Information Security
IT Infrastructure
Database Administration
Telemedicine
Comments 14
+8
Песец котёнку. Если база утекла на чёрный рынок, скоро пойдёт шквал звонков пациентам, которые делали анализы на онкомаркеры и схожие. В Москве уже лет пять есть некая группировка, которая за определенную мзду рядовым сотрудникам клиник платит за результаты таких анализов.
Через некоторое время после анализа пациенту от имени клиники делается звонок со страшным рассказом про результаты, далее начинается обработка про то, что прямо сейчас и только сейчас можно купить особое лекарство за сущие копейки, всего пара сотен тысяч рублей, и только оно поможет, но оплатить нужно прямо сейчас, ибо на весь город осталось всего несколько упаковок, а сейчас как вы знаете санкции, и когда следующая поставка неизвестно, давайте мы к вам сейчас подъедем, а вы пока перечисляете деньги, как вам удобно через Сбербанк или наличными, и далее все в таком духе.
По отдельным историям очевидцев работает грамотный психолог, который может разными тактиками удерживать и прессовать жертву по телефону около часа. После чего жертва добровольно перечисляет деньги в никуда.
+2

История про то, как один дятел всб профессию спалил. :trollface:
А вообще — что-то эта тема уж очень популярная стала. У нас местный коллцентр долго нанимали для массовых обзвонов подобного рода. Когда народ массово побанил этот коллцентр, то начали старички названивать с теми же текстовками. Когда спрашиваешь их: "А сама-то поняла, что сказала?" — сильно обижаются...

+4
Очень печальная новость для меня, как для их постоянного клиента.
А меж тем по персданным это стоит компании до 45 тыс. руб. (КоАП 13.11 ч5), а по нарушении врачебной тайны — до 200к руб \ до 4х месяцев ареста \ до 2х лет лишения свободы для сотрудника компании (УК РФ Ст137 ч2).
Интересно, понесут ли они хоть какую-то ответственность?
+3

Если кто-то, например вы, напишет заявление в полицию, то да. Если никто не напишет, то нет.

+1
Я б с радостью, не знаете случаем, как это сделать, не подставив автора?
Да и пруфы наверняка должны какие-то быть, хотя бы оригинал емейла от компании с признанием в утечке данных.
+1

Нужен white hat с опытом юридического урегулирования. Он показывает утечку, вы на основании этой информации пишите заявление.


Второй вариант, это найти/дождаться размещения этой информации на постороннем сайте (когда сольют) и писать заявление на этом основании.

-1
Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.


Увы, но это всё-равно 272 УК РФ.

0
Почему? Ведь информации в посте нет, как и рабочего способа ее получения. Или вы про замазанные сканы?
0
Вы получили доступ к информации и написали об этом публично — этого достаточно для начала следственных действий. А если еще и выложили дальше — это отягчающее обстоятельство.

Вообще любые публичные сканеры портов и подключения к MongoDB и другим базам «в целях безопасности» — уже является статьей, как факт незаконного проникновения. А была ли там открыта дверь или вы взломали firewall пентагона — уже детали.
+1

О! Бизнес-идея!
Создаём контору. Ставим сервер. По 80-му порту размещаем страницу со списком сотрудников, помечаем её "для служебного пользования". Регистрируем на левое лицо домен, привязываем его. Мониторим.
Все, кто зайдёт, не только несанкционированно просмотрели закрытую информацию, но и скопировали её себе. Находим, звоним, предлагаем урегулировать вопрос досудебно.
То есть как это — не пройдёт? С MongoDB пройдёт, а с Apache не пройдёт?

UFO landed and left these words here
+1

80 порт слишком стандартный, вам придется эксперту взятку дать. К тому же потенциальная жертва не поверит, поэтому денег до суда получить не удастся. Вот уже в суде да, он поверит, что срок явный, но придется делить деньги подсудимого на всех.


При небольшой модификации это рабочий (и крайне аморальный) способ посадить случайного человека, если у вас есть пара знакомых в органах и лишнее время. Иначе они не захотят возбуждаться.

+1
С новыми модными медицинскими сервисами все довольно весело: зачастую у них нет сотрудников, которые могут поддерживать нормальный уровень безопасности, плюс нет желания выплачивать адекватные вознаграждения за уязвимости. Один из схожих популярных сервисов не захотел со мной даже общаться, а другой — предложил за доступ к произвольному аккаунту 10000 рублей. На фоне других компаний это неплохо, но это явно не та сумма, которая мотивирует сообщать об уязвимости компании, а не продавать ее на черном рынке. Так что нас ждет куча чудных открытий и утечек (возможно, данные о здоровье — одни из самых ценных (ценнее банковских): после утечки их не изменить, они позволяют оказывать большое давление на людей).
Only those users with full accounts are able to leave comments.  , please.