Комментарии 88
збс, они вот рекламировали своё сертифицированное под 152 фз облако.
М-да... короче можно расходиться и возвращаться к статичным HTML-сайтам.
И? Вы думаете что если они прошли аттестацию под выполнение 152фз то там нет утечек и никогда не будет? Это лишь говорит о том что там стоит сертифицированное оборудование для защиты, и принят определенный набор мер.
Почему все думают что если что то сертифицировано или выдана гарантия то все, значит оно вечное и не ломается? Это не так работает.
Где именно я такое сказал?
А тогда причем тут 152фз? Что вы этим хотели сказать?
Где я рекомендовал проходить аттестацию под 152 фз?
Прочитай внимательно, там написано буквами.
PS: Если сложно прочитать - там указано, что они рекламировали, мне сертифицированные облака не нужны и использовать их никогда не использовал и не собираюсь, так как смысла в них для меня лично и моих задач совсем нет..
Во-первых, мы с вами не знакомы, поэтому давайте на "вы".
Во-вторых, вы грубите, и сами невнимательно читаете мои же слова: Причем тут 152ФЗ, облака которые рекламировали ЛИЧНО ВАМ, и тема в статье? Вы ещё начните здесь жаловаться, что в вашем доме вода недостаточно горячая, а управляющая компания дерьмо. Это возможно и будет правдой, но какое это имеет отношение к статье?
Если сложно прочитать - там указано, что они рекламировали, мне сертифицированные
Я перечитал. Вы написали просто "рекламировали", не обязательно лично вам.
облака не нужны и использовать их никогда не использовал и не собираюсь, так как смысла в них для меня лично и моих задач совсем нет
Эмм я рад за вас. Но это вовсе не значит, что раз вам такие облака не нужны, то и другим они не понадобятся. Мне вот тоже, знаете ли, Ламборджини не нужен. И потребности в личном самолёте нет)
PS: О, вы и в минус мне сразу плюнули после комментария выше. Ну спасибо за конструктивный диало)
17:56: А тогда причем тут 152фз? Что вы этим хотели сказать?
Нет, серьезно? Да что с вами такое? Где я там грубил и неконструктивно общался?
Где там хоть одно ты?
Где там хоть одно ты?
Так вот же:
Прочитай внимательно, там написано буквами.
Здесь обращение на ТЫ. При обращении на ВЫ на русском языке будет так:
Прочитайте внимательно, там написано буквами.
Там, то есть в том сообщении нет ни одного ты.
152 фз о персональных данных и он напрямую связан с утечкой персональных данных из mail ru. Глупо говорить, что он не связан.
Да, но:
Это лишь говорит о том что там стоит сертифицированное оборудование для защиты, и принят определенный набор мер.
При этом @mrkaban ругает облако, мол оно якобы было защищено по технологии 152фз:
збс, они вот рекламировали своё сертифицированное под 152 фз облако.
А если не ругает (цит.: Где именно я такое сказал?), то что он этим хотел сказать? Я так прямо и негрубо спросил:
Что вы этим хотели сказать?
О, вы и в минус мне сразу плюнули
Меня всегда удивляет комбинация "способности к ясновидению" тех, кто "точно знает", кто именно голосовал против их кармы, с их же незамутненной готовностью лезть в бутылку в споре на тему, которая гроша ломаного не стоит.
Например, по поводу буквальной интерпретации чьего-то высказывания, которое по всем признакам является преувеличением.
Если бы так, да не так.
Г-н выше явно накидывает на вентилятор про "152фз облако", потом ему ясно дают понять, что 152фз никак не означает, что 152фз = безопасность. На что тот вроде бы не отрицает. Где я и спрашиваю - что тогда он имел ввиду плохого про 152фз, в самом первом посте. В ответ на это получаю грубость, снова посылы идти перечитывать комментарии и минус в карму)
То есть вы готовы настаивать, что это не кому-то ещё показалось, что вы лезете в бутылку по ерунде, а именно вашему оппоненту. Интересное явление.
"Во-первых, мы с вами не знакомы, поэтому давайте на "вы".
Вы так в открытую признаетесь, что вы полный неуч в этике сетевого общения?
Так между делом, в компьютерных сетях по всему миру как с 80-х, так и по сей день, общение идет на ТЫ. Это де-факто. Во всех языках.
Единственное исключение из этого правила, это когда правила одного конкретного канала/форума/сайта, требуют обращения на вы.
Далее, вы действительно можете ПОПРОСИТЬ оппонента к вам обращаться иначе, но попросить вежливо, и вот совсем без каких-либо гарантий что он пойдет навстречу.
Это вот такая аксиома, что позор ее не знать. И кстати к плюсовавшим ниже это ровно так же относится. Если лезем на айтишный сайт, то хотя бы сначала читаем, как надо общаться.
Так между делом, в компьютерных сетях по всему миру как с 80-х, так и по сей день, общение идет на ТЫ. Это де-факто. Во всех языках.
Вы так в открытую признаетесь..
Вы учите этикету, но всё-же ко мне обращаетесь на вы :) ? Нестыковка. Вы себе противоречите.
Единственное исключение из этого правила, это когда правила одного конкретного канала/форума/сайта, требуют обращения на вы.
Верно. На Хабре принято на вы.
можете ПОПРОСИТЬ оппонента к вам обращаться иначе, но попросить вежливо
Я не хочу никого ни о чем просить, только указал что стоит соблюдать рамки приличия, принятые на этом ресурсе. Если он не будет следовать этим неформальным правилам, то он довольно быстро рискует потерять карму и лишиться возможности влиять на жизнь внутри, я лишь хотел ему честно помочь. То, что он воспринял эти советы в штыки - его проблемы. Автору самому решать, как поступать дальше.
Если лезем на айтишный сайт, то хотя бы сначала читаем, как надо общаться.
Вот вы вроде верные вещи пишете, и вроде уже очень взрослый человек чтобы с логикой было всё в порядке, однако сами же себе и противоречите в каждом слове. Вы на хабре с марта 2022, слишком сильно в жизни ресурса не участвовали, а потому видимо могли не заметить, что здесь всё общение ведётся в уважительной форме на "вы". Поэтому для начала начните следовать своим же слова:
сначала читаем, как надо общаться.
Я не противоречу. Анекдот читали, когда проще дать, чем объяснить, почему не хочешь?
Не принято нигде на вы, и тут не принято. Выдержку из правил сайта в студию плз, если вы с этим не согласны. Где прописан явный запрет обращения на ты.
Вы должны именно просить. Потому что он вот ровно ничем вам не обязан. На самом деле, вот желающие на вы - это типовая визитная карточка офисных хомячков, понятия не имеющих ни как работают сети, как работает сетевое оборудование, сами компьютеры и даже как работают операционные системы. Которые вот ОЙ открыли для себя и-нет в конце 2000-х и свято уверены, что ну до вас-то тут точно порядка не было и его надо срочно наводить ))
Не надо автору помогать, надо понять, что уважение оно не появляется по вашему хотению, и ваш ник он вот ровным словом всем глубоко безразличен, пока вы не стали кем-то значимым именно в сети. Скажем вот к Евгению Касперскому, я обращусь на Вы, хотя я с ним пил пиво еще в середине 90-х. А кто такой вы, чтобы из себя что-то представлять? Пара строчек на экране? Аватарка чьего-то лица? Вы никто и звать вас никем. Зато ну да, вы же уже готовы диктовать условия, какая жуть к вам обратились не по чину.
Я на хабре зарегился в 22-м строго потому что появились статьи толковые о релокации. Есть миллионы других сайтов, где я не зареган, хотя я в сетях с 91-го. Потому доходчиво объясняю, не пытайтесь навязывать сформировавшемуся десятилетиями сообществу, свою точку зрения. Вы как минимум при этом смешны, а как максимум выглядите абсолютно глупо. Понимание вы найдете только у таких же офисных хомячков, но никак не у старожилов, и уж тем более не у тех, кто делает так, чтобы у вас вообще этот сайт мог открыться.
P.S. Серия Смок и Малыш, Джека Лондона вам в помощь для понимания. Она не устарела за почти полторы сотни лет. В чужой монастырь со своим уставом не ходят, и даже если это крошечное местечко за колонной в этом огромном монастыре, где тусуются два с половиной монаха, это утверждение ну вот никак не отменяет.
Я уже понял, что вы очень многое повидали на своем веку. Но как это относится к нашей дискуссии? И почему в таком случае вы ко мне обращаетесь на Вы?
Вы написали столько много слов, и везде допускаете логические ошибки:
переход на личности (ad personam): «Вы глупы и некрасивы, поэтому ваш тезис неверен». - Я (по вашему мнению) в сети лишь 2000х годов, а значит я не могу быть в чем то правым. Лишь тот, кто изобрел интернет может быть умнее (правее) вас?
апелляция к авторитету (argumentum ad verecundiam): «Это мнение принадлежит авторитету, разве вы его не уважаете?». - Причем тут вообще Касперский? И что, теперь все кто когда либо пили с ним пиво вдруг стали во всём и везде правым? Я тоже его уважаю, но от этого ваши слова не становятся верными.
апелляция к традиции (argumentum ad antiquitatem): «Так считается с древнейших времен, потому это верно». - Везде говорите всегда было так принято? Почему же здесь так не приятно? И почему мы с вами друг к другу обращаемся на Вы? Исключение из правил?
Ну и вишенка на торте - вы просите меня доказать, что здесь "запрещено писать ты", хотя я такого не говорил. Вместо этого, это вам нужно доказать свое мнение, почему на хабре принято обращаться на ТЫ, ведь это вы доказываете свою точку зрения, пытаясь опровергнуть мою. Бремя доказательства лежит на утверждающем.
Есть такое слово, контекст называется. Статья про утечку, вы пишите что что вам рекламировали сертифицированное под 152фз облака касательно к статье. Я вам пояснил что сертификация это не значит что утечек не будет. Но судя по всему для вас это "не конструктивно". Может тогда сами начнете конструктивно писать комментарии? А то кто его знает кого вы имели ввиду под "они", может вы видели рекламу кого то из тех 3,5 млн пользователей чьи данные утекли.
Ди и что вы подразумеваете и как вас понимать про статичные веб сайты? Самолеты падают - но на них продолжают летать, к чему ваш не понятный высер? Да именно высер, это не конструктивный комментарий. Данные защищают, но утечки были есть и всегда будут, пока есть данные и они кому то нужны.
Но вы это и так все должны знать и понимать вы же "Ведущий специалист по ИБ".
И кого будут штрафовать на этот раз, или "вы не понимаете, это другое" ?
В таких базах можно делать очень изощренные выборки, насилуя мозг и sql — на реальных данных практиковаться всегда интереснее
Не хочу рекламировать сомнительные ресурсы, но первый скриншот из этого поста содержит исчерпывающую информацию, чтобы за 3 минуты загуглить источник самостоятельно...
Есть же куча тестовых баз, например от PostgresPRO, с полноценными схемами и кучей связей между таблицами.
Но тут сырые данные, которые можно всяко-разно рассортировать в меру своих знаний sql. Когда ковыряешь большую и реальную базу — оно как-то больше заинтересовывает в процессе, чем учебные, все вопросы по которым давно уже на SO
Можно свою базу создать. Или интерес именно в большом объеме данных?
Когда изучал SQL сложности были когда нужно сделать много JOIN, подзапросов, вычислений.
А тут по сути одна плоская таблица.
Ну иногда сложности в старых системах когда запрос работает медленно. Теоретически должно работать быстро, поля проиндексированы, связано корректно. Но БД как-то криво обрабатывает запрос. Помогает, например, убрать ряд условий, выбрать лишние данные, потом удалить.
Есть же ещё и более ранние сливы, вот их и джойнить.
Leaked date:13.01.23
Не уверен насчет этой даты, так как примерно месяц назад кто-то успешно зарегал мою почту к Снапчату, но на всякий случай пароль сменил ещё тогда.
Пока конторы не будут вместо 60к штрафа за всё выплачивать хотя бы столько же на каждого слитого пользователя - отношение к безопасности данных никак не изменится. В текущем состоянии проще раз за разом попадать на копеечные штрафы, чем заморачиваться с безопасностью.
Пишите "в приоткрытый доступ попала база ***", т.к. на том самом форуме, с которого постоянно вешают скрины, для доступа к базам нужно занести донат. А это не совсем открытый доступ.
Если держать почтовый сервер на домашнем компе, то фиг кто его взломает, потому, что неуловимый джо.
Ну не совсем неуловимый - в логах море попыток, порты же отвечают, но в целом да.
У меня за 3 года в логах мегабайты "мусора" накоплено. Каждый час в едиственный открытый порт кто-то ломится. В целом не по своей воле накопил хакерские приемы по взлому. Обращаются к WP админке, проверяют что это прокси сервер, иногда DDOS какой-то, десяток молчалиивых подключений в секунду и смотрят что будет.
Стучаться в открытый порт и перебирать пароли типа admin/admin -- это не взлом, это дети балуются. Понять и простить.
До первой вовремя не прикрытой уязвимости, ботам все равно кого ломать.
Я бы сказал - ну и что? Мой официальный мейл и так содержит имя и фамилию. А в личном - невнятный ник. И регилось это всё без телефонов.
Впрочем спамерам хорошо. Ну и может можно по нужным телефонам поискать мейлы, и дальше их попробивать если кому-то нужно.
Из конкретных задач, решение которых облегчают подобные сливы (при всей их незаконности, аморальности и т.п.) Многие люди очень не хотят платить долги. И для этого создают подставные фирмы на знакомых/родственников/бомжей, оффшоры, прочие "прокладки", "технички" и "однодневки", иногда весьма замысловатой структуры. И чтобы понять, где тут есть скрытая связь с реальным бенефициаром - любые зацепки хороши. Этой зацепкой может быть и указанный где-то телефон или эл. почта. Понятно, что данные сливов не могут служить официальным доказательством в суде - но предварительный анализ с их использованием (особенно если не ручками это делать, а более или менее автоматизированно строить граф) хотя бы показывает, в какую сторону есть смысл копать.
Вот-вот!
Я давно уже сливы собираю. Еще с тех пор как на форумах никаких капч не было и можно было роботами "в лоб" скрейпить :)
Потом оч удобно делать запросы чтоб достать инфу, типа на одном сайте/сливе указан email1+телефонA, на другом сайте/сливе email2+телефонA, а на третьем - email2+телефонB => сразу становится понятно, что телефонА и телефонB принадлежат одному человеку :D ну и так цепочку можно продолжать....
А если еще пособирать номера/адреса мессенджеров/инстаграммов/фейсбуков/вк, а если сайт знакомств/инста/фейсбук/вк то еще и оттуда прикреплённые фото и проч анкетные данные со страниц... и всё сложить в базку, чтоб удобно было запросы писать... потом много интересного можно накопать :)
Я бы сказал - ну и что? Мой официальный мейл и так содержит имя и фамилию. А в личном - невнятный ник. И регилось это всё без телефонов.
Какую мысль вы этим хотите донести? Что вы - молодец, что вам - пофигу, или что все должны быть как вы?
Сколько можно это терпеть, штрафы должны быть радикально увеличены с 60 т.р. хотя бы до 120 т.р., а может даже и до 180 т.р.! Это точно заставит компании задуматься и принять меры.
Единственный адекватный комментарий про штрафы)
А то тут всякие про: "по 60тыс за каждого слитого!" . Да это же смерть любому бизнесу в любое время. Это значит, что любой обиженный сисадмин сможет нагнуть любую контору просто по щелчку пальцев. А следователи будут под надуманными предлогами смогут предоставлять липовые базы пользователей (нарисуют, что у булочной за углом база в 150 млн клиентов "утекла", это на секундочку штраф на 9 млрд тянет) , и выдавать их за слитые.
И следовательно, никакой работы ИТ-шникам. Компании просто будут все дела вести на бумажках, как 20 лет назад... Нет, спасибо. Штрафы от оборота - значит маленьким пекарням будет маленький штраф, большим корпорациям - большой.
В контексте опасений по поводу обиженных админов, штраф с оборота, в принципе, не сильно лучше, потому что то, что корпорация "проглотит", на том мелкая компания все равно может "подавиться". Это сильно зависит от структуры расходов, маржи и т.п.
А про ведение дел на бумажках - во многих случаях, единственная причина, почему некие компании собирают данные на сайтах и хранят их, как часть функционала сайта - это банальная жадность ("на всякий случай, пусть будет") и тупое желание спамить клиентов.
Скажем, онлайн-магазину, в котором человек типично покупает что-то раз в год, можно даже не задумываться о функционале создания учетных записей.
Тут главное правильно рассчитать процент, чтобы организация не зависимо от размера, после такого штрафа(а лучше под угрозой его), приняла все шаги чтобы его не допустить. И да, вплоть до того чтобы отказаться от сбора необязательных данных.
Я, очевидно, согласен с идеей о том, что любому магазину, где никто не собирается покупать больше чем один раз, совершенно не нужно хранить все личные данные покупателя.
Однако, с точки зрения критериев качественного законодательства, зафиксировать размеры штрафа за излишнюю жадность в отношении этих данных, не подкрепленную умением их безопасно хранить - очень непростая задача. Не то чтобы я был фундаментально несогласен с процентом от оборота, просто хотелось бы более детально обоснованного мнения на эту тему, подкрепленного анализом прецедентов.
Т.е. у мейлосру всего 3,5 млн. пользователей, причем, судя по тексту - "нарастающим итогом", а уникальных - и того меньше?! Мне одному кажется, что самая мякотка утечки - в обнародовании этого факта?
Del
То чувство, когда понимаешь, как ты прав, что не поддаешься на навязчивое желание всех этих сервисов привязать твой e-mail к номеру телефона. Или если только заводить левую симку специально для этих целей.
mail.ru-group ничего, кроме вреда не принесла в РФ...
Учитывая, что мылу теперь принадлежит половина рунета, если не весь (они подмяли под себя, помимо почтовика, одноглазников, вк, знакомства), не слабый компромат можно собирать на любого жителя страны. Теперь, на сколько можно верить слухам, ещё и кусок остатков яндекса к ним прилип.
А сугубо теоретически, каким образом можно использовать опубликованные данные? Ну знаю я, что у Константина Козакова почта - kkozakov@mail.ru и его номер телефона. Дубликат симки не так уж и просто сделать (наверное). Что ещё? Разве что для спама или дополнительной убедительности при звонке от "службы безопасности банка".
Понятное дело, что хакеры могли не всё выложить, но даже при этом, пытаясь вспомнить какие личные данные почта собирает не могу ничего, на первый взгляд, серьёзного назвать.
В открытый доступ попали данные 3,5 млн пользователей Mail.ru