Утечка персональных данных предположительно сотрудников ОАО «РЖД»

    Неизвестные, опубликовали в свободном доступе персональные данные 703,000 человек, предположительно сотрудников ОАО «РЖД».



    На сайте (ссылку на сайт не привожу специально) есть надпись: "Спасибо ОАО РЖД за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников."


    Среди свободно доступных данных:


    • ФИО
    • дата рождения
    • адрес
    • номер СНИЛС
    • должность
    • фотография
    • телефон


    Откуда произошла утечка — неизвестно, но есть предположение, что это база данных службы безопасности. Судя по формату фотографий, это снимки на пропуска.


    По моим прогнозам, данная «база РЖД» появится в открытом доступе в виде Excel-файла и/или в формате Кронос в течение одного-двух дней.


    Т.е. даже если Роскомнадзор прикроет доступ к сайту, на котором размещены страницы с персональными данными, то это никаким образом не повлияет на доступность уже утекших данных.


    Новости про утечки информации и инсайдеров всегда можно найти на моем Telegram-канале «Утечки информации».

    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 98

      +15
      Никогда такого не было, и вот опять.
        +4
        Т.е. даже если Роскомнадзор прикроет доступ к сайту, на котором размещены страницы с персональными данными, то это никаким образом не повлияет на доступность уже утекших данных.

        А смешнее всего, что они таки правда будут блокировать эти самые сайты. И еще отчитаются на какой-то пресс-конференции об «успешно отраженной атаке». Не найдя реальную причину слива. Ведь действия РКН — это сплошной оксюморон.
          +2
          С огромной вероятностью будет заявлено, что не было найдено нарушений в защите персданных.

          +4
          это очень похоже на данные с кадрового портала запущенного полгода назад
            +1
            Нет это данные не с портала.
            Проверил свои и жены, данных на портале больше и они актуальные. Да и фото разные.
            Данные из SAP базы, но вообще их гораздо больше.
              0
              Данные не вчера же слили:) Вероятно май-июнь
                –2
                В этом году точно.
                Меня больше убивает что это до сих пор не заблокированно.
                Там данные всех от Генерального директора до последнего составителя
                  0
                  Смысл блокировать?
                    –2
                    НУ хотя бы для некоторого ограничения доступа круга лиц
                      +3
                      Имхо, блокировать как раз не надо: не могу представить, что мошенник, который может эффективно использовать эти данные, зайдёт на сайт и скажет «Ой, сайт заблокирован, какая жалость. Пойду подожду, пока из Мира данные утекут». Но массовое распространение может заставить людей подгореть и спросить, почему айтишники это допустили.
            +4
            По тем данным которые утекли, похоже что это из личного кабинета соотрудников, в котором совсем недавно всех сотрудников ржд заставляли зарегистрироваться. Там для входа используется снилс.
              0
              Тут недавно введи корпоративное приложение для iOS и андройда, раньше все эти данные были в интранет до ввода этого приложения, так что как то так.
                +22
                У меня член семьи работает в РЖД. Пол-года назад, плюс-минут, заставляли их проходить курс по информационной безопасности. Прикольный такой, с красивыми картинками, примерами, типа не пихайте рабочие флэшки куда попало, не передавайте, не выносите из здания, блокируйте компьютер, даже если просто выходите в туалет и т.д… После курса тесты были, тоже онлайн, по типу «Какой из представленных паролей наиболее безопасный?».
                Я это к чему, чтобы пройти тест, нужно было авторизоваться, через логин-пароль. Логины-пароли выдали на листе А4, табличкой в ~20 человек. Находишь себя и авторизуешься. Просто вдумайтесь на абсурдность ситуации. Подчеркиваю, курс был именно по информационной безопасности.
                Хотя именно о безопасниках я был более высокого мнения, до этой статьи.
                  +2
                  Ну это ещё не так страшно, хотя и пример непрофессионализма. В таком случае можно утащить двадцать, сто, ну хорошо — в региональном филиале — несколько тысяч человек. Это не про кражу данных, а про уважительное отношение к коллегам: если в компании оставить телефон на столе на пять минут, кажется нормальным найти его на том же месте или у секретаря, а не бегать по ломбардам?

                  703 тысячи больше похоже на общее число сотрудников и контракторов.
                    0
                    Скорее всего прохождение курса было реализован как сервис, или программный продукт разработанный другой компанией, не интегрированный в ржд. И поэтому система не умеет авторизовывать пользователей какой-то имеющейся single sign on, или ldap/AD или что там используется в ржд. Поэтому из базы hrm выргрузили список тех кому следует пройти курс, нагенерировали им Аккаунты в «курсе», нагенерили им паролей и вперед. Можно было еще сделать одинаковый пароль для первого входа, но если этим сервисом не будут пользоваться хотябы раз в месяц, пользователь просто забудет свой свежепридуманный «наиболее безопасный пароль».
                      0
                      Там есть специальный портал «Система дистанционного обучения». Собственно, в ней из персональных данных только ФИО, рабочая почта (которая без дополнительных манипуляций во внешний мир писать и принимать из мира письма не будет), рабочий телефон (внутренний). Регистрация проходит по адресу почты и СНИЛС. Скорее всего кадры решили не мучить людей персональной регистрацией, а заранее всех зарегистрировали и раздали логины-пароли. Мы тоже проходили эти курсы и тесты, но регистрировались сами. Кстати, довольно интересный курс.
                      А вот утечка ПД скорее всего произошла из Сервисного портала сотрудника и пенсионера, который начали активно внедрять примерно полгода назад. Там как раз и ФИО, должность, фото как с пропуска, контактные данные (мобильный телефон и личную почту сотрудник может указать по желанию) в доступе через адресную книгу. Сотрудники кадров, я думаю, видят больше. Сам на своей страничке видишь гораздо больше документов, вплоть до свидетельств о рождении своих детей. Первичный пароль действовал пару дней, раздавали на листе А4 отдел кадров. При первом входе пароль требовалось сменить.
                      Есть еще приложение для работы с порталом. Раз в месяц оно выкидывает: «Найдена критическая уязвимость в приложении, с данной версией работать больше нельзя, срочно обновите».
                    0
                    Нам в универе, выдавали нарезку листочков с паролями от учетки. После входа предлагалось автоматом его изменить. Тут точно небыло ничего такого в том числе и сказанного про изменения пароля? или может подумали что прохождение курса будет достаточно толстым намеком и без слов?)
                    –13
                    Ну, утекли. Дальше что? Чего с монетизацией это массива данных?
                      +4
                      В пенсионный фонд увести. База данных телефонов для спамеров. Да и в связке с другими возможными утечками ценность повышается т.к. сама по себе надежность этих данных высока
                        –2
                        Телефоны служебные, толку ноль для спамеров
                          0
                          а зачем звонить, вот левые кадровые агенства тупо для сбора данных снилсов вакансии объявляли, вот и могут эту базу сунуть в несколько НПФ может им что выгорит, а люди пока разберуться пока найдут… а дыра-то не слабая раз такой объем разноранговых сотрудников
                            +1

                            Это хорошая идея, но разве у нас с 2014 года не заморожены пенсионные накопления? Вот видите, правительство все предусмотрело.

                              0
                              Агенты получают деньги от НПФ за перевод клиента в другой фонд, поэтому заморозка на них влияния не оказывает никакого.
                            +3
                            Для социальной инженерии клад. Одно дело — звонить, зная только имя-отчество, и другое — представляясь реальным человеком и звоня на реальный номер.
                              –9
                              Где обоснования для минусации?

                              Перевести в другой ПФ? Подпись нужна и паспорт. Два заявления на ПФ в Прокуратуру — и бенефициары этого ПФ обеспечат себе хлеб, воду и жилье по 159 ст. УК РФ. Прецеденты есть.

                              Прозвон по ФИО? Кому? Машинистам и обходчикам? Ладно, звоню я дежурной Павловне 1989 г.р.: «Здрасьте, это Георгиевич с Участка эксплуатации, файлик примите с вирусом. Да вы не смотрите, что совсем с другого номера звоню, по корпоративной почте файл отправлен». А вот буй вам с маслом! Корпоративные эксченджи не пропускают письма с подставных ящиков.

                              Не надо из мухи делать слона и орать: «Утечка!» Вы с этих данных анонимно денег не получите. А попытка нарушить работу станции в какой-нибудь Козульке встанет боком по 205 статье УК РФ.

                              поэтому есть куча банков, в которых можно восстановить кодовое слово по паспортным данным, узнать балансы и операции, чтобы использовать эти данные для получения других.


                              Давайте в студию кучу банков. Кодовое слово по паспорту? Утекли паспортные данные? Нет. У вас есть история трех последних платежей по карте? Нет. Вы звонит с телефона, который указан в банке? Нет. Даже будучи созаемщиком по кредиту без личного визита в банк вы про этот самый кредит не узнаете НИЧЕГО.
                                +5
                                «Шарик, ты болван» © ваш же
                                  0
                                  «балбес», а не «болван». А по теме есть чего? Я же не из праздного любопытства спрашиваю про получение прибыли с таких сведений.
                                    +2
                                    Есть опасение, что там не только эти данные утекли, а эти просто выставили для ажиотажа.
                                      +3
                                      Вы рассматриваете возможности использования этих данных, отталкиваясь исключительно от легальных способов, прямолинейных, «в лоб». Но есть еще и обходные, с задействованием сотрудников банков, сотовых операторов и т.д. То, что лично вы (или лично я) не сможете(ем) эти данные использовать для получения материальной или иной выгоды, не означает, что никто не сможет.

                                      Просто смотрите чуть шире, читайте профильные издания, что ли.
                                        0
                                        Давайте кейс, раз уж на то пошло. Страшные сказки я сам умею рассказывать.
                                          +3
                                          Оформление кредитов, регистрация юрлиц, да вот недавно даже квартиру переоформили. Извините, но песня Алисы «Для тех, кто свалился с Луны» не соответствует моим музыкальным пристрастиям.
                                            –1
                                            Единичные случаи, которые стали возможны благодаря стечению целого ряда обстоятельств с вереницей «но». Проще говоря, такие же пугалки.
                                              0
                                              Ну ладно, единичные так единичные.
                                              0
                                              Вы до сих пор верите, что по ксерокопии паспорта можно получить кредит?
                                                +2
                                                удивительно что вы в это до сих пор не верите
                                                нечистоплотный менеджер может навыписывать кучу кредитов, получить премию и уволится. а счастливая толпа будет бегать за банком. это если банк, а если МФО… там вообще темный лес.
                                                  0
                                                  Ну и как он его получит?
                                                  Карту ему только в кассе выдадут, по предъявлению паспорта кредитуемого и при совпадении лица на паспорте с получателем. с наличкой аналогично.
                                                  там слишком много надо народа вписать, при этом слишком отчаянного, но пушистого. Не каждого берут в банк «менеджером» и тем более кассиром (сб проверяет залеты по административке и тем более уголовке), а им еще и сговориться надо. С таким же успехом кассир может сам вынести кассу, без участия «менеджера», один хрен уголовка.
                                                  Скорее это может у микрокредитов где-то сработает, где по понятиям до сих пор и то их надо суметь обмануть ксерокопиями
                                                    0
                                                    Ну и как он его получит?

                                                    да даже если и не получит, он получит премию, насколько я помню у них премия зависит от количества оформленных кредитов
                                                    Также он сам себе может и выдать карту, он же операционист… он сам и будет сверять с собой же
                                                    Не каждого берут в банк «менеджером»

                                                    Это самая низовая специальность, без опыта работы с минимальной зарплатой
                                                    еще веселее работники коллцентров, которые к очень деликатным данным имеют доступ, да ещё могут и транзакции проводить
                                                    один хрен уголовка.

                                                    вы удивитесь насколько упоротые люди бывают, чего стоит чел обслуживающий банкоматы который положил на телефон 50тыр выковыривая пятитысячную купюру из купюроприемника на пути к кассете и засовывая её назад… прям гений преступного мира, наверное он думал что никто никто не догадается что это он сделал
                                                      0
                                                      Да понятно что система иногда дает сбои, человеческий фактор он такой — толи мозги разжижаются (алкоголь, старость, гормоны?) толи лунное затмение повлияло. Но в целом это отслеживается достаточно легко и стремные ребята быстро уезжают на нары.
                                                  0
                                                  В моей новостной ленте сообщения о том, что поймали / засудили / посадили очередного банковского клерка, который понабрал кредитов по паспортным данным клиентов встречаются примерно раз в неделю. При этом, что специально я этой темой не интересуюсь, это просто часть моего информационного фона. Поскольку я не предполагал что-то кому-то доказывать, я эти сообщения в закладки не вносил (и не собираюсь), они для личного употребления и формирования картины мира в том числе. Но, каюсь, позавчера даже попробовал поискать одно из них — безуспешно, лента длинная.

                                                  Прямой же ответ на ваш вопрос — я не верю, я знаю. И в некоторых случаях не надо копии как таковой (ксеро- или скан-), достаточно просто паспортных данных.
                                                    0
                                                    Скорее всего это когнитивное искажение. ЦБ банки гоняет жесточайше и если и были такие банки где все так просто то они уже без лицензии.
                                                    Как вариант это журналисты перевирают, называя МФО и прочие шарашки «банками» для упрощения подачи материала.
                                                      0
                                                      Тогда это не у меня когнитивное искажение, а у Следственного Комитета РФ, который и публикует эти сообщения.

                                                      P.S. Но что принципиально изменится, если это будет не банк, а МФО, для «пострадавшего»? Кредит в МФО ничуть не хуже может испортить жизнь человеку — они наравне с банками имеют доступ в бюро кредитных историй, и отнюдь не только на чтение.
                                              0
                                              Представленные данные и так можно было задёшево найти, даже в связке паспорт. Ничего нового или остросюжетного.
                                                0
                                                Это как-то опровергает исходный тезис?
                                          +1

                                          Не пускает почту? Да некоторые почтовые сервера РЖД, если не большинство, позволяют отправлять почту БЕЗ авторизации совсем. С указанием любого адреса отправителя. С любого компа внутри сети. О какой безопасности может идти речь? Да и РЖД сотни разных внутренних порталов и сервисов, часть из них позволяют посмотреть данные по сотрудникам произвольно, часть перебором по каким-нибудь id. При желании любой заинтересованный работник мог собрать эти данные автоматизированно.
                                          Но правильно сказали — кроме пенсионных фондов они никому особо и не нужны.

                                            0

                                            насчет авторизации — такое есть практически в любом энтерпрайзе, к сожалению...

                                            +2
                                            Зачем мне звонить машинисту Петру и обходчице Клаве? Я лучше в бухгалтерию позвоню, что это сбербанк(SIP+Подмена номера) и им надо ключи обновить/программу обновить/платёжка не прошла, примите файл с рашифровкой почему так. Это если мне надо денег поиметь/винлокера забросить. Если я из МИ6/МОССАД/АНБ/Террористическая организация «Уничтожим ЖД», то СИ с такими данными поможет втереться в доверие и запустить вооот тот файлик с обновлениями на важных участках и грохнуть к примеру СЦБшникам что-то, да хоть помочь поезду с очередным Кимом влипнуть в катастрофу и свалить всё на РФ.
                                            Или вы пытаетесь найти законные способы применить утечку?
                                              –1

                                              Обломаетесь — устройства СЦБ никак к сети передачи данных РЖД не подключены. Максимум — испортить какую-нибудь систему ОТОБРАЖЕНИЯ данных движения. Но поезда не встанут от этого. Куча дублирующих есть.

                                                +2
                                                Ой, «не встанут». Сказок не надо, а?

                                                Грузовая станция, сортировочная горка, отлаживаем GPS (точнее GNSS) для Клуб-У. Из-за нестыковки стандартов DGNSS через УКВ (RTCM 2.3 vs 2.2) в некоторые моменты точность падает и у диспетчера отображается, что мы на соседнем пути. А по нему встречный.

                                                Во-первых — все встали. Ибо самое безопасное — остановить всех. Во-вторых, диспетчер была ярко-белая, и от инфаркта её отделяло очень немного. В третьих — поехали после пятого подтверждения, что баг у нас и локомотив на правильном пути. То есть подтверждали и мы, и машинисты и машинисты встречного…

                                                Так что, чтобы все встало — нужно совсем немного… Расхождение данных дублирующих систем — очень веский повод для остановки. Даже на испытаниях, даже когда известно, какая система отлаживается. Кстати, DGNSS через УКВ там штатный, и подавляется он понятно как.

                                                Так что один левый апдейт для КЛУБ-У — и можно остановить всю дорогу. :-))))
                                                  0
                                                  Расхождение данных дублирующих систем — очень веский повод для остановки.


                                                  Эх, было бы так у Боинга.
                                                  (оффтопик)
                                                    0
                                                    Да примерно так же у него. Если хоть один сигнал показывает опасность сваливания — действуем как при опасности. Это иная проблема, что в авиации нету полностью безопасных действий и защита от сваливания приводит к пикированию и катастрофам.
                                                  0
                                                  Сами обломайтесь, Stuxnet вам в подарок. Надеюсь вам не надо объяснять, что это за вирус и как он распространялся?
                                                    0
                                                    Каким образом ваше возражение является контр-аргументом довода о том, что СЦБ якобы не подключены к СПД? (не касаясь того, так ли это на самом деле).
                                                    Это же не про airgap, а про «ламповость» СЦБ.
                                                      0
                                                      Ламповость СЦБ уже не та, там висят девайсы, у которых есть прошивки. И злобный шпиЁн, втеревшись в доверие к работнику СЦБ, может ему подсунуть заразу, которая эту прошивку и грохнет/исправит. Вопрос только в том, а сможет-ли железная автоматика (без всяких микроконтроллеров которая вообще) предотвратить в таком случае аварию/тупую остановку движения.
                                                +1
                                                А попытка нарушить работу станции в какой-нибудь Козульке встанет боком по 205 статье УК РФ.

                                                Скажу страшное: а что если этим займется Страшный Заграничный Шпиён, которому положить с прибором на УК РФ? Транспортная безопасность, туда-сюда.
                                              0
                                              ссылку на сайт не привожу специально
                                              Зато она мгновенно гуглится по той самой надписи
                                                –2
                                                Загуглил, сразу нашел столько зеркал Хабра.
                                                  –2
                                                  да уже слили новость на порталы — сам сайт даже не на второй странице уже
                                                    0
                                                    пф, добавляешь в запрос инфу со скрина и находишь, только вот сайт уже мёртв.
                                                +3
                                                При таких количествах утечек нужно просто сразу считать, что все данные по любому человеку публичны. Чтобы то, что я знаю чей-то номер паспорта или СНИЛС, ничего не давало. Хотя сейчас уже и доступ к телефону не дает гарантии, что это авторизованный человек (учитывая легкую подделку сим-карт у операторов). Остается только личный private key как-то поддерживать. Если его уже слил, то сам виноват.
                                                  +2
                                                  Думаю, в ближайшем будущем практически все данные на каждого человека будут публично доступны и сделать с этим уже ничего нельзя в современном мире. Нужны какие-то другие механизмы — ну там неотвратимо карать за криминальное использование этих данных, например, и т.д. По типу как ты можешь купить ножик в любом хозяйственном, вопрос в том, как ты им дальше распорядишься. С информацией будет примерно так же.
                                                    0

                                                    Солидарен. Но наличие на руках базы паспортов, СНИЛС и пр. последовательных или уникальных идентификаторов позволяет сильно упростить их перебор. Вспоминаем, что в тех же Госуслугах есть вход по номеру СНИЛСа…

                                                    0
                                                    Проблема в том, что осталось очень много компаний, которые считают, что это секретные данные, которые никому не доступны: поэтому есть куча банков, в которых можно восстановить кодовое слово по паспортным данным, узнать балансы и операции, чтобы использовать эти данные для получения других. Если делать эти данные публичными, то сразу надо требовать, чтобы они нигде не использовались для авторизации, при которой можно что-то получить.
                                                      0
                                                      Так я про то и говорю: их нужно считать публичными и не использовать для авторизации. Тут или какой-то уникальный вопрос, или какой-то private key.
                                                    +4
                                                    Подтверждаю актуальность, нашел своего товарища, который работает в РЖД
                                                      0
                                                      Столько же данных, разве что без снилс можете выучить из журналов научных, можете зайти на сайты многих вузов, там то же самое будет, частенько даже с личными (не служебными) телефонами.
                                                        +2
                                                        это только те данные которые мы видим. а что именно убежало — не можем сказать
                                                          0
                                                          Чем больше информации о человеке, тем более качественно можно его обработать по социальной инженерии.
                                                          0
                                                          Утечка, судя по всему, c портала my.rzd.ru, который недавно начал свою работу для сотрудников РЖД. Данные для портала брались с отделов кадров структурных подразделений, от туда и фото и др. информация. Сотрудникам выдавался логи и временный пароль
                                                            0
                                                            Вот она программа Повышения производительности труда. ((((( Не секрет, что людей тупо сокращают а обьемы работ перераспределяются на оставшихся сотрудников. Не удивлюсь если этот «Сервисный портал работника» был полуброшен с точки зрения администрирования и безопасности.
                                                              0
                                                              Все больше приближаемся к сценарию из сериала «черное зеркало».
                                                                +1
                                                                Подтверждаю утечку данных с сервисного портала my.rzd.ru
                                                                Портал интегрируется с дорожными системами ЕК АСУТР (по числу дорог + центр) через шину.
                                                                В опубликованных данных, кстати, указан адрес места работы сотрудника.
                                                                В выгрузке нет данных работников ДЗО (ФГК, ВРК, ФПК и т.п.) т.к. для них сервисный портал ещё недоступен :)
                                                                  0
                                                                  Только хотел прочекать знакомых, а сайт перестал открываться — исчезла A-запись. Серийный номер зоны указывает на то, что зону сегодня отредактировали.
                                                                  +3
                                                                  Работников РЖД — 1/120 от трудоспособного населения России.

                                                                  Офигеть :(
                                                                    0
                                                                    Больше, это просто прямая часть 700 тыс, где то 500 тыс выведено в ДЗО
                                                                    0

                                                                    Уволился из РЖД в самом конце марта этого года. Своих данных не нашел.

                                                                      +1
                                                                      zen.yandex.ru/media/sostavitel/moi-rjd-portal-dlia-jeleznodorojnikov-5cc500eb24176a00ae4ff147
                                                                      Судя по комментариям открыли только в апреле, утекло наверное позже
                                                                      Кстати стрелочниками назначат кадровиков — они паролями рулили, опять же исходя из комментариев
                                                                      Интересно, интернет находит два портала
                                                                      my.rzd.ru (собственник rzd)
                                                                      my-rzd.ru (инфа whois недоступна, создана 29 мая 2019)

                                                                        0
                                                                        my.rzd.ru официальный сайт. Без .ru доступен из внутренней сети РЖД, работает шустрее. Сейчас, кстати, Сервисный портал уже который день недоступен, ведутся работы. Что только подтверждает, что данные утекли именно с него.
                                                                        my-rzd.ru скорее всего фишинговый адрес. Попробовал на него зайти с рабочего компьютера, его сразу заблокировал антивирус. Возможно, благодаря этому сайту данные и утекли.
                                                                      0
                                                                      сайт с инфой прикрыли
                                                                        0
                                                                        ну это прямую запись прикрыли — т.е. преобразование DN(то что вводите в строке браузера, к примеру: google.com) в IP(адрес машинной адресации, к примеру 192.168.8.1). А если идти по IP адресу — все должно найтись.
                                                                          0
                                                                          Там уже пусто.
                                                                            0
                                                                            Приметы времени — в комментарии на хабре объясняют на пальцах, что такое DNS. :))

                                                                            Этак года через 3 тут можно будет найти объяснения того, что такое браузер, и что интернет != браузер.

                                                                            P.S. Это так, мысли вслух.
                                                                              0
                                                                              Я тут как-то жаловался в комментариях на то что статьи и так уже ушли от первоначальной направленности — для гиков, на то что они стали менее информативными — больше рекламными\пиар, на то что слишком часто стали использовать манипулятивные подходы изложения, врать в конце концов(статьи на первой странице лучшего!).
                                                                              Возможно это я просто так начал воспринимать, соответственно оценке контента, аудиторию — а мой комментарий выше был абсолютно бесполезным.
                                                                                0
                                                                                Ваш комментарий был информативным, а я в целом согласен с вашим мнением. Хабр меняется, ну что ж, это, наверное, неизбежно.
                                                                            0
                                                                            Жаль, хотел знакомого пробить
                                                                            –1
                                                                            сбросил ссылку любовнице одного не мелкого человека в ржд, (она тоже там работает) что его ждет представляю, тем более там не самая удачная ее фотография)
                                                                              0

                                                                              Ну, подумаешь 700 тыщ. Вон и 500 миллионов утекало. https://m.habr.com/ru/company/0/blog/431682/

                                                                                0
                                                                                Мне кажется что нельзя собирать все данные в одну корзину. Что-то у одной службы, что-то у другой, у каждой есть api.
                                                                                  0

                                                                                  Наоборот — если все данные в одном месте, то проще контролировать и создать систему, которая будет обеспечивать защиту. Условно — это как с RAID массивами. Один диск — ну, да, ломается редко, но теряешь все. Два диска с дублированием — вероятность выхода каждого выше, но зато инфа остается целостной.
                                                                                  В переводе на Вашу ситуацию — куча корзин — с одной, да утечет, течь будет чаще, но зато утечка аффектит меньше данных (но не меньше персоналий!!! т.к. очевидно, что каждый человек есть и в базе МВД, и в базе ПФ, и в базе ИФНС и т д).

                                                                                  0
                                                                                  В Сбертехе какое-то время назад любой стажёр мог просмотреть список всех сотрудников банка вообще, даже самых последних операционисток в Анадыре. Соответственно, наделать скриншотов и невозбранно вынести.
                                                                                  Но, конечно, более вероятно, что такое сливают централизованно из базы
                                                                                    0
                                                                                    Ну в любой крупной организации есть адресная книга, с емейлами и телефонами сотрудников. Как иначе взаимодействовать? Тут дилемма хакера и солонки
                                                                                      0

                                                                                      А сейчас что, нельзя?

                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                        0
                                                                                        Позор.
                                                                                          0

                                                                                          Данные из нового приложения для андроид и айос Сервисный портал. Удобное приложение только появилось и на тебе подарок. Служба безопасности наказывает работников РЖД за всякие мелочи(флешки, почта и т.д.). А сами обкакались по крупному, разрешив такое приложение.

                                                                                            0

                                                                                            Некоторое время назад, когда я был ещё молод и горяч, решил я зарегиться на портале государственной гражданской службы — https://gossluzhba.gov.ru
                                                                                            Разместил там свои данные, резюме, все дела и об этом всем забыл.
                                                                                            А спустя год или около того решил вбить ФИО в поиск Яндекса. Я, мягко говоря, очень удивился, когда третьей ссылкой увидел свои данные (всё резюме, включая опыт работы и желаемую ЗП), размещенные на портале госслужбы. Причём тупо ссылкой на документ, размещенный у них.
                                                                                            Накатал жалобу в свежесозданный тогда Роскомнадзор (почему-то не ответили) и в поддержку портала. Поддержка ответила, что мол пофиксили. Осадочек остался.

                                                                                              0

                                                                                              Когда создавалась Сеть Передачи Данных МПС России в конце 90-х годов прошлого столетия, то защите сети уделялось очень и очень большое внимание. Жаль что так, сегодня происходит.

                                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                              Самое читаемое