Как стать автором
Обновить

В открытый доступ попали данные миллионов клиентов «Детского мира» и «Бургер Кинга»

Время на прочтение2 мин
Количество просмотров9.2K
Всего голосов 10: ↑10 и ↓0+17
Комментарии41

Комментарии 41

А причем здесь конкретно Бургер Кинг, если утечка произошла с Mindbox?

Что данные Бургер Кинга делали у Mindbox? Если вы передаете свои данные третьей стороне, то это вы добровольно берете на себя дополнительные риски. Поэтому в нормальных организациях или данные не передают, или если уж прям нужда, то анонимизируют.

Это называется атака на цепочку поставок.

"X - решето" - локальный мем. Обязательный комментарий к любой новости про утечку.

Илон Маск негодуэ.

А не надо было дефолтное название переменной использовать в качестве торговой марки.

а то что эти конченные, должны хранить данные в зашифрованном виде ничего не говорит о их конторке?

Бургер Кинг всегда вызывали доверие и радовали своей заботой о пользователе.
Помню, в 2018 их еще уличили в записи видео с экрана телефона.
Пруф: https://habr.com/ru/articles/416919/

О, да! Точно! Знатные разборки были тогда, напомнили.

Мне кажется, что в СНГ данные пользователей на столько доступны уже давно всем кому не лень, что вообще новость из разряда- «никогда такого не было и вот опять». Данные стоят дорого, компания платит штраф, продает данные х2 от суммы штрафа. Ну это в теории, но трудно представить что этим не промышляют.

меня двадцать лет назад принял отдел-к/р за попытку купить у работника банка пенсионную базу - для этого я сначала был должен продать ему предрелизную 1с которую мне слили сотрудники этих эс ... диск был зашифрован винрар а сгенерированый длинный пароль подвешен копипастой в автоответе мейлру - хотя архив вскрыли моментально (рарлаб потом отрицал этот факт) предъявить ничего не могли тк релиза ещё не было а в ящики они подругому лазят поэтому доказательство не видели да писать мне не стали тк я их не кинул ... в течении пары часов познакомился на их гувд-территории с другими задержанными и они потом пытались меня сдать боясь что я их сдам - фактически задержанием создали более масштабную международную опг которая создала региональную сеть дроперов из пенсионерок для оплаты им реформы жкх

В фильме Терминатор показывали телефонную книгу с адресами и именами, которая была еще более доступна, чем наши данные сейчас.

Опять слив данных, сколько же можно(

Когда юрлиц всех окончательно распотрошат, дальше перейдет в точечную охоту за оставшимися людьми. Хакеры начут разъезжать по деревням, глухоманям, под видом опросов выпытывать персональные данные. Тут мы их и хлопнем!

пока не введут оборотные штрафы серьезные за подобное, ничего не изменится. Бизнес всегда взвешивает риски затрат и потерю прибыли. Пока штрафы сильно не превысят расходы на безопасность, подвижек не будет в направлении серьезных аудитов и закладывания времени разработки на повышение безопасности, только гонор

Это не поможет. Положение атакующих априори выгоднее тех, кто постоянно защищается. Вот когда напишут софт, который со 100% вероятностью позволит итендифицировать личности атакующих, тогда вся лавочка и прикроется.

Как работает в реале: полез грабить банк - не срослось, присел на 10 лет. А то и пулю в лоб получил. Попытка, в общем-то, можно сказать одна и риски, в том числе суровых тяжких последствий даже за саму попытку ограбления, крайне велики.

А в виртуале что - обмазался анонимными прокси, спрятался за сотней vpn и сиди себе сайт швейцарского банка ковыряй, кофеек попивая, нащупывай очередной эксплойт. Получилось - ура, джекпот! Не получилось - никто и не заметил. Пойду другой поковыряю.

Ну как знать, я работал в компаниях, где с ИБ все сильно выше среднего по рынку, и по прежнему главным фактором взлома в современном мире является социальная инженерия, когда злоумышленник входит в систему через парадную дверь. От этого может защитить только тотальная проверка умственных способностей людей с большим кол-вом доступов, а также постоянные курсы + липовые проверки для сотрудников, для повышения грамотности. В системе, где нормально разграничены доступы, есть нормальная система бекапов и защиты последних, закрыты порты, и регулярно обновляются пароли/блочатся учетки по таймеру, проблем со взломом "не изнутри" практически не бывает, а если и бывают, их масштаб почти никогда не бывает большим.

Также я сам неоднократно сталкивался с ситуацией, когда на проекте видел какие-то дыры в безопасности (просто в виду своего опыта в этом направлении разработки) какой-то части продукта, которую я сам поправить не имею право сообщал об этом сначала начальству, а потом и в обход, разработчикам сей части, и в 99% случаев, это игнорировалось, потому что большинство менеджеров всегда ставят в последнюю очередь решение вопросов безопасности и на первое то, что повышает их KPI и прибыль на продукте. Часто причем не только в безопасности это доходит до полного треша, когда экономится люто на времени разработки задач, и выбирается всегда "сделать за час" вместо дня "средне", не супер, а именно средне, с прямым указанием к чему это приведет при расширении функционала, и в конце концов приводит к тому, что приходится тратить месяц на приличный объем переделок... В конце концов пришел к тому, что нечего дурака учить, у дурака надо подписать бумажку о том, что он в курсе проблемы, чтобы снять с себя ответственность, если реализация на скорую руку моя. Однажды это потенциально спасло меня от уголовки, когда еще на гос. органы работал. Кто из нас с этим не сталкивался?

Спасибо, объективно. Очень хороший комментарий.

К сожалению, да. Социальная инженерия та самая Ахиллесова пята, которую никак не победить. Можно вырубить интернет, отрезать компанию от веб, заградительные файрволы, но всегда найдется человек, который воткнет в рабочий комп случайно "найденную" флешку. Из любопытства. Или по указанию "босса" срочно куда-то залогиниться под корпоративной УЗ, проверить некие данные.

Как по мне, стал ногти грызть и плохо спать, когда участились взломы компаний мирового уровня. Сливы данных NVidia, Sony и прочие мастодонты. Если уж такого уровня организации потрошат, чуть ли не федерального значения, то чего там остальным мелким сошкам, со средними или минимальными бюджетами на обеспечение ИБ. А то и отсутствующими от слова совсем.

А на тему менеджеров, невероятно понравилась фраза сказанная где-то в не столь давней статье на Хабре: "Чем выше ТОП, тем короче пароль".

Зачем вообще они постоянно собирают данные? Часто большинство этих личных данных не нужно для заказа/или скидочной карты. Потому их вина 100%. Например тут достаточно телефона. Но они также собирали имена, пол и дату рождения. Такие данные не нужны, но ценны для мошенников.

В каком-то алкомаркете заполнял анкету на получение скидочной карты, там там не то что телефон, ФИО и дату рождения просили, так даже адрес проживания. Зачем оно им? Еще бы номер паспорта требовали.

Опять штраф "пятьтыщ" и ничего никому не будет? Вместо того что бы ввести оборотные штрафы за такие утечки, что точно способствовало найму нормальных кадров за адекватное бабло (все же в тысячи раз меньше затраты чем от оборота процент) молча потакают очередному про#бу.

Еще бы потом и оборотные штрафы пускать на что то, что будет предотвращать это.

Сам факт того, что можно потерять кучу средств (в том числе и теплое место манагера, ответственного за это направление) уже оздоровило бы отрасль. А целевые траты.. ну это из области "... а на что идет транспортный налоги, чего дороги такие....?"

А зачам магазину и какой либо торговой точке вроде этого же кинга сообщать свою дату рождения? Да имя?

Что измениться если скажешь все придуманое?

«Бесплатную конфетку» на день рождения не подарят.

"ошибаешься" на 1-2 дня в любую сторону и вот "Бесплатная конфетка" почти в срок.

Если просто копить баллы и расходовать их - вообще пофигу.

Если вы впишетесь в какую-нибудь лотерею и выиграете - то потом можете встать перед необходимостью доказать, что вот этот Aaaaa Бббб, родившийся 1.01.1900 - это действительно вы.

>в какую-нибудь лотерею и выиграете

Окститесь. Им даты нужны для статы и лишнего повода проспамить смс-кой на ДР.

Бизнесу? - да, разумеется.

Но это не отменяет того, что они эпизодически устраивают розыгрыши. В том числе, кстати, и для того, чтобы дообогатить базу юзеров реальными данными вместо бутафорских.

А у меня была буквально вот такая история -- мороженое Магнат проводило розыгрыш 5к рублей (а в те временя да для 12-летнего меня это была не такая уж смешная сумма) и я взял и выиграл. Получил инструкцию -- для получения денег подтвердите личность Васисуалия Пупкина, предьявив паспорт. Абыдна было.

Просчитался, но где?

Я в "Верном" при получении скидочной карты написал выдуманное женское имя. И номер привязал, у меня отдельный есть для этого мусора. Через несколько лет с этого номера позвонил оставить жалобу на конкретный магазин. Голосом. Вроде даже не представлялся. На следующий день оказались заблокированы карты в "Верном" и "Магните".

А зачем вообще любому сервису хранить у себя мои ПД?

Уже предлагал тут схему с хранением на тех же Госуслугах, когда сервис получает токен для доступа только к тем данным, которые я ему предоставил, и только на то время, когда мне оно нужно. И никакого локального хранения и кеширования, иначе штраф аццкий.

Сервису заморачиваться с хранением не нужно, токены действительны только для лица, которому они выданы (аутентификация по сертификату пользователя ПД). В случае кражи сертификата+токенов и попытки массового слива с госуслуг по действующим токенам должен сработать антифрод (по IP адресу, частоте запросов и т,д,).

Это здорово, но какой бизнес-сценарий можно решить, если массовый доступ будет недоступен?

Ну вот выше есть рассылка поздравлений/предложений ко дню рождения. Это несколько десятков тысяч писем каждый день.

Окей, обойдёмся без проактивных коммуникаций, будем дёргать данные только тех, кто пришёл сам и на кассе предъявляет условную карточку лояльности - так и таких у среднего сетевого ритейлера в день десятки, а у FMCG и сотни тысяч.

А зачем для использования карточки лояльности обращаться к моим ПД? :) Внутреннего ID клиента, к которому привязывается(ются) токен(ы) - вполне достаточно.

Дополнение:

Хинштейн рассказал о спецоператорах для хранения персональных данных

Глава комитета Госдумы по информационной политике Александр Хинштейн заявил, что обработкой персональных данных в России занимаются 5 млн юридических лиц. По его словам, это не позволяет защитить персональные данные, «особенно в условиях кибервойн».

«Именно поэтому одним из решений мы видим создание доверенных спецоператоров, которые смогут хранить персональные данные тех, кто не способен самостоятельно обеспечить их безопасность»,— написал Александр Хинштейн в Telegram-канале.

О проработке идеи создания спецоператоров персональных данных Александр Хинштейн сообщил в августе. Роскомнадзор в том же месяце назвал критерии для уполномоченных операторов. Регулятор предложил доверить хранение персональных данных российским юрлицам со штатом не менее пяти сотрудников, которые используют базы данных на территории России и готовы подтвердить соблюдение требований по обеспечению информационной безопасности.

Несколько не то, но смысл похож...

На данный момент максимальный штраф за утечку - 300 т.р.

В скором времени опубликуют (очень надеюсь🙏) законопроект 502104-8, в котором ВНИМАНИЕ штрафы будут увеличены минимум в 1000 раз!

Ссылка на законопроект

для подобных сервисов использую так называемый "мусорный e-mail". Телефон оставляю только в крайнем случае.

куда именно то слили, где посмотреть?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Другие новости

Истории