Комментарии 79
И когда я спрашивал у ИБшников (и во всех других где я работал) что они думают по этому поводу и вообще wtf??!!! был железобетонный ответ «ну так все сотрудники подписали NDA и если чёто утечет они за это ответят»
так вот переадресую мой возглас который я говорю все ИБшникам на каждой новой работе где я работал сюда
ЧТО бл*… помог вам подписанный NDA и договор с сотрудником который увёл все данные? вы подали на него в суд и исчерпали инцидент?
ИБшники тваюмать, вбейте себе в свою бошку, что если человека имеющего критический доступ и есть желание чёто свиснуть, не остановит подпись на бумажке — то ПОСЛЕ утечки уже будет всёравно и всем плевать то что он понесет какуюто ответственность.
прям немогу как подгорает… всех везде в это носом тыкал… везде непонимание и «афчомпроблема? у нас договор же!!»… помню меня разок просили выгрузить зарплатную базу крупного холдинга для аудита… на флешку мальчику курьеру… я почти до гендиректора дошел тогда (я рядовой админ)… кое как донес до него что нельзя просто так выдавать такие данные за контур компании даже если это аудитор… при том что у нас безопасность во все щели, а я ему чутьли не в голом виде на флешку где фотки любимой бабули эту инфу скидываю… аудитор потом на меня волком смотрел что ему пришлось у нас в офисе месяц сидеть и через терминалку (откуда ничего нельзя выгрузить, интернета нет и флешку не воткнешь) цифры смотреть… какой блин я нехороший.
А я видел, как чертежи для оборонки по почте Яндекса пересылают :) Собственно, у меня все.
Тут вопрос немного не к ИБшникам а к руководству, которому расходы/поползновения/инициатива ИБшника не нужна - это всё мешаеь делать деньги. Штрав за утечку ПДн (если вообще наложат) 60-100 тыс. руб., да и фиг с ним, можно пренебречь :)
Грамотный ИБшник не устраивается на работу, где нужно доказывать свою необходимость. А остальные в основном бумажками прикроются, кто-то даже с юристами местными проконсультируется, а что-то реально необходимое развивать не будут - они просто не знают что такое существует (как вариант ИБшник вообще знакомый МВДшный пенсионер директора).
а к руководству, которому расходы/поползновения/инициатива ИБшника не нужна — это всё мешаеь делать деньги
совершенно понятно что руководство в этом не разбиратся и не хочет этого делать. соответственно нужны люди или регламенты которые донесут да него это. в моем случае это был навязанный МПС стандар PCI DSS, в другом случае тотже PCI и в дополнение к нему SOX и еще какойто местный стандарт который требовали акционеры чтобы снизить биржевые риски если будут какието подобные инциденты (и их можно свалить на аудиторов например… типа ну вот делали что могли, всему соответствуем… а тут такое..)
меня печалит что почти весь ИТперсонал точно также как руководство не понимает зачем это всё нужно… воспринимая это как 'тупые админы всем запретили'
Люди и регламенты нужны, но такое возможно только в более-менее крупной организации. К сожалению у большинства ассоцияаиця, что ИБ это где-то в ИТ.
Но ведь ИБ не только компьютеры защищает, но и информацию. А информация не только на компьютерах обрабатывается.
Тоже не панацея, регламент можно соблюдать, а можно имитировать.
Я был в двух разных конторах которые с нуля сертифицировались… и попадал на промежуточные этапы, когда аудит проходить уже надо но еще не все процессы перестроены… очень… ооочень тяжко имитацию переводить в такой вид чтобы аудиторы были довольны
одно только требование сохранять все версии конфигурации настроек телеком оборудования и писать результат расследования на каждый тикет ids системы или warning фаерволла отобъет всё желание дырки просверливать в обход регламента
помню меня разок просили выгрузить зарплатную базу крупного холдинга для аудита… на флешку мальчику курьеру…
И в чём проблема? Пакуем базу в rar с паролем, пароль передаём аудитору по другому каналу.
Да и слив это слив, пойди докажи малограмотному суду что база утекла через кого то, плюс потеря репутации, а там не важно кто и как допустил утечку.
Проще не допускать возможность скачивания/передачи базы. Только просмотр по одной записи, с допусками и логом обращений. Как выше и сделали.
Доказывать суду — это вторично, первично — самим понять, как возникла утечка.
Проще не допускать возможностьРазумеется, но в данном случае решается вопрос не защиты данных, а контроля канала утечки.
А как это поможет тем, чьи данные утекли?
Извините нас, пожалуйста
Главный специалист по утечкам в Яндексе жадина Маресов забыл даже скидочные купоны предложить пострадавшим от эпического факапа. С чего извинять то?
Мы связываемся с регистраторами и облачными хранилищами — чтобы разделегировать домены и удалить файлы с информацией о заказах. К 23 марта большинство провайдеров уже заблокировали ресурсы, которые распространяли утёкшую информацию, — они недоступны на территории РФ.
Толку от блокировок, если обойти их и ребёнок сумеет. И блокировка методов обхода тут никак не поможет. Пока есть интернет, найдут как распространить/продать информацию.
Это битва меча и щита и щит всегда будет срабатывать с запаздыванием.
Сколько может стоить подобная база в даркнете? А штраф всего-то до 100 т.р. Можно обновлять "утечки" в даркнете, получая кэш\крипту и откатывая государству маленький скромненький штрафчик.
Пока не ужесточат ответственность - сливы информации не прекратятся. Было бы 60-100 т.р. за каждый уникальный экземпляр данных в слитой базе + людям компенсации, думаю реакция была бы совсем иная.
МПС ушли, топовые аудиторы тоже… все забъют на PCIDSS или нет? (на срок действия карт забили прям сразу)
а ведь в свое время насильное насаждение этого стандарта со стороны МПС сильно улучшило вопрос ИБ с картами
это в дополнение вопросу по штрафам и ответственности… очень похожее кмк
Expiration является частью реквизитов карты, то, что карта используется после его истечения, не делает его бесполезным. Данные карты нужно вводить так же, как указано на ней.
срок действия карты это один из элементов пассивной безопаности, чтобы зааффекченные в утечке карты не могли вылежать годик-два в дампе, чтобы скрыть утечку, а потом использоваться, они просто протухнут по сроку действия
но теперь чо… можна… жгите, надо еще cvv отменить (нафиг он нужен пережиток прошлого) и 3ds (смски на него тратить, всёравно у нас нифига нормально механизм опротестований не работает так как задумывался)
3DS защищает магазин, а не клиента. Амазон явно не глупее вайлдберисов всяких. И таки да, лучше развивать механизм оспаривания, вместо костылей. Смски вообще так себе метод и в авторизации им не место. Правда убедить бабушек и школьниц использовать otp-еще сложнее. Вывод, вернуться как раз к чистому стандарту, без свистелок и переделок. Развивать оспаривание, благо теперь это можно делать быстрее
3DS защищает магазин, а не клиента.
это в условиях всяких опротестований и борьбы с фродом
а у РФ чтобы написать заявление на фрод, вам сначала лекцию прочтут что 'у вашей карты нет такой функции, вы не купили засчиту от мошенников' потом отправят в полицию, а уже потООМ дадут бланк на заявление на оспаривание.
Развивать оспаривание, благо теперь это можно делать быстрее
не верю, там явно никто не заинтересован в этом
Закон о национальной платежной системе и возврате за сутки же приняли. А то, что люди не знают своих прав и теряют эти сутки, слушая маринок..
попробуйте в банк придти и попросите отменить операцию по карточке или вернуть отправленные деньги. вам мозг насквозь просверлят чтобы вы упасибоже ненаписали заявление на опростестование
А то, что люди не знают своих прав
дело не то что в знании прав, а в том что бегать по судам никто не хочет
Я давно уже непосредственно на карточных счетах не держу какие-то ощутимые суммы, только на повседневные расходы. Остальное на отдельных счетах, без привязанных карт.
Емнип, самый первый уровень PCI DSS можно получить просто за красивые глаза. И автоматизированные проверки там вида «О! А у вас кука языка без требуемого параметра». Проверка проходит автоматически, на выходе - отчёт в pdf. Про то, что под капотом, мало кто парится. Плюс можно же просто логотип на гейт воткнуть. Так что, я думаю, всё будет как было)
Ну такое...
Я не защищаю яндекс, но...если ответственность будет слишком сурова - кто из компаний вообще захочет заниматься такими вещами?
Ошибку допустить может каждый и если после каждой ошибки на виселицу сразу - так никого и не останется рано или поздно...
Вот и появится стимул не хранить все персональные данные просто на всякий случай. В конкретном примере яндекса, данные могли бы храниться в приложении пользователя на телефоне, потом класться во временную табличку для активных заказов и после выполнения заказа удалятся. Если хочется облегчить пользователям установку на новом телефоне, данные можно хранить зашифрованными, а ключ шифрования генерировать из пароля пользователя на устройстве.
Если действительно беспокоится о безопасности ПД, то чуть-чуть поменяв дизайн системы можно полностью исключить все подобные утечки.
Да можно что-то придумать, всегда можно сделать лучше - быстрее, надежнее. безопаснее.
Но чем безопаснее - тем менее удобно для пользователя и дорога.
не бывает прям идеальной системы, чтобы "и нашим и вашим", всегда какой-то баланс ловить приходится.
Конкретно в вашем примере - так просто не получится.
Пользователь делает заказы с разных устройств, иногда с ПК, иногда с телефона, иногда с другого телефона, иногда даже не для себя - чтобы ему было удобненько, а в некоторых случаях чтобы вообще кейс сработал - нужно как-то данные синхронизировать.
Данные о заказе нужно передавать курьеру - имя, адрес, состав заказа, сколько денег взять. Данные о заказах нужны для аналитики самой компании.
Все это бизнес-требования, никуда от них не деться, убери что-то одно и вся система станет не рентабельной.
Давно прошли те времена, когда "знаю как поднимать 500% прибыли, летим, там много вкусного" - сейчас эту лапшу только инфоцигане на уши вешают, а бизнес работает на долях процентов. И чтобы эти доли не потерять - важна каждая мелочь.
Конкурнецияс.
Данные передаются курьеру, конечно. Главное их потом не хранить просто вот так в базе. Пусть или пользователь их каждый раз заново вводит или вводит пароль на каждом устройстве, чтобы зашифрованные данные расшифровать и презаполнить формочку. Незашифрованные данные живут только во время обработки заказа, ну и в приложении у конкретного курьера.
Это предельно простой принцип же: не хранить данные, если это не необходимо, и шифровать данные в хранилище и при перемещении. Это не сильно сложнее, но это надо помнить делать.
До 100 тыс. за утечку? Думаю, пока не будет оборотных штрафов, дело с мёртвой точки не сдвинется
компании грозит штраф в размере от 60 тысяч рублей до 100 тысяч рублей
Сам удивляюсь, но мне даже нечего сказать
Здоровенная международная компания, одна из самых богатых на айтишном русском рынке, наравне бодающаяся с гуглом - выплачивает штраф за чудовищный факап, в размере среднего месячного чека за пиццу команды из 3-4 ее разработчиков
А извинения, как уже заметили - детское "мы больше не будем", даже не предложив какихнить промокодов на небольшой скидос пострадавшим
Это даже не наглость, а..
//машет своей собственной рукой
Да и ... с ним
даже не предложив какихнить промокодов на небольшой скидос пострадавшим
Может быть и предложили, не будь утечка в таких масштабах. Пострадавших 7 миллионов. Если каждому дать по 1 рублю, то это уже 7млн. рублей. Но вряд-ли кто-то оценит такую щедрость. Если раздать по 100р., получается больше полумиллиарда.
7млн это если деньгами раздавать. А купоны это записи в бд и растянутая (все сразу не ломанутся) "недополученная прибыль" (которая ещё и может сработать на руку в перспективе, так-то реклама и скидки тоже, в общем-то, "в убыток") + не все их вообще потратят (а купоны часто дают на определённый срок, после которого они аннулируются). В общем, так себе финансовая потеря, на самом деле.
И куда вы денетесь с подводной лодки? Uber eats закажете?
Когда утечка произошла и данные обнародованы, всё, что тебе остаётся, — пытаться не дать им распространиться дальше.
А я всегда думал нужно предотвратить повторение подобного, а оно вон как оказывается. Хорошо что я не пользуюсь сервисами Яндекса.
"Все, что попало в интернет – остается там навсегда!"
Мы добиваемся блокировки сайтов и каналов, которые публикуют данные. Мы связываемся с регистраторами и облачными хранилищами — чтобы разделегировать домены и удалить файлы с информацией о заказах.
Решение из серии "Если закрыть глаза на проблему – проблема исчезнет!"
У нас как-то взломали рядовой сайт. Ничего серьёзного, просто "спамилку" поставили на сервер. Так мы потом усердно выясняли как это произошло и как избежать повторения подобного. А не пытались всех и вся заблокировать.
Все бы существенно упростилось, если бы для заказов не надо было указывать никаких данных. Если бы сервисы яндекса не брали данные друг от друга. В маркете, например, одно, а в еде- другое. А в плюсе -третье.
Если бы взяли за вариант делать такие же подставные телефоны, как делает авито.
Сливщика посадить. Или штраф дать громадный. Такой чтобы всю жизнь выплачивать.
Когда-нибудь человеки, у которых крутятся огромные бабосы типа яндекса начнут пользоваться блокчейном и смарт-контрактами, что бы не ходить под себя из-за каких-то шутников/обиженных сотрудников
приняли меры по распространению утечки, но было поздно;
Тут слово пропущено)
Я что-о не припоминаю, чтобы какой-либо банк так же за утечки извинялся.
Честно говоря, не понимаю, какой смысл блокировать сайты с визуализацией данных, если это только следствие. База определённо уже в даркнете и кому было надо уже купил её.
Сейчас просто модно все блокировать
"Кому надо" понятие растяжимое. Есть профессиональные мошенники, но есть и масса векторов для повседневных злоупотреблений. От преследования людей до банального нагадить под дверью. Да банальная утечка кода домофона уже неприятна.
Разумеется, тут именно визуализация не критична, проблема в самих по себе данных на общедоступном ресурсе с любым простым поиском.
...считает сохранность данных пользователей высшим приоритетом.
Значит, приоритет был такой себе.
При всём при этом удалить историю поездок в Драйве, например, я не смог: в "Управлении данными" показывается, что "данных нет".
Ответ оператора
Печально конечно, но винить в этом исключительно ИБ, значит не знать как оно устроено в реальности. А в Реальности ИБ в обычном бизнес-секторе это просто еще один сервис по снижению рисков. Да что говорить, современные методики управления рисками подразумевают, что мероприятия по обработке рисков не могут стоить дороже потенциального ущерба. При этом, современные риск-методики переносят принятие решения от службы ИБ в сторону владельца актива или процесса. который защищают. А владелец смотрит только на доходы и старается минимизировать расходы, а еще лучше, потенциальные расходы перенести от себя куда-то. Тут дейсвует классический принцип: приватизация прибылей, национализация убытков.
А теперь посмотрим на эту ситуацию с точки современных этих методологий:
приходит ИБ и говорит, тут у нас у аналитиков есть прямой доступ к данным, могут слить. Надо делать то-то и то-то. Стоит это MMM MMM$ (лицензии, спец. софт, оборудование, нужно расширение штата ИБшников, ужесточение регламентов доступа к данным, в идеале надо сделать отдельный закрытый контур из которого доступны данные);
Бизнес:
(про себя) -опять этот козел мешает мне работать.
(в открытую). Оцените риск утечки на основе статистики нашей компании, оцените последствия в денежном выражении. Руковдству я доложу, что по вине ИБ реалзация важных проекты сдвигаются на год, требуется существенное увеличение бюджета, прибыль от бизнеса съест меры ИБ ну и до купы корпоративных баззвордов в духе: снижение удовлетворенности бизнеса и прочие печали.
Чуть позже на комитете по рискам
Мы рассмотрели возможный риск, вероятность такого события оценивается как минимальная, плюс все сотрудуники подписали NDA. Юридиеские последствия не существенны, штрафы на два порядка ниже стоимости мероприятий ИБ. Решение: деньги не тратить, ИБ написать еще одну бумагу про "безопасность" данных.
Если вы думаете, что описанное выше это фантазия. то нет, такова реальность в корпорэйте. И надо зубами бороться за безопасность с матерыми волками от бизнеса. И только лишь пройдя кровь, убытки у менеджмента начнет скалываться более менее адекватная картина мира, не нарисованная консультантами от МБА и риск-менеджмента.
100к штраф и все? А людям кто будет компенсировать неудобства? Тем много медийных личностей стримером, которые скрывали место проживание. У нас фирмы похоже вообще не за что не в ответе. О людях вообще не заботятся.
Возможно, скажу банальность, но при Сегаловиче такой хни не было.
Тааааак, а где промокод на сто рублей всем пострадавшим пользователям? Непорядок.
Извинения не принимаются, советую всем присоединяться к коллективному иску от роскомсвободы, эта помойка должна понести ответственность за свои деяния.
Охренеть, история, конечно. Поэтому никогда не юзала все эти сервисы: чем дальше, тем больше они данных запрашивают. И где-то задней мыслью понимала, какого хрена сливать столько инфы чужим чувакам. Ну понятно, что от других уже более необходимых сервисов никто не застрахован вообще.
А вообще, пора зарегулировать эту тему с данными жёстко: минимум данных пользователя, огроменные штрафы за утечку, возможность в любой момент удалить свои же данные в короткие сроки.
Детский сад.. Учись хорошо -- и не будешь писать таких писем ! Базу карточек они уберегли, ага.. Это спасибо банкам и платежным системам за их стандарт PCI DSS - который заставляет строго обращаться с платежными данными карт. И если бы за это Y не дрючили и не навязывали бы технические решения и аудит, то и это бы слили - эти ездуны на самокатиках и посетители барбершопов.. Пробили днище - 6,8 млн пользователей !!! Вот уж точно "Яндекс - найдется все !"..
Вот что интересно. Не оправдывая Яндекс, но я особо не помню компаний которые извинялись за слив. Обычно все морозятся, или у нас не украли, или вы сами виноваты.
Хотя сам факт слива удручает.
Странно, что у кого-то в Яндексе есть прямой доступ к базе.
Странно, что выгрузка дампа не сгенерировала уведомления в СБ и админам - это же совершенно нетипичная операция.
Интересно, как злоумышленник вынес этот архив - неужели у Яндекса нет DLP? Хотя, наверно, любую систему можно обмануть, если вспомнить тот случай, когда вынесли 6Гб данных, распилив их на мелкие части под видом mp3.
И явно в сервисе с картой - не чистый дамп, а обогощенный, но тоже как-то странно. Я нашел себя только по номеру телефона. Но, нет информации о заказах и адресе. И имя написано не так же, как в сервисе. В сервисе указано 1 поле - просто имя. А в этой базе - 2 поля (имя+фамилия).
И могу вам довольно быстро накидать пяток другой способов утащить кучу данных так что никто не заметит, даже при наличии mitm и всякого такого прочего.
Странно, что выгрузка дампа не сгенерировала уведомления в СБ и админам — это же совершенно нетипичная операция.
вангую что яндекс не банк чтобы у него был регламент такого рода ids/dlp делать.
(шопотом) такое даже не в каждом банке есть, более того несмотря на то что по регламенту нельзя использовать боевые данные в тестовом контуре...(совсем шопотом) их иногда, потихоньку, могут там использовать, например при исправлении очень срочной задачи забить на длительный процесс деперсонализации базы и тупо грузануть прод в тест и запустить процедуру.ну а в тест ни ids ни dlp не смотрит… а потом этот тест прикопать и потихоньку юзать, и никому не говорить что этот тест входит в скоуп контролируемых серверов.
давайте честно, в подавляющему числе контор реально плевать на ИБ
Ничего страшного. Извинятся перед всеми клиентами по почте и дадут купон на 15% скидку.
Руководитель «Яндекс.Еды» впервые прокомментировал утечку данных клиентов