Ошибка ПО за пять лет привела к утечке данных 1,26 млн граждан Дании. Это около ⅕ населения

[fougasse]

Поправьте меня, если я не прав, но "Номер CPR в Дании используется для открытия банковских счетов, присвоения телефонных номеров и многих других важных операций." не означает особых проблем и что одного этого номера достаточно для identity theft.
Во многих странах ЕС подоьные номера(соц. страхование и т.п.) довольно предсказуемы и состоят из даты рождения и счётчика, что совершенно не затрудняет их подбор.
Проблема, что зная такой номер сделать ничего не получится, нужен второй/третий фактор для совершения действий.

[kahi4]

Согласен. В соседней к Дании стране (думаю, у Дании все тоже самое) можно узнать о человеке все — от зарплаты и почем он дом свой купил, заканчивая какие клички у его собак. И ничего, живут. Identity number вроде как является приватной информацией, но раздают её налево и направо.

И да, согласно википедии, CRP "It is a ten-digit number with the format DDMMYY-SSSS, where DDMMYY is the date of birth and SSSS is a sequence number". С учетом, что последняя цифра — хешсумма, подобрать не сложно.

Проблема в том, что ты можешь с помощью этого номера разве что узнать на какой адрес пиццу доставить, для всего остального нужно авторизовываться.

[DrunkBear]

так как данные, скорее всего, были собраны только двумя аналитическими компаниями, и непосредственной угрозы мошенничества для пострадавших не было.
Вот здесь бы я наоборот напрягся: мошенники — давнее и знакомое зло, аналитики хуже.

[fougasse]

Зачем особо напрягаться, если данные и так всем доступны.
Начиная от списка жильцов на дверях дома, заканчивая собственниками жилья в открытых реестрах.

[DrunkBear]

Интересно, как меняется аналитика и поисковая выдача в таких случаях?

[fougasse]

Думаю, что никак особо не меняется.
Всякие карты лояльности, аккаунты в амазонах и прочем, как мне кажется, гораздо блее релевантны к вопросу о поисковой выдаче, чем номер «ИНН».

[playerro]

С тех пор как государства полезли в интернет и начали везде требовать идентификацию это стало неизбежным. Если бы ничего не трогали и анонимность оставили как она была, этих сливов было бы меньше. А так- как говорится- если что-то попало в интернет, значит оно попало всем

[fougasse]

А где здесь требования идентификации от государства?
В случае ЕС государство даёт возможность, вы вольны не пользоваться ей в интернете, а ходить лично и показывать бумажки.
Что затруднило бы сливы, но не особо, т.к. доступ всё-равно нужно давать.

[playerro]

Ну посмотрите на Вебмани, пейпал, киви, яндекс.деньги и вот это все. Сейчас невозможно совершать операции без паспорта и регистрации, а раньше с этим не было проблем. Требование идентификации в том, что вы практически нигде не можете совершать финансовые операции анонимно без предъявления кучи документов

[Kanut]

Я конечно всё понимаю, но надо всё-таки хоть иногда смотреть и на контекст. Как вы собираетесь анонимно платить налоги?

[fougasse]

Я тоже спрошу про контекст.

1. Речь о ЕС, при чем тут киви, яндекс и прочее — не понятно
2. Понятие паспорта не везде применимо, тем более понятие регистрации
3. Вы можете платить наличными (до определенного предела) полностью анонимно даже сейчас
4. Идентификация для уплаты тех же налогов и сборов тоже может быть оффлайн, вас никто не принуждает уходить в онлайн, носите/шлите бумаги почтой — без проблем.
5. Если вам нужно упрощение жизни (и вы оцениваете риски) — получайте идентификацию, она, зачастую, не требует внутреннего "паспорта" и регистрации, но в конце-концов, на ваши пальцы таки выйдут, по решению суда и после долгой бюрократической волоките. Раньше вы вполне могли идентифицироваться по обычному заграну без биометрии, что усложняло работу органов.
   Никакой кучи документов при этом не образуется — получить 2 бумажки по почте и установить приложение на телефоне.

[Rosenkraunz]

а если утечет в РФ, а не в ЕС, вы будуте пользоваться всеми этими доводами?

[fougasse]

При чём тут РФ, если статья о Дании?

[i86com]

Вы так спорите, как будто кто-то из ваших оппонентов понимает, про что эта статья или вообще её читал.

[AlexWenner]

Если бы ничего не трогали и анонимность оставили как она была

Анонимными люди могут быть сколько угодно.
До тех пор, пока они никому не нужны.

[up7]

Интересно, за что вас заминусили? Лично я не знаю ни одного стопроцентного способа остаться анонимным в интернете, если выходить в сеть более-менее регулярно и если вас очень сильно ищет спецслужба какой-либо страны.

[fougasse]

Да и вне интернета тоже.
Неуловимому Джо, конечно, кажется, что если у него не сняли отпечатки и не поставили парочку зондов на телефон — то он в безопасности, как в старые-добрые времена анонимной финансовой системы.

[Loggus66]

Tor с отключённым JS.

[Alcpp]

Стоит отметить, что Дания является третьим скандинавским государством, пострадавшим от утечки за последние несколько лет.

Третьим скандинавским государством из трех.

[VitalKoshalew]

В процессе перевода потерялась важная деталь:

The URL would then be collected by analytics services running on the site — in this case, Adobe and Google.

По всей видимости, разработчики портала не имели никакого комплексного подхода к защите информации, аналогичного подходу к защите банковской платёжной информации PCI DSS, например. То есть не было процедуры анализа рисков при установке на сайт шпионских аналитических сервисов сторонних компаний, а было, скорее всего, startup-style решение «Мне надо статистику увидеть, добавьте в „защищённую“ часть каких-нибудь следилок бесплатных». Аналогично, не было и никакой реальной приёмки заказчиком: работает — здорово!

[fougasse]

А они не банкинг, зачем им там PCI DSS?
Там простой счётчик после даты рождения, которая и так висит на двери подъезда, плюс контрольная сумма.
Что тут особо защищать?

[VitalKoshalew]

Это портал налоговой службы, там все мыслимые персональные данные должны быть. Именно логикой «что тут особо защищать» они, видимо, и руководствовались. И сейчас признали не принципиальное нежелание защищать информацию, которую добровольно-принудительно им отдают миллионы граждан, а «ошибку» (никто не виноват, ошибки случаются!) в виде параметра GET-запроса, а что на портале с персональными данными крутится внешний javascript от сторонних фирм — это нормально, тут никакой проблемы нет, заменим GET на POST или ещё как-нибудь заметём под ковёр, и всё.

[SVT_DP]

утечка данных- это проблема нашего времени, мы постоянно оставляем их ненадежным организациям, но без этого уже никуда