Комментарии 103
Нужно больше ТСПУ, нужно больше заботы от РКН, нужно ещё пару дохреллиардов денег, и неплохо бы сделать отдельное Министерство заботы о персональных данных и принять несколько очередных мешков Яровой. Вот тогда точно заживём.
Да персданными и так как раз РКН занимается, кстати.
Ну так Призма Яровой и "технические средства противодействия угрозам" - это ж только заявлялись, что якобы для безопасности. А на самом деле для информационной безопасности они как раз бесполезны. Но очень полезны для противоположных целей... (ну или для безопасности, только не обычных граждан, а тех, кто при власти)
Я и не спорю даже. Но РКН и персональные данные это на деле какие-то абсолютно параллельные вселенные. Вроде они и должны заниматься, и по хорошему, превентивно. А по факту - как звонили всяческие удоды, так и звонят. Что, собственно, мешало те же ТСПУ настроить для детектирования такого трафика, тем более из периметра крупного агрегатора персданных? Угроза ли это по факту? Да, угроза перс данным. Но при власти с перевернутыми вверх ногами понятиями о добре и зле понятное дело для кого и для чего они так настойчиво ставились...
Что, собственно, мешало те же ТСПУ настроить
Например то, что ТСПУ установлены не информационной безопасности. А для возможности цензуры и отключения связи.
Хотели б на самом деле сделать то, что в своё время декларировали ("обеспечить устойчивость в случае, если враги кабели в заграницу перережут") - ставили бы не DPI с централизованным управлением трафиком (заодно еще и SPOF в виде этой системы управления трафиком), а связность сетей увеличивали, и не ТСПУ за счёт государства ставили, а обеспечили бы за счёт государства (раз так денег потратить хотелось) каждого провайдера резервным каналом связи "внутри страны", а маршрутизаторы у провайдеров и без РКН (и лучше РКН) разберутся, куда им пустить трафик в случае проблем с каким-то из каналов.
А всего лишь достаточно одного - просто не мешать. Не государство строило телеком, прокладывая новые ЛС, выбрасывая километры говняной телефонной лапши - и не ему его ломать. Ни одного полезного RFC не внесли, зато с суконным рылом лезут регулировать и управлять.
Интересное отклонение обсуждение: течет телеком, а виновато государство.
Началась диалектика... Виновато в том, что при ограниченных людских ресурсах со стороны того же Билайна придумывает очередную идиотскую нормативку, заставляя персонал отвлекаться на её изучение и соблюдение. А содержать резиновый штат оператор, в отличие от армии бюджетников - не может. И в данном конкретном случае нисколько не оправдываю Билайн - косяк их, первопричина же его - нет.
А причем здесь резиновый штат. В заметке идет речь о том, что некие спецы выставили за периметр свой сервер (на Эластике). Им было по каким-то одним ведомым им причинам так удобно (шефу справочки поднести, или дэшборды показывать, типа как у нас всё растет. Потом, за красоту бонус получить). Т.е. речь идет о некомпетентности этих спецов, или их трусости, если не могли объяснить, что так делать нельзя.
Ок, всегда в любом коллективе есть такие люди - такова наша природа и от ошибок никто не застрахован. Но зачем тогда нужен этот огромный штат контролирующих и проверяющих ртов? Какая польза от них? Защитили данные? Предотвратили утечку? Будет ли кто-то из них наказан? Вопрос риторический, ясен-красен.
Глупо ненавидеть подневольное государственное дупло, не находите? Тем более что у него иногда проскакивают "зайчатки разума", как в случае выделения частот в 5GHz диапазоне для WiFi. Это раз. А два - перспективы бодания с государством прекрасно ощутил на себе, когда сотрудники полиции убили родственника с целью завладения принадлежавшей ему квартирой и начали делать там ремонт силами сидельцев из местного СИЗО. Удалось только отстоять саму жилплощадь, и то в областном суде, но сам факт насильственной смерти человека не затнтересовал никого из палочно-надзорной братии
Ммм, интересно, расскажите подробнее будьте добры. То есть Вы подали заявление на действие/бездействие сотрудников РКН, когда они не смогли предотвратить утечку и государственный уроборос укусил себя за хвост? И, да, пожалуйста не стоит приписывать словам собеседника какую-либо эмоциональную окраску, не приветствуется такое в приличном обществе. Спасибо.
Нет, я не подавал заявление на бездействие РКН, вылившееся в утечку, обнародованную неделю назад, и по этому неподанному заявлению уроборос не кусал себя за хвост по указанным объективным причинам.
Позвольте напомнить исходную точку нашего диалога: РКН мышей не ловит, допустил утечку, никто не наказан. Вот каковы, по-Вашему, должны были бы быть действия сферического РКН в вакууме (машину времени не предлагать, это не фэнтези)?
Действия сферических коней в вакууме примерно следующие, как в принципе государства здорового человека, а не курильщика: создавать единые правила игры для всех участников и следить за их исполнением, помогая тем, у кого не получается и наказывая нарушителей. Применительно конкретно к данному кейсу - перестать защищаться от граждан, занимаясь установкой на сетях всякого хлама, переориентировав его на действительные угрозы и проводить аудиты крупных агрегаторов пдн не с целью заработать денег и отчитаться о палках, а чтобы действительно защитить права и интересы этих самых граждан, причём так, чтобы сами компании-агрегаторы не испытывали стресса от прихода таких проверяющих гостей. Но, поскольку в нынешнее время это абсолютная утопия, позвольте на сей прекрасной ноте софистику окончить.
Постойте, уважаемый. Ранее вы сами же написали, что благодаря вашему заявлению кому-то там куда-то что-то вдули и я попросил подробностей. В ответ получаю что теперь я что-то должен. Так диалоги не ведутся, извините.
Нет, я не подавал заявление на бездействие РКН
Если интересует, на что же тогда подавал — на незаконный оборот моих ПД, вот, например…
начать расследование - смотреть логи, сравнивать данные... пытаться узнать - утечка была по халатности или целенаправленный слив? Или это дело прокуратуры и следственных органов? Но как минимум отштрафовать юрлицо - почему нет?
Боже какая же жиза! Нашел еще пару лет назад дыру у одного из крупных мебельных магазинов, которая позволяет получить ЛЮБОЙ заказ (даже отмененный!) и посмотреть все данные заказчика, включая телефон и адрес.
Написал в магазин — не ответили, дозвонился до их технарей кое-как — сказали "ага угу". Прошел почти год, дыру не закрыли — накатал письмо в РКН. Получил ответ уровня "а покажите пожалуйста как вы получаете незаконный доступ к компьютерной информации". Хорошая попытка, товарищ майор.
В итоге забил, даже статью на хабр писать не стал (там все-таки и мои данные в том числе). Прошло уже пару лет, дыру так и не закрыли.
Виновато в том, что при ограниченных людских ресурсах со стороны того же Билайна придумывает очередную идиотскую нормативку, заставляя персонал отвлекаться на её изучение и соблюдение.
А мир вообще не идеален. В том же ЕС придумали GDPR, по итогам определенные фирмы со всех причастных стряхивают около 100 евро/сервис за приведение к новым нормам.
Проход в уровень "А вот в Америке вообще негров линчуют" засчитан. Что-то не слышал о том, чтобы в Европе местные регуляторы были заняты внесудебными блокировками неугодных ресурсов на оборудовании, якобы предназначенном для противодействия мифическим угрозам и заставляя операторов связи ставить на своих сетях всякие Ревизоры и прочий наколенный хлам, чтобы автоматически выписывать себе премии.
Что-то не слышал о том, чтобы в Европе местные регуляторы были заняты внесудебными блокировками неугодных ресурсов
Поискал по теме, статья на Хабре
14 ноября 2017 года Европарламент одобрил регламент государственной кооперации в области защиты прав потребителей Consumer Protection Cooperation (pdf). Этот документ расширяет обоснования для блокировки веб-сайтов на территории стран Евросоюза. Представитель Пиратской партии в Еворпарламенте Юлия Реда (Julia Reda) объясняет, в чём главная проблема нового документа. Дело в том, что он позволяет национальным организациям по защите прав потребителей приказать любой неопределённой третьей стороне блокировать доступ к веб-сайтам без судебного решения.
Но упоминаний о заблокированных ресурсах я не встречал. Используется ли такая возможность вопрос открыт.
Насколько я знаю регуляторику, возможность блокировки сайтов в ЕС действительно есть. По крайней мере финансовое мошенничество было и в Германии точно за отрицание Холокоста. Но опять же для этого необходимо решение суда, а не левой пятки, что опять же, к сожалению, не в пользу РФ, где по желанию пяток начали блокировать DNS и DoH. Посмотрел у себя на роутере birdc show protocol all и вижу Import updates: 19567 (агрегация по /24 сетям). Страшно представить сколько бумаги и леса извели, если честно по закону все блокируют (сарказм)
Ну потому что государство вместо создание условий для того, чтобы не текло, строит Призмы Яровой и прочие Чебурнеты. Видимо, у товарища майора с предотвращённых утечек и действительно безопасной работы операторов "палок" в отчётности меньше, чем с заблокированных за неважно что сайтов.
Узнаю либералов! Чтобы в стране не произошло, виновата только ВЛАСТЬ. А beeline здесь не причём?.. А представь - ты уехал на дачу и оставил дверь в дом не закрытой и дом "обчистили"... Кто виноват ¿ ты или Участковый мент который в твоё отсутствие не сидел на коврике под дверью и не караулил дом.? Beeline берёт с тебя абонентскую плату не только за связь, но и за конфиденциальность, они и должны заботиться о безопасности.
Реальная власть она в других местах, а не в правительстве и органах.
А причем здесь либералы? Некрасиво выдёргивать утверждения из контекста и переворачивать с ног на голову. Если бы участковому была вменена обязанность сидеть и караулить ключи под ковриками и двери в домах - можно было бы так говорить. У РКН, как у надзорного органа, обязанность такая есть, но тычется почему-то этот государев орган в другие дела, не защищая права граждан, а защищая кого-то от граждан.
Но когда обкрадывали дом — камеры с сигнализациями ничего не заметили.
Но стоило только после 23 случайно громко включить музыку — тут же прибежал выписывать штраф.
Вопрос: там камеры с сигнализациями точно для моей безопасности?
захотел написать умный коммент.. но смысл, этот ресурс на 90% состоит из таких "либералов" и все равно только минусов мне и вам накидают. Тут не популярны такие мнения, что кто-то другой виноват кроме властей. Собака у них сдохла - виноваты власти. Кот подох - тоже виноваты власти. Провайдер не сберег личные данные - тоже власти виноваты. Таковы увы реалии этого ресурса.
Вместо голословных утверждений, перечитайте пожалуйста ветку. Конкретный косяк самого Билайна лично мной и не отрицается. Но корни проблемы действительно глубже. А замалчивать её наличие, переводя дискуссию, начиная шельмовать либералов ли, рептилоидов ли, или еще кого - моветон. Как известно самый трудный путь - путь возвращения к здравому смыслу.
У нас более 20 лет на местах сидят деятели, которые вместо того, чтобы создать систему ответственностей за антинародные действия - эти действия поощряют. Например когда речь про силовиков - давайте все блокировать и удалять, а когда оппозиционер - давайте придадим максимальной огласке все его ПД. Более того, есть специальный орган, который отвечает за надзор: РКН. Так вот занимается он чем-то не тем, чем должен. Например огромной конторе с выручкой в миллиарды могут после крупной утечки и расследования выписать штраф в 100 000р. Такие штрафы явно не стимулируют никакую заботу о ПД со стороны крупного бизнеса - система dlp будет стоить несравнимо дороже. Так что да, если конторы и госы допускают утечку за утечкой, а к слову, у нас не одно ведомство не смогло удержать собранные данные - это наводит на мысль, что проблема не в конторах, а в правительстве и президенте, которым явно не до народа стало - им надо о себе позаботиться.
Согласен. На деле призыв Сноудена требовать от властей УГОЛОВНОЙ ответственности компаний за утечки персональных данных является единственным способом побороть этот беспредел.
Ведь на деле все чем жертвуют корпорации и компании при утечках это своей репутацией (сомнительно), а мы что? А мы рыбки, завтра забудем!
Поцаны давайте поднимать вопрос об уг. Ответственности везде где только можно, пишите статьи, организуйте треды на бордах.. я думаю многим не насрать
Это уже даже и не смешно становится...
Чего говорить о других компаниях которые просто торгуют данными их клиентов. Открыл счёт в банке сразу понеслись звонки с незнакомых номеров, открываешь ООО и ещё до получения документов начинают названивать банки, т.е. сливают прямо из гос организаций.
Ну конкретно с открытием ООО и ИП дело может быть просто в том, что реестры ЕГРЮЛ и ЕГРИП находятся в открытом доступе by design.
Самое забавное, что кто-то из банков при регистрации ИП сливает на сторону реальный номер клиента, а не тот, который был указан в заявлении. В итоге звонят конкуренты этого банка и предлагают свои услуги. К сожалению, не удалось выяснить, кто именно так сливает.
fruit_cake написал «до внесения»
открываешь ООО и ещё до получения документов начинают названивать банки
такая же история с регистрацией ИП. Сначала позвонил тинькофф, через час пришло письмо с налоговой о постановке на учет. И понеслось.... 1500 звонков за 2 суток. Пришлось включать "белый список".
Получается в таком резонансном, казалось бы, событии Билайн не нарушил закон о персональных данных?
Читают тут юристы, выскажите свою точку зрения: что в теории грозит Билайну.
Я юрист ненастоящий, но имхо: смотря что там было. Если паспортные данные - то нарушил. Если только номера телефонов с именем, то может и нет.
Судя по тексту там прям паспортные данные, строчки "ОУФМС России…" и заблюренный docID прямо об этом говорят.
Нам РКН выписал штраф за то, что на мелком форуме с парой десятков активных людей не было политики персональных данных при регистрации (была только ссылка внизу).
При этом персональными данными с точки зрения РКН считались имя, фамилия и почта.
Сейчас уже различными принудительными мерами делают так, что телефон и смартфон в принципе обязательны как паспорт. И все эти пункты договоров, которые есть у каждого оператора становятся соответственно такими же обязательными. А далее ваши данные в обязательном порядке сливаются кому попало со всеми вытекающими.
как будто есть выбор.
— внимательно читать договора и не ставить галки «согласен получать спам»;
— отказываться от договоров, которые не нужны (всякие карты постоянного покупателя и прочий мусор, маскирующий сбор ПД);
— вычеркивать пункты, не связанные с предметом договора (да, так можно);
— жаловаться в ФАС/РКН на спам и незаконный оборот ПД (да, это худо-бедно работает).
В договорах на обслуживание, кстати, может быть пункт, позволяющий передавать номера третьим лицам и организациям в рекламных и иных целях.
нельзя. Это должен быть:
закрытый перечень лиц и организаций, кому передаются данные
и это должен быть закрытый перечень задач, по которым ПД передаются. Например, можно написать, что ООО "Ромашка" данные сотрудников передаются для организации командировок. Или данные клиентов передаются ООО "Альфа-страх" для скоринга рисков. Но не более. Написать, что передаются данные для любых целей, как и ЛЮБЫЕ данные (совокупность данных должна быть четко описана - скажем, ФИО и д.р.) НЕЛЬЗЯ.
Ну не факт, что сливают данные. Может быть просто предоставляют таргетинговый/скоринговый сервис.
Кто качнуть успел? Признавайтесь, делиться надо!
А зачем вам данные миллионов пользователей Билайна?
Вот МТС они очень пригодились. А я то думаю - с какого перепуга мне названивают по 3 раза в день юли и оли с "выгодными предложениями". Честно говоря теперь понятно откуда они взяли мой номер (время начала звонков примерно совпадает с тем, что указано в посте).
PS. МТС, если вы читаете: если вам неоднократно говорят что ваша связь мне на*уй не нужна - заносите уже номера в отдельный список, куда звонить не стоит. Многократные звонки довели меня от равнодушия до ненависти к вашей компании.
Многократные звонки довели меня от равнодушия до ненависти к вашей компании.
Я прошёл путь от полного равнодушия до желания сжечь все офисы Ростелекому, когда каждую неделю они мне звонят с предложением перейти к ним. Но это им не мешает мне звонить.
Похоже, компании реально считают, что в какой-то момент сервер согласится, что его пароль - "Мао Цзэдун".
Последние пару недель от них звонит весьма забавный баба-робоот - свободные речевые обороты не принимает, но хотя бы не требует подтверждения в стиле более глупых AVR - "Вы уже являетесь нашим клиентом? Скажите "да" или "нет"" - последняя версия принимает ответ "уже являюсь", услышав который произносит "Спасибо, извините, что потревожила Вас". Это точно не живой оператор. Или настолько зажатый в скрипты, что пока не завершит фразу, категорически не останавливается, и "Вы уже звонили с данным предложением" игнорирует напрочь.
А точно ли из МТС? Не защищаю их, но просто по телефону можно много чего наговорить, что трудно проверить. Может это колл центр зеков каких-нибудь, выдают себя за МТС, что бы вы им какие-то дополнительные данные слили? В итоге пострадает отношение к оператору, а оператор ничего и не сделает, потому что вообще не имеет к этому отношения
Номеров не так много выделено и МТС и так бы мог обзвонить конкурентов по маске оператора +7 905 **** ** **
Плюс у них есть приложения типа "Мой МТС", имеют доступ к телефонной книжке при желании.
То-то смотрю, последние пару недель активизировались звонки — я в Билайне. Пора снова включать режим «только по контактам».
Кто сказал "отвественность", кто сказал "имидж компании", кто там говорит "могли бы извиниться"?!
Сейчас данные видны? Нет! Продолжим рекламировать Бабу Ягу!
Любой желающий, скачав 4,1-терабайтный файл...
Всего-то. Как жаль, что я забыл 4,1 терабайтный диск в других штанах.
Так это, в любом ДНСе лежит подходящий HDD, стоит порядка 12к. Думаете, это дорого для такого объема данных?
Это не для любого желающего. Ещё и качать всё это дело сколько дней. Может потому база и висела в доступе столько времени - админ нормально бэкап не настроил, пришлось через диалап качать на целевую машину.
Это ерунда. Он еще наверняка неплохо пожмется, если его на раздел с ZFS и lz4 закинуть, например.
А почему такой большой объем? Для миллиона пользователей будет 30 байт на ФИО, 20 байт на email, 10 байт на номер. Это 60 мегабайт непожатого текста на миллион пользователей. В архиве сжатие будет раз в 100.
Судя по скрину, там xml в jsone, плюс всякие служебные поля. Так что оценку в 60Мб можно умножать на 10 минимум. Но все равно, 4 Тб это как-то много. Может быть, там блобы со сканами паспортов, или нагенерированные абонентские договоры на каждого пользователя. Пояснить сможет только тот, кто это видел.
Я таки извиняюсь, но даже мои – не самые экзотические – ФИО требуют 54 байта. Плюс, обратите внимание, что там ассортимент хранимых данных, в общем-то, вполне себе внушительный. Они там даже ФИО отдельно на составляющие разбивают и хранят. Плюс по паспорту тому же не только номер, но и кем и когда выдан. Плюс обёртка XML/JSON вокруг всего этого. Так что 4 Tb меня лично не удивляют.
Ну пусть поле будет даже 1000 байт, после сжатия простейшим ZIP архиватором поле будет урезано до 10 байт. Кем и когда выдан повторяющаяся информация, код учреждения из 6 цифр состоит (2-3 байта информации).
4 Тб можно получить растровыми документами. По 1-2 мегабайта сканы и набежит требуемый объем.
В 30 байтов (15 символов) даже ФИ без О далеко не у каждого уместится.
С 20 байтами на e-mail та же история, @gmail.com это уже 10 байтов в UTF-8. А домены бывают и длиннее.
Это3.14здец товарищи!!!
Появляется такое чувство, что Elastic вообще везде торчит наружу.
А потом уведомление на телефон приходит, что нужно актуализировать паспортные данные ?♂️?♂️
Непонятно, почему целых 4 ТБ - тогда как Yota, у которой ну пусть в 10 раз меньше клиентов - влезает на 8 гигов и в 2 гига - если заархивировать. По логике у билайна должно было быть 80 гигов - чисто если ФИО, номер паспорта и номер телефона, в архиве - 20 гигов - значит остальной объём - мусор.
Т.е. архив избыточен в 200 раз.
«Видно, что в названиях индексов с логами фигурируют текущие даты (один индекс — один день) вплоть до 13 сентября 2021 г.», – заявил Оганесян. - т.е. там могут состояния на каждый день храниться, вот с начала например года и набежало....
Скорее всего имеется дополнительная информация, как логи - соединений, платежей и т.п.. Как говорится, все яйца в одной корзине. И в случае Билайна это прям совсем не удивительно.
Участковые с операми уголовного розыска по этой утечке тоже будут ходить по квартирам и просить написать заявление, как они делали после утечки базы Умного Голосования? Или "Вы не понимаете, это другое"?
Уже не первый инцидент с решетом под названием ElasticSearch. Это показывает, что подход, выбранный разработчиками ES — пусть пользователь сам фаерволлами закрывает доступ — не работает в реальности. Не надо делать сервисы без авторизации. Надо делать только с авторизацией и не разрешать ставить пароль короче 16 символов. Сделать примитивную авторизацию по прописанному в конфиге паролю несложно.
Ну и "Билайн" тоже хорош. Как делать правильно: хранить ПД в отдельной, хорошо защищенной базе, а во всякие логи и сторонние базы писать не сами данные, а лишь идентификатор пользователя. А Билайн, сделал ровно наборот. Хотя, как я понимаю, в России большинство программистов пишут в таком же стиле и в вашей компании, уважаемый читатель комментария, делают точно так же.
Вот и звонки от "техподдержки Сбера" начались, два раза звонили спрашивали маму, так-как интернет от Билайна оформлен на нее, но телефон указан мой.
Ой, утекло: сервер «Билайн» с данными абонентов был доступен из интернета