Роскомнадзор проверит утечку личных данных с сайта в поддержку Навального и собирается оштрафовать виновников инцидента

[redneko]

В ходе следственных действий самое главное не выйти на самих себя.
Особенно актуально в свете сообщений, что утёкшие e-mail привязываются к данным из поликлиник и госуслуг. Но это РКН, конечно же, в упор не увидит.

[Kwisatz]

Как и вагоны сливов со всех банков включая сбер, но как Навальный прозвучало, уууу… фас фас

[redneko]

Интонацией Пескова "Какие банки, какой такой сбербанк? Не слышали ничего такого, это всё домыслы, уверяю вас. Ваши данные абсолютно надежно защищены, и, да, не забудьте завтра в 9:00 сдать биометрию, которую вы не сможете потом сменить, нам это очень важно".

[aleks-kucher]

"У нас такой информации нет"

[porn]

Грефа?

[Mihisa]

Где-то год назад со мной связались дальние родственники, которые видимо искали меня и начали уверять, что у меня есть 2 сына. Детей у меня в данный момент нет и не было. Но зато была работа в сбербанке, где я работала на детском приложении сберкидс, где у меня и завелись для тестов на проде 2 сына-тестировщика, которые до сих пор отображаются в моем сбер онлайн.
Сливает ли сбер данные? Несомненно.

[wtigga]

Буквально в «Похожих публикациях» к этой статье сейчас висит

31 октября 2018 в 12:40 Роскомнадзор заинтересовался утечкой базы сотрудников Сбербанка

Впрочем, вряд ли для последнего были какие-то последствия.

[kalyukdo]

я может сейчас глупость сморожу, но как питон

содержался в открытом виде пароль администратора Django-бэкенда.

оказался в JS на скрине?

[kalyukdo]

код этот на сайте не нашел, но вот после тщательного просмотра кода со скрина, получается что «Django-бэкенда» это всего лишь название части домена, судя по строчке 1460, но вот говорить что строчка 1462, это «пароль администратора» от этого сервера… это как то сильно громко

[andreymal]

Если я правильно проанализировал скрипты, это пароль от тестового инстанса внутри какого-то докер-контейнера http://freenavalny-django:8000/

И, во-первых, на продакшене этот пароль вообще не используется (код, работающий с этим паролем, упирается в false-переменную a = !1 (её немного видно на скриншоте в посте) и пропускается)

А во-вторых, к Django-админке он не имеет отношения (если бы a было true, то этот пароль использовался бы в HTTP-заголовке Authorization, который Django-админка никак не использует, но которым, вероятно, просто прикрыт тестовый инстанс от посторонних глаз)

Думаю, разработчики собирали два раздельных билда фронтенда — для теста и для прода, а режим текущего билда переключали с помощью этой самой переменной a (вероятно, до минимизации скрипта на месте a было какое-нибудь чтение текущего режима webpack или что-то вроде того)

Если мои предположения верны, то скорее всего этот пароль в целом не влияет на безопасность сайта и к утечкам не имеет отношения (если, конечно, на тестовый инстанс не скопировали базу с прода, но это уже совсем другая история)

[vrytov]

На момент релиза у них эта пара использовалась для basic-авторизации при обращении за координатами точек на карте. Зачем — хз, ибо этот апи был доступен без авторизации. Пароль и логин подходили при попытке зайти в админку, но за basic'ом там обычная джанговская форма логина.

[Dagnir]

Непонятно, кого именно хочет привлечь к ответственности РКН — распространителей какой базы

В смысле — распространителей? Они же прямо говорят, что собираются наказать хозяев базы за то, что они не позаботились о её безопасности:

Ведомство напомнило «о непосредственной ответственности лиц и организаций, собирающих персональные данные граждан, за своевременное принятие должных мер по их защите».

А распространителей — это сфера уголовного розыска.

[vindy123]

Изначальные логи с имэйлами не подпадают под ПД. Под пд подпадают обогащённые базы от анонимов. Понимает ли это ркн (а если понимает — колышет ли их эта мелочь хоть немного) — вопрос открытый.

[old_bear]

Друзьям — всё, врагам — закон (с)

[kryvichh]

Это как если ваш дом обокрали, а милиция ещё вас же наказала за необеспечение сохранности вещей.

[REPISOT]

Ну, мы же помним. Данные в открытом виде на Сапсане — виноват хакер, ведь это незаконно — получать доступ к чужим данным.

Утечка базы емейлов (которые, кстати, ни разу не персональные данные) у ФБК — виноват, конечно, Навальный.

[rsashka]

Ага,

Вы не понимаете, это другое