Забудьте про Бургер Кинг! Есть утечка документов куда опаснее

    Все ещё не можете перестать изливать праведный гнев на несчастную бургерную? Ещё помните про индексацию каких-то там полуприватных Гуглдоков поисковиками? Тут нашлось кое-что более впечатляющее!

    Павел Медведев обнаружил новую утечку документов граждан РФ на множестве сайтов, в том числе в доменах Сбербанка и других, через поисковые запросы к Яндексу. Яндекс — найдётся всё (и ваши паспорта тоже)!

    Пример поисковой строки.

    +1 ) 152 фз ? Не, не слышали

    Опубликовано Павлом Медведевым Четверг, 12 июля 2018 г.




    Из ВТБ, «Сбербанка», сайтов государственных и муниципальных услуг Москвы и некоторых онлайн-магазинов утекли ФИО, номера карт, сканы паспортов, билеты на поезда и самолёты… В большинстве случаев скомпрометированные порталы пренебрегают элементарными требованиями защиты данных — у них даже отсутствует или неверно сконфигурирован файл robots.txt.

    Вот, что можно, например, найти:

    image

    image

    В комментариях подсказывают, что это "вновь вышла на связь"  старая дыра 2011 года в движке Webasyst ShopScript3
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 236
      +7
      Ни они первые, ни они последние.
      Интересно, к такому результату приводит нехватка специалистов или желание сэкономить?
        +22
        Возможно, что как и в случае со сливом «доступных по ссылке» Google.Docs, это результат «взаимовыгодного обмена» информацией между Яндекс.Браузер и поисковиком Яндекс.
          +2

          А есть доказательства этой темы?

            +7
            Слив яндекс-браузером посещенных ссылок уже считается аксиомой) Иначе зачем он им.
              –10

              Ну у меня вот есть nuget пакеты, за которые я ни копейки не получил (см. профиль). Там значит троян сидит 100%?

                0
                я тут имел неприятный диалог с техподдержкой яндекса. их софтина яндекс метро мне высадила 20% акамулятора, при условии что я её не запускал с перезагрузки телефона. если вы так свято верите яндексу, то вопрос… что на 20МБ наотсылало яндекс метро?
                  –2

                  nidheg666, я не отвечу на Ваш вопрос, к сожалению.


                  Мне изначально не нравится идея dom1n1k: "если продукт бесплатный — значит 100% сливает все пароли к себе на серверы, плюс подкидывает троянов". Хотя не спорю, идея очень проста и понятна.


                  Однако, почему же подобное додумывание может быть некорректно?


                  1. Не пойман — не вор. Приложение БК вскрыли и перехватили все данные. Однако я не видел, к сожалению, статей, где бы показали похожий анализ про Яндекс-Браузер. То есть сообщество на несколько лет не смогло поймать за руку ни ЯБ под Windows, ни ЯБ под Android.
                  2. Лично я вижу как минимум несколько возможных использований ЯБ:
                    2.1. Анализ скорости работы сайтов, для более корректного ранжирования
                    2.2. Анализ скорости работы своих сервисов (в том числе — более детальная аналитика)
                    2.3. Работа на будущее: т.е. сначала создать конкурента для Google Chrome, а потом следить за рынком. По сути это инвестиция в будущее, исследование.
                    2.4. Сравнение контента web-страницы с тем, что получил Яндекс Бот (чтобы ловить дорвеи и т.д.)

                  Однако, вполне возможно, что ЯБ и сливает все-все-все ссылки (+контент) со всех web-страниц. Может быть и в фоне подрабатывет Яндекс-Ботом. Почему бы и нет.


                  P. S> спасибо за аргументированный ответ, кстати

                    +1
                    скорее всего с разными сервисами по разному. отмести смело можно только пункт 2.3 ибо яндекс таки на ядре хрома сделан, а следовательно быть полноценным конкурентом ему малость сложно.

                    в моём случае данные передавало приложение яндекс метро, которое в принципе имеет только возможность пополнения карты и обновляемую карту метро. предполагаю что 20% зарядки высадились на отправку геолокации, что бы приложение гипотетически могло показать мне интервалы ближайших поездов метро.
                    -имхо, столько энергопотребления за такую фичу это эребор.
                    — вот яндексу я бы не особо хотел доверять своё текущее местоположение. хотя бы по причини близкого нахождения их серверов к нашим спецслужбам.
                  +13

                  Ну, это вообще свинство. Хотя яндекс давно скатился-покатился, и мейлру доганяет.

                    0
                    а честный бизнесмен усманов разве еще не купил яндекс?
                      0
                      У честного бизнесмена есть Mail.ru
                        +2

                        Да хрен его знает. Яндекс и без усманова косячит. Передача "моего круга" та еще куча говна.
                        Когда никто ничего никому не сказал, и просто взял и отдал всю базу юзеров.
                        Вот комментарий в треде и можно далее искать. И пофигу на соглашение, оповещение юзеров и т.д. и т.п.


                        В один прекрасный момент деловая переписка стала достоянием компании ТМ.

                      0

                      И это правильно. Бесплатная автоматизированная проверка подсистем аутентификации и авторизации. Ещё бы они услугу авторепорта владельцу сайта за символическую плату предложили — отличный бы сервис вышел.

                      +2

                      История Яндекс.Бар + Мегафон никого ничему не научила, видимо.

                        +6
                        Легко проверить: переходите с Яндекс Браузера по какой-нибудь доступной для индексирования ссылке, которую робот не может найти самостоятельно и смотрите что получится.

                        Google Chrome, возможно, тоже ведет себя подобным образом, т.к. иногда замечал в выдаче гугла те ссылки, которые иначе туда бы не попали.
                        +22
                        Проверенный и доказанный факт который распространяется как на яндекс так и на гугл. Проверяется очень просто — покупаете новый домен, заводите на нем несколько страниц с длинными не читаемыми названиями, наполните их информацией. Заходите на них с хрома или яндекса браузера. Мониторинге логи. Видите ботов.
                          –3
                          Видеть ботов мало — важно ещё увидеть в результатах поиска свою страницу. Хотя бы задав полностью site:

                          P.S. Впрочем на статическую страничку, которую я сам создал и пару слов руками написал и боты не сподобилась зайти. Или домен должен быть вот обязательно новый, а название — длинными и нечитаемыми, а старый с короткими не подходит?
                            +4
                            Новый домен, и трудно угадываемые названия созданы для чистоты эксперимента. Старый домен может иметь занижены приоритет на индексацию. То есть страницы будут проиндексированы, но не обязательно сегодня или завтра.
                              0
                              У Яндекса до сих пор есть апы, которые могут происходить раз в две недели (но обычно чаще). Следовательно до апа ваша ссылка не появится в выдаче если ее только не проиндексирует быстробот.
                            0
                            Ну домены то все как бы регистрируются, и выдаются регистраторами по запросу, так что этот шаг бесполезен, а вот страница которая по сложному юрл выдается это да странно.
                              +2
                              Новый домен нужен для того, чтобы исключить ситуацию когда поисковая машина накладывает свои фильтры на этот домен. Например Гугл очень лоялен к новым доменам в плоскости частоты сканирования, и наоборот, на старые, которые ему чем-то не нравятся, может накладывать определенные частотные фильтры — сканировать не чаще раз в неделю месяц и т.д. Аналогичная ситуация и в Яндексе.
                              Потому, чтобы не думать об этих проблемах, для этого эксперимента рекомендуется покупать новый домен.
                                0
                                на саб-домен работает?

                                зы. неактульно. чуть ниже ответ (
                              –2
                              Вы это сами проверяли? А пробовали не новый домен, а поддомен нового или старого домена? Просто на новые домены даже мой бот заходит посмотреть, но я ни яндекс и не гугл. А вот поддомены подсовывал и яндекс браузеру и хрому, и тишина, никто не зашёл на огонёк.
                                0
                                Как могут распространятся фильтры на домены третьего и выше уровней я не знаю.
                                На типичные домены второго уровня — проверял и проверял не только я. Гуглите есть хорошие статьи на эту тему.
                                  0
                                  Не совсем так. Поисковики интересуются новыми доменами — могут при появлении активно сканировать и забросить в выдачу даже по тестовым запросам их на непродолжительное время, чтобы посмотреть как отреагируют пользователи на контент (так называемый бонус новичка), но далее обычно у гугла начинается т.к. песочница, когда он не хочет индексировать и ранжировать новые домены, если там нет какого-то мега уникального контента и всплеска наплыва посетителей.
                                +2
                                Даже если браузер сливает (а я бы например — не против чтобы сливал, правда с возможностью отключить для сайта/глобально. Пусть помощь в индексации), то это НЕ оправдывает тех кто делает доступными эти документы без авторизации вообще (и наверно не закрыв их robots.txt и тегами в странице для не-индексации).
                                  0
                                  А я, например, против. Пусть сначала предупредит об этом и даст возможность отказаться.

                                  Закрытие robots.txt никак не поможет от любопытного сотрудника Яндекса, который вручную захочет посмотреть, куда вы ходили.
                                    0
                                    Если вы против, используйте другой браузер, например tor.
                                      +6
                                      И всех своих пользователей заставьте его использовать, ага.
                                      Ни разу не встречали документов «доступных только по прямой ссылке»? Это оно самое.
                                        0
                                        Такие документы должны быть отмечены, как неиндексируемые.
                                          0
                                          Это как на двери написать «не входить» на японском и считать что все будут читать, а кое кто даже притворяется слепым.
                                      0
                                      А я, например, против. Пусть сначала предупредит об этом и даст возможность отказаться.

                                      По сути тоже самое — только вы хотите эту опцию — opt-in (и наверно даже предпоставленная галочка устроит?) и явным предупреждением.
                                      Важнее — чтобы она была официально признана (если она конечно есть) и была возможность ее выключить. Или включить.
                                        +1
                                        Закрытие robots.txt никак не поможет от любопытного сотрудника Яндекса, который вручную захочет посмотреть, куда вы ходили

                                        Чорт, вы в самом деле верите, что сотрудники яндекса сидят и ходят такие по ссылкам стапицот тысяч пользователей?
                                        Ну, и отдельный вопрос — если вы не хотите, чтобы весь интернет имел доступ к вашей странице, на кой вы её в этот интернет выложили?

                                          +3
                                          Тут несколько факторов, ведущих к уязвимости. Конечно, разработчики должны закрывать такие ссылки от индексирования. Но и браузеры не должны тайком без предупреждения пользователя сливать посещаемые ссылки. Одно другого не отменяет.
                                            –1

                                            Стоп, вы же о сотрудниках Яндекса говорили, которые вручную ссылки из логов якобы выковыривают…
                                            И, таки да, здесь несколько уязвимостей и ни одна из них не яндексовая. И главная уязвимость вовсе не в том что не закрыли документ от индексирования, а в том, что не закрыли документ от неавторизованного доступа. СтОит это понять, как всё на свои места становится. А утечка… 90% пользователей вводят ссылку в поле поиска поисковика, а не в адресную строку.

                                              0
                                              во всех браузерах на движке хрома это одно и то же поле
                                                +2
                                                Нет, не все так просто. В Яндекс нанимают в основном талантливых специалистов. Они не могли не знать, что некоторые сервисы используют ключи в ссылках для защиты от доступа. И если они понимали это, но все равно разрешили индексацию таких ссылок ради получения большей прибыли, то это значит, что они понимали риск, но решили прикинуться, что они тут не при чем, и что это глупый робот обходит все незащищенные страницы. А это уже можно интерпретировать, как осознанное бездействие, приведшее к раскрытию персональных данных. Я бы хотел написать «преступное бездействие», но не придумал пока, под какую статью это можно подвести.

                                                  +1
                                                  ru.wikipedia.org/wiki/%D0%A5%D0%B0%D0%BB%D0%B0%D1%82%D0%BD%D0%BE%D1%81%D1%82%D1%8C (Это преступная халатность, УК РФ ст. 293)
                                                  «Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе либо обязанностей по должности, если это повлекло причинение крупного ущерба или существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства»
                                                    +1
                                                    Они не могли не знать, что некоторые сервисы используют ключи в ссылках для защиты от доступа. И если они понимали это, но все равно разрешили индексацию таких ссылок

                                                    Таких, это каких? Чем эти ссылки отличаются от других? Наличием конфиденциальных данных на странице? А как вы это объясните скрипту, собирающему ссылки? А если данные на странице подгружаются динамически и без ява-скрипта недоступны, что делать?
                                                    Может всё же это в консерватории должны подправить руки (программисты движка на сайте), а не в поисковике проявлять элементы телепатии?
                                              +2

                                              Если вы против — закройте эти страницы паролем. Если на них критическая информация, они в любом случае не должны быть в открытом доступе — всегда остаётся риск утечки.

                                              +1
                                              Под ваше утверждение попадают неперсонифицированные ссылки для доступа к файлам из облачного хранилища (google drive, яндекс диск и т.д.).
                                                0
                                                Что мешает прописать прочитать yandex.ru/support/webmaster/controlling-robot/robots-txt.html robots.txt весь каталог верхнего уровня с ними?

                                                Вот пробую с самим же яндекс.диском
                                                ссылка вида yadi.sk/i/7wlg
                                                в robots.txt вижу в том числе Disallow: /i/
                                                Выбираю «просмотреть» (это word'овский документ) и ссылка открывается на docviewer.yandex.ru/ но там robots.txt из двух строк вообще
                                                User-agent: *
                                                Disallow: /

                                                Так что нет, Яндекс.Диск не подпадает.

                                            +4
                                            скорее наплевательское отношение к работе, к потребителям и тд, характеризующее конторы типа втб и сбера. Делается все «на отвали» просто по тому, что руководство не волнует, что будет с клиентами, они знают, что какая бы жопа не случилась — рука государства вытащить их из болота. Это не мелкие конторы среди моря конкурентов, когда за каждого клиента идет война и такой косяк может контору похоронить.
                                              +7

                                              Ой, ну прям быть мелкой конторой — это серебряная пуля. Решает абсолютно все проблемы.


                                              Если что, в мелких конторах еще больше нехватка разработчиков, и часто качество и безопасность приносится в жертву «business requirements».


                                              Разработчик: «У нас здесь SQL injection в унаследованном коде, который мы купили у компании А»
                                              Менеджер: «Твоя задача на сегодня починить форму Б в модуле С. Это важная задача для бизнеса. Через два месяца мы выкатим новую версию, тогда у тебя будет время, чтобы исправить эту injection и остальные баги».


                                              Но естественно, через два месяца будет какой-то другой аврал, и все баги, дыры, и так далее копятся до бесконечности.

                                              +4
                                              К такому результату приводит отсутствие обязательности покрытия ущерба организацией, упустившей чужую информацию.
                                                +9
                                                не мусорьте в ноосфере, не путайте «не» и «ни»
                                                +68

                                                Хорошая попытка, Бургер Кинг, но нет.

                                                  0

                                                  Будьте "по-серьёзней"!

                                                    +1

                                                    Вот ровно тоже самое подумал, теми же словами. Но меня опередили

                                                      –1
                                                      Такую же мысленную посылку заметил :)
                                                        –1
                                                        Просто астрологи объявили неделю сливов…
                                                      –3
                                                      Для тех, кто как и я был в танке: Бургер Кинговское приложение сливало действия пользователя в нём, dailystorm.ru/obschestvo/prilozhenie-burger-king-shpionit-za-polzovatelyami-no-ne-tolko-ono
                                                      +27
                                                      Все вполне ожидаемо, гос сектор в РФ работает примерно так, сверху выделяется пара миллионов на проект (которые успешно пилятся), до программистов доходит тысяч 30-60, за эти деньги можно найти или студента или не особо квалифицированного сотрудника, на выходе получаем дырявое ПО.

                                                      P.s. Одно время работал в этих сферах, знаю о чем говорю
                                                        0
                                                        ну теоретически приложение сбербанка тоже должно туда относиться.
                                                        Но оно вполне хорошее
                                                          0

                                                          Это у сбербанка то хорошее приложение?
                                                          0_0

                                                            +6

                                                            Да.

                                                              +2
                                                              Вы действительно хороших, значит, не пробовали. У сбера мало того, что убогое, так еще и хочет телефонную книжку слить себе.
                                                                0
                                                                Так вы поделитесь названиями и я обязательно попробую.
                                                                  +1

                                                                  Справедливости ради, у Сбера неплохое приложение. Я работал с приложениями банков, которые были намного хуже. В том числе, зарубежные большие банки.

                                                                    0
                                                                    Без доступа к слива телефонной книги приложение еще запускается, а вот с запретом доступа к сливу смс, приложение уже не открывается.
                                                                      0
                                                                      Я вообще не разрешаю приложению ни смс ни книгу. И норм. Удручает только антивирус, который периодически запускается.
                                                                      0
                                                                      Раньше подтупливало, долго грузилось из за антивиря встроенного, но с посоденим обновлением (неделя назад) любо дорого посомтреть. Работает шустро, всё работает как надо. Мне очень даже.
                                                                        0
                                                                        Как раз это плата за копирование всех твоих СМС сообщений на сервера сбербанка.
                                                                          0
                                                                          Во первых — У меня там только смски от сбербанка.
                                                                          Во вторых
                                                                          И всё работает спокойно.
                                                                          image
                                                                            0
                                                                            С месяц назад Android-приложение сбера напрочь отказывалось стартовать, если не предоставить доступ к СМС.
                                                                            Собственно, тогда я с ним и попрощался.
                                                                          0
                                                                          долго грузилось из за антивиря встроенного

                                                                          Об "антивире", сливающем им данные обо всех установленных и устанавливаемых приложениях я уже и счастливо забыл, спасибо за напоминание.

                                                                            0
                                                                            А есть ссылока для почитать поподробнее?
                                                                            А чего он может там такого страшного слить/рассказать? у меня как раз самое критичное, это сберовское прилоежние. Смски и контакты, как выше на скрине видно — я ему запретил.
                                                                            А разве не любой антивирус собирает инфу обо всем на устройсвте и отправляет ее, в довольно обезличенном виде? Вроде бы это уже давно обычная практика.
                                                                              +1

                                                                              Когда я пользуюсь онлайн-банком, я хочу пользоваться онлайн-банком. Сбербанк-онлайн же пользуется мной и эту вредоносную функциональность отключить не дает.


                                                                              А разве не любой антивирус собирает инфу обо всем на устройсвте и отправляет ее, в довольно обезличенном виде?

                                                                              А где гарантии, что он делает это в обезличенном виде и в одном из апдейтов не перестанет? Нафига мне вообще антивирус на android?


                                                                              А есть ссылока для почитать поподробнее?

                                                                              Тут ничего читать не нужно, он слушает интенты установки приложений и отправляет их все на сервер. Если что-то "вредоносное" — сразу будет видно уведомление от типа-антивируса.


                                                                              А чего он может там такого страшного слить/рассказать?

                                                                              Это банк, у которого ни стыда, не совести. Им нужны данные ради данных, чтобы (не) выдавать кредиты. Они каким-то образом умудрились получить мои паспортные данные и адрес проживания еще до того, как я стал их клиентом.


                                                                              Это еще можно вспомнить о том, что если по какой-то причине он посчитает девайс рутованным (например Wileyfox, который из коробки с цианогенмодом), то тебе придется действительно его рутовать, чтобы полноценно пользоваться всеми функциями.

                                                                                0
                                                                                Когда я пользуюсь онлайн-банком, я хочу пользоваться онлайн-банком. Сбербанк-онлайн же пользуется мной и эту вредоносную функциональность отключить не дает.

                                                                                Он пытается обезопасить себя и клиента (официальная позиция). При наличии рут прав доступны только шаблоны (яб пользовался только шаблонами в приложении, но у них нет такой урезанной версии увы).
                                                                                А где гарантии, что он делает это в обезличенном виде и в одном из апдейтов не перестанет?

                                                                                Презумпция невиновности, доказательств обратного небыло.
                                                                                Тут ничего читать не нужно, он слушает интенты установки приложений и отправляет их все на сервер. Если что-то «вредоносное» — сразу будет видно уведомление от типа-антивируса.

                                                                                У меня он в фоне никогда не висел, может поэтмоу и не видел.
                                                                                Они каким-то образом умудрились получить мои паспортные данные и адрес проживания еще до того, как я стал их клиентом.
                                                                                Любой из работодателей мог поделиться. Мы же не контролируем что как идут отчисления, все на работодателе.
                                                                                Да и учитывая как часто и где светится паспорт, уже как то сложно считать его персональными данными. :(
                                                                                  0
                                                                                  У меня он в фоне никогда не висел, может поэтмоу и не видел.

                                                                                  Ему не нужно висеть в фоне, чтобы слушать интенты.


                                                                                  Он пытается обезопасить себя и клиента (официальная позиция).

                                                                                  Да плевать на эту позицию. Победа вон ради "снижения стоимости билетов" не дает пассажирам меняться местами, даже если из-за этого родители и дети летят не рядом. Я считаю, аналогичного качества официальная позиция.


                                                                                  Презумпция невиновности, доказательств обратного небыло.

                                                                                  Тут есть презумция сбербанка, который уже необезличенно сливает себе телефонную книжку и смс.


                                                                                  Любой из работодателей мог поделиться. Мы же не контролируем что как идут отчисления, все на работодателе.

                                                                                  Никаких работодателей не было.


                                                                                  Да и учитывая как часто и где светится паспорт, уже как то сложно считать его персональными данными. :(

                                                                                  Ну да, с отношением "презумпции невиновности" в отношении приложений, которые чуть ли не звуки пердежа уже записывают и сливают — не удивительно.

                                                                                    0
                                                                                    Ему не нужно висеть в фоне, чтобы слушать интенты.

                                                                                    их сервису нужно, а на в моем случае убивается всё что не разрешено. у MIUI такая политика с энергопотреблением)
                                                                                      0
                                                                                      Ничего страшного, сольёт, как проснется
                                                                      +2
                                                                      По сравнению с МБ других банков оно еще весьма на неплохом уровне по юзабельности.
                                                                      0

                                                                      Сбербанк один из самых щедрых работодателей в IT сфере. Хороших программистов там много.

                                                                        0
                                                                        Хороших программистов мало, чтобы сделать хороший продукт.
                                                                          +3
                                                                          Согласен. Но для хорошего продукта они обязательно должны быть.
                                                                          +1
                                                                          Тут выкладывали их HR'ов… Такие запросто что угодно развалят :)
                                                                          Да и пересекался я по работе с выходцами сбертеха. Далеко не все там радужно, хотя и платят.
                                                                            0
                                                                            Ну, в оригинальном комментарии, наоборот хвалили приложение Сбербанка :) У меня тоже пару бывших коллег ушли в Сбер, и ничего плохого о них сказать не могу. А вот меня не взяли :)))
                                                                              0
                                                                              В этой ветке комментариев основной посыл в том, что мало набрать отличных программеров. Надо еще уметь делать продукт. Т.е. создать такую команду которая сможет это сделать.
                                                                              Подходы разные к этому бывают. Иерархия с архитекторами во главе. Почти плоская структура когда всем рулят тимлиды. Смешанные подходы. Не суть, главное чтобы энергию талантливых программеров кто-то направлял в правильное русло.
                                                                            +2

                                                                            Хороший программист в эту шарагу не пойдет

                                                                          +9
                                                                          Но проблема еще и в культуре самих разработчиков, даже на Хабре в комментариях можно увидеть легкомысленное отношение к сбору перс. данных («все собирают», «все о нас и так известно, ничего не поделать», «вы же сами все в соцсети выкладываете»). Не хотелось бы, чтобы таким доверяли разработку приложений.
                                                                            0
                                                                            Дело даже не в распиле, а в том, что в случае госфинансирования цена имеет большее значение, чем качество.

                                                                            Платить адекватные суммы исполнителям попросту невозможно из-за госконтроля. Ситуация, когда конечный программист получает больше денег, чем начальники, в госструктурах просто немыслима. Поэтому, когда проект таки надо сделать хорошо трудом квалифицированных специалистов, приходится искусственно завышать трудоёмкость и нанимать левых людей, которые будут раз в месяц снимать зарплату и отдавать её обратно.
                                                                              0
                                                                              Окей, вот реальный пример, 3 программиста зп 30к-50к, проект ровно на 1 месяц, контора за него получила 1кк, итого 150к на прогеров, понятно что налоги еще, но все же
                                                                              Если у директора зп 500к тогда вопросов нет (а чем это не распил ?)
                                                                                +4
                                                                                Вы странные вещи пишете. «Честно работать нельзя, потому давайте обманывать». Но я не вижу тут логики. Я не понимаю, что мешает «госконторе» нанять хороших высокооплачиваемых разработчиков. Если там есть какие-то ограничения на зарплаты, то тогда госконтора может провести торги и заказать разработку у коммерческой компании без таких ограничений.

                                                                                Умников, которые делают все эти трюки со снятием зарплат, надо разоблачать и сажать в тюрьму. Либо работайте честно, либо не работайте вообще.
                                                                                  0
                                                                                  Да и вообще, с каких пор «госконторы» должны разрабатывать ПО? У нас что, задача государства заниматься разработкой ОП? Разве что что-то военное и секретное. Все остальное должны делать коммерческие компании.
                                                                                    +1

                                                                                    Почему нет? Вот даже в США, которых многие на Хабре считают образцом во всем, в US Air Force решили писать код сами. Конечно, не только они пишут, просто это первое что вспомнилось, так как об этом недавно писали на Hacker News.

                                                                                      +2
                                                                                      А потом рассказывают смешные анекдоты про деление на ноль в ПО самолетов при полетах в районе Мертвого Моря.
                                                                                        +1
                                                                                        Не «деление на ноль», а — «переход через ноль».
                                                                                          +1
                                                                                          Переход через ноль не вызовет перезагрузки ПО, если в этот момент на этот ноль ничего не делить)
                                                                                          Впрочем, возможно, что отрицательные integer там были тоже не предусмотрены))
                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                        +1
                                                                                        А я написал про исключение для военных.
                                                                                        0

                                                                                        Военного и секретного не так уж и мало. Просто посмотрите на структуру бюджета нашей страны.

                                                                                        0
                                                                                        Я не понимаю, что мешает «госконторе» нанять хороших высокооплачиваемых разработчиков.

                                                                                        Невозможность платить им конкурентоспособную зарплату.


                                                                                        Если там есть какие-то ограничения на зарплаты, то тогда госконтора может провести торги и заказать разработку у коммерческой компании без таких ограничений.

                                                                                        Ага, если контракт на 9 месяцев, то собственно на работу остаётся 7 месяцев (время на оформление + работы должны быть выполнены за месяц до окончания контракта). Если же отдавать заказ сторонней фирме, то вычитаем ещё 4 месяца (2 месяца — торги, месяц — оформление, месяц — сдача), остаётся 3 месяца на работу. Как-то маловато, не находите?


                                                                                        К тому же, есть контракты, в которых явно прописана трудоёмкость в человеко-месяцах, и исходя из этой трудоёмкости и расчитывается стоимость контракта. И фактические трудозатраты должны совпасть с проектными. То есть даже если отдать разработку коммерческой компании, она тоже не сможет решить задачу меньшим числом людей.


                                                                                        Умников, которые делают все эти трюки со снятием зарплат, надо разоблачать и сажать в тюрьму. Либо работайте честно, либо не работайте вообще.

                                                                                        Так я не против. Но тогда придётся посадить половину страны (включая получающих серую зарплату и их работодателей), а у нас столько мест в тюрьмах нет.


                                                                                        Бороться надо с причиной, а не со следствием.

                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                              0
                                                                                              Не волнуйтесь, не кого в Сибирь вывозить не будут. У нас здесь на каторге, земля дороже стоит чем в Европе.
                                                                                        +1

                                                                                        Вопрос не в пилеже, это не те деньги, которые интересны. Есть сферы где это намного выгоднее.


                                                                                        Главный враг — это забюрократизированность процесса и в связи с этим огромное количество административных работников, которые тоже хотят кушать.


                                                                                        Программист не будет готовить пакет проектной документации, готовить отчеты и улаживать вопросы соответствия регламентам и лицензирования.


                                                                                        Поэтому и получается, что в проекте львиная доля работы и денег на персонал уходит на бюрократию.


                                                                                        А причина — в выстроенной огромной неповоротливой вертикальной структуре гос аппарата.

                                                                                          0

                                                                                          Считайте это аналогом БОД.

                                                                                            0
                                                                                            БОД позволяет самореализовываться (складывать и продавать оригами, заниматься йогой), начинать бизнес, да лежать на диване в конце концов, а не заниматься ИБД, попутно ненавидя все человечество.
                                                                                            0
                                                                                            Вопрос не в пилеже, это не те деньги, которые интересны. Есть сферы где это намного выгоднее.

                                                                                            Не каждый чиновник имеет доступ к распилу любой сферы
                                                                                            Кто-то пилит миллиардами, кто-то миллионами, а кто-то тысячами
                                                                                            0
                                                                                            Так вот почему меня бесят все государственные сайты… Интерфейс неудобный, везде шняги всякие вылазят — то текст наложен друг на друга, то ссылка в никуда ведет…
                                                                                            +22
                                                                                            Да что за привычка!?
                                                                                            То пробел посреди слова воткнут, то дефис!
                                                                                            Слова «посерьёзнее», «получше», «похуже» и т. п. пишут слитно
                                                                                              –7
                                                                                              Вы всегда можете изложить свои мысли по поводу грамматики и синтаксиса в личных сообщениях. Я вот сейчас исправлю, а ваш комментарий сейчас же станет очень странно выглядеть…
                                                                                                +11
                                                                                                Отлично комментарий будет выглядеть. Кто-то обратит внимание, запомнит и не напишет в следующий раз «по-хуже».

                                                                                                Более того, большинство людей тут не глупые: они делают так, как им удобнее, а не как якобы кем-то там принято. Написать об ошибках в комментариях намного проще, чем открывать новую вкладку (мы же хотим статью дальше читать?), выискивать личные сообщения, здороваться, указывать ссылку, где, дескать, эти самые ошибки спрятались, и т.д.

                                                                                                Вот вам мемесик на тему
                                                                                                image
                                                                                                  +1
                                                                                                  они делают так, как им удобнее, а не как якобы кем-то там принято

                                                                                                  Это и про следование грамматике можно сказать не изменив ни буквы.
                                                                                                  +6
                                                                                                  замечательно выглядит комментарий, просто великолепно!
                                                                                                  и, кстати, намного лучше вашего.
                                                                                                    +4
                                                                                                    По поводу основного текста статьи я бы с вами согласился.
                                                                                                    Автор статьи всегда может десять раз погуглить и десять раз спросить товарища, как грамотно написать заголовок, благо текста в заголовке кот наплакал. И вы этот шанс упустили
                                                                                                    P.S. И это не просто мысли, это факт
                                                                                                    P.P.S. В следующий раз придётся эту ремарку про комментарии и личные сообщения сразу писать
                                                                                                      0
                                                                                                      Вы обещали исправить заголовок, а на самом деле, изменили его.
                                                                                                      Я имею в виду, что исправленный заголовок звучал бы «Забудьте про Бургер Кинг! Есть утечка документов посерьёзнее»
                                                                                                        +2
                                                                                                        вы всегда можете запихать то, что написали, в ворд и ему подобное.
                                                                                                        даже вместе с тегами косяки видно сразу
                                                                                                        0
                                                                                                        Есть еще слово «истчо».
                                                                                                        Коллега — тут в комментариях «кино и немцы», а Вы к автору дорвались…
                                                                                                        Хотя да — такие вещи лучше выносить за пределы «лички».
                                                                                                        Что бы прекратить эти ваши «рассупонилось».
                                                                                                          0
                                                                                                          Вот Вы, к примеру, в слово «чтобы» зачем-то пробел вставили (но в сочетании «что бы то ни было» и, возможно в некоторых других местах, слова «что» и «бы» пишутся отдельно)
                                                                                                            0
                                                                                                            «C чем поведешься — от того и забеременеешь». Набрался же этих ваших интернетов.
                                                                                                            «Чтобы» конечно же.
                                                                                                        –12
                                                                                                        данные выпущенные в сеть, как дама брошенная в толпу.
                                                                                                          +6
                                                                                                          Тут блок с вакансиями как бы намекает почему столько всего утекает: «Специалист по защите информации ИНВИТРО Москва от 85 000 до 115 000 ».
                                                                                                            +3
                                                                                                            А что, 115 000 это прямо вот так СОВСЕМ мало для Москвы?
                                                                                                              +5

                                                                                                              Вообще-то, ниже среднего, да

                                                                                                                +2
                                                                                                                Из комментария мне показалось, что 115 000 это не просто ниже среднего, а дно, на которое пойдет только совершенно некомпетентный работник.
                                                                                                                  +6
                                                                                                                  Для специалиста по защите информации который будет работать в крупной медицинской фирме с кучей отделений 115к действительно дно.
                                                                                                                  Это не «поправить верстку» и «добавить пару полей в базе» где даже для москвы 30к за глаза и за уши.
                                                                                                                    –9
                                                                                                                    Выше запятые и им подобное обсуждали.
                                                                                                                    У тебя/вас 3 запятые пропущены.
                                                                                                                      0
                                                                                                                      Причем тут ИБ, и «поправить верстку и пару полей в базе»? :) Любая контора, которая присутствует в сети и заботится о своей безопасности, должна правильно выстраивать структуру отдела, а значит отдел разработки должен включать в себя php, java и др. прогеров, верстальщиков, которые непосредственно подчиняются и отчитываются ИБэшнику.
                                                                                                                      Если у вас 1 IT-шник программист-верстальщик-ибэшник, скоро конторе придет пи… ц :)
                                                                                                                        +1
                                                                                                                        Это не «поправить верстку» и «добавить пару полей в базе» где даже для москвы 30к за глаза и за уши.


                                                                                                                        в Москве 30к это зарплата оператора техподдержки банка, с нулевыми знаниями. туда берут всех подряд кто говорить умеет
                                                                                                                        а вот «поправить верстку» и «добавить пару полей» это уже какая никакая квалификация
                                                                                                                        0
                                                                                                                        А разве нет?
                                                                                                                      +8
                                                                                                                      Для безопасника да.
                                                                                                                        +6
                                                                                                                        Для специалиста по ИБ совсем мало.
                                                                                                                          0

                                                                                                                          Да.

                                                                                                                          +23
                                                                                                                          ИНВИТРО — шарашкина контора. Я к ним 3 года назад ходил на собеседование как Android разработчик. Предложили 70к на руки и 30к в конверте. Знаете как они оправдывали конверты? Цитирую:
                                                                                                                          У нас прошлые сотрудники плохо работали, поэтому мы решили так подстраховываться теперь. Если вы будете плохо работать, то конвертика не получите
                                                                                                                            +8

                                                                                                                            Есть варианты, как делать то же самое по ТК (смотрим — премирование по результатам или kpi), поэтому — да, з/п в конвертах — плохой звоночек

                                                                                                                              +3
                                                                                                                              всегда думал, что конвертики только для того, чтобы не платить налоги.
                                                                                                                              А тут оказывается еще чего то есть… (ирония если что)
                                                                                                                                0
                                                                                                                                Учитывая, что 3 года назад зарплаты 70к было достаточно для достижения предельной базы, выше которой налоги существенно ниже это действительно странно.
                                                                                                                                  0
                                                                                                                                  Расскажите поподробней про базу?
                                                                                                                                    +2
                                                                                                                                    Пенсионные (самые большие, в общем-то) взносы считаются в районе 22% до определенного порога дохода за год. А дальше процент налогов сильно падает (до 10%).
                                                                                                                                    www.notariato.ru/article/a00009-predelnaja-velichina-bazy-dlja-nachislenija-strahovyh-vznosov
                                                                                                                                    Гуглить Регрессивная шкала для взносов / предельная база.
                                                                                                                                    Для ФСС отчислений это тоже верно.
                                                                                                                                  +1
                                                                                                                                  Да там много для чего. И для «болеете за свой счет» и для «новогоднюю неделю работаете, либо отдыхаете за свой счет» и так далее.
                                                                                                                                  0
                                                                                                                                  Вы бы спросили, раз такие пироги, то если хорошо будете работать — вам два конвертика с 30к выдадут? Или они предпочитают исключительно метод кнута и кнута, без пряника?
                                                                                                                                  А если серьезно, наглость ужасная. Я бы не счел возможным продолжать собеседование после таких заявлений.
                                                                                                                                +6
                                                                                                                                Ну вы серьезно? Это уже даже не смешно
                                                                                                                                www.anti-malware.ru/news/2011-07-25/4373
                                                                                                                                Изображение
                                                                                                                                image

                                                                                                                                  0
                                                                                                                                  До сих пор встречаются незащищённые репозитории. 2009 год.
                                                                                                                                  0
                                                                                                                                  С билетами бывает интереснее.

                                                                                                                                  Как-то получил на свою gmail почту вида <имя>.<фамилия>@gmail.com подтверждение какого-то левого бронирования на рейс со ссылкой на само бронирование с возможностью его изменение/отмены. По-видимому, мой однофамилец почему-то указал мой e-mail. Или ошибся, или своей почты не было? Авиакомпанию за давностью лет не помню. Или это на поезд было?

                                                                                                                                  booking.com тоже интересно поступает — в pdf-документе в начале кроме номера есть еще и пин-код, который разрешает редактирование. Так что если вам бронирование нужно представить, например, в консульство для получения визы, то хоть бритвой вырезай из бумажной копии.
                                                                                                                                    +4
                                                                                                                                    авиабилеты вы тоже в консульство предоставляете. И по номеру билета и вашей фамилии его тоже можно редактировать.
                                                                                                                                    Передавать такие данные, конечно, не секурно, но штука в том, что вы передаёте их не абы кому, а консульству той страны, куда едете. Отменить вам бронь гостиницы? зачем? чтобы вы потом у них в стране бомжевали? Всё, что можно сделать с этой бронью, не входит в их интересы. И наоборот, эти данные необходимы, чтобы легко проверить действительность брони.
                                                                                                                                      +3
                                                                                                                                      Если бы прямо в консульство. Те же французы в СПб принимают документы через посредника.
                                                                                                                                        0
                                                                                                                                        Отсутствие у лишнего получателя мотивации на использование информации не делает его получателем не лишним
                                                                                                                                          +13
                                                                                                                                          Вот это типичная ошибка — забывать, что за каждой системой и организацией всегда стоят обычные людишки. Много людишек, как бы работающих от имени организации, но имеющие личный доступ к данным. И у них может быть тысяча видов личной мотивации — от банального развлечения до вербовки третьих стран.
                                                                                                                                          Типа, зачем я сдался Гуглу? Зачем я сдался консульству Зимбабве? Как будто консульство Зимбабве это такой монолитный организм, который всегда действует логично и непротиворечиво. Но на самом деле это десятки и сотни разных людей и каждый из них — это потенциальный канал утечки.
                                                                                                                                          0
                                                                                                                                          Офтоп, вы мне напомнили. У меня тоже есть такой старый ящик abc.def@gmail.com, и мне иногда приходила чужая почта (в т.ч. сканы документов), предназначенная для abcdefX@gmail.com. Посмотрите у себя поле to, похоже на такой же случай.

                                                                                                                                          Кстати, и.м.я.ф.а.м.и.л.и.я@gmail.com == <имя>.<фамилия>@gmail.com
                                                                                                                                            0
                                                                                                                                            Про этот фокус в курсе. А той истории уже несколько лет и я тогда от греха стер то письмо нафиг.
                                                                                                                                          –1
                                                                                                                                          Бесконечно можно смотреть на три вещи: как горит огонь, как течет вода и на как пишут про Бургер Кинг
                                                                                                                                            +8

                                                                                                                                            Я бы спрогнозировал другое. Еще неделя хайпа вокруг БургерКинга и других операторов ПД и как бы государство не начало закручивать гайки в сфере интернета дальше. Телеграм заблокировали, впны нужно регистрироваться, веерные блокировки, посадки неугодных блоггеров… что дальше? Рождение Чебурнета? С доступом по заявке в ФСБ?

                                                                                                                                              +2

                                                                                                                                              Телеграм заблокировали? Опять?

                                                                                                                                                0

                                                                                                                                                Не «опять», а все еще. Через домашний интернет (акадо) — не фурыкает. Через мегафон — тоже. Приходится использовать небезызвестный прокси

                                                                                                                                              +11
                                                                                                                                              Яндекс вновь ищет слишком хорошо!

                                                                                                                                              А причём тут Яндекс?!
                                                                                                                                              Не Яндекс ведь эту дыру создал. Нашёл Яндекс — найдёт и любой другой поисковик.

                                                                                                                                              Jeditobe — скажи честно, ты чё гуманитарий?
                                                                                                                                              Если нет, то с чего это ты считаешь виновным в утечке поисковик, а не тех кто выложил?!
                                                                                                                                                +6

                                                                                                                                                Согласен, вина яндекса сомнительна. Единственное участие Я здесь может быть, как в случае Гугль и Гугль Хром десяток лет назад, когда браузер «сливал» в поисковик ссылки на страницы для лучшего покрытия интернета поиском. Иногда «утекали» и ссылки на конфиденциальные ресурсы, которые потом из поисковой выдачи оперативно убирались. Но это проблема выкладывания документов по «секретным» ссылкам с неким идентификатором без парольной зашиты или авторизации прльзователя

                                                                                                                                                  +12
                                                                                                                                                  Причему тут Яндекс?
                                                                                                                                                  Намекну встречным вопросом: а как яндекс получил ссылку, которая нигде не была опубликована?
                                                                                                                                                    +1
                                                                                                                                                    Блин, ну что, никто не может это проверить, отслеживая стринги в реале? И запилить статью?
                                                                                                                                                    Или там такая защищенная система слива инфы, что её не реально ломануть?
                                                                                                                                                      +8
                                                                                                                                                      Неоднократно в комментариях писали, что после посещения секретных ссылок через ЯБ вскоре на ту же страницу забегал яндекс бот. В 2015 году уже были замечены прецеденты утечки ссылок как таковых в индекс
                                                                                                                                                      habr.com/post/262695 -> roem.ru/17-07-2015/200620/yandeksbot-hodit-po-privatnym-ssylkam
                                                                                                                                                        –2
                                                                                                                                                        Ссылка не может быть секретной.
                                                                                                                                                          +2
                                                                                                                                                          Но она может быть в закрытом для индексации разделе (robots). Но правила такие правила.
                                                                                                                                                            0
                                                                                                                                                            Если кто-то мечтает о том, что кто-то будет работать по правилам, которые даже законодательно не закреплены, то я не знаю как этого человека назвать. Хотя да, тут сейчас всякие GDPRы вылазят и всякие прецеденты с Цукербергами в сенате, но это капля в море. Регистрация с подтверждением через телефон, сканы паспортов и прочее и прочее — это и есть корень зла. Надо сразу по ручкам шаловливым бить за злоупотребление требованием с клиентов вот этих самых персональных данных.
                                                                                                                                                    –2
                                                                                                                                                    Вы просто не умеете в иронию, вот и все. Я не говорил, что Яндекс виноват.
                                                                                                                                                      +3

                                                                                                                                                      "Не виноватая я, он сам при перешёл"?

                                                                                                                                                      +12
                                                                                                                                                      Jeditobe — скажи честно, ты чё гуманитарий?

                                                                                                                                                      … а вы по каким-то причинам считаете гуманитариев неспособными к логическим построениям?

                                                                                                                                                        –13
                                                                                                                                                        Считаю не знающими особенностью работы технологий. Гуманитарий всерьёз может считать, что Яндекс способен дать ссылку на нерасшаренные файлы на C:
                                                                                                                                                        Некоторые, даже, когда просят ссылку на файл присылают «ссылку» вида «C:\Мои Документы\Документ.doc»
                                                                                                                                                          +16

                                                                                                                                                          А любой технарь, конечно же, знает особенности работы всех технологий?

                                                                                                                                                            +7
                                                                                                                                                            Это Ларри Уолл. Дипломированный гуманитарий с лингвистическим образованием.
                                                                                                                                                            image
                                                                                                                                                            Создатель языка Perl.
                                                                                                                                                            Не путайте гуманитариев с имбецилами.
                                                                                                                                                              +4
                                                                                                                                                              С учетом выразительности фотографии вполне уместно смотрелось бы добавить в текст вашего комментария фразочку-вопрос «а чего добился ты?»
                                                                                                                                                                +7
                                                                                                                                                                Дипломированный гуманитарий с лингвистическим образованием. Создатель языка Perl.
                                                                                                                                                                [sarcasm on]
                                                                                                                                                                Лингвист, язык создал :-D
                                                                                                                                                                  +1
                                                                                                                                                                  ЧСХ очень хорошо создал.
                                                                                                                                                                    +4
                                                                                                                                                                    Не «очень хорошо», а «вовремя». Родовые болячки, порождённые именно тем, что автор — лингвист убрали только в Perl6, который, как бы, совсем другой язык.
                                                                                                                                                              +1
                                                                                                                                                              Видели бы вы моих сокурсников, «технарей»…
                                                                                                                                                            0
                                                                                                                                                            Вы таки не поверите, но первый диплом у него это Специалист по защите информации…
                                                                                                                                                            0
                                                                                                                                                            Мне кажется — это последствия низкой квалицикации на фоне огромного самомнения.
                                                                                                                                                            Это не только к программированию относится.
                                                                                                                                                              0
                                                                                                                                                              Еще с 2011 известно
                                                                                                                                                              www.anti-malware.ru/news/2011-07-25/4373
                                                                                                                                                                0
                                                                                                                                                                ezhoping.wordpress.com/2011/07/27/inurl-0-inurl-b-inurl-1-inurl-c
                                                                                                                                                                Статья 2011 года, ничего особо не поменялось.
                                                                                                                                                                  +2
                                                                                                                                                                  2011 год.
                                                                                                                                                                  …в интернет-магазинах, работающих на основе решения WebAsyst, пользователи могут оформлять покупку без обязательной регистрации в магазине, то есть без создания аккаунта с паролем. Как объяснили разработчики, после оформления заказа пользователю отправляется прямая ссылка на страницу с информацией о заказе и его статусе. «Эта ссылка отправляется покупателю на почтовый ящик, после перехода по ссылке пользователю показывается страница с информацией о совершенному заказе, и именно такие страницы и проиндексировал «Яндекс»
                                                                                                                                                                    +18
                                                                                                                                                                    Скриншот фейсбука, на котором пост со скриншотами… Абсолютно нечитаемо.
                                                                                                                                                                    Вы пробили дно, которым я всегда считал скриншот в вордовом документе.
                                                                                                                                                                      +1
                                                                                                                                                                      Фотография скриншота скриншотов из поста в фейсбуке?
                                                                                                                                                                        0

                                                                                                                                                                        Фото монитора с фотографией скриншота скриншотов из поста в фейсбуке

                                                                                                                                                                          0
                                                                                                                                                                          Осталось только отксерить.
                                                                                                                                                                            +2
                                                                                                                                                                            Ох, ну всему учить надо
                                                                                                                                                                            Вот как правильно:
                                                                                                                                                                            image
                                                                                                                                                                              0
                                                                                                                                                                              Эту ксерокопию потом по факсу ещё надо не забыть отправить.
                                                                                                                                                                        +2
                                                                                                                                                                        Бесит, что в статью, которую и так прочитают, надо во имя кликбейтности пихнуть в заголовок БК-word.
                                                                                                                                                                          +1
                                                                                                                                                                          Извиняюсь за возможно тупой вопрос, но почему строка для поиска выглядит так «странно»?
                                                                                                                                                                          Ведь «inurl» — поиск по адресу. Почему именно «inurl:0 inurl:b inurl:1 inurl:c»? Выглядит как заклинание)
                                                                                                                                                                            0
                                                                                                                                                                            Если просто вбить «статус заказа», то ничего подобного не найдётся. Поисковые системы ранжируют страницы, в результате будут выданы обычные информационные страницы.
                                                                                                                                                                            Дальше задача простая: поломать это ранжирование. Видимо, дополнительные условия его и ломают.
                                                                                                                                                                              0
                                                                                                                                                                              Секретные ссылки состоят из случайного набора цифр и букв. Думаю, эти параметры добавили для исключения из результатов «неинтересных» страниц со словами «статус заказа» (например, справочных статей).

                                                                                                                                                                              Можно изменить конкретные значения, трюк всё ещё будет работать:
                                                                                                                                                                              inurl:3 inurl:a inurl:b inurl:4 статус заказа
                                                                                                                                                                                0
                                                                                                                                                                                Эти символы есть в хэше заказа.
                                                                                                                                                                                0
                                                                                                                                                                                Паспортные данные? Это же прекрасно, можно во всяких яндекс-деньгах получать подтвержденный аккаунт, не рискуя своими данными.

                                                                                                                                                                                А если серьезно
                                                                                                                                                                                Шучу, конечно. Делать так не стоит. Лучше делать что-то с этим раздолбайским отношением к нашим ПД.
                                                                                                                                                                                  0
                                                                                                                                                                                  Разве? Вроде бы, раньше, когда я еще считал, что ЯД можно пользоваться, все пути валидации приводили к необходимости предъявлять настоящий паспорт тем или иным путём
                                                                                                                                                                                    0
                                                                                                                                                                                    Нет, требуют только ввести паспортные данные. В текстовом виде.
                                                                                                                                                                                      +1
                                                                                                                                                                                      ого, то есть последущую верификацию через офис или contact или что-то там еще отменили?
                                                                                                                                                                                        0


                                                                                                                                                                                        Для «именного» кошелька хватает как раз тех самых паспортных данных в текстовом виде.
                                                                                                                                                                                          0
                                                                                                                                                                                          Повторюсь, не знаю, как там сейчас на самом деле, но если верить их же документации yandex.ru/support/money/identification/upgrade.html, то просто указанием паспортных данных в текстовом виде дело не ограничится…
                                                                                                                                                                                            0
                                                                                                                                                                                            Недавно пришёл перевод на не подтверждённый аккаунт, для его получения яндекс попросил ввести паспортные данные. После их ввода прошло несколько часов «подтверждения» и написали что всё ок, деньги зачислены.
                                                                                                                                                                                              0
                                                                                                                                                                                              Всё верно, это третий уровень со скриншота, где требуется личное присутствие или идентификация через Сбербанк. А первые два личного присутствия не требуют.
                                                                                                                                                                                          +3
                                                                                                                                                                                          Сканы документов (утекающие из всяких контор займов) довольно за недорого продаются на черном рынке. В общем, как всегда, вся эта система только доставляет неудобства законопослушным гражданам и обходится не-законопослушными.
                                                                                                                                                                                      –18
                                                                                                                                                                                      Зачем вы опубликовали это? Вы не чувствуете ответственность и вину в том, что большее количество людей из-за вас будет подвержено опасности? «Смотрите-смотрите, что я нашел! Какой я классный!»
                                                                                                                                                                                        +1
                                                                                                                                                                                        А уж как за саморекламой те кто нашли Meltdown/Spectre или (что ближе) Heartbleed гнались то, не думали о тех, кто будет подвержден из-за них опасности.
                                                                                                                                                                                          +8
                                                                                                                                                                                          Вообще, люди подвержены опасности не из-за того, что кто-то опубликовал информацию об уязвимости и проблеме, а из-за того, что эта уязвимость есть. Публикации иногда приводят к закрытию уязвимостей, что довольно хорошо.

                                                                                                                                                                                          А вообще, я предлагаю исходить из достаточно простого принципа «Хакер уже знает»: если кто-то нашел уязвимость (при этом она не какая-то абсолютно новая, уникальная, очень сложная или крайне неочевидная), то с достаточно большой вероятностью какие-то злоумышленники или уже знают о ней, или легко узнают, если будут копаться в этом сервисе. Поэтому защита чьих-то данных через отказ от публикации информации об уязвимостях не работает, так как скрывает возможную утечку от пользователей, но не от профессиональных злоумышленников.
                                                                                                                                                                                          0
                                                                                                                                                                                          Эта дыра старая несколько лет назад тут же развлекались просматривая заказы в секс-шопе.
                                                                                                                                                                                            0
                                                                                                                                                                                              0
                                                                                                                                                                                              Через DuckDuckGo до сих пор находятся заказы с персональными данными

                                                                                                                                                                                              И, к слову, Cropp выдал мне заказ с подробными личными данными покупателя.
                                                                                                                                                                                            –1
                                                                                                                                                                                            Каким был поисковый запрос, выдавший такие результаты? Пока не повторю сей опыт сам — не поверю (хотя бы потому, что какие-то данные вполне могут храниться на моём компьютере, и следовательно — если я покупал билеты, базовую информацию про них можно вытащить из кеша, а не с сайта, а коллекция скриншотов — тоже не может служить подтверждением сливу информации в полной мере)
                                                                                                                                                                                              0
                                                                                                                                                                                              В DuckDuckGo получил информацию о покупателях билетов на автобусные рейсы и на самолет по запросу: «inurl:order информация о пассажире»
                                                                                                                                                                                                +1
                                                                                                                                                                                                Слив информации обо мне НЕ подтверждаю, искал по-всякому (хотя мы с женой и покупали билеты и на поезд, и на самолёт — если скриншот под заголовком статьи не врёт, то тот же сайт РЖД тоже оказался скомпрометирован?).
                                                                                                                                                                                                P.S. Всё равно, даже несмотря на то, что конкретно в моём случае слива информации не было, предупреждён — значит вооружён…
                                                                                                                                                                                                P.P.S. Возможно, нужно меньше доверять сайтам-интеграторам?
                                                                                                                                                                                              –5
                                                                                                                                                                                              А вы забыли, что живете в России. Кому что доказать хотите?
                                                                                                                                                                                              Мы и так давно знаем, что нас «шмонают» при каждом включении телефона или компьютера.
                                                                                                                                                                                              Если в суда себя защитить нельзя, а там нельзя! То что делать?
                                                                                                                                                                                              Даже верховный суд по сотню раз отвечает одними и теми же ответами, а судьи продолжают подобные дела рассматривать на свое усмотрение не обращая внимание, на то что издал верховный суд.
                                                                                                                                                                                              Если суд начался, то жаловаться вообще куда либо смысла нет, «независимый» орган может делать, что вздумается. Любой чиновник отъезжает — решение суда не обсуждается.
                                                                                                                                                                                              Меня вообще повеселило, когда услышал, что в этой системе вторая черная зарплата в порядке вещей.
                                                                                                                                                                                              Пока нет рабочего органа по защите того, что написано в законе, вообще о чем либо другом говорить смысла нет.
                                                                                                                                                                                                –3
                                                                                                                                                                                                Хорошо что я старовер, и всегда плачу наличкой, и в соцсетях меня нет кроме Хабра.
                                                                                                                                                                                                  +1
                                                                                                                                                                                                  всегда плачу наличкой

                                                                                                                                                                                                  Знаете, я вот только что был в паре стран, где в некоторых местах просто нельзя расплатиться наличкой. Одно из таких мест — хороший кабак, еще одно — общественные туалеты на станциях ж/д. А иногда наличкой расплатиться можно, но сдачи не дают (и об этом заранее везде сказано).


                                                                                                                                                                                                  (ну и я так понимаю, через интернет вы никогда ничего не покупаете, да?)

                                                                                                                                                                                                    0
                                                                                                                                                                                                    (ну и я так понимаю, через интернет вы никогда ничего не покупаете, да?)
                                                                                                                                                                                                    а он не своими!
                                                                                                                                                                                                    0
                                                                                                                                                                                                    А на хабре-то вы что делаете?
                                                                                                                                                                                                      +1
                                                                                                                                                                                                      Ну как что — рассказывает, что не пользуется соцсетями.
                                                                                                                                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                                                                      0
                                                                                                                                                                                                      Сейчас все продажи авиабилетов идут через единую систему бронирования и продажи билетов, и сервера находятся не в России. Работает по всему миру и достаточно надежно.