно, пожелает довести до суда.
                                0
                                Зачем вы пишите о вещах, о которых не знаете, как они происходят?
                                  0
                                  Красивый вброс
                              0
                              А причём тут подключение? Если оператор подключил, значит есть техническая возможность, если она исчезла, то это проблема оператора, как она появится снова. Я говорил про расторжение договора со стороны оператора. Опять же никто не запрещает принудить оператора подключить в судебном порядке. Но на самом деле достаточно заявления в Роскомнадзор :)
                                0
                                В приведённых вами нормативных документах нет запрета на расторжение договора провайдером (или я не нашёл, где это написано прямым тесктом).

                                Опять же никто не запрещает принудить оператора подключить в судебном порядке
                                На основании чего? Где написано, что оператор обязан подключать любого по заявлению? Самое главное, где прописаны наказания за неподключение (или за «исчезновение технической возможности подключения»)? Нет наказаний — можно не подключать и ничего за это не будет.
                                  0
                                  Указано всего одно условие для расторжения в одностороннем порядке, договор бессрочный по умолчанию. По соглашению сторон, может быть срочным.
                                  На основании чего? Где написано, что оператор обязан подключать любого по заявлению?
                                  Да всё там написано, ссылки уже давал, пункты соседние. Если Вам так интересна эта сфера, прочитайте полностью ППРФ, там всё есть. Помимо этого деятельность оператора регламентируется и другими нормативными актами.
                                    0
                                    Сделал поиск по «Растор» (расторгнуть, расторжение) — ничего не нашлось, только права оператора расторгнуть договор при определённых действиях со стороны клиента. А значит, если в соглашении есть пункт, что оператор оставляет за собой право расторгнуть договор в одностороннем порядке, то так оно и есть (кроме того, зачем оператор будет включать в договор незаконные пункты?)
                                      0
                                      Ст. 310 ГК РФ ч.1. Недопустимость одностороннего отказа от исполнения обязательства
                                        0
                                        Это если есть обязательство в договоре, с указанным сроком, или навсегда. В этом случае провайдер не обязывался обеспечивать абонента интернетом до скончания веков.

                                        Типичный договор выглядит как
                                        Срок действия, порядок прекращения договора
                                        Договор вступает в силу со дня его подписания и действует неопределенный срок и может быть расторгнут в порядке, предусмотренном Описанием Услуг.
                                        Насчёт расторжения провайдер оставляет себе пункт «на своё усмотрение».
                      +3
                      >а флэшку спрятать в себя
                      image
                      0
                      Они дыру закрыли то? И это можно проверить?
                        0
                        Когда утром к ним приехал, они уже закрыли. Проверить эту историю? Я даже не знаю, я специально это скрыл, но в личке могу намекнуть.
                        +3
                        Во-первых, поздравляю автора с успехом: нашёл, зарепортил и не посадили!)
                        Во-вторых, реакция провайдера, ИМХО, в целом приемлемая, но чёт с вежливостью у них не очень (если, конечно, приведённые в статье диалоги точно соответствуют действительности). Было бы неплохо, если бы они добавили щепотку хороших манер и говорили бы с Вами с уважением.
                          +1
                          Спасибо, ну да ситуация была совсем не располагающая к вежливости. Но я в долгу не остался, когда мы в офис приехали, вышли из машины, открыли багажник, говорят мне неси системник, я говорю вам надо вы и несите, потащили. Борзанул так сказать.
                            +1
                            Даже немножечко жаль, что у вас системник не чугунный, под 50 кило веса :)
                              +1
                              У меня как раз такой. С какой радостью я бы наблюдал, как они пыхтят.
                                +1

                                Классный, кстати, системник. Сам себе такой приобрел давно уже.

                              +3
                              Они скорее не потому, что хотели вас заставить его тащить, а потому что брать и уносить к себе чужое имущество может быть слегка незаконно. Грань очень тонкая, хотя все остальные действия тоже не лучше) начиная от выдачи системника, заканчивая просмотром содержимого. Ну хоть осматривали ваш компьютер при вас
                                +1
                                Борзанул так сказать.


                                Ну это как в анекдоте «пока он тебя е..., я три раза за круг выбежал».

                                Смешно, право. Вы дали себя полностью опустить, то есть применить к вам незаконные меры (чтоб какие-то левые люди шмонали ваш системник без всякой санкции и ездили к вам домой, вызывая «на разговоры»), а потом «три раза за круг выбежали».

                                Я не к тому, что надо было геройствовать (ситауция не располагает, и это здесь все интернет-герои, а в реале вы бы могли пополнить списки Яровой на счет «раз», о чем вполне обоснованно опасались), но уж если дали себе ввести, лежите и получайте удовольствие…
                                  0
                                  Если серьезно воспринимать эту ситуацию, то так оно и есть.
                              0
                              Ну теперь осталось найти дыру для обналичивания личного счета и перейти к другому провайдеру =))
                                –1
                                Молчал бы и ничего бы тебе не было вообще)
                                  +3

                                  Вот интересно, а где грань между взломом и просто посмотрел. Можно же даже без ajax-запроса легально набрать в браузер адрес страницы index.php?user_id=… Т.е. люди вывесили в Интернет данные, а взломщик вы.

                                    +3
                                    Вот вот.
                                      +1
                                      Хотя тут наверное имеет значение, что вы целенаправленно собрали охраняемых законом данные, хоть они и оказались в открытом доступе. Это примерно как если бы из инкассаторской машины посыпались бы деньги, а вы бы стали их собирать и присваивать. Аналогия, понимаю, плохая, но лучше не придумала. Ну или кража из незапертой квартиры. Оттого что она не заперта, кража не перестаёт быть кражей.
                                        0
                                        Квартира — это как бы частная собственность, а просмотреть выложенные в свободный доступ в Интернет данные (думаю тут неважно, что на них нет прямой ссылки, скажем, на сайте того же провайдера) — это далеко не то же самое, что зайти в незапертую квартиру :) Вообще это как бы использование недокументированных возможностей :) И засудить за это, думаю, можно разве что только в том случае, если примут законы, запрещающие использовать URLы и запросы к API, не разрешенные прямо.
                                          +5
                                          тем, кто «засуживает», глубоко пофиг, что такое УРЛы, АПИ и аякс-запросы. Они знать таких слов не знают и знать не собираются.

                                          Они своим сухим канцелярским языком напишут… «пользуясь… незаконно… в соответствии с (тут букет статей)… заполучил....» — и плюс галочку к статистике раскрытий.
                                          +3
                                          Тут другая аналогия с квартирой (имевшая место быть в личном опыте). Получаю ключи от квартиры, понимаю, что дверь совсем халтурная, решил попробовать ради интереса — подойдет ли ключ к соседней двери. Раз — дверь открывается, к счастью, внутри — какие-то гастарбайтерские стремянки и никого. Очканул, конечно, было бы весело, если б нарвался на хозяев.

                                        +1
                                        Можно дальше шагнуть — Ктото другой нашел дыру и, до кучи, получил доступ к самому серверу, ну и поменял в логах IP адрес на случайный, дабы запутать следы.
                                        И фиг докажешь, что ты не жираф :)
                                          0
                                          На самом деле, надо смотреть судебную практику.
                                          Как я понимаю, суд не будет вникать во все эти подробности. С убийством же тоже можно сказать «этот нож с моими отпечатками у меня украли, а потом им убили, чтобы меня подставить». А суд изучит собранные обвинением доказательства и может решить, что их достаточно для обвинительного приговора.
                                          Так же и здесь. Если не поверят — могут назначить экспертизу компа. Исследуют его методами цифровой криминалистики — и если вдруг там обнаружится что-то, что заставит серьёзно усомниться в версии «ктото другой нашел дыру» — то впаяют по полной, плюс ещё и дачу ложных показаний на закуску. Выйдет ещё дороже, чем чистосердечное.
                                            +2

                                            Для обвиняемого не существует статьи о даче ложных показаний — это для свидетелей, понятых, экспертов и т.д.

                                          +6
                                          Необязательно даже набирать адрес в браузере
                                          image
                                        –1
                                        Del
                                          +1
                                          Стук в калитку, выглядываю в окно, смотрю стоит красненькая машинка, 3 человека

                                          Вот так бы оперативно провайдеры стихийные бедствия устраняли!

                                            +7
                                            Какой-то театр абсурда. У них 21 000 персональных данных пользователей торчит наружу, но виноваты не они, а «студент», сообщивший им об этом… В этой истории всё перевёрнуто с ног на голову.
                                              +2
                                              Ну хоть дали плюшку.
                                              У нас в компании когда один пользователь нашёл лазейку и на сервере увидели что он обошёл защиту, припугнули что если он не скажет как это сделал то обнулим результат. Тогда он и рассказал, Но начальник отдела все равно сказал обнулить результат… Программисты подчились;(
                                                +3
                                                Обнулить результат?
                                                  +3
                                                  Видимо, речь про сервер некой игры.
                                                    +2
                                                    Приложение для ios, где можно заработать лайки или купить.
                                                    Меня больше задело то, что зажали эти лайки.
                                                    +1
                                                    Видимо, онлайн игра.
                                                  +1
                                                  вопрос в комменты, а c ssd данные также легко восстанавливаются как и с жесткого?
                                                  Стереть нельзя восстановить

                                                  Нет 100% гарантии восстановления, как на жёстком, но нет и 100% гарантии стирания. Поэтому нужно не затирать, а отдать команду Secure Erase, которая вынуждает контроллер уничтожить ключ шифрования (все данные на современных SSD шифруются прозрачно для пользователя, чтобы износ памяти был более равномерным).
                                                    +3
                                                    А разве обычный TRIM не затрет свободные сектора так, что хрен восстановишь? SSD же.
                                                      0
                                                      TRIM, если мне не изменяет память, лишь сообщает контроллеру о неиспользуемых областях, но решение о том, когда именно «собрать мусор», принимает контроллер, а мы не можем быть уверены, что он решит это сделать сейчас, а не через несколько часов, за которые накопитель уже могут изъять и изучать.

                                                      К тому же, накопители имеют некоторые объём пространства, недоступный пользователю (чтобы гарантировать, что пользователь не забьёт накопитель под завязку, поскольку при этом драматически снижается производительность, контроллеру очень трудно «перетасовывать» данные, если мало свободных ячеек), поэтому мы не можем быть уверены, что контроллер какие-то ошмётки конфиденциальных данных туда не записал и они не дожили до того, как накопитель попал в руки экспертов.
                                                        0
                                                        Затрет, пробовал R-Studio восстановить файл с SSD через пару часов после удаления: ничего не нашлось. Диск Hyper-X 3k на контроллере SF-2281
                                                          0
                                                          Разумеется, ничего не нашлось. Чтение сектора, который помечен командой trim, будет возвращать нули. Надо выпаивать чипы NAND Flash и искать там сектора, которые контроллер не успел очистить. А учитывая, что всё более модно ставить контроллеры с шифрованием, всё ещё усложняется.
                                                            0
                                                            Разве что в использованном накопителе баг в реализации шифрования, как в сегодняшней статье.
                                                              +1
                                                              Тут речь чуток о разном. Шифрование нынче практически любой контроллер использует. Просто ключ шифрования лежит там же рядышком и ничем не защищён. Потому что это шифрование не для защиты данных, а для равномерного износа ячеек.

                                                              И вот это вот шифрование усвложняет извлечение данных. Не делает невозможным, но усложняет.

                                                              А в статье речь о том, что когда пользователь говорит «контроллер, раз уж ты умеешь шифровать, давай это шифрование приспособим ещё и для защиты данных: вот пароль, я хочу чтобы отныне ключ зависел от этого пароля», контроллер делал вид, что «будет исполнено», а на самом деле всё оставалось как и до этого — ключ шифрования не был связан с паролем.
                                                      +1
                                                      1500 стоит месяца безлима

                                                      Это где такие радости? И в каких попугаях?
                                                        +4
                                                        Рубли, краснодарский край, за городом, частный сектор
                                                          +1
                                                          Полагаю, вы ещё на Камчатке цен не видели.
                                                            0
                                                            а с мобильным там глухо?
                                                              0
                                                              Да, сурово! Я в ленобласти, здесь примерно так. Или так Есть места, в которые провода по каким-то причинам не дотягиваются (буквально через дорогу от меня, например, повезло). Вот там начинается беспредел: тарелка (от 25 тыщ за установку) и полторы-две в месяц.
                                                            +1
                                                            «Да ну не может быть», воткнул в head jq библиотеку, трачу 5 минут на написание ajax запроса в цикле и выплёвывание это в body страницы, вывело 21 000 записей.

                                                            И все это не через прокси или VPN?
                                                            Умные люди их для чего придумали?
                                                              0
                                                              Вполне могло иметь место быть, что ресурс доступен только из подсети провайдера.
                                                                +1
                                                                Если админка недоступна для оперативного доступа персонала со смартфона, то это не годный провайдер
                                                                  +1
                                                                  А вот тут VPN со смарта админа в сеть компании :). Ну и опять же, как я понял — это та админка, которую лучше прятать внутри и доступ регулировать.
                                                              +12

                                                              Новый принцип в ИБ: security through po ponyatiyam
                                                              Если взломал, то приедут и сломают!

                                                                +1
                                                                Ха, если бы «новый».
                                                                  +1
                                                                  Закон сохранения взлома =)
                                                                  Если что-то ломается, то кого-то ломают.

                                                                  Ну или Rubber-hose hacking =)
                                                                    0
                                                                    Собственно, в девяностые ходила такая городская легенда что, мол, наши хакеры наши же банки не ломают. Потому что СБ наших банков не в суд подаёт, а в лес увозит.
                                                                    +1
                                                                    Раньше на закрытые места на сервере навешивался амбарный замок на всю директорию.
                                                                    Сейчас с модными сайтами на XHR запросах нужно не забыть определить каждому эндпойнту свою секьюрити роль. А это может вылететь из головы, если даже там было.

                                                                    Так что, если покопаться в сети, таких в прямом смысле слова дырявых сайтов наверняка можно найти немало.
                                                                      +2
                                                                      c ssd данные также легко восстанавливаются как и с жесткого?)

                                                                      C SSD ещё хуже если есть физический доступ: даже сотня перезаписей нулями или случайными данными не обеспечит гарантию: внутри есть контроллер, который каждый раз будет выдавать разные номера блоков и номер блока с секретными данными может никогда не выпасть.
                                                                        +2
                                                                        С SSD безопаснее, т.к. использованные блоки попадают в очередь на стирание, и удалённые файлы в фоне физически зачищаются.
                                                                        +3
                                                                        В нынешних реалиях, проще сделать дамп и продать на античате. Выгоды в разы больше и шанс, что посадят меньше. Шизанутых придурков в крупных фирмах хватает, порой им выгоднее посадить добродеятеля, чем откупиться.
                                                                          +1
                                                                          Во-первых, за такое не садят
                                                                          Во-вторых, даже если натянуть состав преступления, преступник сам сознался, что в данном случае снимает уголовную ответственность
                                                                          В-третьих, фирма не захочет общественного резонанса и последствий ненадлежащего обращения с персональными данными, и не будет подавать заявление
                                                                          Так что тут автора статьи на испуг взяли. Мог и повкусней ништяков себе выторговать при подобном опыте.
                                                                            +4
                                                                            до общественного резонанса информацию еще нужно донести(а это в частности проплатить журналистам, дада, их мало волнует подобный контекст статей.). То, что вы читаете на хабре и пикабу — это лишь малая песчинка всего безумия, что творится у нас в стране.
                                                                            Возьмем к примеру регионального провайдера, он сливает личные данные пользователей другому провайдеру, тот начинает их обзванивает и предлагать им TV-приставку(которая нафиг не упала вам). Ваша реакция? Реакция остальных? Да всем насрать. Слили базу личной инфы и ладно. Что-бы добиться чего-то, идите в суд, разбирайтесь, нанимайте юристов, тратьте свое время, деньги, добивайтесь справедливости. Ха, романтика)
                                                                              +1
                                                                              Под общественным резонансом тут больше понималось осведомленность ментов и прокуратуры, которые хорошо бы на этом покормились. Ну и конкуренты, если есть.
                                                                              Простым людям похер, это понятно.
                                                                                +5
                                                                                как покормились? компания заносит заявление в полицию, мол «их взломали». К вам прибегают 2ех полицейских, забирают ноут, мобилу, системник, планшет, читалку. Причем радостно все это делают, ведь им премию дадут за поимку «особо опасного хакера». Все, менты вроде как и вкурсе, вы сидите в обезьяннике целые сутки(если повезет).
                                                                                  –3
                                                                                  У вас несколько неверные представления о том, как работает система в подобных случаях.
                                                                                  Electrohedgehog неплохо объяснил
                                                                                    +5
                                                                                    проходил через это лично, когда «случайно» нашел личные данные росатома. Прекрасные воспоминания скажу я вам.
                                                                                      0
                                                                                      не путайте росатом и местного провайдера
                                                                                        +4
                                                                                        ну так никто и не путает, кто больше денег в суд занесет, тот и прав. Местный провайдер по-любому больше зарабатывает обычного кодера на удаленке.
                                                                                          0
                                                                                          Сейчас больше решают не деньги, а связи
                                                                                          И опять же — здесь много факторов. Штрафы и проверки прокуратуры и РКН — самые значимые. Поэтому никакая фирма выносить сор такой ради посадки горе-хакера на год условно (да и нет тут состава — мотива нет. Человек решил проверить, есть ли там данные на него — проверил) не будет.
                                                                                            0
                                                                                            Штрафы и проверки прокуратуры и РКН — самые значимые.
                                                                                            А это компетенция РКН — проверять и штрафовать за дыры в софте?
                                                                                              0
                                                                                              FAQ

                                                                                              Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?

                                                                                              Ответ: Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи. В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.
                                                                                                +1
                                                                                                И что? Виноват то в утечке будет опять же условный «хакер», а не провайдер. В приведённой вами цитате речь только про соив данных по инициативе провайдера, не более.
                                                                          +3
                                                                          … просто скопировав ссылку и вбив рандомное число, мне выкинули данные...

                                                                          Сразу вспомнилось из курса школы чеховское: «Проходя по мосту, с меня слетела шляпа»

                                                                          А по поводу топика: ребята вели себя на грани, я бы если и вел кого-то домой, то сказал бы — пусть от вас самый грамотный со мной пройдет, я ему покажу, а уж системник таскать куда-то…

                                                                          Понятно, что их нач-во наехало на своих, и потребовало этих самых доказательств. Но все люди адекватные же, понимают, что в облаке спрятать что угодно можно, и фиг найдут.
                                                                            +15
                                                                            Крайне неприятно такое читать. Почему это вдруг вы считаете адекватными действия профессионально безграмотных людей, которые допустили огромную утечку персональнх данных да ещё и пытаются быковать (так же безграмотно, к слову)?

                                                                            Давайте-ка немного пофантазируем, что будет в случае огласки. Ну допустим, автору дают три года условно (ну пусть даже не условно, хотя это будет чертовски сложно). А что же ждёт провайдера?
                                                                            1) Штраф/взятка/закрытие за утечки. Да, вот именно так, а что вы хотели?
                                                                            2) Отдел разработки получает волчий билет, весь до последнего человека. Имена героев будут звучать в истории города.
                                                                            3) Куча проверок причастных и непричастных.

                                                                            Я не говорю, что автору надо было лезть в конфликт, но если отбросить эмоции, получили мы следующее:
                                                                            1)Огромный косяк провайдера остался безнаказанным. Вообще. Что стимулирует продолжать в том же ключе.
                                                                            2)Скомпрометированные данные по прежнему свободно гуляют по сети. Нет, ну правда, вы же не думаете что автор первый?
                                                                            3)В очередной раз получили доказательство того, что без баг баунти сведения об уязвимостях сообщать невыгодно — больше чёрных шляп, больше дыр.

                                                                            Типичный хэппи-энд: человека, сказавшего что дверь не закрыта милостиво не арестовали.

                                                                            Не надо выгораживать некомпетентность. И уж точно не надо хвалить замалчивание некомпетентности.

                                                                              0
                                                                              Автора спасает одно — больше интернет провайдеров на раёне нет…
                                                                                +5
                                                                                1)Огромный косяк провайдера остался безнаказанным. Вообще. Что стимулирует продолжать в том же ключе.


                                                                                Вот и мне показалось, что ребятки зашибись сэкономили, всего лишь навсего начислив человеку фантиков на счет. Судя по их реакции, они перепугались донельзя, кстати, но сделали вид, что «скажи спасибо, что не посадили».
                                                                                  +2
                                                                                  А что же ждёт провайдера?
                                                                                  1) Штраф/взятка/закрытие за утечки
                                                                                  Это когда за баги и дыры кого-то наказывали? Можно так пол гитхаба пересажать: ищешь коммит «исправлена ошибка» и вот тебе чистосердечное.
                                                                                    –1
                                                                                    Баги и дыры в протестированом и принятом продукте организации, аккредитованой министерством связи и имеющей статус оператора персональных данных. Здесь есть явное нарушение законов РФ. Я не верю в то, что без финансовых и репутационных потерь при таком серьёзном залёте можно было бы легко замять дело. Даже если бы всё порешали по-братски в кабинетах, как минимум ИТ-отделу влетело бы по первое число, а клепатель сайта мог бы получить увольнение по несоответствию или иск, если это подрядчик. В любом случае, хоть что-то бы изменилось к лучшему.

                                                                                    Но увы, как сказали выше всё обернулось раздариванием фантиков. Не уверен, что хотя бы какая-то внутренняя проверка будет предпринята.
                                                                                      0
                                                                                      Репутационные издержки могут быть (хотя, кого они волнуют в отсутствие конкуренции).
                                                                                      Нарушения законов — нет.
                                                                                  +1
                                                                                  Интересно, а есть ли какие-либо критерии, что считается взломом и что попадает под УК РФ? Если кривой разработчик выложил все данные в комментированном html, считается ли взломом просмотр исходного кода страницы?
                                                                                    +3
                                                                                    да, добыли данные, которые сложно добыть через пользовательский интерфейс, или предоставленное в доках апи? вы хакер! Пока обратного не смогли доказать, прецедентов не наблюдалось.
                                                                                      +2

                                                                                      Если с точки зрения (моего) здравого смысла — то вопроч в умышленности и целях.
                                                                                      При этом легкость взлома значения не имеет.

                                                                                      0
                                                                                      наши айтишники могут убедится


                                                                                      «убедиТСя» (дважды) выдает в вас айтишника. такой же грамотный, как и все они. русский язык учить — это же не аякс-запросы рассылать и двести джаваскрипт-фреймворков знать назубок. Простейшее правило грамматики айтишникам запомнить западло.
                                                                                        +3
                                                                                        это же не аякс-запросы рассылать

                                                                                        аджакс
                                                                                        сиквел, джава, о-оди (машина такая, с колечками)
                                                                                          –8
                                                                                          мне побоку на кодерский сленг, учите лучше русский!
                                                                                            +4
                                                                                            За русский столько не платят.
                                                                                            Но, в принципе, согласен с Вами. Даже больше, — уверен, если бы автор в школе хорошо учился, то дал бы отпор этим беспредельщикам. А то взяли, понимаешь, хлопца на гоп-стоп…
                                                                                            (с пунктуацией нигде не напутал?)
                                                                                              –1
                                                                                              «Дать отпор беспредельщикам», если ты — одинокий кодер из краснодарской станицы, не так-то просто, а вот загреметь по статье — куда проще.

                                                                                              Насчет терминологии — среди кодеров «аякс» является вполне себе обиходным (как и «аджакс»), так же, как и «сиквел» вполне себе называют «эс ку эль». А грубые ошибки в русском языке делают в наше время, увы, даже профессиональные филологи.
                                                                                                0
                                                                                                насчет терминологии — среди кодеров «аякс» является вполне себе обиходным (как и «аджакс»), так же, как и «сиквел» вполне себе называют «эс ку эль».

                                                                                                С такими основаниями можно дать право на существование и индийскому английскому, который понимают только они.
                                                                                                Так японский от китайского и получился, наверное — иероглифы одни, а слова разные.
                                                                                        +1
                                                                                        Забавная история. Хорошо что у Вас все разрешилось. Вопрос к знатокам в юриспруденции IT. Деяния автора попадают под 272 или нет? Информация к которой автор получил доступ конечно считается «охраняемая законом компьютерная информация и.т.д» Но вот по поводу «не санкционированного доступа» Автор же (как я понял) не обходил никакие системы защиты, не взламывал сервера, не брутил авторизационные формы. Если информация доступна по «ваш урл\цифровой ид» без всякой проверки аутентификации, какой тут может быть взлом? Или я что-то не понял из рассказа.
                                                                                          0
                                                                                          Кстати об этом. Может кто-то прокомментирует действия провайдера как состав 274 статьи?
                                                                                            0
                                                                                            Крупного ущерба нет, значит и состава нет.

                                                                                            Но ситуация с вывозом потерпевшего с системным блоком и все остальное на несколько статей точно натягивается.
                                                                                              0
                                                                                              Тут мы вступаем в опасное поле предположений. Как вы оцените стоимость, скажем, голосования по краденым паспортным данным или регистрацию фейковых аккаунтов? Если это для вас не убедительно, то можно рассмотреть стоимость базы телефонов или паспортов в интернетах. Я полагаю, что при желании натянуть на крупный ущерб можно.
                                                                                                0
                                                                                                Я не о том
                                                                                                Сама по себе потеря персональных данных может считаться крупным ущербом. Но в данном случае этого не произошло.
                                                                                                А через ст.30 УК РФ эту вряд ли натянешь

                                                                                                Если делать 274 то надо признавать копирование, а тогда автоматом идет 272 для автора
                                                                                                  0
                                                                                                  Я про это и говорю. Если нету состава 272, то и говорить не о чем. Если есть, то провайдер куда сильнее попадает чем «хакер».
                                                                                                    0
                                                                                                    Если мы говорим о правосудном мире, то суммарно 274 в общем приговоре провайдеру добавила бы пару месяцев всего. Остальное идет от давления на человека. Там уже реальные статьи, хоть сейчас четко и сложно сказать, какие.
                                                                                                      0
                                                                                                      До пяти лет, вообще-то.
                                                                                                0
                                                                                                Ну и кстати, если каждый из 21 000 пользователей оценит моральный ущерб в 100 рублей то тут и особо крупный размер набежит.
                                                                                                +2
                                                                                                действия провайдера как состав 274 статьи?

                                                                                                Есть комментарии к УК.
                                                                                                Во-первых, нарушения должны быть бюрократические )))
                                                                                                Скрытый текст
                                                                                                Применительно к комментируемой статье под правилами эксплуатации глобальных сетей понимаются нормативные акты, регламентирующие работу данной сети, в частности Федеральный закон от 07.07.2003 N 126-ФЗ «О связи» (в ред. от 25.12.2012) <1>, регламентирующий порядок создания и подключения к информационно-телекоммуникационной сети Интернет. Примерами иных нормативных актов, устанавливающих правила эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей, могут служить: во-первых, общероссийские правила, например Временные санитарные нормы и правила для работников вычислительных центров; во-вторых, техническая документация на компьютерную технику; в-третьих, конкретные принимаемые в определенном учреждении или организации оформленные нормативно и доведенные до сведения соответствующих работников инструкции и правила внутреннего порядка

                                                                                                Во-вторых, ясно написано
                                                                                                Наступившие последствия должны являться результатом нарушения правил эксплуатации, а не программной ошибкой либо действиями, предусмотренными в ст. ст. 272, 273 УК
                                                                                                  +1
                                                                                                  274УК направлена в первую очередь против своих сотрудников и практики правоприменения ее кот наплакал — ущерб должен быть от миллиона и выше, что доказать крайне сложно
                                                                                              +1
                                                                                              Маленькие провайдеры вообще не слишком заморачиваются безопасностью. У моего провайдера панель управления биллингом висит на том же ip, через который клиенты получают доступ в сеть. И сайт с названием города, доступный по ip на нем же.
                                                                                              А сообщать о подобных находках в современных реалиях, не знаю, я бы не рискнул, нервы дороже.
                                                                                                +1
                                                                                                Вот поэтому, когда у моего провайдера обнаружился незакрытый git-репозиторий на основном домене, я выждал годик, чтобы логи протухли, а потом с одноразовой почты из интернет-кафе им написал, что репозиторию лучше не торчать голой задницей в сеть, кто знает, что интересного оттуда можно выудить…
                                                                                                  0
                                                                                                  Грамотно, нервы дороже стоят, если бы я не сглупил и не стал в цикле перебирать, то поступил бы точно так же

                                                                                                Only users with full accounts can post comments. Log in, please.