Комментарии 62
Как только владелец базы был установлен, я отослал ему оповещение с предложением все-таки закрыть доступ к базе
Не совсем понял эту фразу. Вы нашли владельца аккаунта «меги» и написали ему?
«владелец базы». нашелся владелец базы MongoDB и сервера.
во-вторых – вся чувствительная информация хранилась на сервере, находящемся в Германиичто изменилось бы, если бы она хранилась в открытом виде на сервере, находящемся в России? Данные всё равно утекли.
Ну только с точки зрения того, что хранение вне страны — административное, а открытый доступ — уголовное правонарушение.
Тут многочисленные нарушения закона.
Во-первых, по закону о перс. данных, они должны храниться или обрабатываться в России. Во-вторых, медицинские данные — это данные особой чувствительности, и к их хранению предъявляются особые требования. Возьмите, к примеру, постановление Правительства 1119:
5. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
…
11. Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
…
в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
14. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
Плюс, есть заумная методика от ФСТЭК для определения угроз системе хранения ПД. Обработка ПД требует от оператора определения актуальных угроз, и методика дает вариант определения. Тут очевидно, что никто этим даже не занимался.
Хотя тут есть нарушения закона, я особых иллюзий не питаю. Законы о персональных данных и регулировании интернета написаны для борьбы с политическими оппонентами, а не для защиты граждан. Простой пример: в рамках этих законов, скорее всего компания получит небольшой штраф. Плюс, РКН внесет адрес узла с MondoDB в список "заблокированных сайтов". Как будто это поможет защитить данные от распространения.
Не знаю, я тут даже подходящей статьи КоАП найти не могу.
Что мы можем сделать? Мы можем писать жалобы. Некоторые сервисы-файлообменники все же имеют Terms of Service, запрещающие выкладывание чужих перс. данных. Если вы нашли эту базу и она нарушает условия использования сайта, не поленитесь написать в обратную связь.
С последним пунктом в послании от "хакеров" все же не согласен.
Всё так. Но если база хранится в открытом виде, территориально находясь на территории РФ, то никакие постановления и заклинания не защитят её от слива. Так пусть хоть на Луне хранится, если надёжно защищена.
НЛО прилетело и опубликовало эту надпись здесь
Во-первых, по закону о перс. данных, они должны храниться или обрабатываться в России
Копию можно (резервную копию, к примеру)
Мы ж не знаем копия то или оригинал
НЛО прилетело и опубликовало эту надпись здесь
Что подадут или что удовлетворят?
но в России это больше похоже на фантастику.
Почему фантастика?
Вопрос только в том — а есть ли кому этим заняться.
В США — стране судебного сутяжничества — запросто можно этим на жизнь зарабатывать.
Я лично знаю одного юриста у нас, который коллективными исками к ЖКХ настолько достал коммунальные конторы, что они просто перестали оказывать услуги по подаче горячей воды. Это оказалось дешевле для ЖКХ, чем оказывать услуги и при этом выплачивать неустойки.
Требования закона у нас жесткие по температуре горячей воды, а старые тепловые сети не способны выдержать эти требования. Поэтому иски можно хоть каждый день подавать. Вот он их за каждый день и подавал. Договорившись в парой десятков бабушек.
Юрист — на этих исках себе заработал малоподержанный Land Cruiser.
Бабушки теперь живут без горячей воды.
НЛО прилетело и опубликовало эту надпись здесь
'Интересно, топора нет, рубля нет и еще рубль остался должен, и вроде все правильно!!!' Бабушкам хоть денег перепало, чтоб колонку поставить?
del
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Вот интересно, почему везде изображения, а комментарий от «хакеров» вставлен текстом? Возможно, потому что оригинальный коммент выглядит вот так??
Я один вижу политические нотки со стороны автора?
Я один вижу политические нотки со стороны автора?
потому, что эту картинку вы взяли из совсем другого моего поста про этих Хакеров. И этот текст они оставили в совершенно другой базе.
Я один вижу, что вы пытаетесь натянуть сову на глобус? ;)
Я один вижу, что вы пытаетесь натянуть сову на глобус? ;)
Вот эта картинка из моего поста 4-го апреля t.me/dataleak/906
И если вы посмотрите пост целиком, то там текстом приводится еще одно «послание» этих хакеров.
Никакого заговора, просто так мне удобно писать/постить. Снимите шапочку из фольги ;)
И если вы посмотрите пост целиком, то там текстом приводится еще одно «послание» этих хакеров.
Никакого заговора, просто так мне удобно писать/постить. Снимите шапочку из фольги ;)
Вопросов нет, возможно ошибся. Но тем не менее, почему не вставить скриншот?
давайте я поясню немного процесс — у меня десятки баз (информация об открытых базах имеется ввиду), про которые надо написать. вдруг всплывает что-то важное срочное, вне очереди. Я просто физически не успеваю делать много нужных вещей. ;) Поэтому делаю так, как быстрее и удобнее в данный момент времени.
Какие-то скрины у меня сняты заранее и готовы, каких-то нет. Если нет и они не критичные мне проще скопировать текст…
Какие-то скрины у меня сняты заранее и готовы, каких-то нет. Если нет и они не критичные мне проще скопировать текст…
Принято. Советую установить менеджер скриншотов, автоматизируйте свою работу. Добра, удачи. :)
кстати да! спасибо за идею.
может сразу порекомендуете что-то?
может сразу порекомендуете что-то?
На шиндовс пользую greenshot. Чаще всего юзкейс "фрагмент экрана в буфер обмена или на dropbox/imgur", удобно.
+1 за гриншот
для всех новых компов по умолчанию
Shutter для Linux
а вообще
alternativeto.net/software/greenshot
choco upgrade -y greenshotдля всех новых компов по умолчанию
Shutter для Linux
а вообще
alternativeto.net/software/greenshot
С 1809 в win10 можно включить программулину «набросок на фрагменте экрана». По принтскрину она сразу запускает выделение экрана, а после выделения — отправляет кусок в буфер обмена.
Встроенный в Windows инструмент «Ножницы», обрезаем, копируем в буфер и вставляем в imgur.
ShareX, плюсом умеет делать видео в gif, гораздо удобнее чем рисовать кучу скринов со стрелочками.
Если под Linux, то Speсtacle. Умеет делать сриншот (окна, стола, выделенной области), затем размещать его в буфере обмена, файле или выгружать в imgur.
Не советую связываться с этими хацкерами. Ребята реально суровые. Не только по IP-вычислят, но и семью взломают. По крайней мере так они мне пообещали при попытке взять у них интервью)))
прочитал Вашу статью про них на пикабу. классно, поржал. собственно я как первый раз их тексты по «монгам» стал видеть, сразу понял уровень. Они сначала только по старым младше 2.6 монгам пошли ибо есть готовый скрипт для этого.
Ну и ссылку тогда уж
pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474
pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Авторов MongoDB можно понять. Если бы они сделали авторизацию, то половина «разработчиков» не прошла бы квест уровня «hello world!» при попытке что-нибудь в базу сохранить/прочитать… :)
Это скорее авторы Docker подложили такую свинью, по умолчанию отключая для контейнеров Firewall, и об этом в документации если и написано, то там, где не всякий увидит. С появлением Docker количество незакрытых сервисов резко возросло, потому что SOHO админ пользуется ufw и считает, что за закрытым файрволлом его контейнеры в безопасности. А в ufw докеровские приколы не отображаются.
НЛО прилетело и опубликовало эту надпись здесь
Простите, что такое SoHo админ?
Простите, что такое SoHo админ?
Эникей?
Правда, при чем тут ufw или iptables
Это у кого сетка из 20 машин, сервер с 20 униками в день, и два сетевых принтера. Это ситауции, когда домашние решения уже не тянут, а производительность энтерпрайза ещё далеко не нужна.
В не-it конторе это ещё значит, что человек сам и админ, и fullstack разработчик. Поэтому он не может знать всё и всё помнить.
В не-it конторе это ещё значит, что человек сам и админ, и fullstack разработчик. Поэтому он не может знать всё и всё помнить.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.
Доктор едет, едет