Комментарии 50
"Персональные данные пользователей под надёжной защитой и не скомпрометированы" ©.
Плюс штраф на 50к руб это конечно очень скажется на бюджете, и поэтому впредь так не повторится.
С гос. банком даже эти 50к выплатит не банк
По 50к за каждую строку, так должно быть, но в этой стране это не так работает
А в какой стране такое возможно? В стране грёз?)
Facebook заплатит рекордный штраф в $5 млрд за утечку персональных данных
могли затронуть более 87 млн пользователей Facebook.
57 долларов за человека получается. Не 50к рублей за строку, но и не 0,1 копейки, как у Яндекса.
А какая вообще цель таких штрафов: бизнес уничтожить или наказать, что бы он приняли меры и исправился?
А если оштрафовать фейсбук уже на 50к. деревянных (а это ~666 $ за строку) за ту утечку, то даже она вынуждена будет обанкротиться (85 млн.*666 $=дальше сами... а ведь у нее ежегодная выручка около 100 млрд, а прибыль около 10 млрд.).
Я ни в коим случае не оправдываю яндекса, но сообщения типа давайте их оштрафуем на дохулиард денег имеет мышления 5 класса школы и звучит так же, как: давайте заберем все деньги у богатых и раздадим их бедным. Хочу вам напомнить, что утечки у фейсбука происходят регулярно еще с тех годов, когда существовала MySpace!
По поводу 0.1 копейки за строку - тут скорее важен сам факт внимания регулятора к данной проблеме, а не его кара. Но сумму штрафа у нас пересмотреть стоит, не спорю.
Смысл любых штрафов - в том, чтобы нарушать было дороже, чем не нарушать.
Условно, если цена проезда в автобусе 10 рублей, а контролеры проверяют 2% автобусов - то штраф за безбилетный проезд должен быть не меньше 500 рублей: иначе выгоднее будет ездить без билета и иногда платить штраф.
В некоторых странах за превышение скорости пробовали наказывать не только деньгами, но и временем: превысил и попался - постой рядом с полицейской машиной полчаса, который кратно больше твоей экономии.
Со штрафами за персональные данные можно точно так же считать выгоду, которую компания получила от использования этих данных, и множить её на два. Проблема в подсчёте выгоды, правда.
Сам факт внимания мне не кажется важным, пока наказание чисто символическое и никак не соответствует ни полученной от использования этих данных выгоде, ни ущербу для пользователей. Это как если бы за безбилетный проезд наказывали на 5 рублей.
номер карты допустим восстановят, а cvv нет. второй фактор, тфл - допустим тоже сходили к опсосу и симку выписали (хотя уже гемор и палево). и что можно с этим сделать?
Вопрос не в том что это будут использовать с нарушением прав владельца, а в том что эти данные утекли.
По номеру телефона можно определить ДР и номер карты, уже не мало для мошенников.
Очень меткий комментарий. Моим предкам постоянно звонили мошенники с менее ограниченной информацией, даже пришлось им номера телефона менять, твари работают очень убедительно. После каждого подобного звонка собирают и накапливают информацию о субъекте и через Х-период времени снова звонят на основе доп.информации, чем еще больше вызывают доверие к себе. Пожилые граждане оказались еще в большей опасности. Был бы модератором, то закрепил бы ваш комментарий к новости...
нашёл в сливе карту жены, начал вслух рассуждать в чем риски, получил кучу минусов в карму. Тут кроме долбоебов кто-то есть, господа кармодрочеры?
автор воздух сотрясает не более, ну и рекламу продвигает
первые шесть цифр известны это BIN-коды банка
Почему 6, счас глянул свои, одинаковы только 3 первых цифры.
Первые цифры вообще кодируют платёжную систему, так что комбинаций первых 6 цифр возможно больше 1.
Но, справедливости ради, для 1 банка вариантов первых 6 цифр значительно меньше 10^6, так что какое-то ускорение перебора там будет.
Первые шесть цифр это BIN "Bank Identification Number"
при чем первая цифра это признак платежной системы такой как на пример Visa, MasterCard, Amex
Позволяет вам идентифицировать такие детали, как:
название банка выпустившего карту
тип финансирования карты (дебетовая или кредитная)
уровни категорий карт, личные или бизнес
название карточного продукта, Classic, Gold, Platinum
страна происхождения.
Примерно около одного часа на все номера, что там есть. Они без соли, поэтому перебор идёт сразу всех, просто там перебирать надо не все — первые шесть цифр известны это BIN-коды банка
Ок, первые 6 цифр известны, остались 10. На старом только CPU позапрошлого десятилетия скорость перебора (гарантированное время восстановления) на карту/пачку 10 ^ 10 / 10_132_000 / 60 = 16.5мин.
Вижу, что уже БД во всю в TG файлами валяется. Считаю, что 50к. р. штрафа и публичная IT-порка недостаточное наказание для всего сберsec-отдела (если утечка реальна).
p/s/ еще биометрию выклянчивали, разрешение на установку антивируса своего в Android. Отозвал все разрешения кроме телефона, чтобы приложение работало, но не борзело, доверия теперь к банку столько же, сколько песен написал Хэммет в составе группы Metallica.
Не получится там быстрее никак. Всего около 100 млн уникальных хешей в этом дампе и они просто не влезают сразу во все GPU (а их много) ;) В реальности даже больше часа выходит (я изначально в кол-ве хешей не учел, что карт на человека бывает несколько)
Девять. Последняя цифра контрольная. Не восстанавливается, а вычисляется по подбираемым 9.
Минуса будет достаточно, чтобы еще раз подумали.
Готов к еще минусу и комментарию, где я недодумал.
BIN[6]+AIN[9]+CHK[1] = 10.
CHK = Checksumm(BIN, AIN);
BIN зафиксирован.
Перебор по AIN, 9 цифр. На каждом шаге перебора получается значение CHK.
Далее проверка.
Вот только готовые инструменты с радостью тебе нагенерируют паролей из цифр. И вот переделывать их на расчёт последний цифры ни кто не будет, проще и быстрей перебрать 9 негодных вариантов.
Принято. Я думал как программист про весь алгоритм подбора.
Как хакер пользующийся готовыми кубиками и стыкующими их в конвейер я не думал. При выборе "пол-дня программировать для 10 минут работы" и "склеить поток утилит за 10 минут и 20 минут работы", конечно же второе.
Вот реальная моя сберкарта: 4276100015931808
Что такое sha1 читаем Wiki.
Ок, первые 6 цифр известны, остались 10. На старом только CPU позапрошлого десятилетия скорость перебора (гарантированное время восстановления) на карту/пачку 10 ^ 10 / 10_132_000 / 60 = 16.5мин
Пруф:
Что тут происходит?
printf 4276100015931808 | sha1sum | awk '{print $1}' > сберкарта #хэшируем номер карты в sha1
cat сберкарта #проверяем, что хэш получен успешно
john2 --format=Raw-sha1 --mask=427610?d?d?d?d?d?d?d?d?d?d сберкарта #восстанавливаем номер карты по хэшу, первые 6 цифр известны, 10 подбираем.Скачиваем из паблика утечку, ищем упомянутый хэш и получаем перс.данные. Спасибо от Сбербанка работает (тут не уверен, зря ругать их сильно не буду, опираюсь на отзывы об утечке, трафика нет, выкачать и посмотреть в данный момент нет возможности).
А теперь показывайте ваш пруф, как вы будете из 16зн. карты, захэшированной в sha1, перебирать лишь 9 цифр, а не 10, если первые 6 цифр условно известны.
Предполагается, что он напишет новое правило для JTR — аля ?card_crc, которое и будет рассчитывать последнюю цифру. Просто пока он с этим разберётся, все хеши уже переберут по старинке.
Впрочем у вас имхо слишком оптимистический прогноз. Думаю, если там будет на 1 хеш, а 90М время поиска должно увеличится.
Предполагается, что он напишет новое правило для JTR — аля
?card_crc, которое и будет рассчитывать последнюю цифру.
Помогите ему написать правило и приводите ваши пруфы, иначе — это пустословие.
Впрочем у вас имхо слишком оптимистический прогноз. Думаю, если там будет на 1 хеш, а 90М время поиска должно увеличится
С этим я не спорю, я подразумеваю все свои слитые сберкаты, а не 90М. Для растрескивания 90М поднимаются GPU.
Последняя контрольня цифра считаеться по алгоритму Луна и ее посчитать гораздо проше и быстрее чем sha1.
То есть берем вариант с изветным бином + 9 цифр сгенереных + считаем одну контрольную для получившейся комбинации BIN+PAN, вот теперь у нас есть все шестнадцать цифр.
Есть еще интересный момент, если посмотреть внимательно то в девяти цифрах PAN есть тоже свои закономерности и если правильно подойти к данному вопросу то перебор девяти цифр PAN тоже можно сократить более чем в двое!
В картах МИР может быть от 16 до 19 цифр
Самая бесполезная программа кэшбэка кому-то принесла пользу. Но не своим пользователям...
рубрика "Ни дня без утечки!" держит планку.
Осталось только нижнее белье на балкон вывесить, все равно уже скрывать нечего :(
А вот интересно, владельцы POS-терминалов имеют доступ к полному номеру карты или тоже только последние 4 цифры? А то для продажников открываются возможности лучше узнать своего клиента в лицо.
DLBI: в открытый доступ выложены данные пользователей, вероятно, бонусной программы «СберСпасибо»