Комментарии 41
Бургер Кинг - решето
А причем здесь конкретно Бургер Кинг, если утечка произошла с Mindbox?
Что данные Бургер Кинга делали у Mindbox? Если вы передаете свои данные третьей стороне, то это вы добровольно берете на себя дополнительные риски. Поэтому в нормальных организациях или данные не передают, или если уж прям нужда, то анонимизируют.
"X - решето" - локальный мем. Обязательный комментарий к любой новости про утечку.
а то что эти конченные, должны хранить данные в зашифрованном виде ничего не говорит о их конторке?
Бургер Кинг всегда вызывали доверие и радовали своей заботой о пользователе.
Помню, в 2018 их еще уличили в записи видео с экрана телефона.
Пруф: https://habr.com/ru/articles/416919/
Мне кажется, что в СНГ данные пользователей на столько доступны уже давно всем кому не лень, что вообще новость из разряда- «никогда такого не было и вот опять». Данные стоят дорого, компания платит штраф, продает данные х2 от суммы штрафа. Ну это в теории, но трудно представить что этим не промышляют.
меня двадцать лет назад принял отдел-к/р за попытку купить у работника банка пенсионную базу - для этого я сначала был должен продать ему предрелизную 1с которую мне слили сотрудники этих эс ... диск был зашифрован винрар а сгенерированый длинный пароль подвешен копипастой в автоответе мейлру - хотя архив вскрыли моментально (рарлаб потом отрицал этот факт) предъявить ничего не могли тк релиза ещё не было а в ящики они подругому лазят поэтому доказательство не видели да писать мне не стали тк я их не кинул ... в течении пары часов познакомился на их гувд-территории с другими задержанными и они потом пытались меня сдать боясь что я их сдам - фактически задержанием создали более масштабную международную опг которая создала региональную сеть дроперов из пенсионерок для оплаты им реформы жкх
В фильме Терминатор показывали телефонную книгу с адресами и именами, которая была еще более доступна, чем наши данные сейчас.
Опять слив данных, сколько же можно(
Когда юрлиц всех окончательно распотрошат, дальше перейдет в точечную охоту за оставшимися людьми. Хакеры начут разъезжать по деревням, глухоманям, под видом опросов выпытывать персональные данные. Тут мы их и хлопнем!
пока не введут оборотные штрафы серьезные за подобное, ничего не изменится. Бизнес всегда взвешивает риски затрат и потерю прибыли. Пока штрафы сильно не превысят расходы на безопасность, подвижек не будет в направлении серьезных аудитов и закладывания времени разработки на повышение безопасности, только гонор
Это не поможет. Положение атакующих априори выгоднее тех, кто постоянно защищается. Вот когда напишут софт, который со 100% вероятностью позволит итендифицировать личности атакующих, тогда вся лавочка и прикроется.
Как работает в реале: полез грабить банк - не срослось, присел на 10 лет. А то и пулю в лоб получил. Попытка, в общем-то, можно сказать одна и риски, в том числе суровых тяжких последствий даже за саму попытку ограбления, крайне велики.
А в виртуале что - обмазался анонимными прокси, спрятался за сотней vpn и сиди себе сайт швейцарского банка ковыряй, кофеек попивая, нащупывай очередной эксплойт. Получилось - ура, джекпот! Не получилось - никто и не заметил. Пойду другой поковыряю.
Ну как знать, я работал в компаниях, где с ИБ все сильно выше среднего по рынку, и по прежнему главным фактором взлома в современном мире является социальная инженерия, когда злоумышленник входит в систему через парадную дверь. От этого может защитить только тотальная проверка умственных способностей людей с большим кол-вом доступов, а также постоянные курсы + липовые проверки для сотрудников, для повышения грамотности. В системе, где нормально разграничены доступы, есть нормальная система бекапов и защиты последних, закрыты порты, и регулярно обновляются пароли/блочатся учетки по таймеру, проблем со взломом "не изнутри" практически не бывает, а если и бывают, их масштаб почти никогда не бывает большим.
Также я сам неоднократно сталкивался с ситуацией, когда на проекте видел какие-то дыры в безопасности (просто в виду своего опыта в этом направлении разработки) какой-то части продукта, которую я сам поправить не имею право сообщал об этом сначала начальству, а потом и в обход, разработчикам сей части, и в 99% случаев, это игнорировалось, потому что большинство менеджеров всегда ставят в последнюю очередь решение вопросов безопасности и на первое то, что повышает их KPI и прибыль на продукте. Часто причем не только в безопасности это доходит до полного треша, когда экономится люто на времени разработки задач, и выбирается всегда "сделать за час" вместо дня "средне", не супер, а именно средне, с прямым указанием к чему это приведет при расширении функционала, и в конце концов приводит к тому, что приходится тратить месяц на приличный объем переделок... В конце концов пришел к тому, что нечего дурака учить, у дурака надо подписать бумажку о том, что он в курсе проблемы, чтобы снять с себя ответственность, если реализация на скорую руку моя. Однажды это потенциально спасло меня от уголовки, когда еще на гос. органы работал. Кто из нас с этим не сталкивался?
Спасибо, объективно. Очень хороший комментарий.
К сожалению, да. Социальная инженерия та самая Ахиллесова пята, которую никак не победить. Можно вырубить интернет, отрезать компанию от веб, заградительные файрволы, но всегда найдется человек, который воткнет в рабочий комп случайно "найденную" флешку. Из любопытства. Или по указанию "босса" срочно куда-то залогиниться под корпоративной УЗ, проверить некие данные.
Как по мне, стал ногти грызть и плохо спать, когда участились взломы компаний мирового уровня. Сливы данных NVidia, Sony и прочие мастодонты. Если уж такого уровня организации потрошат, чуть ли не федерального значения, то чего там остальным мелким сошкам, со средними или минимальными бюджетами на обеспечение ИБ. А то и отсутствующими от слова совсем.
А на тему менеджеров, невероятно понравилась фраза сказанная где-то в не столь давней статье на Хабре: "Чем выше ТОП, тем короче пароль".
Зачем вообще они постоянно собирают данные? Часто большинство этих личных данных не нужно для заказа/или скидочной карты. Потому их вина 100%. Например тут достаточно телефона. Но они также собирали имена, пол и дату рождения. Такие данные не нужны, но ценны для мошенников.
Опять штраф "пятьтыщ" и ничего никому не будет? Вместо того что бы ввести оборотные штрафы за такие утечки, что точно способствовало найму нормальных кадров за адекватное бабло (все же в тысячи раз меньше затраты чем от оборота процент) молча потакают очередному про#бу.
Еще бы потом и оборотные штрафы пускать на что то, что будет предотвращать это.
А зачам магазину и какой либо торговой точке вроде этого же кинга сообщать свою дату рождения? Да имя?
Что измениться если скажешь все придуманое?
«Бесплатную конфетку» на день рождения не подарят.
Если просто копить баллы и расходовать их - вообще пофигу.
Если вы впишетесь в какую-нибудь лотерею и выиграете - то потом можете встать перед необходимостью доказать, что вот этот Aaaaa Бббб, родившийся 1.01.1900 - это действительно вы.
>в какую-нибудь лотерею и выиграете
Окститесь. Им даты нужны для статы и лишнего повода проспамить смс-кой на ДР.
Бизнесу? - да, разумеется.
Но это не отменяет того, что они эпизодически устраивают розыгрыши. В том числе, кстати, и для того, чтобы дообогатить базу юзеров реальными данными вместо бутафорских.
А у меня была буквально вот такая история -- мороженое Магнат проводило розыгрыш 5к рублей (а в те временя да для 12-летнего меня это была не такая уж смешная сумма) и я взял и выиграл. Получил инструкцию -- для получения денег подтвердите личность Васисуалия Пупкина, предьявив паспорт. Абыдна было.
Я в "Верном" при получении скидочной карты написал выдуманное женское имя. И номер привязал, у меня отдельный есть для этого мусора. Через несколько лет с этого номера позвонил оставить жалобу на конкретный магазин. Голосом. Вроде даже не представлялся. На следующий день оказались заблокированы карты в "Верном" и "Магните".
Что то вечно в этом мире.. Меня еще забавляют суммы штрафов конечно
А зачем вообще любому сервису хранить у себя мои ПД?
Уже предлагал тут схему с хранением на тех же Госуслугах, когда сервис получает токен для доступа только к тем данным, которые я ему предоставил, и только на то время, когда мне оно нужно. И никакого локального хранения и кеширования, иначе штраф аццкий.
Сервису заморачиваться с хранением не нужно, токены действительны только для лица, которому они выданы (аутентификация по сертификату пользователя ПД). В случае кражи сертификата+токенов и попытки массового слива с госуслуг по действующим токенам должен сработать антифрод (по IP адресу, частоте запросов и т,д,).
Это здорово, но какой бизнес-сценарий можно решить, если массовый доступ будет недоступен?
Ну вот выше есть рассылка поздравлений/предложений ко дню рождения. Это несколько десятков тысяч писем каждый день.
Окей, обойдёмся без проактивных коммуникаций, будем дёргать данные только тех, кто пришёл сам и на кассе предъявляет условную карточку лояльности - так и таких у среднего сетевого ритейлера в день десятки, а у FMCG и сотни тысяч.
Дополнение:
Хинштейн рассказал о спецоператорах для хранения персональных данных
Глава комитета Госдумы по информационной политике Александр Хинштейн заявил, что обработкой персональных данных в России занимаются 5 млн юридических лиц. По его словам, это не позволяет защитить персональные данные, «особенно в условиях кибервойн».
«Именно поэтому одним из решений мы видим создание доверенных спецоператоров, которые смогут хранить персональные данные тех, кто не способен самостоятельно обеспечить их безопасность»,— написал Александр Хинштейн в Telegram-канале.
О проработке идеи создания спецоператоров персональных данных Александр Хинштейн сообщил в августе. Роскомнадзор в том же месяце назвал критерии для уполномоченных операторов. Регулятор предложил доверить хранение персональных данных российским юрлицам со штатом не менее пяти сотрудников, которые используют базы данных на территории России и готовы подтвердить соблюдение требований по обеспечению информационной безопасности.
Несколько не то, но смысл похож...
На данный момент максимальный штраф за утечку - 300 т.р.
В скором времени опубликуют (очень надеюсь🙏) законопроект 502104-8, в котором ВНИМАНИЕ штрафы будут увеличены минимум в 1000 раз!
для подобных сервисов использую так называемый "мусорный e-mail". Телефон оставляю только в крайнем случае.
куда именно то слили, где посмотреть?
В открытый доступ попали данные миллионов клиентов «Детского мира» и «Бургер Кинга»