Ошибка ПО за пять лет привела к утечке данных 1,26 млн граждан Дании. Это около ⅕ населения

    image

    Ошибка программного обеспечения, которое использовали на государственном налоговом портале Дании, сделала доступными персональные идентификационные номера 1,26 млн датских граждан или пятой части населения страны.

    Ошибку удалось выявить и устранить только спустя пять лет. Она была обнаружена после проверки Датским агентством по развитию и упрощению (Udviklings-og Forenklingsstyrelsen или UFST). Как отметили в агентстве, ошибка произошла на TastSelv Borger, официальном портале самообслуживания датской налоговой администрации, куда датские граждане заходят, чтобы регистрироваться и платить налоги онлайн. Каждый раз, когда пользователь обновлял данные учетной записи в разделе настроек портала, его номер CPR добавлялся в URL. URL же собирали аналитические службы Adobe и Google. Действия аналитиков в данном случае были непреднамеренными.
    См. также: Пользуетесь Google Chrome? Значит Google собирает ваши данные через X-client-data
    Номер CPR в Дании используется для открытия банковских счетов, присвоения телефонных номеров и многих других важных операций. При этом первые шесть цифр десятизначного номера представляют собой дату рождения гражданина. Кроме того, если последняя цифра CPR нечетная, то его владелец — мужчина, а если четная, то владелец — женщина.

    В UFST призвали граждан успокоиться, так как данные, скорее всего, были собраны только двумя аналитическими компаниями, и непосредственной угрозы мошенничества для пострадавших не было. Однако некоторые местные эксперты по конфиденциальности также призвали к более широкой проверке исходного кода портала налогового агентства, опасаясь других явных ошибок.

    DXC (ранее CSC), компания-разработчик ПО, которая создала портал самообслуживания, заявила, что исправила ошибку после того, как власти сообщили об этой проблеме.
    См. также: Кейсы для применения средств анализа сетевых аномалий: обнаружение утечек
    Стоит отметить, что Дания является третьим скандинавским государством, пострадавшим от утечки за последние несколько лет. Так, в 2015 году Шведское транспортное агентство (STA) разрешило загрузку нескольких конфиденциальных баз данных в облако и доступ к ним со стороны неподготовленных сербских ИТ-специалистов, а в 2018 году хакерская группа украла данные из сферы здравоохранения более половины населения Норвегии.

    А в России на одном из специализированных ресурсов выставили базу данных 1,2 млн клиентов микрофинансовых организаций. Тестовый фрагмент базы сдержит около 800 записей, включая ФИО, номера телефонов, адреса электронной почты, даты рождения и паспортные данные россиян. Большинство людей из тестового фрагмента заявили, что являются клиентами компании «Быстроденьги». В этой же базе содержались данные клиентов таких компаний, как «Займер» «еКапуста», «Лайм» и «Микроклад».
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 23

      +9

      Поправьте меня, если я не прав, но "Номер CPR в Дании используется для открытия банковских счетов, присвоения телефонных номеров и многих других важных операций." не означает особых проблем и что одного этого номера достаточно для identity theft.
      Во многих странах ЕС подоьные номера(соц. страхование и т.п.) довольно предсказуемы и состоят из даты рождения и счётчика, что совершенно не затрудняет их подбор.
      Проблема, что зная такой номер сделать ничего не получится, нужен второй/третий фактор для совершения действий.

        +1

        Согласен. В соседней к Дании стране (думаю, у Дании все тоже самое) можно узнать о человеке все — от зарплаты и почем он дом свой купил, заканчивая какие клички у его собак. И ничего, живут. Identity number вроде как является приватной информацией, но раздают её налево и направо.


        И да, согласно википедии, CRP "It is a ten-digit number with the format DDMMYY-SSSS, where DDMMYY is the date of birth and SSSS is a sequence number". С учетом, что последняя цифра — хешсумма, подобрать не сложно.


        Проблема в том, что ты можешь с помощью этого номера разве что узнать на какой адрес пиццу доставить, для всего остального нужно авторизовываться.

          0
          Вообще, свинство конечно. Если ты даешь кому-то номер пасспорта, это не значит что ты хочешь дать ему свою дату рождения. Причин — миллион. От «стесняюсь», до «не хочу спам на д.р.».
        +2
        так как данные, скорее всего, были собраны только двумя аналитическими компаниями, и непосредственной угрозы мошенничества для пострадавших не было.
        Вот здесь бы я наоборот напрягся: мошенники — давнее и знакомое зло, аналитики хуже.
          0
          Зачем особо напрягаться, если данные и так всем доступны.
          Начиная от списка жильцов на дверях дома, заканчивая собственниками жилья в открытых реестрах.
            0
            Интересно, как меняется аналитика и поисковая выдача в таких случаях?
              +1
              Думаю, что никак особо не меняется.
              Всякие карты лояльности, аккаунты в амазонах и прочем, как мне кажется, гораздо блее релевантны к вопросу о поисковой выдаче, чем номер «ИНН».
          +6

          С тех пор как государства полезли в интернет и начали везде требовать идентификацию это стало неизбежным. Если бы ничего не трогали и анонимность оставили как она была, этих сливов было бы меньше. А так- как говорится- если что-то попало в интернет, значит оно попало всем

            –1
            А где здесь требования идентификации от государства?
            В случае ЕС государство даёт возможность, вы вольны не пользоваться ей в интернете, а ходить лично и показывать бумажки.
            Что затруднило бы сливы, но не особо, т.к. доступ всё-равно нужно давать.
              +7
              Ну посмотрите на Вебмани, пейпал, киви, яндекс.деньги и вот это все. Сейчас невозможно совершать операции без паспорта и регистрации, а раньше с этим не было проблем. Требование идентификации в том, что вы практически нигде не можете совершать финансовые операции анонимно без предъявления кучи документов
                +1
                Я конечно всё понимаю, но надо всё-таки хоть иногда смотреть и на контекст. Как вы собираетесь анонимно платить налоги?
                  –2

                  Я тоже спрошу про контекст.


                  1. Речь о ЕС, при чем тут киви, яндекс и прочее — не понятно
                  2. Понятие паспорта не везде применимо, тем более понятие регистрации
                  3. Вы можете платить наличными (до определенного предела) полностью анонимно даже сейчас
                  4. Идентификация для уплаты тех же налогов и сборов тоже может быть оффлайн, вас никто не принуждает уходить в онлайн, носите/шлите бумаги почтой — без проблем.
                  5. Если вам нужно упрощение жизни (и вы оцениваете риски) — получайте идентификацию, она, зачастую, не требует внутреннего "паспорта" и регистрации, но в конце-концов, на ваши пальцы таки выйдут, по решению суда и после долгой бюрократической волоките. Раньше вы вполне могли идентифицироваться по обычному заграну без биометрии, что усложняло работу органов.
                    Никакой кучи документов при этом не образуется — получить 2 бумажки по почте и установить приложение на телефоне.
                    +2
                    а если утечет в РФ, а не в ЕС, вы будуте пользоваться всеми этими доводами?
                      0

                      При чём тут РФ, если статья о Дании?

                        0
                        Вы так спорите, как будто кто-то из ваших оппонентов понимает, про что эта статья или вообще её читал.
                0
                Если бы ничего не трогали и анонимность оставили как она была


                Анонимными люди могут быть сколько угодно.
                До тех пор, пока они никому не нужны.
                  +1
                  Интересно, за что вас заминусили? Лично я не знаю ни одного стопроцентного способа остаться анонимным в интернете, если выходить в сеть более-менее регулярно и если вас очень сильно ищет спецслужба какой-либо страны.
                    +3
                    Да и вне интернета тоже.
                    Неуловимому Джо, конечно, кажется, что если у него не сняли отпечатки и не поставили парочку зондов на телефон — то он в безопасности, как в старые-добрые времена анонимной финансовой системы.
                      0
                      Tor с отключённым JS.
                  +3
                  Стоит отметить, что Дания является третьим скандинавским государством, пострадавшим от утечки за последние несколько лет.


                  Третьим скандинавским государством из трех.
                    +1
                    В процессе перевода потерялась важная деталь:
                    The URL would then be collected by analytics services running on the site — in this case, Adobe and Google.

                    По всей видимости, разработчики портала не имели никакого комплексного подхода к защите информации, аналогичного подходу к защите банковской платёжной информации PCI DSS, например. То есть не было процедуры анализа рисков при установке на сайт шпионских аналитических сервисов сторонних компаний, а было, скорее всего, startup-style решение «Мне надо статистику увидеть, добавьте в „защищённую“ часть каких-нибудь следилок бесплатных». Аналогично, не было и никакой реальной приёмки заказчиком: работает — здорово!
                      0

                      А они не банкинг, зачем им там PCI DSS?
                      Там простой счётчик после даты рождения, которая и так висит на двери подъезда, плюс контрольная сумма.
                      Что тут особо защищать?

                        +1
                        Это портал налоговой службы, там все мыслимые персональные данные должны быть. Именно логикой «что тут особо защищать» они, видимо, и руководствовались. И сейчас признали не принципиальное нежелание защищать информацию, которую добровольно-принудительно им отдают миллионы граждан, а «ошибку» (никто не виноват, ошибки случаются!) в виде параметра GET-запроса, а что на портале с персональными данными крутится внешний javascript от сторонних фирм — это нормально, тут никакой проблемы нет, заменим GET на POST или ещё как-нибудь заметём под ковёр, и всё.

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое