Комментарии 100
А для компаний есть какая-то ответственность за подобные утечки? Или там всё в соглашении шито-крыто?
В ноябре 2021 года суд оштрафовал Oriflame на 30 тыс. рублей за утечку персональных данных 1,5 млн российских клиентов, включая скан-копии их паспортов. Эксперты считают, что ущерб для пользователей от таких утечек может быть в сотни миллионов рублей — мошенники могут брать по документам из утечки микрозаймы, оформлять сим-карты или кошельки платежных систем и даже попытаться украсть деньги с банковских счетов пострадавших клиентов с помощью социальной инженерии.
Мда. С таким "наказанием" и смысла компаниям париться о безопасности данных нет
О, эту новость я пропустил. Ну хоть какие-то подвижки в этом вопросе есть. Надеюсь введут штрафы. Хотя я не сторонник всё обкладывать штрафами, но другого действенного способа пресечения, кроме заградительных штрафов, в голову не приходит.
Тут смысл в том, чтобы обеспечить безопасность данных стало дешевле, чем не обеспечивать.
Ну да. Чтобы для компании выгоднее было обезопасить данные, а не оплачивать утечки. Просто штраф должен быть наказанием, а не стоимостью. Ну а компании будут делать как выгоднее им, что в целом то правильно.
Это ненадолго ... оборотные штрафы
Простите мне мое невежество, но что остановит крупные фирмы от основания прокси-фирм? Ну кроме затрат на разработку технического решения:
Разрабатываем микросервис, хранящий ПД, принадлежащий ООО Ромашка.
Пользователя в ToS'e уведомляем, что обработкой и хранением ПД занимается Ромашка.
В остальных сервисах хранится только ид пользователя, а данные дергаются из микросервиса в момент необходимости отображения.
"
Устанвнойоборот" ООО Ромашка 10 тыр в год.
Voilà - теперь если "утечет", то утечет совсем все: и такси и еда и маркет, зато штрафов будет всего на сто рублей.
Вы не поверите, но Яндекс уже так делает. Например, при проведении их Weekly Offer всю информацию об участниках (а это на минуточку включает как минимум полные паспортные данные) собирает оао "рога и копыта".
А вот именно поэтому и нужен суд с человеком внутри, а не скрипт. Потому что человек может разобраться, кому же действительно клиент передавал данные и кто этими данными действительно пользуется.
Точно так же было с такси. Там тоже выяснилось - владелец такси один, водитель другой, таксопарк третий, а Яндекс просто информационный сервис. Но суд разобрался и решил: заказ через приложение Яндекс, деньги ушли Яндексу, на машине было написано Яндекс - вот ты, дорогой Яндекс, и плати. А что там у тебя в ToS написано и кого ты нанимаешь подрядчиками - это твои трудности, сам с ними разбирайся.
Вот интересно. А за утечку информацииони не хотят возместит ущерб всем чья информация улетучилась неизвестно куда?
включая скан-копии их паспортов.
Когда в государстве каждая шарашка, каждый вахтёр на любой проходной в праве требовать паспорт, в праве его сканировать, утечки были и будут. Почему не сделать какой-нибудь id, получаемый на гос услугах или в мфц, который бы был привязан к реальным паспортным данным, и чтоб этот id можно было бы сменить быстро, просто, сколько угодно раз и за 20 минут. А доступ к реальным данным чтоб имели только гос органы, ЦБ. У меня, например, работа разъездная, и для прохода в любую организацию нужно оставлять свои данные. Есть уже сотни мест, где лежит скан моего паспорта, а по другому никак.
Есть разница - пара десятков паспортов в день, которые, только теоретически, вахтер может попытаться отсканить. И БД, куда собираются тысячи сканов в автоматическом режиме
В этот раз может прилететь по полной. Пользуясь этой утечкой тот же ФБК уже нашел очередную квартиру любовницы путина за сотни миллионов: https://twitter.com/SobolLubov/status/1506611213530247173
Так что тут нарушены не абстрактные права человека, а права человека вполне конкретного.
На счет компаний не знаю, но вот у наших чинуш (государства) такой отвественности нет. Оно само об этом заявило. Пруф:
https://thebell.io/utechki-ne-nashi-gosudarstvo-ne-budet-otvechat-za-poteryu-personalnyh-dannyh?ysclid=l09abvrgb4
Встречный вопрос: а сколько пострадавших пишет не гневный коммент на Хабре/Пикабу/Отзовике (нужное - подчеркнуть), а жалобу в РКН?
Уже. Пусть теперь разбираются.
Вроде как по такому вопросу можно сразу направлять (без досудебки) исковое заявление о компенсации морального вреда в связи с незаконной обработкой персональных данных. Ну и дополнительно конечно в РКН. Вечером займусь
Поосторожнее с формулировками: в связи с нарушение порядка обработки ПД, а не незаконной обработкой ;)
Здравствуйте! Я с вами. Как с вами связаться?
В россии моральный вред вообще тухлое дело. Если что и отсудите, то копейки какие-то. У нас-то и жизнь человека стоит копейки, что уж говорить о каком-то субъективном моральном вреде?
Штрафы, как уже писали выше, копеечные. А выписать штраф несколько миллионов раз, за жалобу от каждого из списка, нельзя по закону. Дважды за одно нарушение не штрафуют.
А вот тут бабка надвое сказала: в сухом осадке мы имеем набор ПД конкретных индивидов и факт их утечки, и я не вижу даже в теории способа доказать, что все эти наборы утекли в ходе одного нарушения порядка хранения/обработки, а не отдельных эпизодов. Ну и почему, собственно, нельзя оштрафовать за утечку ПД Иванова отдельно, а ПД Сидорова отдельно (при наличии заявлений от обоих) я тоже не понимаю (хотя допускаю, что такой случай оговоривается законом, но тогда см. п.1 рис.1 фиг.1).
Так где эту базу хоть посмотреть можно.
Кто-нибудь в курсе, можно ли где-то свои данные проверить на предмет утечки?
Пытаюсь выяснить что же конкретно утекло и за какой срок. Жду ответов.
Вообще довольно глупая ситуация: твои данные свободно гуляют по инету, а ты не можешь легально получить эти самые свои данные у непосредственного участника.
На почту вчера приходило. Выглядит так:
ок, а что дальше то делать? допустим утекли данные, как пишут выше, недобросовестные граждане могут этим воспользоваться. как тогда себя обезопасить?
хм, а формулировка то расплывчатая: "информация о заказах". чувство что у кого появился список кто и что заказывает, но никак не персональные данные. у меня например нет явной ассоции заказ = персональные данные.
хм, а формулировка то расплывчатая: "информация о заказах". чувство что у кого появился список кто и что заказывает, но никак не персональные данные. у меня например нет явной ассоции заказ = персональные данные.
Судя по картинке из статьи, в них входят адреса доставки, что уже весьма чувствительно.
Про номер телефона даже в письме Яндекса прямым текстом сказано.
и другие подробности
Ну пральна. "Злоумышленники могут знать не только ваши ФИО и телефон, но и ваш адрес проживания/работы плюс то, какую еду вы можете себе позволить" мрачновато звучит.
предотвратить распространение
Можете поинтересоваться, что именно они для этого делают? Пишут хозяевам трекеров/телеграм каналов "выкачайте обратно"?
Вероятно, их рано или поздно сюда загрузят: https://haveibeenpwned.com/
Один мой знакомый будто бы рассказывал, будто бы в Яндексе вообще плохо с защитой от внутренней угрозы. Людям доступны данные, совершенно не касающиеся их зоны ответственности, в том числе персданные.
Доверие сотрудникам - это хорошо, однако здоровая безопасность точно должна быть. Особенно в чувствительных областях - там, где хранятся фамилии, адреса, телефоны.
Тут есть ещё один интересный момент, который ещё больше ухудшает ситуацию. Так сложилось, что российские службы доставки еды живут на каких-то безумных инфраструктурах из внутренних систем, внешних систем, всяких облачных хранилищ, чатов, заметок, групп в WhatsApp и ICQ (!). И это далеко не все. Одна из главных причин такого ада - это подход «Работайте, как вы будете это делать нас не волнует, но если не сможете, лишитесь премии и работы». В итоге получается, что вполне реальна картина, когда безопасники закрывают маленькую базу и радуются, а рядом лежит открытая база гораздо большего размера.
И да, новый сотрудник (даже не айтишник (а скорее не айтишник, у него столько доступов не будет)) в сервисах доставки потенциально получает доступ к очень большим объемам данных о клиентах и других сотрудниках. Не говоря уже о руководителях начального уровня.
Лет 5-6 назад такого не было. Доступ до прода очень сильно контролировали и мониторили кто что делает...
Зная, каких пиd@расов по объявлениям сейчас набирают в айтишные фирмы, это неудивительно. А уж кто в здравом уме пойдет работать в Яндекс, где зарплаты ниже рынка? Только 20-летние "техлиды" за опыт и строчку в резюме.
Якобы человек, которому нужно было заниматься, ну например, подсчетом эффективности работы пунктов ПВЗ, имел доступ к базе с детализацией по составу заказа в доставке, адреса и фио. О принципе минимальных привилегий там не слышали.
В SQL базе разработчики сидят, все остальные пользуются готовыми инструментами, который может и не предполагает функции скопировать все, но доступ к базе внутри может иметь.
Было бы интересно прочитать статью, как правильно организовать работу с такими данными. Мне кажется, что такие утечки случаются в том числе из-за незнания. Я не спец в этой области, но кажется, что сотрудники должны видеть некий id пользователя, но не его данные. Разве что во время звонка можно показывать имя-отчество.
Такая статья должна снизить стоимость разработки такой системы, а значит больше компаний смогут ее внедрить.
Эти новости не связаны?
https://habr.com/ru/news/t/647975/
Вспоминая, что милицейские базы всегда очень быстро оказывались на митинском рынке
Человек таким образом хотел помочь армии Украины, чтобы те звонили автодозвоном. Зачем он это сделал - решительно непонятно
Почему бы Яндексу не выложить тогда эти утекшие обезличенные данные в виде датасета куда нибудь на HuggingFace, чтоб датасайнтисты могли новые модели тренировать. Хоть польза была бы для мира.
Когда я понял, что качество еды никак не соотносится с картинками и описанием в каталоге "еды", и нет отзывов заказавших ранее, а также нет никакой гарантии, что заказ согласятся доставить в твою точку, я понял, что максимум, что у Яндекса более-менее получается - это такси. Даже с поиском в последнее время стало не очень... Так что тут не новость, спасает то, что в половине случаев покупок я всегда оставляю левые данные типа имен и тп.
жалобу в РКН
Писал разок в Роскомнадзор по поводу фин-услуг поверх мобильной связи .
Судя по их ответам, специалистов у них нет совсем.
Боюсь, что не решит такое обращение, но проверить стоит.
Поделитесь ссылкой на эту карту, пожалуйста.
Сервисами яндекса не пользуюсь, но родственников в утечке нашел.
Посмотрел базу. Для многих есть :ФИО, телефон, e-mail, адрес, на сколько рублей заказал .
Очень интересно смотреть на соседей, можно узнать неожиданных мажоров ))
самое главное в этой базе есть геолокация с телефона во время заказа с координатами
x/y
id,first_name,full_name,email,phone_number,address_city,address_street,address_house,address_entrance,address_floor,address_office,address_comment,location_latitude,location_longitude,amount_charged,user_id,user_agent,created_at,address_doorcode
Дайте ссылку, please
Скиньте ссылку плиз на sql или сам сайт
Если бы только это.
У меня на днях учётку Origin пытались угнать, привязанную к почте Яндекса.
Заметил потому, что злоумышленник быстро стирал письма от Ориджина - но у меня заглючил мобильный и оповещение о письме о смене логина осталось в "шторке" с оповещениями.
Судя по тому, что ни контрольный код на телефон не приходил, ни посторонних приложений привязано не было, - наверняка кто-то из сотрудников попытался спереть и перепродать.
Быстренько попереносил свои учётки на другую почту, потом написал в техподдержку Яндекса - ни ответа, ни привета.
Скиньте, пожалуйста, ссылку
Господа да там все свои.. никто не даст вашим данным двигаться дальше каких ни будь кредитных организаций или фирм с сопутствующими услугами. Бизнес и только. Не будет беспредела, иначе тупо всех закроют.
Иначе бы больше 50% населения уже давно платила кредиты которые не брали.
Скиньте пожалуйста ссылку на скачивание самой базы в лс
Ребята скиньте ссылочку на базу посмотреть!
можно ссылочку тоже?
В свободном доступе выложили архив сервиса «Яндекс.Еда» с данными заказов клиентов, «Яндекс» ранее подтвердил утечку