Comments 62
Как только владелец базы был установлен, я отослал ему оповещение с предложением все-таки закрыть доступ к базе

Не совсем понял эту фразу. Вы нашли владельца аккаунта «меги» и написали ему?
Владелец базы — ООО «Компьютерные интеллектуальные системы». На Mega базу отзеркалили украинские хакеры, которым она, очевидно, не принадлежит.
во-вторых – вся чувствительная информация хранилась на сервере, находящемся в Германии
что изменилось бы, если бы она хранилась в открытом виде на сервере, находящемся в России? Данные всё равно утекли.
Ну только с точки зрения того, что хранение вне страны — административное, а открытый доступ — уголовное правонарушение.

Тут многочисленные нарушения закона.


Во-первых, по закону о перс. данных, они должны храниться или обрабатываться в России. Во-вторых, медицинские данные — это данные особой чувствительности, и к их хранению предъявляются особые требования. Возьмите, к примеру, постановление Правительства 1119:


5. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.

11. Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

14. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

Плюс, есть заумная методика от ФСТЭК для определения угроз системе хранения ПД. Обработка ПД требует от оператора определения актуальных угроз, и методика дает вариант определения. Тут очевидно, что никто этим даже не занимался.


Хотя тут есть нарушения закона, я особых иллюзий не питаю. Законы о персональных данных и регулировании интернета написаны для борьбы с политическими оппонентами, а не для защиты граждан. Простой пример: в рамках этих законов, скорее всего компания получит небольшой штраф. Плюс, РКН внесет адрес узла с MondoDB в список "заблокированных сайтов". Как будто это поможет защитить данные от распространения.


Не знаю, я тут даже подходящей статьи КоАП найти не могу.


Что мы можем сделать? Мы можем писать жалобы. Некоторые сервисы-файлообменники все же имеют Terms of Service, запрещающие выкладывание чужих перс. данных. Если вы нашли эту базу и она нарушает условия использования сайта, не поленитесь написать в обратную связь.


С последним пунктом в послании от "хакеров" все же не согласен.

Всё так. Но если база хранится в открытом виде, территориально находясь на территории РФ, то никакие постановления и заклинания не защитят её от слива. Так пусть хоть на Луне хранится, если надёжно защищена.
Тут, скорее, желание, чтобы все были в равных условиях. А то «своих» не дрючат, а неугодных за то же самое (Твиттер) или меньшее (аналитика Google у Навального) прессуют.
UFO landed and left these words here
<сарказм> Но если они в открытом доступе, то это легко проверяется.</сарказм>
Закон разрешает хранить и обрабатывать ПДн за рубежом только в пункте 5 статьи 18 152-ФЗ в виде исключений.
UFO landed and left these words here
Во-первых, по закону о перс. данных, они должны храниться или обрабатываться в России

Копию можно (резервную копию, к примеру)
Мы ж не знаем копия то или оригинал
UFO landed and left these words here
UFO landed and left these words here
но в России это больше похоже на фантастику.

Почему фантастика?

Вопрос только в том — а есть ли кому этим заняться.

В США — стране судебного сутяжничества — запросто можно этим на жизнь зарабатывать.

Я лично знаю одного юриста у нас, который коллективными исками к ЖКХ настолько достал коммунальные конторы, что они просто перестали оказывать услуги по подаче горячей воды. Это оказалось дешевле для ЖКХ, чем оказывать услуги и при этом выплачивать неустойки.

Требования закона у нас жесткие по температуре горячей воды, а старые тепловые сети не способны выдержать эти требования. Поэтому иски можно хоть каждый день подавать. Вот он их за каждый день и подавал. Договорившись в парой десятков бабушек.

Юрист — на этих исках себе заработал малоподержанный Land Cruiser.

Бабушки теперь живут без горячей воды.
UFO landed and left these words here
Бабушкам хоть денег перепало, чтоб колонку поставить?


Конечно, что-то там перепало. Окупилось или нет — не знаю.

Но:

Прочие жильцы, в исках не участвующие, точно ничего не получили. Но в конце концов и тем жильцам пришлось ставить личные водонагреватели.

UFO landed and left these words here
UFO landed and left these words here
Вот интересно, почему везде изображения, а комментарий от «хакеров» вставлен текстом? Возможно, потому что оригинальный коммент выглядит вот так??
image
Я один вижу политические нотки со стороны автора?
потому, что эту картинку вы взяли из совсем другого моего поста про этих Хакеров. И этот текст они оставили в совершенно другой базе.

Я один вижу, что вы пытаетесь натянуть сову на глобус? ;)
Вот эта картинка из моего поста 4-го апреля t.me/dataleak/906

И если вы посмотрите пост целиком, то там текстом приводится еще одно «послание» этих хакеров.

Никакого заговора, просто так мне удобно писать/постить. Снимите шапочку из фольги ;)
Вопросов нет, возможно ошибся. Но тем не менее, почему не вставить скриншот?
давайте я поясню немного процесс — у меня десятки баз (информация об открытых базах имеется ввиду), про которые надо написать. вдруг всплывает что-то важное срочное, вне очереди. Я просто физически не успеваю делать много нужных вещей. ;) Поэтому делаю так, как быстрее и удобнее в данный момент времени.

Какие-то скрины у меня сняты заранее и готовы, каких-то нет. Если нет и они не критичные мне проще скопировать текст…
Принято. Советую установить менеджер скриншотов, автоматизируйте свою работу. Добра, удачи. :)
кстати да! спасибо за идею.

может сразу порекомендуете что-то?

На шиндовс пользую greenshot. Чаще всего юзкейс "фрагмент экрана в буфер обмена или на dropbox/imgur", удобно.

С 1809 в win10 можно включить программулину «набросок на фрагменте экрана». По принтскрину она сразу запускает выделение экрана, а после выделения — отправляет кусок в буфер обмена.
Встроенный в Windows инструмент «Ножницы», обрезаем, копируем в буфер и вставляем в imgur.
ShareX, плюсом умеет делать видео в gif, гораздо удобнее чем рисовать кучу скринов со стрелочками.
И он, кстати, позволяет делать кучу скриншотов со стрелочками, текстом, блюром и загрузить это все на почти любой сервак(около 20 видов).
Если под Linux, то Speсtacle. Умеет делать сриншот (окна, стола, выделенной области), затем размещать его в буфере обмена, файле или выгружать в imgur.
Не советую связываться с этими хацкерами. Ребята реально суровые. Не только по IP-вычислят, но и семью взломают. По крайней мере так они мне пообещали при попытке взять у них интервью)))
image
прочитал Вашу статью про них на пикабу. классно, поржал. собственно я как первый раз их тексты по «монгам» стал видеть, сразу понял уровень. Они сначала только по старым младше 2.6 монгам пошли ибо есть готовый скрипт для этого.
Пикабу забанили очень много подсетей провайдеров, которые не реагируют на жалобы о ДДОС, сам столкнулся что не могу их почитать через VPN от Scaleway
UFO landed and left these words here
UFO landed and left these words here
UFO landed and left these words here
Авторов MongoDB можно понять. Если бы они сделали авторизацию, то половина «разработчиков» не прошла бы квест уровня «hello world!» при попытке что-нибудь в базу сохранить/прочитать… :)
UFO landed and left these words here

А в последних версиях Монги разве как раз не такая политика реализована?

UFO landed and left these words here
Это скорее авторы Docker подложили такую свинью, по умолчанию отключая для контейнеров Firewall, и об этом в документации если и написано, то там, где не всякий увидит. С появлением Docker количество незакрытых сервисов резко возросло, потому что SOHO админ пользуется ufw и считает, что за закрытым файрволлом его контейнеры в безопасности. А в ufw докеровские приколы не отображаются.
UFO landed and left these words here
Вот с чего вы это взяли? Или имелось ввиду «не слышал про iptables, редактирует не vi, и пишет скрипты не на С ?»
UFO landed and left these words here
Это у кого сетка из 20 машин, сервер с 20 униками в день, и два сетевых принтера. Это ситауции, когда домашние решения уже не тянут, а производительность энтерпрайза ещё далеко не нужна.
В не-it конторе это ещё значит, что человек сам и админ, и fullstack разработчик. Поэтому он не может знать всё и всё помнить.
Примерно так и подумал, просто первый раз столкнулся с термином SoHo относительно профессии.
Only those users with full accounts are able to leave comments. Log in, please.