Как стать автором
Обновить

Комментарии 30

Немудрено, учитывая их «отношение» к багхантерам. О багах, приводящих к утечке пользователей в прошлом году сообщили минимум три человека, полученные ответы: дубль, это не продуктовая база и в таком духе. Вот и результат (=.
База на 5 млн. теплых лидов за 40к? Ничоси, на месте конкурентов, я б взял. Даже если не сейчас пользовать активно, а на потом.
«5кк строк» как написано на картинке, там же видно, что один человек в базе занимает не одну строку. Да и включив логику, можно прикинуть, что 5 кк пользователей это уже корпорация какая-то, вряд ли скайэнг и 1/10 имеет
Скайенг активно собирает (собирал до covid-а) ФИО+E-mail+телефон на партнерских оффлайновых мероприятиях для проведения розыгрышей вида «8 занятий в подарок». Возможно, в 5кк входят и эти записи. Конечно, тогда там будет много дублей и неверифицированных данных. Но само число 5кк в таком случае уже не выглядит невероятным.

Заголовок получился жёлтым.

НЛО прилетело и опубликовало эту надпись здесь

Привет, докладываю: не ведитесь на все, что пишут в советских газетах, это ещё товарищ Булгаков завещал)

Так и запишем: «выросли на заветах КомПартии: порочащую информацию скрывать от общественности, утечки отрицать, недовольных закрыть»
утечки отрицать, недовольных закрыть

Меня прям пугает ваш рьяный подход)

Смотрите. Найти и добавить в какую угодно базу контакты скольких-то наших ребят — легко, мы особо не прячемся, контактные данные публичных ребят открыты, да много где на отраслевые ивенты и т.д. с корп почт регистрируемся. Вот обратите внимание, что на том же скриншоте почта skyeng()ru, то есть она корпоративная.

Идем дальше: многие ребята параллельно и наши студенты, подтягивают или поддерживают разговорный английский, имея скидку на продукт. То есть, если набрать кому-то из них и спросить в духе «а вы вот учитесь?», то будет как в том недавнем ролике про мужика, звонок и голосование по поправкам.

Не хотим ни на что намекать, но, как пример, в материале говорят:


"база могла попасть в сеть около трех месяцев назад в результате открытого доступа к серверу MongoDB."


У нас нет монги, совсем) И другие поинты также вызывают мало доверия.

Ага, дело не монге, но пароли в «вашей» бд вы храните (хранили в 2019) plaintext’ом. Теперь поинт вызвал доверие?

Монга это мое предположение на основе того, что продавец предоставил. А предоставил он точно дамп Монги.

Совершенно не важно, есть у вас Монга или нет. Важно откуда данные пришли. 100500 кейсов было, когда данные сливались не с продакшена, а со staging или dev серверов, вообще сторонних подрядчиков.

Есть какие-то подтверждения, что данные изначально хранились в монге? Возможно они были внесены в неё после, т.к. это вполне удобный формат для распространения.


Предположение об открытом месяц назад порте, указанное в статье без всяких аргументов, звучит как достаточно точное предположение, имеющее под собой веские основания.
А тут вроде как получается, что "убийца повар, потому что орудие убийства кухонный нож".

Если кратко: вопрос изучаем. Сейчас считаем, что это не наша база.

с данными 5 млн студентов

Как минимум потому, что у нас, к сожалению, нет и не было 5 миллионов учеников. Даже если сложить их число за все годы существования школы. Пока предполагаем, что какую-то стороннюю базу обогатили несколькими тысячами строк про Skyeng: такие данные можно взять из фишинговых сайтов, а структуру базы посмотреть в различных открытых источниках, например, API.
На скриншоте заявлено о 5 млн строк, по 15 строк на ученика, т.е. около 300 тыс учеников.
Столько было?
В БД 15 строк на ученика это столбцы
В NoSQL всё не так однозначно.
Судя по местонахождению Skyeng они попали на GDPRный штраф в 4% от глобального оборота.
Если клиентов из евросоюза нет, то не попали. А если бы клиенты из евросоюза были, то нет никакой разницы по месторасположению конторы.
Можете пояснить, почему?
Товарищи находятся на Кипре судя по их оферте (вполне себе ЕС), как следствие — уже без разницы, данные европейцев или иных граждан они обрабатывают.
Тут точно нарушено правило 72 часов о репортинге регулятору, судя по ответам представителя компании
Основная причина вот тут:
2. This Regulation applies to the processing of personal data of data subjects who are in the Union ...


Хотя, подозреваю, что проблема может и быть, т.к. есть большие основания подозревать, что хоть и немного, но жители (не обязательно граждане) ЕС в утечке присутствуют.
Но 2 статья про обработчика вне EU. Если обработчик внутри (как Skyeng) — то там все ПД в объеме
1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.
Ну, с учетом того, что все законодательство о ПД вытекает из конвенции о защите прав человека, то ЕС кладет болт на тех, кто одновременно неграждане и непроживающие в ЕС. Они никоим образом не входят в официальную сферу интересов.

Поэтому по процитированным условиям стоит логическое «И».

И соответственно локальный физический магазинчик в Бразилии, который насобирал прямо у себя ПД граждан ЕС, которые физически в него зашли и дали эти данные, не должен выполнять правила ЕС по обработке ПД.
Смотрите, 1 статья про обработчика данных в ЕС. Вторая про обработчика вне ЕС, но данные в ЕС (онлайн-магазинчик в бразилии для ЕС).
Более того, Data subjects — это любые люди, не только граждане. Прямая цитата:
Recital 14
(14) The protection afforded by this Regulation should apply to natural persons, whatever their nationality or place of residence, in relation to the processing of their personal data.
Если честно, то я не вникал в эти тонкости, потому как у меня нет зарегистрированного юрлица в ЕС, но судя по конвенции о защите прав человека и вытекающих прецедентов, ЕС не интересуется «чужими» жителями (кроме своих граждан).
Мы разобрались благодаря российским клиентам с «мамой» в EU. В общем пришлось соответствовать еще и GDPR
В общем skyeng попал имхо на несколько сотен тысяч евро как мин имхо, ежели кто наябедничает. За две минуты в гугле нашел пример штрафа
www.cpdp.bg/en/index.php?p=news_view&aid=1514
Мы разобрались благодаря российским клиентам с «мамой» в EU. В общем пришлось соответствовать еще и GDPR

Ну, многие перезакладываются, поэтому я бы не стал это считать доказательством. Мне из моего варианта прочтения кажется, что защита идет только ПД граждан и жителей ЕС.
а где пруфы то? где базу можно увидеть на продаже?
я хочу дойти до источника и убедиться
дайте ссылку в даркнет если есть
какой то мутный канал в телеге что-то запостил и куча сми тупо копипастят вставляя мнения «экспертов» ))
ну я и раньше догадывался как делаются такие новости, но реально пока не сталкивался
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Другие новости