Как стать автором
Обновить

Комментарии 64

Чем больше соберут, тем больше будут терять.

Чем больше будут терять, тем больше будут собирать - ну надо же восполнять потери/s

Интересно, почему не пишут база какого сервиса "протекла"? Ведь если это "в результате одного инцидента", то явно один сервис?

Что это за сервис, в котором есть записи о 500 миллионах россиян? ?

500 миллионов записей о неизвестно каком количестве россиян(и россиян ли вообще).

а был ли, вообще, мальчик?

Скорее записи о каких-то действиях. Заказах, например

или смс-ках

Что это за сервис, в котором есть записи о 500 миллионах россиян?

Нет такого сервиса, в котором есть данные о 500млн россиян. Хотя бы потому, что то в России живёт около 150млн человек.

Вот и я про это.

Если с жителями СССР за все время, то наберется

Данные о паспортах, например. У каждого россиянина было несколько паспортов, плюс, умершие. Там как раз примерно такое количество актуальных записей.

Ну, очевидно, что речь про слив Альфабанка. Там 450млн СТРОК (а 500м россиян никто и не обещал). Строки в духе: фио-др-тлф/мыло-карта-дата истечения, в итоге на каждого человека по 1-50 строчек

Для меня, пожалуй, не было очевидно, что количество записей в базе получается перемножением количества строк на количество столбцов.

О чем это вы? Обычное представление в реляционном виде, который так любят банкиры. То что в JSON было бы 1 записью с 1 фио, 1 др, 1 тфл 1 мэйл + вложеный JSON с парами карта-дата тут превращается в портянки с комбинациями всего этого.


Кстати, добавлю, что чинуши люто брешут мол остальные сливы всего 10млн строк. Если навскидку, только у ФССП было 100млн строк, мтс банк 21 итд ) dataleak пусть почитают, клоуны.

Понятно, спасибо. Я далёк от банков, мои базы нормализованные.

Дано 1 человек, у которого есть три карты, привязанные к двум счетам, а так же один накопительный счет, к которому нет привязанных карт. Сколько таблиц и строк в этих таблицах будет в вашей "нормализованной" базе?

как-то так:

1 клиент -> N счетов

1 счет -> L клиентов с разными правами (L >=1)

1 счет -> M карт (M >= 0)

1 карта -> K счетов (K >= 1)

итого 3 таблицы "клиенты", "счета", "карты" и 2 таблицы для связей N:L и M:K, всего 5. все очень просто.

Чего? Many2Many в ситуации, когда один счёт никак не может быть идентифицирован более, чем с одной персоной, а карта — более, чем с одним с счётом и одной персоной в любую произвольно выбранную единицу времени? Дай угадаю: у тебя сразу заиграла красками некая ORM на бэкенде, и, я уверен, контроль целостности данных выполняется на стороне приложения. Всё правильно?

один счёт никак не может быть идентифицирован более, чем с одной персоной,

1) уточните смысл слова "индентифицирован" в данном контексте.

2) одним счетом могут управлять несколько клиентов.

и т.д.

ps: проектировал реляционные базы данных с начала 199х.

один счёт никак не может быть идентифицирован более, чем с одной персоной, а карта — более, чем с одним с счётом и одной персоной в любую произвольно выбранную единицу времени?

Не знаю, что вы понимаете под "идентифицирован" но у меня есть карты к которым привязяно несколько счетов. И к части этих счетов привязаны карты других людей в тот же самый момент времени. Вы про joint account слышали, например?

Возможно речь не идет о 500 млн "учетных записей", где каждая - это уникальный человек.
А например о 500 млн историй болезни или записей об уплаченном налоге.

Нас всего 150 лямов, так что такой сервис скорее всего госуслуги, ибо там по 2-10 записей на каждого, большая часть из которых не верефицированны

Хотя слив налоговой тоже вероятен

Речь не о 500 млн россиян, а о записях. Один россиянин в госуслугах может иметь записи о своей недвижимости, банковские карты (которыми оплачивались штрафы, задолженности и т.д), документы и прочие.

А зачем вносить записи о недвижимости и кредитные карты?

Скорее всего “для вашего удобства“?!

Недавно были сигналы о неправльной настройке битрикс.. а битрикс у нас пользуются мвд, госуслуги, мои жокументы и т.д. Это 500 миллионов записей а не записи о 500 миллионах , разница понятная только программисту )

ну это 30 тыщ штраф

Нет, 60k, вроде было для юр. лица...

Скидка 50% за быструю оплату, как со штрафами за превышение скорости.

«В этом году одним этим случаем покрыли практически весь предыдущий год», — прокомментировал Вагнер количество эпизодов компрометаций

Т.е. меньше, чем за 2 месяца количество сливов сопоставимо со всем прошлым годом?

Если не можешь прекратить бардак, то его надо возглавить.

Вряд ли это прям бардак. Скорее намеренный вывод информации из правового поля. Для официального доступа нужны запросы, может даже суды, а тут порылся в слитой базе и готово, "это не я, оно само!".

И в чем смысл защиты ПДН в таких условиях?

Штрафы собирать, например. Неугодным предъявлять сильнее чем своим и тп - много смыслов...

Смысл в сборе денег с организаций на "сертифицированные" средства защиты с помощью околопровоохранительных организаций.

Имя героя дня в студию !! Кто ж так накосячил ?

Я давно предлагаю такой план. Какое-то ведомство (пусть уж РКН, раз оно есть) требует от компаний самостоятельно оценить стоимость утечки по каждому человеку. Можно просто формально ответить на запрос - "ноль". А можно сказать "10 копеек" или "рубль" или "100 000 рублей". Дальше, если у такой компании утекают данные о 10 000 клиентов, она каждому клиенту выплачивает 10 копеек, итого 1000 рублей теряет. Но может оценить в рубль или в тысячу или в миллион. Главное, перейти от поэзии (мы высоко ценим приватность ваших данных) к бухгалтерии, к сумме прописью.

А дальше мы увидим, что, допустим, сбер оценивает ваши данные в 100 рублей, а Райф в 2000 (я от балды говорю суммы и банки). Следовательно, где лучше безопасность? Кому нам лучше довериться, при прочих равных? А в сбере, чтобы повысить эту самозаявленную оценку, вынуждены будут сначала и технически реорганизоваться и организационно, чтобы вероятность слива была ниже.

Сейчас прямой финансовый ущерб от слива - нулевой. А надо чтобы он был и чтобы была конкуренция. Тогда автоматически эта заявленная сумма будет стремиться к реальной, которая отражает защищенность банка и очень даже материально мотивирует их защищать данные пользователей.

Схема не рабочая. Мелкие компании будут ставить 0 и не париться. Утекли и утекли, чего ждать от чебуречной, в которой и админа то своего нет.

А если другие компании будут ставить какую-то сумму, значит они эту сумму должны будут резервировать. Скажем 1000р для Сбера - это 100 млрд рублей банк просто должен будет зарезервировать мертвым грузом. При этом как доказать что утечка была именно от банка? Данные могут утечь от конторы А, и злоумышленники могут через переводы сбп проверить - пробить клиентов, которые существуют в банке, и сказать что "вот этот список утек из банка".

А схема ещё круче - это собираются 100 человек, регистрируются как клиенты в конторе А, скидывают свои паспортные данные в один файл , и предъявляют претензии компании, что мол их данные оказались в интернете. Обошел так 100 компаний, собрал с каждой по 1000р, и уже 100тр у каждого в кармане. Можно вообще не работать, ходить по деревням собирать паспортные данные и нагибать компании даже если у них с безопасностью всё хорошо.

Могут и 0, да. Цель не в том, чтоб все любой ценой защищали, а в том, чтобы был явно видимый индикатор защищенности.

И я не имел в виду, что любые имеющиеся в наличии данные (например, купленные в деревне) автоматически доказывают их утечку откуда-то (это уже вы "усовершенствовали" идею, и затем нашли проблему в своем усовершенствовании). Утечка должна доказываться как-то иначе, расследованием или признанием. И да, вполне может быть что многие утечки можно будет отрицать. Даже если так, это все равно хорошо. Ну пусть даже про 9 утечек можно будет отпереться, а 10ую уже придется признать. Что из этого следует? Следует, что цену за утечку можно в 10 раз выше поднять. (Стоимость "штрафа" зависит от вероятности утечки * вероятность ее доказательства). И конкуренты тоже смогут так же. Чтобы принцип работал, показывал защищенность и мотивировал банк работать над этим - не требуется, чтобы каждая утечка надежно доказывалась.

Кроме того, отрицать утечку - игра опасная. Можно сегодня отречься от нее, а завтра появятся убедительные доказательства. Или так же, из 10 утечек, от которых удалось отбрехаться, одна окажется надежно подтвержденной. Банк, который врет своим клиентам - сам себе могилу роет.

Если этот подход заставит банки/организации честно оценивать свою защищенность и будет мотивировать их чтобы работать над защитой информации - значит, метод рабочий - он имеет эту цель, он ее достигает. А то, что некоторые утечки могут не привести к выплатам - техническая деталь.

Понятно что не сработает, но будет видно по стоимости, кто как переживает за данные.

У "рога и копыта" 0р, а у "копыта и рога" 1000р. Значит иду в ту которая больше изображает волнение цифрами.

P. S. "Главное, перейти от поэзии" - очень красиво!

У "рога и копыта" 0р, а у "копыта и рога" 1000р. Значит иду в ту которая больше изображает волнение цифрами.

Тут будет только 2 сценария:

1) Клиентам плевать на этот показатель, они идут туда, где дешевле или качественней услуги. Вы не пойдете в компанию где вам хамят, но зато выставлен ценник 1000р за данные.

2) Если вдруг так окажется что на рынке это окажется решающим значением, то чтобы победить в конкуренции компании будут соревноваться у кого длиннее выше ценник. При наступлении случая - все будут всё отрицать, а перс.данные на самом деле будут хранить не у себя, а у "ооо рога и копыта" (у которой цена хранения 0 рублей) и никак ты как клиент об этом заранее не поймёшь и не узнаешь.

И вообще компания которая "оценивает" твои данные в 100р, или а 1000р для одних или для других может оказаться каким то слишком дешёвым ценником. Если мне тот же Альфабанк скажет, что если вдруг спалит мой баланс то выплатит мне 1000р, то я вообще такого прикола не пойму. Как по мне, компании вообще никогда и не должны никак сливать мои данные. И для меня 1000р будет плевком в лицо. Это все значит, что такое "маркетинговое преимущество" не будет рекламировать ни один маркетолог.

Думаю, эффективней, чем придумывать стоимость, будет страховать риски утечки!

Страховые быстро соображают и оценивают риски... В результате стоимость страхования будет различаться для разных компаний, в соответствии с их реальной способностью охранять ПД.

Она не будет работать пока РКН жуёт сопли, а не изымает серверы с базами, чтобы установить истину - дамп от сюда или нет. Пока они только и могут, что собирать отчёты.

И можешь сколько угодно пробивать клиентов сбера через перевод на их счёт, но ты не получишь так даже списка его счетов. А в базах кучу внутренних колонок и данных, которые не видит даже сам клиент и которые можно получить только сделав дамп базы.

Правильно ли я понимаю, что компании могут будут сливать данные просто сделав дамп базы обозвав по-другому колонки?

И что мешает например бывшему админу выдать информацию как называются колонки в базе данных, группе лиц по предварительному сговору собрать свои персональные данные в кучу, и создать файл excel, где будут все их имена, телефоны и номера счетов, и предъявить таким образом "счёт" к компании? А потом поменять паспорт, свои паспортные данные и снова прийти за очередным штрафом, ведь "база свежая", значит "это новая утечка".

Не колонки, а их содержимое. И если админ перед увольнением слил базу, то да, это утечка и должен быть штраф, а админу тюрьма.

Ну вот мы и подбираемся ближе к сути. Что если базу никто не сливал, а содержимое - вставили просто сами граждане, и представили это как "слитую базу"? "Вот моё ФИО, телефон, паспортные данные, мой номер счета в банке и даже моё секретное слово!"

А где уникальный номер записи, где дата внесения в неё изменений, где ещё 100500 колонок которые есть в нашей реальной базе, да вы батенька заведомо ложные обвинения даёте, пройдёмте ка?

Сейчас любой банк и любой опсос имеет в дороворе пункт: "компания имеет право в одностороннем порядке менять договор как хочет, клиент обязан либо смириться, либо расторгнуть договор и пойти на фиг". Что-то я не заметил, чтобы конкуренция как-то на это повлияла. Поставят теперь все 0 и вообще забьют на безопасность, т.к. даже 60к штрафа теперь не выпишешь, потому что клиент сам согласился с тем, что его данные не стоят ничего. Отличный план, надёжный, как швейцарские часы.

Можно и так. Но тогда ушлый маркетолог любого "банка заводского района г. мухосранска" смекнет и скажет - а давайте мы поставим цену в 1 рубль за утечку, и станем банком #1 по защищенности информации! Привлечем этим много клиентов. Потом, вполне может быть, что данные утекут, и придется по рублю выдать. Но к тому моменту мы на каждом клиенте уже по 1000 заработаем. Привлечь клиентов по цена в 1 рубль - это невероятно дешево. Просто показ рекламного баннера (по которому никто не зарегается) может стоит сравнимые деньги, а тут рубль за реального клиента.

Но тогда ушлый маркетолог любого "банка заводского района г. мухосранска" смекнет и скажет - а давайте мы поставим цену в 1 рубль за утечку, и станем банком #1 по защищенности информации!

Не понял, что можно и так? Дайте ссылку на любой ушлый банк с ушлым маркетологом, в договоре которого написано, что банк не может менять условия в одностороннем порядке. Такой банк привлёк бы много клиентов. Также хотелось бы посмотреть на ушлые банки, которые используют нормальную 2FA, а не смс в качестве единственного фактора. А больше всего мне хочется посмотреть на ушлый банк, который аппаратные ключи позволяет клиентам-физикам использовать для доступа в интернет-банк/приложение. Что-то я не заметил внедрения этих фич, которые, безусловно, привлекли бы клиентов. Почему вы решили, что в вашем случае кто-то будет кого-то привлекать?

Вы перечисляете факторы, которые среднему гражданину просто не слишком нужны-важны. И спорны. (Я, например, считаю, что тётушка-бухгалтер предпочтет второй фактор - SMS, а не TOTP). Мелкий шрифт в договорах тоже никто не читает и сильно никого не волнует. "Раз так написано, значит, так надо. Наверное, у всех так". А вот заявление про понятные всем рубли - кого-то привлечет. (А кого-то не привлечет). Но раз это дешево (дешевле, чем один раз запустить баннерную рекламу) - то это рентабельно.

Среднему гражданину глубоко плевать будет, в 1 рубль или в 100 рублей банк оценил его персональные данные.

Я, например, считаю, что тётушка-бухгалтер предпочтет второй фактор - SMS, а не TOTP

Когда-то похожие вещи говорили про Тиньков, что это всё для хипстеров, а тётушка бухгалтер пойдёт в отделение и ей всё это не надо. Реальность показала, что это не так. Людей, которые думают о безопасности, довольно много. А самое главное, что вы целитесь именно в эту ЦА, а не в тётушку-бухгалтера, которая даже не поймёт о чем речь вообще.

А больше всего мне хочется посмотреть на ушлый банк, который аппаратные ключи позволяет клиентам-физикам использовать для доступа в интернет-банк/приложение

Банк Абсолют.

Спасибо. Прямо можно напстоить, чтобы без аппаратного ключа ни в приложение, ни в интернет-банк попасть нельзя было бы и никакими кодами от смс это чтобы не отменялось?

Можно ли по-другому не изучал. По-умолчанию выдают флэшку с ключём для входа в интернет-банк + пароль.

А что, ключ не может утечь?

На стороне банка нет ключа клиента.

отчитался об утечке

Я прочел как: Отчитался о своей деятельности.

Ждём, когда кто нибудь сольёт в сеть все сетчатки глаз...)

Россиян 140 миллионов, каждый утек как минимум четыре раза

НЛО прилетело и опубликовало эту надпись здесь

По данным Милоша? Ну-ну. А что так мало слито?

Пока не понятно о каких записях идет речь
что за данные, за какой период
Если это перечень коммунальных платежей за 3 года , да и можно чинить мошенническое придумать но надо постараться.
Если ипотечные анкеты как раньше в ВТБ24 были - с девичьими фамилиями прабабушек и кличками попугаем тети, то жестко можно покуролесить.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Другие новости

Истории