Comments 320
А тинькофф деньги вам не вернул, потраченные на проверочный «пробив»?
Интересно, через сколько месяцев внесут поправки в закон о банковском инсайде, или как он там называется, что данная статья попадёт вот в эту самую категорию инсайда, и публикация таких статей станет незаконной. За статью будет статья, вот такой каламбур-с.
Теперь, после того, как вы им подсказали, скоро.
Статья про пробив своих данных. Чего тут инкриминировать?
UFO just landed and posted this here
Насколько я понимаю российские законы,
УК РФ 272 ч1,. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации.
Информация, защищенная законом, есть, копирование есть. Корыстных мотивов, ущерба или служебного положения, нет, и именно поэтому ч1 упомянутой статьи, а не ч2, 3 или 4.
А то, что информация об авторе же — ну, это бы работало, если бы автор в собственный личный кабинет вломился, куда у него доступ и так есть. А доступа к ИС банка у него не было и быть не должно, поэтому копировать полученную оттуда информацию (пусть даже и о самом себе) он права не имел.
Если бы не такое широкое освещение в медиа — думаю, автору бы прилетело, Тиньков иногда бывает импульсивен.
УК РФ 272 ч1,. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации.
Информация, защищенная законом, есть, копирование есть. Корыстных мотивов, ущерба или служебного положения, нет, и именно поэтому ч1 упомянутой статьи, а не ч2, 3 или 4.
А то, что информация об авторе же — ну, это бы работало, если бы автор в собственный личный кабинет вломился, куда у него доступ и так есть. А доступа к ИС банка у него не было и быть не должно, поэтому копировать полученную оттуда информацию (пусть даже и о самом себе) он права не имел.
Если бы не такое широкое освещение в медиа — думаю, автору бы прилетело, Тиньков иногда бывает импульсивен.
А еще он зафинансировал преступников на 10к рублей.
UFO just landed and posted this here
На самом деле, двухходовка, которую вы описываете — то есть, два формально не не особо незаконных действия, (или одно из которых не особо незаконно) но неразрывно связанные и вместе составляющие четкую картину правонарушения, уже давно и просто трактуются как правонарушение.
Ну то есть все вот эти «какие налоги, какие чеки, какие разрешения, я ему ничего не продавал. Я подарил ему картину, он подарил мне деньги», или там кошелёк из кармана тащит один воришка, и тут же передает его второму. Если первого ловят — у него нет главного вещдока, а второй — он вроде как и не крал… В общем, всё это не работает. И то, что ТС лично не заходил в интерфейс оператора банка — не изменяет того, что информацию, которую он сознательно получил, да при пособничестве сотрудника банка, он получить не должен был.
Одной из обязательных составляющих преступного деяния является умысел. Нет умысла — нет состава преступления. В данном случае умысел был на выявление дыр в безопасности, а не на незаконное завладение информацией.
И, пожалуйста, про «вы ничего не докажете» давайте не будем, мы же обсуждаем формальную сторону.
И, пожалуйста, про «вы ничего не докажете» давайте не будем, мы же обсуждаем формальную сторону.
Умысел — это не то, что автор хотел сделать на самом деле, а то, что пишет следователь в обвинительном заключении. Это если говорить именно о формальной стороне.
И причем этот идиотизм уже начинает реально работать — помните, пару лет назад в Штатах хотели посадить несовершеннолетнюю девушку за пост своей фотки с обнаженкой в соцсети: ретивый прокурор привлек ее по формальной статье — порнография с участием несовершеннолетних. А что сама себя — так про это в законе ничего не говорится.
Этак скоро вскрывать вены, вешаться и травиться перестанут — приехала скорая, откачала, и героя сразу в тюрьму на 10 лет — покушение на убийство. Самого себя, но про это в законе опять же уточнения нет.
Этак скоро вскрывать вены, вешаться и травиться перестанут — приехала скорая, откачала, и героя сразу в тюрьму на 10 лет — покушение на убийство. Самого себя, но про это в законе опять же уточнения нет.
Причем иногда этот идиотизм работает во благо. В Финляндии детишек, которые сильно прогуливает школу, судят за нарушение их собственно права на образование и приговаривают к проживанию в воспитательном приюте.
Правда у них в приютах взрослых в два раза больше, чем детей, поэтому сей метод работает хорошо. У нас юридическая техника помещения в приют иная, но работает плохо, потому что у нас в приютах меньше взрослых.
Правда у них в приютах взрослых в два раза больше, чем детей, поэтому сей метод работает хорошо. У нас юридическая техника помещения в приют иная, но работает плохо, потому что у нас в приютах меньше взрослых.
UFO just landed and posted this here
судят за нарушение их собственно праваЭто, простите, что-то немыслимое. По такой логике выходит, что права и обязанности — это одно и тоже. Мечта наших отцов народа. Можно, к примеру, издать указ, в котором будет явно прописано ваше право публично хвалить государя в комментариях на хабре. Соответственно, если вы этого не будете делать, то вас можно увозить в «воспитательный приют», т.к. вы нарушаете своё собственное право.
Я к тому, что если ходить в школу — это обязанность детей, то так и нужно говорить. Иначе это подмена понятий и, как следствие, нарушенное мышление.
Такое бывает и с другими правами.
Например, есть право на жизнь. Но если вы совершили неудачный роскомнадзор, то ваш будут принудительно лечить в психушке. Собственно за отказ от собственного права на жизнь.
Есть право на жилье. Если вы его не используете, вы нигде не зарегистрированы. И из-за этого теряете в других правах. То есть любой документ, где требуется регистрация, вам не получить. Например, с полисом ОМС — огромные проблемы.
Могу ещё несколько примеров привести. Так что бывает такое.
P.S. Разумеется то относится не ко всем правам. Но для некоторых — отказ от права наказуем.
Например, есть право на жизнь. Но если вы совершили неудачный роскомнадзор, то ваш будут принудительно лечить в психушке. Собственно за отказ от собственного права на жизнь.
Есть право на жилье. Если вы его не используете, вы нигде не зарегистрированы. И из-за этого теряете в других правах. То есть любой документ, где требуется регистрация, вам не получить. Например, с полисом ОМС — огромные проблемы.
Могу ещё несколько примеров привести. Так что бывает такое.
P.S. Разумеется то относится не ко всем правам. Но для некоторых — отказ от права наказуем.
Не стоит ли из этого заключить, что на самом деле речь идёт об обязанностях? Само по себе наказание человека за то, что он не пользуется своим правом — абсурд. Наказать можно только за невыполнение обязанностей, но никак не за нежелание пользоваться правом.
Почему? Из каких аксиом это вытекает?
«Право» означает, что вы можете его использовать разными способами. Но откуда вытекает, что вы имеете право совсем отказаться от использования любого права?
«Право» означает, что вы можете его использовать разными способами. Но откуда вытекает, что вы имеете право совсем отказаться от использования любого права?
Но откуда вытекает, что вы имеете право совсем отказаться от использования любого права?Из смысла слова «право» в русском языке. Право — это предоставленная возможность, но не обязанность. Иначе бы не было никакой разницы между правами и обязанностями.
Это юриспруденция, забудьте про русский язык и здравый смысл. По смыслу — «несовершеннолетний» — это одно понятие. А у юристов — два разных, одно в ГК, другое в УК.
И в УК у нас "Несовершеннолетними признаются лица, которым ко времени совершения преступления исполнилось четырнадцать, но не исполнилось восемнадцати лет."
Русский язык, ау? Здравый смысл, ау? Нету их. Есть законы.
Мне лень искать источники, но вот вам вики:
И в УК у нас "Несовершеннолетними признаются лица, которым ко времени совершения преступления исполнилось четырнадцать, но не исполнилось восемнадцати лет."
Русский язык, ау? Здравый смысл, ау? Нету их. Есть законы.
Мне лень искать источники, но вот вам вики:
Если правоотношение урегулировано диспозитивной нормой, управомоченный субъект может отказаться от принадлежащего ему права, в том числе передав его другому субъекту (такой отказ, будучи юридическим действием, прекращает либо изменяет правоотношение).
Если общественное отношение регулируется императивной нормой, то отказ от соответствующего субъективного права не имеет юридической силы (к правам такого рода относятся, в частности, права человека). Я не спорю по поводу того, что здравого смысла в этом нет. Однако, юриспруденция сама основана на обычном языке и, если подходить рационально, никак не может превалировать над ним, иначе вообще станет не ясно, за что судят человека. Т.е. человек в суде будет говорить, что никого не убивал, а ему скажут что-то из серии: «Вы просто не понимаете юридического языка». Опять же, я согласен с вами, что в реальности всё печально, и на практике порой происходят откровенно абсурдные ситуации, но я ведь с того и начал, что высказал мнение против подобных практик. Считаю, что это одурачивание людей и поле для жонглирования понятиями и законами.
Мне кажется, что рациональный подход (с точки зрения домохозяйки) не применим. И не только к юриспруденции, но и к программированию.
Ну что рационального (для домохозяйки) в том, что 1 и 1.0 имеют разные битовые представления? Мы к этому привыкли и понимаем причины.
Видимо и юристы понимают необходимость прав, отказаться от которых нельзя. Вроде права на жизнь vs эвтаназии.
Кстати, ещё есть личные права, которые не передать по доверенности, вроде права на написание завещания. Они тоже не очень рациональны (для домохозяйки).
Ну что рационального (для домохозяйки) в том, что 1 и 1.0 имеют разные битовые представления? Мы к этому привыкли и понимаем причины.
Видимо и юристы понимают необходимость прав, отказаться от которых нельзя. Вроде права на жизнь vs эвтаназии.
Кстати, ещё есть личные права, которые не передать по доверенности, вроде права на написание завещания. Они тоже не очень рациональны (для домохозяйки).
Видимо и юристы понимают необходимость прав, отказаться от которых нельзяЧем вообще в таком случае права отличаются от обязанностей?
Из вики:
Вы имеете право работать. Вы сам решаете, где работать, кем, за какие деньги, по какому графику. Но за тунеядство в СССР была уголовная статья.
Сравните с обязанностью, ну скажем, платить налоги. Где, как и сколько вы платите — решаете не вы сами, а государство.
То есть реализацию права вы выбираете сами, а реализацию обязанности выбрать не можете (или этот выбор сильно ограничен).
Но это лучше к юристам.
P.S. Ещё один пример. Завести детей — это право, но налог на бездетность в СССР был.
субъективное право определяет меру и пределы возможного (т.е. дозволенного) поведения правомочного субъекта в отличие от обязанности — меры до́лжного поведения, и запрета — меры недопустимого поведенияВы имеете право работать. Вы сам решаете, где работать, кем, за какие деньги, по какому графику. Но за тунеядство в СССР была уголовная статья.
Сравните с обязанностью, ну скажем, платить налоги. Где, как и сколько вы платите — решаете не вы сами, а государство.
То есть реализацию права вы выбираете сами, а реализацию обязанности выбрать не можете (или этот выбор сильно ограничен).
Но это лучше к юристам.
P.S. Ещё один пример. Завести детей — это право, но налог на бездетность в СССР был.
То есть реализацию права вы выбираете сами, а реализацию обязанности выбрать не можетеЭтим самым вы утверждаете, что право это в принципе вид обязанности, и единственная разница — реализация обязанности. Я с такой трактовкой не согласен. Не лучше ли это назвать определённым видом обязанности, дабы не путать понятие права как возможности, не предполагающей принудительной реализации, с понятием обязанности в том или ином виде?
Сравните с обязанностью, ну скажем, платить налоги. Где, как и сколько вы платите — решаете не вы сами, а государство.
Дело в том, что режим налогообложения тоже можно выбирать. Таким образом это в соответствии с вашей же интерпретацией является правом, а не обязанностью. Выходит путаница.
Можно полно привести примеров, которые никак не вяжутся с тем, что вы предлагаете. Например, я обязан содержать помещение, в котором проживаю, в соответствии с определёнными требованиями неких законов. Как я буду это делать — я выбираю сам, таким образом по-вашему — это не обязанность, а право.
Я не юрист, поэтому не утверждаю, а объясняю. Но могу и ошибаться. Нет смысла со мной спорить.
Вопрос о том, кого как лучше назвать — смысла не имеет. Не лучше ли назвать «программу» ну скажем «прокодом», ибо в ней нет ничего про граммы? :-)
По мне, общая обязанность платить налоги не противоречит частному праву на выбор налогового режима. Кстати, если этот выбор вас касается — от него нельзя отказаться, ибо все равно какой-то режим будет выбран по умолчанию.
Знаете, что? Понимайте этот так. У любой переменной в Си есть значение. Оно может быть неопределенным, но какое-то значение всегда есть. А вот в SQL — бывает NULL, что означает «нет значения». Вы хотите, чтобы везде было как в SQL, но технически — это неудобно.
Вопрос о том, кого как лучше назвать — смысла не имеет. Не лучше ли назвать «программу» ну скажем «прокодом», ибо в ней нет ничего про граммы? :-)
понятие права как возможности, не предполагающей принудительной реализацииХорошая мысль. У обязанностей есть принудительная реализация, а у прав нету. Налог на бездетность все-таки очень далек от принудительного совокупления. :-)
Можно полно привести примеров, которые никак не вяжутся с тем, что вы предлагаете.Так я вообще ничего не предлагаю. Просто вместе с вами разбираюсь во взаимосвязи прав и обязанностей.
По мне, общая обязанность платить налоги не противоречит частному праву на выбор налогового режима. Кстати, если этот выбор вас касается — от него нельзя отказаться, ибо все равно какой-то режим будет выбран по умолчанию.
Знаете, что? Понимайте этот так. У любой переменной в Си есть значение. Оно может быть неопределенным, но какое-то значение всегда есть. А вот в SQL — бывает NULL, что означает «нет значения». Вы хотите, чтобы везде было как в SQL, но технически — это неудобно.
Путаница в терминах получилась. «Формальная сторона» в моём понимании — это то, что произошло «на самом деле» и должно быть отражено в деле, актах и заключениях. Случаи неправомерной, незаконной работы судебной машины здесь неинтересны и я ещё раз прошу их оставить за скобками, чтобы не разводить флейм.
У вас есть мысли насчёт того, что произошло на самом деле между автором и банком Тинькофф?
У вас есть мысли насчёт того, что произошло на самом деле между автором и банком Тинькофф?
Автор в результате не пострадал. Он просто получил данные о себе, и заяву сам на себя писать не будет. А вот сотрудник, незаконно сливший данные на сторону неавторизованному пользователю, вдобавок получивший за это финансовое вознаграждение — злоупотребляет положением, и есть статья.
Так получается, что умысел на получение информации всё равно был. А то, что делалось это для выявления дыр в безопасности, не играет никакой роли.
Отсутствие умысла в данном случае было бы в том случае, если бы автор не хотел получать выписку со счета, а просто спросил, возможно ли это сделать, на что продавец не просто ответил бы ему «возможно», а осуществил доступ и предоставил данные.
Т.е. автор хотел получить эти данные? Хотел. Производил целенаправленные действия для получения данных? Производил. Умысел налицо.
Если бы автор не хотел получать эти данные, и действий, направленных на их получение, не производил, но данные все равно оказались бы у него, то умысла не было бы.
Отсутствие умысла в данном случае было бы в том случае, если бы автор не хотел получать выписку со счета, а просто спросил, возможно ли это сделать, на что продавец не просто ответил бы ему «возможно», а осуществил доступ и предоставил данные.
Т.е. автор хотел получить эти данные? Хотел. Производил целенаправленные действия для получения данных? Производил. Умысел налицо.
Если бы автор не хотел получать эти данные, и действий, направленных на их получение, не производил, но данные все равно оказались бы у него, то умысла не было бы.
автор хотел получить эти данные?
Ну нет же. Автор хотел получить другую информацию — о возможности неправомерного доступа. Ему не нужна была информация о себе самом!
Если я шатаю забор для проверки прочности, хочу ли я его сломать, есть ли у меня умысел на доступ к охраняемой забором территории?
Автор хотел получить другую информацию — о возможности неправомерного доступа.
Как я уже написал:
Отсутствие умысла в данном случае было бы в том случае, если бы автор не хотел получать выписку со счета, а просто спросил, возможно ли это сделать, на что продавец не просто ответил бы ему «возможно», а осуществил доступ и предоставил данные.
Если я шатаю забор для проверки прочности, хочу ли я его сломать, есть ли у меня умысел на доступ к охраняемой забором территории?В данном случае аналогия будет такой: для проверки прочности забора, вы наняли человека с инструкцией: «Сломай забор». После этого человек его благополучно сломал, получив за это от вас деньги.
Автор же не пентестил сайт банка для проверки его на уязвимости (шатал забор для проверки прочности), чтобы потом разбираться, хотел ли он просто взломать сайт или скачать с него охраняемые данные. Автор заплатил за результат — выписку по счету (ценную вещь с охраняемой забором территории).
Если бы автор просто спросил, он бы не получил требуемого, а требовалось ему достоверное свидетельство о наличии уязвимостей, в которое можно было бы ткнуть носом сомневающихся. Ещё раз — не список своих собственных транзакций, которые он мог получить штатным путём.
С понятием информации вообще тонкий момент — то, что ничего не меняет для субъекта (наблюдателя), информацией и не является — ценной вещи автор за деньги не получил. Он получил данные, которые не несли информации. Точнее, не несли охраняемой законом информации. Если бы он заказал выписку с чужого счёта, то он бы получил охраняемую информацию, а в данном случае нет. С помощью посредника или без, он провёл именно тестирование уязвимостей и получил информацию, разрешённую для получения, а именно о надёжности хранения данных в банке Тинькофф. Клиент банка имеет полное право на достоверную информацию подобного рода.
С понятием информации вообще тонкий момент — то, что ничего не меняет для субъекта (наблюдателя), информацией и не является — ценной вещи автор за деньги не получил. Он получил данные, которые не несли информации. Точнее, не несли охраняемой законом информации. Если бы он заказал выписку с чужого счёта, то он бы получил охраняемую информацию, а в данном случае нет. С помощью посредника или без, он провёл именно тестирование уязвимостей и получил информацию, разрешённую для получения, а именно о надёжности хранения данных в банке Тинькофф. Клиент банка имеет полное право на достоверную информацию подобного рода.
Если говорить о том, что автор не получил информации, к которой у него не было допуска, то выходит, что отсутствует одна из составляющих преступления — не состоялось нарушение банковской тайны, не произошло нарушения ничьих прав на какую-либо тайну (смотря, кстати, что за преступление мы пытаемся инкриминировать автору, потому что неправомерный доступ к охраняемой законом информации таки произошел, но это ладно, мы сейчас про умысел).
Мы же обсуждаем умысел на получение своей выписки. Которую, как вы сами сказали, автор хотел получить, чтобы предъявить в качестве доказательства возможности её получения в обход законных процедур. Т.е. ему не просто надо было узнать, можно ли её получить, а ему нужна была сама выписка (вы сами так сказали). И он заказал саму выписку, а не проверку на возможность её получения. Т.е. договор между автором и исполнителем звучал как "дай мне выписку по номеру ххх", а не "проверь, можно ли получить выписку по номеру ххх, и если можно, дай доказательства, что можно". Автор, как вменяемый человек, понимает и отдает себе отчёт в том, что заказ "дай мне выписку по номеру ххх", в случае его успешного исполнения, приведет к получению и предоставлению ему выписки со счета. С учётом того, что автор заплатил за это, и был удовлетворен результатом, о чем свидетельствует эта статья и написанное в ней, автор заранее понимал, что он получит в результате этого заказа и получил именно то, что хотел, т.е. выписку со счета. В этом и есть умысел на получение выписки, т.е. на совершение конкретного объективного действия.
Вы же все время подменяете понятия. Вы говорите, что автор не хотел нарушать чужую банковскую тайну, а потому заказал выписку по своему номеру. Т.е. у него не было умысла на нарушение банковской тайны. Но это работает немного не так, умысел нужен не на то, чтобы стать преступником, а на формально, физически проведенное действие, т.е. на получение выписки.
По аналогии с забором, мы не ищем умысел на "испортить чужую собственность", мы ищем умысел "сломать забор". А если умысел в случае с забором был "достать свою вещь с территории", то этот умысел все равно был, но т.к. эта вещь своя, то самого преступления, т.к. кражи чужого имущества, не произошло (хотя произошло проникновение на охраняемую территорию, но это уже другой вопрос).
Одной из обязательных составляющих преступного деяния является умысел. Нет умысла — нет состава преступления.
А если я вас случайно насмерть молотком по голове ударю, или случайно с крыши столкну вам на голову кирпич, или на машине собью не заметив — тоже нет состава преступления?
Про случайности и неосторожности есть отдельные статьи, тут не про это.
Предположим, вы пошли на рынок, нашли исполнителя и заказали ему украсть шкатулку с драгоценностями из квартиры. Вашу шкатулку из вашей квартиры. Он её успешно спёр и принёс вам, после чего вы сдали его полиции. Вполне вероятно, что если все будут в адеквате, то вам ничего не предъявят, т.к. собственно и предъявлять-то по большому счёту нечего, состава преступления с вашей стороны нет.
Предположим, вы пошли на рынок, нашли исполнителя и заказали ему украсть шкатулку с драгоценностями из квартиры. Вашу шкатулку из вашей квартиры. Он её успешно спёр и принёс вам, после чего вы сдали его полиции. Вполне вероятно, что если все будут в адеквате, то вам ничего не предъявят, т.к. собственно и предъявлять-то по большому счёту нечего, состава преступления с вашей стороны нет.
Предположим, вы пошли на рынок, нашли исполнителя и заказали ему украсть шкатулку с драгоценностями из квартиры.
состава преступления с вашей стороны нет.
Очень даже есть. Согласное статье 33 УК РФ, в предложеной вами ситуации, «я» соучастник преступления. (к стати, автор этой статьи, теоретически, тоже)
Статья 33 УК РФ. Виды соучастников преступления
…
4. Подстрекателем признается лицо, склонившее другое лицо к совершению преступления путем уговора, подкупа, угрозы или другим способом.
Исполнитель взял шкатулку по просьбе её владельца. О каком преступлении вообще может идти речь? Тут уже скорее, при условии что все будут в адеквате, заказчик рискует получить по 306 ст. УК РФ.
UFO just landed and posted this here
UFO just landed and posted this here
Все норм, пойдёт как "группой лиц по предварительному сговору". Можно ещё роль организатора докинуть.
Если человек работает в банке.
Автор, надеюсь, что вы не работаете в Тинькофф?
Автор, надеюсь, что вы не работаете в Тинькофф?
Инсайдер — имеющий доступ в силу служебных обязанностей, как-то так, скорее это будет в другой части…
ИМХО проблема в том что искать тех, кто продаёт информацию можно только имея точную информацию о том что, по кому и когда слили, да и то не так просто, но из-за этих уродов в ближайшее время сотрудникам банков запретят пользоваться не только интернетом с рабочего компа (я не про операциониста) но и в принципе своими телефонами (а сейчас уже есть проблема того, что ответы на технические вопросы приходится искать через смартфон)
Ну ТильковБанку это будет сложновато, учитывая, что он хвалится отсутствием офисов. У него же люди по домам сидят и из дома работают. Как тут контролировать? Только собирать в одном месте людей имеющих доступ к перс. данным.
Ну и абсолютно ничего не мешает самому банку делать контрольные закупки и по логам посмотреть, кто пробив делал или Тинькову 10К жалко?
Ну и абсолютно ничего не мешает самому банку делать контрольные закупки и по логам посмотреть, кто пробив делал или Тинькову 10К жалко?
Закон не имеет обратной силы. По идее ;)
Впрочем, если кто-нибудь сделает репост — придраться можно будет к репосту.
Впрочем, если кто-нибудь сделает репост — придраться можно будет к репосту.
Нужно в банковское ПО внедрять водяные знаки, а потом вычислять нарушителя.
Наверняка имея примерное время можно без водяных знаков по логам посмотреть кто запрашивал. Не думаю что там будет большое количество запросов через внутренюю систему.
Если бы банки действительно массово боролись с этими утечками, а не действовали в лучшем случае точечно, а так же «слившему» информацию сотруднику вместо увольнения и штрафа грозил реальный или в самом лёгком случае условный срок, продавались бы только фейки с редким и быстро вычисляемым реальным сливом.
И это только банки. Масштаб проблемы если его озвучить/выложить в месте где его услышат/прочитают хотя бы сотни тысяч, вызовет массовую истерию и панику у правительства. Правда паника правительства ничем хорошим не заканчивается, в первую очередь они заблокируют ресурс где была выложена информация, затем меры могут последовать ещё более идиотские(вроде ареста автора публикации).
И это только банки. Масштаб проблемы если его озвучить/выложить в месте где его услышат/прочитают хотя бы сотни тысяч, вызовет массовую истерию и панику у правительства. Правда паника правительства ничем хорошим не заканчивается, в первую очередь они заблокируют ресурс где была выложена информация, затем меры могут последовать ещё более идиотские(вроде ареста автора публикации).
Правильно, нормальный не ленивый аналитик будет знать, что данные из ИС можно вытянуть не из интерфейса операциониста, а запросом к базе, причём запросом оттуда, где данные и так ходят тоннами (для аналитики, только для аналитики), и логи этих запросов можно будет разбирать до посинения.
Для аналитики зачастую логи обезличиваются. Как минимум, имена заменяются на внутренние cli_id.
Проблема в том, что неленивых аналитиков (а также админов и других) с прямым доступом к таким данным — единицы, возможно десятки. Почти все из них чётко осознают последствия и если занимаются таким, то выявить их будет крайне сложно. А ещё за свои услуги они сразу будут просить много. А ещё у них будет достаточно большая зарплата и голова на плечах, чтобы ради не слишком больших денег не рисковать своей свободой.
А вот «специалистов первой-второй линии поддержки» с доступом через логируемые интерфейсы — сотни, а часто и тысячи. И вот такие как раз на раз палятся на контрольной закупке.
Тем более, что у них часто не хватает мозгов догадаться, что ВСЕ доступы к любой информации логируются и даже самый тупой безопасник может сопоставить событие «данные Иванова А.А. были проданы 01.01.2019 в 00:45» и запись в логах «сотрудник Петров В.В. заходил в карточку Иванова 01.01.2019 в 00:10», а тут уже и до уголовного дела с реальным сроком недалеко.
А вот «специалистов первой-второй линии поддержки» с доступом через логируемые интерфейсы — сотни, а часто и тысячи. И вот такие как раз на раз палятся на контрольной закупке.
Тем более, что у них часто не хватает мозгов догадаться, что ВСЕ доступы к любой информации логируются и даже самый тупой безопасник может сопоставить событие «данные Иванова А.А. были проданы 01.01.2019 в 00:45» и запись в логах «сотрудник Петров В.В. заходил в карточку Иванова 01.01.2019 в 00:10», а тут уже и до уголовного дела с реальным сроком недалеко.
мм, я очень радовался, после того как пришлось брать карту в сбербанке и мне начали названивать из разных компаний такси с рекламой много лет назад.
тут даже идиот догадается, что слив из банка.
тут даже идиот догадается, что слив из банка.
Мы сейчас в США.
У супруги есть карты нескольикх банков, но только с одном у неё на карте написано не NAME SURNAME а NAME L SURNAMЕ, то есть в банке поставили в середине первую букву отчества. Это было только в этом банке (в котором есть слово America). И теперь, когда нам прилетают офферы на кредитки из всяких других мелких банков и там в поле «кому» есть первая буква отчества, мы сразу знаем, кто слил инфу :)
У супруги есть карты нескольикх банков, но только с одном у неё на карте написано не NAME SURNAME а NAME L SURNAMЕ, то есть в банке поставили в середине первую букву отчества. Это было только в этом банке (в котором есть слово America). И теперь, когда нам прилетают офферы на кредитки из всяких других мелких банков и там в поле «кому» есть первая буква отчества, мы сразу знаем, кто слил инфу :)
Банки может и хотят, но увы это превращается в бюрократию от, иногда, недолёких иб-ников в стиле всё запретить и подложить себе бумажку…
В принципе многое сделано, но самое сложное понять когда слили, на фото слив вероятно из чего-то похожего на АБС, там найти можно, а что делать если это где-то в 10-й пред прод системе рисковиков по которой ещё документации нет?
Тут нужна слаженная работа и безопасности и МВД, но вот не быстрое это дело...
да кого эти сроки останавливают? к примеру, гос эксперт имеет прямую уголовную ответственность, но тем не менее может написать отсебятину, а ты потом попробуй докажи, что он не наврал, а здесь риск попасться невелик, а поощрение в деньгах, судя по статье, норм. так что вопрос цены совести…
Если нарушитель не дурак, будет делать эти запросы от другого лица. Как правило, сотрудники не задумываются о внутрикорпоративной безопасности, и украсть пароли у коллег совсем несложно, да и степень защиты (сложность паролей) часто невелика.
Также у него может быть прямой доступ к базе данных банковской системы.
Также у него может быть прямой доступ к базе данных банковской системы.
Мне кажется, можно и не работать там. Найти друга который там работает и заразить его комп. В некоторых банках люди дистанционно работают. На обучении банковских работников говорят: пароли делать сложными, не хранить их на бумажке и блокировать комп даже если в гостях лучший друг, потому что именно друг может оказаться крысой. Возможно, эти правила писаны чьей-то кровью?
внутри Сбербанка используются повсеместно iButton. Они их на связке ключей таскают. Это видно и по операционистам, да и знакомого спрашивал. Там даже заявки на ремонт компов через подпись закрываются.
Ну, такое тоже можно отсдедить при желании с помощью какого-нибудь SIEM. Мол, если сотрудник заходит с нового места и начинает запрашивать базу — то это плохой звоночек.
Если служба безопасности не дура, то логируются не только имя пользователя, но и имя компьютера. А получить скрытно доступ к чужому компьютеру гораздо сложнее.
зачем? есть же логи! Достаточно разогнать туповатых «погонов» из СБ и набрать на работу нормальных не ленивых аналитиков.
При условии, что разраб не забил на написание логов в ПО
Проще еще чтобы любой доступ к данным клиента, вне рамок стандартных процедур без авторизации клиента (не чат, телефон, отделение) требовал смс подтверждения, код высылать клиенту — типа "Сотрудник банка получает доступ к Вашей информации, сообщите код из приложения банка"? Или чтобы если вы в банк не обращались, вам поступало бы сообщение, о том, что с вашими данными ктото работает из сотрудников. Если операции легальны и доступ к анкете/операциям тоже то не вижу в этом ничего страшного для клиента, сообщения можно высылать по смс/ в чат банковского приложения.
Вроде бы такое, при общении с сотрудниками банка часть действий требует сообщения сотруднику кода из смс.
в Тинькофф Брокере так
Почему только часть? Само открытие карточки клиента без его авторизованных обращений в банк не требует подтверждения??
Хм, посмотрел историю обращений в банк: когда были проблемы с NFC и шёл отказ операций был запрос кода. Когда было неверное списание с зависшего терминала — не просили код, создали тикет на разбор ситуации. Просмотр состояния счёта в инвестициях — без кода. Ещё одна проблема с бесконтактной оплатой — тоже код. Замена карты — код. Ошибочное зачисление суммы не на тот счёт с конвертацией — тикет, без кода. Перевыпуск карты — без кода. Вопрос со списанием обслуживания карты — код. Просмотр последнего снятия налички — без кода. Консультация и подключение услуги — код.
В целом видно, что только часть операций требует этот код. Иногда также запрашивают ФИО, дату рождения и телефон.
Скорее всего имеет место быть некий баланс между безопасностью, удобством и скоростью обслуживания, чтобы не спрашивать код на любой вопрос.
В целом видно, что только часть операций требует этот код. Иногда также запрашивают ФИО, дату рождения и телефон.
Скорее всего имеет место быть некий баланс между безопасностью, удобством и скоростью обслуживания, чтобы не спрашивать код на любой вопрос.
Ок, у меня сломалась мобила/сеть не ловит или я просто ретроград. Что, мне теперь картами пользоваться запрещено будет? Короче есть много всяких НО.
Обычно для этого используют паспортные данные, контрольные слова, контрольные вопросы или одноразовые коды со скретч карты.
Некоторые банки высылают в смс единоразово код доступа. При звонке вам нужно назвать пару цифр из него, чтобы сотрудник осуществил доступ к вашей клиентской карточке. Либо кодовое слово.
Это и так есть, для тех кто работает с клиентом, а что делать с теми кто работает с данными, вот пщапускает аналитик запрос… А оператор миллионами смски шлёт.
И с обезличивание не всё так просто, если по хорошему, то того что мы часто можем знать о человеке, может быть достаточно для идентификации, не говоря уже о том что обезличивание платёжки не очень выходит, ибо нет быстрее способа ввести подтип транзакций в АБС под нужды какого либо учёта, чем добавление кодов и спецпоследовательностей в текст описания ;)
Смс: «Подтвердите согласие раскрытия выписки сотруднику МВД»
через час
Смс: подтвердите согласие раскрытия выписки старшему следователю по особо опасным экономическим делам"
Через час «просим вас не выходить из дома, нужно уточнить детали»
через час
Смс: подтвердите согласие раскрытия выписки старшему следователю по особо опасным экономическим делам"
Через час «просим вас не выходить из дома, нужно уточнить детали»
А нормальный, не ленивый аналитик точно захочет работать за зп тупого погона?
На одной из статей Хабра видел про отслеживание «инсайдера», от которого утекают данные, по автоматически вшиваемым спецсимволам UTF-8 в копируемый им из документов текст. Для каждого пользователя уникальная комбинация символов. Полагаю, в отображаемые, копируемые и логируемые данные можно напихать очень много подобных неявных и неотображаемых идентификаторов, чтобы вылавливать утечку на любой стадии при проверке.
Поэтому надо не копировать неотображаемые символы, а фотографировать их на телефон, как это и было сделано.
Потому я и упомянул отображаемые идентификаторы. Это может быть как однотонный узор фона, который не бросается в глаза, так и точечки, добавленные под/внутри буквами, картинкой (логотип), с краю экрана, так и ещё очень много способов, если подумать. Мало ли способов скрыть или замаскировать идентификаторы.
Способов ровно столько же, сколько способов скрыть их. Фотография экрана на телефон, ее распечатать в чб и отсканировать, потом пофотошопить и еще раз…
Перепечатают с фото и всё.
Я протру жирным пальцем объектив телефона перед тем, как фотать — и плакали ваши точечки...
В цветных принтерах вшивался (сейчас не знаю, применяется ли такая практика) уникальный код из цветных точек (практически незаметный на рисунке) для поиска при использования принтера в подделке банкнот. На страницах интерфейса тоже можно в «случайных» местах ставить «случайные» пиксели, по которым можно даже по фотографии монитора определить логин пользователя.
Вот только после поимки и публичного освещения одного инсайдера таким способом все остальные будут прогонять фотки/скрины через OCR и предавать данные в текстовом виде без закладок.
чтобы такое работало, камера должна фотать пиксель-в-пиксель. а фотографировать с такой точностью мы не научимся еще лет 50.
могу еще предложить увлекательный эксперимент: попробуйте любым стеганографическим методом зашить сообщение в картинку, потом сфотать экран на телефон или на профессиональную камеру в идеальных условиях и попробовать считать сообщение.
могу еще предложить увлекательный эксперимент: попробуйте любым стеганографическим методом зашить сообщение в картинку, потом сфотать экран на телефон или на профессиональную камеру в идеальных условиях и попробовать считать сообщение.
UFO just landed and posted this here
(ಥ﹏ಥ) любым незаметным глазу…
UFO just landed and posted this here
Это не формулировка такая, это определение стеганографии) Как вы видите на скриншоте, никаких декоративных элементов там нет. Если менять саб-параметры, например, межстрочное/межбуквенное расстояние на несколько пикселей, на фото не будет видно. А если менять сильно, то пользователю будет видно (глазом воспринимается как непрогрузившееся css). Это сложная задача, поэтому, наверное, в посте мы и видим именно фото, а не скриншоты.
достаточно просто сделать так, выдача в рабочее время смартов, которые только звонить умеют, чтобы сотрудник не мог фотать что-попало и без связи не остался, мало ли дома какое ЧП, а личные смарты сдаются охране на пост под роспись в журнал. XD
UFO just landed and posted this here
Можно и без знаков. Нужно разделить на 3 части:
1) Доступ к файлам базы, тут всё неплохо описано в PCI DSS, немного паранойи, отдельный физически контур с доступом через некое подконтрольное API. Сюда же — резервные копии данных которые обычно не шифруют и хранят вне доверенного контура или доступ к ним не так строго контролируется, также передаваться данные могут не в шифрованном виде (будь то интернет или грузовик)
2) запросы в базу делим на 2 части, автоматизированные (проверки целостности, отмывания денег и прочее, что делается скриптами) — анализируем на аномалии, учитывая что это может быть взлом одной из автоматических систем
3) слив сотрудниками. Логировать, кто куда обратился и с какими фильтрами, в том числе для разделения — это попытка слива всей базы, пробив клиента или легитимная обработка.
Сами логи при этом тоже являются особо важной информацией и нужно ограничить к ним доступ даже для админов, оставив только для СБ, и принять все меры для невозможности их модификации или удаления вне регламента. Удаление только по регламенту, автоматизированно (где-то было обязательство хранить такие логи 5 лет, а потом они не нужны)
Также влить в базу некоторое количество «пустышек» и как-то их актуализировать, периодически добавляя новых. Информации о том что это пустышка не должно быть нигде кроме СБ.
1) Доступ к файлам базы, тут всё неплохо описано в PCI DSS, немного паранойи, отдельный физически контур с доступом через некое подконтрольное API. Сюда же — резервные копии данных которые обычно не шифруют и хранят вне доверенного контура или доступ к ним не так строго контролируется, также передаваться данные могут не в шифрованном виде (будь то интернет или грузовик)
2) запросы в базу делим на 2 части, автоматизированные (проверки целостности, отмывания денег и прочее, что делается скриптами) — анализируем на аномалии, учитывая что это может быть взлом одной из автоматических систем
3) слив сотрудниками. Логировать, кто куда обратился и с какими фильтрами, в том числе для разделения — это попытка слива всей базы, пробив клиента или легитимная обработка.
Сами логи при этом тоже являются особо важной информацией и нужно ограничить к ним доступ даже для админов, оставив только для СБ, и принять все меры для невозможности их модификации или удаления вне регламента. Удаление только по регламенту, автоматизированно (где-то было обязательство хранить такие логи 5 лет, а потом они не нужны)
Также влить в базу некоторое количество «пустышек» и как-то их актуализировать, периодически добавляя новых. Информации о том что это пустышка не должно быть нигде кроме СБ.
Любая информация в мире продаётся и покупается, вопрос только в цене. Больше удручает тот факт, что количество ресурсов, хранящих наши данные, с каждым годом увеличивается.
Скоро плявится ресурс с более чуткими и конкретными данными и оптом :) С деанонимизацией вме скоро станет возможным
Дело не в ее принципиальной доступности, а в том, что этим занимаются рядовые служащие. Все настолько плохо, что даже простые люди, которые в иное время боялись бы наказания, приторговывают тем, что у них есть, по принципу «значит и нам можно» и «мы тоже хотим». Тут как и с футболом: если даже в самом грязном переулке, самые бедные мальчишки пинают самодельный мяч, то у страны есть сильная футбольная сборная.
UFO just landed and posted this here
Интересно, как с этим обстоят дела в загнивающей Америке и Гейропе?
UFO just landed and posted this here
Я бы не сказал, что «точно также». Разлочка телефона и выписка из банка — немного разные вещи. Да, здесь бывают моменты типа взлома Equifax и Capital One, где утекают личные данные на сотню миллионов человек, но это сравнительно редкие явления (раз в год), и подобный snapshot — это не то же самое, что готовый рынок подобных данных в реал-тайме. Здесь более распространен угон мобильных номеров и последующий взлом аккаунтов c 2FA и/или восстановлением паролей, но сколько я ни слышал про такие случаи — это были не нарушения правил оператора, а именно что небезопасные правила (т.е. номера угонялись простой социнженерией). Некоторые операторы уже внедрили нечто вроде заморозки, когда симку невозможно сдублировать без личного присутствия с документами в офисе оператора. Еще раз — это совсем не то же самое, когда за 3 часа добывается свежайшая выписка из банка.
UFO just landed and posted this here
Я писал не об этом. Мои слова были про угон номеров, выполняемый с помощью социнженерии. Важное отличие в том, что 1. Социнженерия не предполагает осознанного нарушения закона со стороны сотрудников, и 2. С этим можно хоть как-то бороться изменением политик (т.к. в момент угона номера сотрудник не осознает наличия проблемы, и смена инструкций на более устойчивые к СИ будет воспринята и исполнена). Кроты — это судя по публикуемым здесь новостям и косвенным данным, куда менее частое явление, и уж точно не настолько распространенное, как в России.
UFO just landed and posted this here
То, что мне удалось найти, рекламируется только для «чистых», не украденных телефонов, не прописанных в стоп-листах. Представляю, что «исключения» могут быть сделаны, но с трудом верится, что такие аккаунты могут иметь по 600+ фидбэков на на том же eBay и не блокируются площадкой по первому же запросу от оператора. Видимо к конкретике, которой они занимаются, прикопаться сложнее, чем было бы, будь это явно незаконная деятельность кротов.
UFO just landed and posted this here
Я бы после такого накатал жалобу. Иначе когда-нибудь она может кончиться не от дождя. Verizon несколько лет назад начал требовать присутствия в офисе, мне казалось, T-Mobile тоже, но видимо что-то пошло не так (тм).
Как вариант он не просто «повертел» симку, а сверил указанный на ней ICCID с тем, чтоб в базе данных.
У мобильных операторов разговоры из «пакета Яровой» еще не предлагаются?
Плюс с вышеприведенному, можно наверное ожидать продажу данных с Яндекса. Вот где разгуляться-то можно — где и что ел, куда ездил, что смотрел, слушал, говорил, где и что покупал, чем интересовался в поиске, с кем дружил и прочее.
Цена растет из-за ваших (и других подобных постов). Вот сейчас тиньк прибьет у себя канал утечки, но найдется другой, который просто будет стоить дороже.
Спрос неэластичный, так как данный «товар» всегда будет востребован и всегда будут пути слива.
Это как «борьба» с наркотиками
Спрос неэластичный, так как данный «товар» всегда будет востребован и всегда будут пути слива.
Это как «борьба» с наркотиками
Вот и славно, что цена растёт. Любопытных обывателей будет меньше, останутся только профессионалы.
С одной стороны это хорошо, с другой — настанет момент, когда дешевле будет заплатить господину майору, чем сотруднику провайдера или банка (который получит данные через «пакет» или другим законным способом). И тогда цены стабилизируются очень на долго.
Цена растет из-за ваших (и других подобных постов).
Вы приверженец Security through Obscurity?
А я бы предпочел схему, где нужна авторизация, что бы получить информацию о клиенте. Элементарное кодовое слово… не сверка с тем, что указано в базе, а оператор должен ввести то слово, которое ему сообщит клиент. Прям как пароль. И если оно совпадает, то только тогда можно просмотреть данные.
В атмосфере всеобщего поклонения баблу и уверенности в безнаказанности воровства, некоторые клерки думают о приемлемости подобного «заработка» (нуачо, они воруют, а мне — нельзя?).
А вот если за торговлю такими данными начнут давать большие сроки и дикие штрафы, освещая в СМИ каждое подобное дело, то этот «бизнес» сойдёт на нет. Желающих торгануть поубавится, цены сильно повысятся, не каждая банда наберёт денег на такую покупку.
К тому же, тут широкий простор для применения ИИ: выявление нехарактерных действий пользователя; действий, не связанных с выполнением служебных обязанностей и пр.
А вот если за торговлю такими данными начнут давать большие сроки и дикие штрафы, освещая в СМИ каждое подобное дело, то этот «бизнес» сойдёт на нет. Желающих торгануть поубавится, цены сильно повысятся, не каждая банда наберёт денег на такую покупку.
К тому же, тут широкий простор для применения ИИ: выявление нехарактерных действий пользователя; действий, не связанных с выполнением служебных обязанностей и пр.
Да вы что, это же работать надо, контрольные закупки делать, протоколы оформлять, дела писать, прокуратуру напрягать. На защиту детей от опасного интернета времени не останется.
не сойдет (пример, наркоторговля). Только цена повысится. Плюс возможен выход на новый уровень: агрегаторы всех возможных персональных данных и продажа их уже на уровне b2b, а не p2p, как сейчас.
Наркотики — не тот пример. «Дурь» нужна зависимым от неё людям. Родную мать продадут за дозу.
А данные о богатеньких нужны бандитам и мошенникам. Эти не станут покупать данные, если цена не отобьётся грабежом или обманом. Просто сменят подход.
На негодяев действует не строгость наказания, а его неотвратимость, поэтому «новый уровень» будет сомнительный. Клерки перестанут продавать из-за огромного риска: срок и голая задница на многие годы станут весьма вероятны, не то, что сейчас.
Те, кто сможет продать оптом (начальники и админы), и так не хило получают, и дальше хотят получать. Мараться не станут.
Рынок этих данных реально сожмётся, ибо исчезнет массовость, останутся «реальные дядьки», охотящиеся на крупную дичь.
Уже неплохо.
А данные о богатеньких нужны бандитам и мошенникам. Эти не станут покупать данные, если цена не отобьётся грабежом или обманом. Просто сменят подход.
На негодяев действует не строгость наказания, а его неотвратимость, поэтому «новый уровень» будет сомнительный. Клерки перестанут продавать из-за огромного риска: срок и голая задница на многие годы станут весьма вероятны, не то, что сейчас.
Те, кто сможет продать оптом (начальники и админы), и так не хило получают, и дальше хотят получать. Мараться не станут.
Рынок этих данных реально сожмётся, ибо исчезнет массовость, останутся «реальные дядьки», охотящиеся на крупную дичь.
Уже неплохо.
Покажите мне компанию, в которой админы неплохо получают. Это не Сбер и не Тиньков точно.
Чукча — не читатель?
Речь в статье идёт именно о них, родимых.
Речь в статье идёт именно о них, родимых.
Ну так это тоже следствие «невысокой цены».
Повысится ответственность за утечки (неважно как, преследование по закону, общественный резонанс или ещё что-то), появится стимул минимизировать риск утечки. А это не только технические меры, но и сотрудники, которым есть что терять. Хорошо зарабатывающий сотрудник трижды подумает, рисковать ли сложившейся карьерой или сдать предложившего подзаработать в СБ, как потенциальную угрозу.
Повысится ответственность за утечки (неважно как, преследование по закону, общественный резонанс или ещё что-то), появится стимул минимизировать риск утечки. А это не только технические меры, но и сотрудники, которым есть что терять. Хорошо зарабатывающий сотрудник трижды подумает, рисковать ли сложившейся карьерой или сдать предложившего подзаработать в СБ, как потенциальную угрозу.
1. Неплохо это сколько?
2. Админы разные бывают, речь про которых? Не думаю что DBA кормят плохо хоть в сбере, хоть в любом банке из топ-100.
2. Админы разные бывают, речь про которых? Не думаю что DBA кормят плохо хоть в сбере, хоть в любом банке из топ-100.
Т.е. вы хотите сказать, что админы в Сбере мало получают? Какой у них грейд у админов? От 9 до 11-го? С этим на еду не хватает?
Уж не говорю, что если вскроется, то потом ни в банк, ни к ОПСОСам, ни в сетевой ритейл с такой «историей» не возьмут.
Уж не говорю, что если вскроется, то потом ни в банк, ни к ОПСОСам, ни в сетевой ритейл с такой «историей» не возьмут.
Есть много людей которые не разделяют точку зрения о том, что наказание должно быть не только соизмеримо деянию но и оказывать профилактический эффект на окружающих. Многие считают что за первое воровство надо чуть ли не по голове погладить и помочь исправиться, в такой среде, на мой взгляд, отлично уживаются безпринципные жулики, увы.
А вот если за торговлю такими данными начнут давать большие сроки и дикие штрафы, освещая в СМИ каждое подобное дело, то этот «бизнес» сойдёт на нет. Желающих торгануть поубавится, цены сильно повысятся, не каждая банда наберёт денег на такую покупку.
Правительство прилагает все усилия, чтобы 'свести на нет' такой бизнес. Недавно же только новость про 'отжим яндекса' была.
UFO just landed and posted this here
На въездных воротах города Jüterbog в Германии прибит деревянный щит с большим железным топором и на щите написано, что этим топором были отрублены руки последнему вору города в 1786 году.
Другие методы вряд-ли помогут.
Другие методы вряд-ли помогут.
А вам мысль в голову не приходила, раз существует рынок подобных данных, почему бы на этом рынке не заработать самим организациям в неофициальном порядке? Да, рядовых сотрудников на этом ловит служба безопасности, но как гарантировать, что сама служба безопасности не сливает данные при прикрытии руководства? В случае факапа всегда можно подставить конкретного рядового сотрудника.
заказал месячную выписку (с 24 июля по 26 августа 2019 г.)Судя по скриншотам, наверное, с 24 июня по 24 июля?
В качестве эксперимента было бы неплохо видеть такие расследования в фокусе чинуш/депутатов, особенно тех, что на людях «кричит» в таких вопросах. Только делать такое нужно анонимно, конечно. Пробить пару чинуш и выложить анонимно всю подноготную(адреса, паспортные данные, состояния счёта, СМС любовницам, кодовое слово) — авось кто-нибудь зачешется. Мечты…
Точно зашевелятся. Но в первую очередь в сторону поиска «анонима».
Могу подтвердить этот факт, лично видел людей, представившихся сотрудниками отдела К, которые выясняли у провайдера персональные данные человека, писавшего на форуме компромат про чиновника. Они приходили несколько раз и им были интересны только имена людей, писавших то или иное. Странно даже не это, а то как радостно их принимали: «бросайте дела, будем искать, они тогда с нами дружить начнут». Это было несколько лет назад, еще до пакета яровой.
авось кто-нибудь зачешется
Будет показательная казнь и хороший повод закрутить гайки еще на полоборота для каких-нибудь месседжеров.
а ты думаеш расследования про состояния и собственность чиновников каким образом в прессе появляются? ))
Я не понимаю, почему действительно крупным корпорациям, вроде банков из ТОП 10 или операторов сотовой связи сложно бороться с такой пробивкой?
Лицо слившее данные, можно определить элементарной контрольной закупкой и сопоставлением обращений к этим данным из логов.
Лицо слившее данные, можно определить элементарной контрольной закупкой и сопоставлением обращений к этим данным из логов.
Никто не логирует все запросы к БД. Никакого хранилища не хватит, что бы логировать запросы на чтение. Обычно логируют только запросы на изменение данных. И то, при масштабах того же Тинькова, а уж тем более Сбера — это будут десятки если не сотни гигабайтов данных в час.
Есть и другие методы — например получение фактов просмотра конкретных экранов конкретным человеком непосредственно из трафика. Вот только у безопасников обычно не так уж горит, чтобы всем вот этим заниматься, хотя первых особо эффективных обычно ловят меньше чем через месяц от начала пилота, проверено на реальных банках ;)
Зачем логировать все запросы к БД? Инсайдеры данные берут не через консоль ведь. Явно через интерфейс для операторов, который работает через некий метод, который обращается к модели.
И есть большая уверенность что обращение к БД таким образом так или иначе уже логируется (каждое обращение пользователя определённо точно хранится в системе).
И есть большая уверенность что обращение к БД таким образом так или иначе уже логируется (каждое обращение пользователя определённо точно хранится в системе).
У некоторых весь трафик пишется. А вы говорите что доступ к приватной информации не логируют. Это можно объяснить только безалаберностью. Для мобильных приложений логируется каждый чих, чтобы смотреть тенденции в поведении пользователей. Так и своих работников надо мониторить и смотреть каждый чих и запрос. И если будут подозрения в сливе инфы, это будет явно видно.
Логировать просмотры оператор/клиент — это три копейки. Это же не соц сеть из сотен миллионов юзеров.
К тому же, это не очень чувствительные данные, можно обойтись без оракла, HP-сервера, сертификация от регулятора, тогда вообще о стоимости хранения и говорить не стоит.
К тому же, это не очень чувствительные данные, можно обойтись без оракла, HP-сервера, сертификация от регулятора, тогда вообще о стоимости хранения и говорить не стоит.
Никто не логирует все запросы к БД. Никакого хранилища не хватит, что бы логировать запросы на чтение.
А все и не надо. Достаточно внести в систему ханипоты — фэйковые клиенты, при запросе которых СБ получает соответствующее уведомление. Ну и периодически «закупать» пробивку ханипотов.
что такое сотня гигов в час в 2019 году для банков с их миллиардными бюджетами, когда уже в пользовательском сегменте продаются винты на десятки терабайт?
Это всего-то 200мбит/с трафика
Это всего-то 200мбит/с трафика
Там не то что все логируется, там запись экрана оператора пишется в видео онлайн. Так что найдут элементарно
Потому что всем нужен удобный быстрый инструмент получения информации в обход закона. Кому бизнес-партнёра пробить, кому любовницу, кому знакомого мента
К вариант проблема в том, что банк должен заплатить жуликам, чтобы поймать инсайдера. При этом наверняка 99% таких жуликов — мошенники. Т. е. денежки заплатил, а в ответ ничего. Банк должен ещё и с мошенниками разбираться? Как по мне, это дело полиции.
Давайте прикинем бюджет, сколько таких закупок нужно?
В макдональдсе на время смены отнимают мобильные телефоны. Ибо нех, вдруг ктонть скомуниздит секретный рецепт секретного ингредиента.
Надо распространить эту практику на всех имеющих доступ к персданным, т.к. основной транспорт для передачи данных — сотовые сети. То что идёт через корпсеть легко отлавливается всяким антифродом, то что на внешних носителях — заложенными портами. Т.о. мошенникам придется развивать фото-память — взглянул на скрин, убежал в туалет, записал на кусочек туалетной бумаги, привязал к голубю и отправил заказчику.
В обще ми целом — проблемы достаточно легко решаются, и то что они не решены свидетельствует только об одном — это выгодно ЛПР.
… обидно за билайн, с таким дисконтом продают своих пользователей -(
Надо распространить эту практику на всех имеющих доступ к персданным, т.к. основной транспорт для передачи данных — сотовые сети. То что идёт через корпсеть легко отлавливается всяким антифродом, то что на внешних носителях — заложенными портами. Т.о. мошенникам придется развивать фото-память — взглянул на скрин, убежал в туалет, записал на кусочек туалетной бумаги, привязал к голубю и отправил заказчику.
В обще ми целом — проблемы достаточно легко решаются, и то что они не решены свидетельствует только об одном — это выгодно ЛПР.
… обидно за билайн, с таким дисконтом продают своих пользователей -(
У билайна, судя по прайсу, настолько много сотрудников торгует персональными данными, что даже приходится денпинговать.
ЛПР обычно просто не до этого. Поскольку практики успешных исков на x — xxx млн. рублей за разные виды ущербов от физика к юрику в РФ нет, соответственно, репутационные или прямые финансовые потери от реализации рисков утечки — ничтожны, и любой риск-аналитик говорит, что проще (==дешевле) таковые принять.
Да это то понятно, тем более, что на уровне ИС и БД права на просмотр разграничены в т.ч. по категориям пользователей — «простые люди» и «особо важные», к примеру. Доступ к «особо важным» имеют строго ограниченный круг лиц и вот их операции строго логируются, а в некоторых случаях и предоставляются только после отдельной единичной визы инспектора безопасности.
Под своим выражением «выгодно ЛПР» я в том числе подразумевал, что пока в сеть не утекают данные по особо важным персонам, или пока судебная система столь несовершенна, или пока рак на горе не свистнет — ЛПР не будут вкладывать деньги/ресурсы в защиту персданных на столь глубоком уровне.
Под своим выражением «выгодно ЛПР» я в том числе подразумевал, что пока в сеть не утекают данные по особо важным персонам, или пока судебная система столь несовершенна, или пока рак на горе не свистнет — ЛПР не будут вкладывать деньги/ресурсы в защиту персданных на столь глубоком уровне.
Билайн равняется на МегаФон, где торговля была поставлена на широкую ногу:
"СМИ сообщили об обысках в офисах «МегаФона» в связи с нарушением тайны переписки
МОСКВА, 15 августа. Следственный комитет проводит проверку в офисах службы безопасности компании «Мегафон». Об этом сообщает «Новая газета».
По информации издания, это связано с возбуждением уголовного дела в отношении руководства СБ дочерней компании, «Мегафон-Ритейл». Представители силовых органов сообщили, что основной причиной обыска является нарушение тайны почтовой переписки. Остальные детали операции пока не разглашаются.
Ранее, как сообщается, «Мегафон» оштрафовали на 30 тысяч рублей из-за передачи данных своей «дочке». В ходе ведомственной проверки Роскомнадзор установил, что «Мегафон-Ритейл» имеет доступ к персональным данным клиентов, а также их счетам. На самом деле тайна переговоров должна быть сохранена именно тем оператором, к которому подключен абонент.
Данный факт подтвердил девятый арбитражный апелляционный суд Москвы, который вынес штраф оператору в размере 30 тысяч рублей. По мнению самого «Мегафона», проблема решается с помощью изменения формулировок в договоре с дочерней фирмой.
Между тем, продолжает «Новая газета», утечка данных в сети популярного оператора случалось неоднократно. В частности, в феврале 2014 года за разглашение сведений и нарушение тайны телефонных переговоров суд Уфы признал виновным продавца-консультанта компании «Мегафон-Ритейл». 23-летний Мурадбек Эргашхожаев помог своей знакомой вывести ее гражданского мужа «на чистую воду» с помощью детализации телефонных разговоров. В результате Мурадбека приговорили на два года условно."
Источник: www.rosbalt.ru/moscow/2014/08/15/1304457.html
Но видимо лишь ход уголовного дела заставил МегаФон поднять цены (цитата: «Цены выросли в 2 раза.»).
"СМИ сообщили об обысках в офисах «МегаФона» в связи с нарушением тайны переписки
МОСКВА, 15 августа. Следственный комитет проводит проверку в офисах службы безопасности компании «Мегафон». Об этом сообщает «Новая газета».
По информации издания, это связано с возбуждением уголовного дела в отношении руководства СБ дочерней компании, «Мегафон-Ритейл». Представители силовых органов сообщили, что основной причиной обыска является нарушение тайны почтовой переписки. Остальные детали операции пока не разглашаются.
Ранее, как сообщается, «Мегафон» оштрафовали на 30 тысяч рублей из-за передачи данных своей «дочке». В ходе ведомственной проверки Роскомнадзор установил, что «Мегафон-Ритейл» имеет доступ к персональным данным клиентов, а также их счетам. На самом деле тайна переговоров должна быть сохранена именно тем оператором, к которому подключен абонент.
Данный факт подтвердил девятый арбитражный апелляционный суд Москвы, который вынес штраф оператору в размере 30 тысяч рублей. По мнению самого «Мегафона», проблема решается с помощью изменения формулировок в договоре с дочерней фирмой.
Между тем, продолжает «Новая газета», утечка данных в сети популярного оператора случалось неоднократно. В частности, в феврале 2014 года за разглашение сведений и нарушение тайны телефонных переговоров суд Уфы признал виновным продавца-консультанта компании «Мегафон-Ритейл». 23-летний Мурадбек Эргашхожаев помог своей знакомой вывести ее гражданского мужа «на чистую воду» с помощью детализации телефонных разговоров. В результате Мурадбека приговорили на два года условно."
Источник: www.rosbalt.ru/moscow/2014/08/15/1304457.html
Но видимо лишь ход уголовного дела заставил МегаФон поднять цены (цитата: «Цены выросли в 2 раза.»).
По ОПСОСам много дел, по МВД (пробив роспаспорт и слив данных умерших) много уголовных дел и даже посадок. А вот найти что-то подобное по банкам я не смог.
Потому что в целях возбуждения уголовного дела Следком отправляет запрос в ЦБ РФ. А в Телеграмме много историй как Банк России до последнего скрывает проблемы банков. Так что отсутствие уголовных дел — это во многом результат действий банковского регулятора, скрывающего наличие системной проблемы.
Зато у них есть ФИНЦЕРТ не понятно чем занимающийся и много говорящий про страшных хакеров ежесекундно атакующих банки.
Просто если банковский регулятор будет делать то, что он обязан (в том числе в сфере информационной безопасности), то тому же «Сбербанку» должен быть вынесен фатальный приговор. См. pikabu.ru/story/kak_sberbank_otnositsya_k_svoim_klientam_5439532 и ruinformer.com/page/klient-sberbanka-smenil-pol-i-postavil-v-tupik-sistemu-raboty-s-klientami. Остальные уже равняются на «Сбербанк»…
Представляешь что ты предлагаешь, почему люди должны терять возможность быть на связи? Хотя не таких как ты много, уже и Госдума с ЦБ обсуждают. Запретить всегда просто, но давай начнём с того, что в целях борьбы с разными опасностями разрешим в метро только в трусах и майке?
каждый раз при чтении подобных статей вспоминаю 1984 Оруэлла. Живем прям «как в сказке».
В Тинькофф-банке считают «подобные исследования и оценки спекулятивными, так как они исходят от «экспертов», которые используют их в собственных коммерческих интересах», в частности, «вбрасывают на рынок информацию об утечках из конкретных банков, а затем предлагают им свои коммерческие решения». При этом в кредитной организации заявили, что проводят «регулярную проверку объявлений о продаже персональных данных клиентов и во всех случаях эти объявления не имели под собой реальных подтверждений».
Очень коррелирует с реакцией Олега Тинькова на договор с клиентом, который банк отказался выполнять:
Первоисточник: https://twitter.com/olegtinkov/status/365218836703756288
Тогда комментировали: «Позиция Тинькова и его юристов попахивает маразмом. Клиент мошенник, он де внес изменения в анкету. То есть, когда возмущается ограбленный банком клиент — банк назидательно говорит: „Надо внимательно читать договор, включая мелкий шрифт. Закон не запрещает писать мелким шрифтом.“ А если то же самое делает клиент, причем разленившемуся и зажравшемуся персоналу банка лень прочитать договор — то клиент мошенник, он же заставляет свиней работать и пользуется их ленью. Запредельно.»
Источник: https://zergulio.livejournal.com/501073.html
Сейчас банк и его владелец проходят все те же стадии: отрицание, гнев, торг, депрессия и принятие.
по вашей ссылке история очень старая, чем закончилась то?
Стороны отказались от претензий друг к другу. Кроме того, банк выпустил для Дмитрия Агаркова дебетовую карту, по которой банк начисляет 10% годовых на остаток по карте и платит cash back до 30% по отдельным видам покупокwww.forbes.ru/news/243449-bank-tinkova-pomirilsya-s-trebovavshim-24-mln-rublei-voronezhtsem
Думаю, здесь нужно уточнить, что претензии были следующие:
1) Клиент имел долг в сумме более 45 000 рублей
2) Банк должен был оптатить компенсацию в размере 24 млн рублей
А могут ли того, кто обратился за пробивом данных привлечь к ответственности? Если речь идет об обращении к гос. чиновнику, то и как дачу взятки могут это трактовать. Или нет?
Возможно, за попытку доступа к своим данным — нет, так как состава преступления не наблюдается.
Если данные в чьей-то чужой системе, то являются ли они «вашими» даже если это данные о вас? Если это не персональные данные которыми вы разрешили пользоваться, а как в посте — логи системы которые вам просто тоже могут показать, то мне кажется данные нельзя назвать вашими. А значит состав преступления вряд ли так уж сложно найти.
Для хадупа — Apache Ranger, для БД — IBM Guardium (например, это то, что я знаю. Например, используется в Société Générale во Франции, как раз для data masking, распределения прав доступа и аудита).
Проблема стара как айти в банковской сфере, и для неё уже есть проверенные решения.
Кроме того, уже по-моему во всех промышленных базах данных есть RAC — row access control.
Банки же не пирожками торгуют, в конце концов, можно пару лямов вложить в покупку зарекомендовавших себя решений
Yota действительно не продаётся или просто не перечислена по принципу неуловимого Джо?
Любые ваши данные доступны в любой момент. Вопрос только лишь в цене. Все предложения выше из серии «а давайте вот так вот хитро предотвратим» абсолютно бессмысленны, ибо данные вы сами отдаёте банку, сотовым, государству, наконец, ну а там везде (и активно) работает рынок, на котором всё определяется одним фактором — ценой. Можно свести интерес к вашим данным до уровня «только для богатых», но что толку, если именно богатому выгодно с вами что-то сделать? А нищим выгодно лишь спереть на пять копеек, что вполне переносимо для вашего бюджета. Но если за вас взялся богатый — пятью копейками не отделаетесь, скорее всю жизнь придётся менять.
В общем — всё логично и нормально для нашей страны. Только так здесь и может быть.
В общем — всё логично и нормально для нашей страны. Только так здесь и может быть.
UFO just landed and posted this here
>> сделать доступ дороже, чем стоят сами данные, а это вполне возможно
Очень интересно, и как вы этого добились, например, в налоговой, в мвд, в куче банков, у сотовых операторов? Или вы считаете слив много раз по паре сотен рублей с мобильного счёта дешевле бесплатной для оператора информации о счёте? Или это всё фигня? Ну тогда — продажа вашей квартиры по договору, подписанному ЭЦП, зарегистрированную на ваши данные — тоже мелочь? Или всё же сначала стоит подумать, и только потом писать?
Очень интересно, и как вы этого добились, например, в налоговой, в мвд, в куче банков, у сотовых операторов? Или вы считаете слив много раз по паре сотен рублей с мобильного счёта дешевле бесплатной для оператора информации о счёте? Или это всё фигня? Ну тогда — продажа вашей квартиры по договору, подписанному ЭЦП, зарегистрированную на ваши данные — тоже мелочь? Или всё же сначала стоит подумать, и только потом писать?
В общем — всё логично и нормально для нашей страны. Только так здесь и может быть.
Мне кажется, дело не в стране. 'Что знают двое, знает свинья', а в эпоху, когда для копирования информация не нужно даже уметь говорить или писать, бороться с ее свободным распространением это все равно что воевать с ветряными мельницами, мне кажется.
Желание словить хайп на известных брендах или персонах — тенденция нашего времени, к сожалению. Почему был выбран именно Тинькофф для такого своеобразного обзора, остается загадкой.
А по поводу кейса: остается лишь порадоваться за клиентов Тинькофф и оперативную реакцию Банка и результат, а ведь есть и другие банки, где добиться какого-либо вменяемого ответа на аналогичные по сути инциденты, практически невозможно.
А по поводу кейса: остается лишь порадоваться за клиентов Тинькофф и оперативную реакцию Банка и результат, а ведь есть и другие банки, где добиться какого-либо вменяемого ответа на аналогичные по сути инциденты, практически невозможно.
Никакой Тинькофф выбран не был. Вы текст Коммерсанта прочли? Пиар Тинькофф никто за язык не тянул, они написали (см. текст) и я на это ответил. Все, ничего более.
Спасибо, что прояснили, стало понятнее!
А как такие кейсы решает ваше решение? Например если бы в Тинькофф был установлен Devicelock, можно ли было это пресечь и собрать доказательства для суда? Насколько мне известно другие dlp (Solar Dozor, Searchinfrom, Infowatch) собирают такие данные и успешно используют в судах.
А как такие кейсы решает ваше решение? Например если бы в Тинькофф был установлен Devicelock, можно ли было это пресечь и собрать доказательства для суда? Насколько мне известно другие dlp (Solar Dozor, Searchinfrom, Infowatch) собирают такие данные и успешно используют в судах.
Потому что у автора карта Тинькова. Можете повторить если у вас есть карта сбера.
Скорее можно порадоваться за PR отдел что хотя бы написали отмазку. Остальные компании даже до этого не снизошли.
Поймать инсайдера торгующего данными дело техники. Надо просто поднять ленивую ж…
Поймать инсайдера торгующего данными дело техники. Надо просто поднять ленивую ж…
Ну вообще про пробив давно известно, тут человеческий фактор, его никак не уберешь. Если у человека есть доступ к информации, за которую платят деньги, у человека появляется соблазн информацию продать.
Вообще с банками ситуция интересная. Паттерны миллионов людей собирают с помощью алгоритмов — предсказывать спрос, изучать поведение, потом для каждого составлять персонифицированную рекламу, миркротаргетирование. Вроде Cambridge Analytica, только банковская.
Забавно, что банки собирают паттерны и им за это еще и платят сами клиенты.Потом паттерны такое же товар как и «пробив»
Почитать можно здесь.
www.computerworld.com.au/article/664459/machine-learning-can-find-heavily-sampled-anonymised-dataset
Вообще с банками ситуция интересная. Паттерны миллионов людей собирают с помощью алгоритмов — предсказывать спрос, изучать поведение, потом для каждого составлять персонифицированную рекламу, миркротаргетирование. Вроде Cambridge Analytica, только банковская.
Забавно, что банки собирают паттерны и им за это еще и платят сами клиенты.Потом паттерны такое же товар как и «пробив»
Почитать можно здесь.
www.computerworld.com.au/article/664459/machine-learning-can-find-heavily-sampled-anonymised-dataset
А что по другим банкам, Банк СПБ, ВТБ?
ничего, их нет
Один исправил утечку данных по операциям по картам, но не до конца, а другой вообще не исправлял. Какой это банк и какая последовательность — решайте сами :(
UFO just landed and posted this here
это классика «вывсьоврети». вы случайно не в Тинькофф Банке работаете? ;)
>А как определить, действительно ли автор говорит правду?
Практически никак. Можно лишь определить степень доверия — оценить заинтересованность и мотивацию сторон, попытаться найти логические нестыковки, учесть репутацию автора, но все это будет на уровне предположений и распределения вероятностей.
>Дайте ссылку на этот ответ — тогда поверим.
Не на все можно дать ссылку. Интернет — это не только веб.
Практически никак. Можно лишь определить степень доверия — оценить заинтересованность и мотивацию сторон, попытаться найти логические нестыковки, учесть репутацию автора, но все это будет на уровне предположений и распределения вероятностей.
>Дайте ссылку на этот ответ — тогда поверим.
Не на все можно дать ссылку. Интернет — это не только веб.
Этот вопрос остается открытым — кто торгует данными:
habr.com/ru/company/digitalrightscenter/blog/460565/#comment_20429805
habr.com/ru/company/digitalrightscenter/blog/460565/#comment_20429805
> Продают практически всё – от выписок и балансов до кодовых слов.
Понятно что объявления на черном рынке источник не очень то и надежный, но вообще тот факт, что кодовое слово может продаваться (оно хранится в открытом виде, серьезно?) вызывает смешанные чувства.
Понятно что объявления на черном рынке источник не очень то и надежный, но вообще тот факт, что кодовое слово может продаваться (оно хранится в открытом виде, серьезно?) вызывает смешанные чувства.
Все надежно и проверялось много раз. Аргумент «вывсьоврети» уже даже смех не вызывает.
кодовое слово проверяет оператор по телефону
как еще оно может храниться, как не в открытом виде?
как еще оно может храниться, как не в открытом виде?
В виде хеша(с солью и всей фигней)?
Оператор услышал его в трубке, ввел в формочку внутренней софтины, софтина сравнила хеши и сказала верное или неверное слово?
Да, человеческий фактор в виде оператора остается, однако если вы ни разу не авторизовались кодовым словом по телефону — из БД его достать нельзя.
Оператор услышал его в трубке, ввел в формочку внутренней софтины, софтина сравнила хеши и сказала верное или неверное слово?
Да, человеческий фактор в виде оператора остается, однако если вы ни разу не авторизовались кодовым словом по телефону — из БД его достать нельзя.
оператор будет ошибаться при вводе и тратить время и нервы клиента
по моему опыту операторы в банках (Сбер, Тинькофф) авторизуют по кодовому слову сразу и ничего никуда не вводят, а значит видят его на экране, вместе с остальными моими данными
по моему опыту операторы в банках (Сбер, Тинькофф) авторизуют по кодовому слову сразу и ничего никуда не вводят, а значит видят его на экране, вместе с остальными моими данными
И это ведет к тому, что кодовые слова продают. Что меня лично напрягает.
К продаже ведет безалаберность банков. Выше уже все написали про логирование, контрольные закупки и прочее. Я очень удивлен, что в таких продвинутых банках, как Сбер и Тинькофф, не решили кардинально эту проблему. В ней нет какой-то принципиальной сложности.
Я согласен с Вами, что организационные меры по этому поводу должны быть приняты (причем их нужно повторять периодически, для профилактики). Однако это не отменяет возможности технического решения проблемы.
я как клиент могу думать, что правильное написание слова «картофель» — «кортофель».
Мы с оператором будем очень долго хэш на него правильный получать, если только он не на моей волне изначально.
Мы с оператором будем очень долго хэш на него правильный получать, если только он не на моей волне изначально.
Можно хранить кодовые слова в открытом виде, но сравнивать с какой-то степенью допуска прямо на сервере и наружу вообще не передавать. Схожесть слов программно вполне себе проверяется, можно даже по разным признакам, например, фонетически.
Соответственно, считать эту информацию особо чувствительной и регистрировать все обращения к ней.
Конечно, слив всё равно возможен, то круг вовлечённых лиц резко сужается. Одно дело обиженный на зарплату оператор с мобилкой, другое — DBA.
Соответственно, считать эту информацию особо чувствительной и регистрировать все обращения к ней.
Конечно, слив всё равно возможен, то круг вовлечённых лиц резко сужается. Одно дело обиженный на зарплату оператор с мобилкой, другое — DBA.
В Альфе скорее всего вводят, если судить по задержке.
как и пароли, в захешированном. Другое дело что тогда придётся операторов проверять на грамотность и запретить слова не из словаря/похожие друг на друга при произношении.
[я буду обновлять страницу, я буду обновлять страницу...]
[я буду обновлять страницу, я буду обновлять страницу...]
а в каком виде хранить кодовое слово? Оператор в уме хэш будет вычислять в режиме разговора?
вариант с вводить и пусть машина сравнивает красивый конечно, но до первого блока карточки из-за связки неграмотный оператор — грамотный клиент или даже наоборот.
вариант с вводить и пусть машина сравнивает красивый конечно, но до первого блока карточки из-за связки неграмотный оператор — грамотный клиент или даже наоборот.
Ну баланс между безопасностью и удобством — всегда компромисс. В данной ситуации (ИМХО) нужно его сдвигать в сторону безопасности (в разумных пределах). Так-то деньги в банке лежат. Скомпрометированное кодовое слово может очень дорого обойтись клиенту.
UFO just landed and posted this here
Если уж на то пошло, то аутентификация по кодовому слову всё равно происходит человеком с изрядной долей допуска :)
Оператор по телефону не может быть уверен в побуквенной точности кодового слова и подтверждает его совпадение на своё усмотрение. У меня в карточке написано «КОРОВА», а в гарнитуре оператор услышит КАРОВА, КОРОФА или даже КАГОВА — и всё равно подтвердит.
Здесь тот же самый механизм может быть реализован программно. Есть фонетическая схожесть на 90% и побуквенная на 80% (условно) — система подтверждает. Показатели подобрать, чтобы минимизировать срабатывание по схожим словам, в пограничных случаях всегда можно попросить клиента произнести слово по буквам (или просто уточнить пару конкретных букв).
Оператор по телефону не может быть уверен в побуквенной точности кодового слова и подтверждает его совпадение на своё усмотрение. У меня в карточке написано «КОРОВА», а в гарнитуре оператор услышит КАРОВА, КОРОФА или даже КАГОВА — и всё равно подтвердит.
Здесь тот же самый механизм может быть реализован программно. Есть фонетическая схожесть на 90% и побуквенная на 80% (условно) — система подтверждает. Показатели подобрать, чтобы минимизировать срабатывание по схожим словам, в пограничных случаях всегда можно попросить клиента произнести слово по буквам (или просто уточнить пару конкретных букв).
Проблема в следующем: можно хранить хеш слова, но тогда оператор должен с точностью до регистра каждой буквы ввести это слово. Можно не показывать оператору, и сравнивать на фонетическую схожесть, но тогда хранить придётся исходное слово. Но вот как это совместить — я вот так с ходу не представляю.
«нормализация». Приведение к единому регистру обычно это 1 строчка или даже меньше (.lower())
Другое дело что есть слово типа «семидесятипятимиллиметровый» то тут никакие схожести не помогут, а от оператора будет нужна грамотность, что вообще не гарантировано. Автоисправления тут никак не помогут, сложносоставные слова корректоры обычно не знают.
Другое дело что есть слово типа «семидесятипятимиллиметровый» то тут никакие схожести не помогут, а от оператора будет нужна грамотность, что вообще не гарантировано. Автоисправления тут никак не помогут, сложносоставные слова корректоры обычно не знают.
Интересно, но что ответят представители Тинькофф…
Ждём.
Ждём.
Есть очень простое решение. За три достоверно доказанных факта утечки данных по примеру из данной статьи штрафовать на миллиард рублей, а за повтор — лишать лицензии на ведение банковской деятельности с арестом руководителей и учредителей организации с полной конфискации всего имущества в пользу пострадавших клиентов.
Идея мне нравится в целом. Но! Вы представляете какой вой поднимут банки и ОПСОСы, если даже сегодня они чуть-что сразу идут в отказ. Стандарт де-факто уже ответы «у нас утечек не зафиксированно», «информация не подтвердилась», «это очень старая утечка», «это компиляция из различных источников» и т.п.
Ага, при этом, когда я писал в часть банков из списка в статье и в множество не из списка со словами «Смотрите, у вас здесь можно вытащить данные по операциям клиентов и балансам карт, нужно только ...», мне отвечали странные вещи уровня «Ваша атака не работает, у нас не получается воспроизвести» (но после года борьбы с этим банком я скинул им черновик статьи на Хабр об этой уязвимости, через неделю признали наличие проблемы), «Мы считаем, что авторизация надёжна», «Когда-нибудь исправим» и подобное.
Когда есть шанс потерять миллиард — в суды уже не идут, а устраивают несчастный случай.
Ога, отличный способ устранять конкурентов. ;)
UFO just landed and posted this here
Одно не исключает другого. Ведь торговля данными — тоже бизнес, и его тоже надо налаживать.
Всерьез думаете, что лицензию у Сбера отымут?)
Как? Ликвидировать всех людей, имеющих доступ к вашим ПД по служебной необходимости пока вроде как нереально.
Так же не стоит забывать кто в итоге заплатит за это «отлаживание» (борьбу с ветряными мельницами). В итоге останется один банк — зеленый. Сами, думаю, понимаете почему.
Кмк, нужно ужесточать наказания непосредственно для тех кто сливает.
Так же не стоит забывать кто в итоге заплатит за это «отлаживание» (борьбу с ветряными мельницами). В итоге останется один банк — зеленый. Сами, думаю, понимаете почему.
Кмк, нужно ужесточать наказания непосредственно для тех кто сливает.
UFO just landed and posted this here
Обезличивать данные для обработки, не требующей личной коммуникацииОк, согласен.
При личной коммуникации сделать верификацию по смс, приложению, токену, etc…
Сделано ведь уже во многих CRM и используется в банках. Но тут мы правда только операционистов отсекаем.
Что бы наказать, сначала нужно найти. А когда доступ есть даже у уборщицы(утрирую), найти сливателя тяжело.
Найти как раз не сложно, даже судя по примеру автора. Логи в той же CRM хранятся по действиям юзера. Cложно ведь именно отличить нелигитимную активность при выполнении штатных задач и предотвратить слив.
Собственно, я про это и говорил, что 3 случая, то точно наберется при хорошем желании со стороны заинтересованных людей.
Мне кажется, что не очень сложно отличить легитимную активность от нелегитимной. Например, зачем оператор Иванова полезла в карточку клиента Петрова? Клиент ей звонил? Да — все отлично, нет — выясняем, давали ли ей задачу, в которую входил анализ карточки клиента Петрова. Если да — до опять все нормально, если нет — то тогда уже пусть Иванова готовит вазелин и деньги на возмещение ущерба. Нет денег? извольте принести пользу Родине в окрестностях Магадана. Правда, мой способ подходит при расследовании уже выявленного случая… Каков алгоритм предотвращения — пока затрудняюсь придумать. Разве что триггером может быть, если был анализ карточки клиента при отсутствующем обращении клиента.
Разве что триггером может быть, если был анализ карточки клиента при отсутствующем обращении клиента.
Выдумываем посещение клиентом офиса банка, берём за него талончик, садимся сами к себе и разглядываем его карточку. Тут можно будет разве что прицепиться к тому, что обычно клиент ходит в отделение в Мытищах, а тут вдруг обратился в Новокузнецке. Но объёмы проверок по таким критериям будут колоссальны.
Представьте, кто-то знет ваш номер расчётного счёта (вы в садик заявку на возврат отдавали) что вы будете обезличивать? А если ещё дату рождения и город, а если ИНН и СНИЛС? И номер карты…
Обезличивание это очень тонкая штука...
Вы серьезно? Прямо с арестом всех руководителей и конфискацией? Наказывать нужно тех кто торгует данными…
Вы представляете что могут сделать сотрудники сбера со всей страной?
И тогда расцветет бизнес по «решению проблем» с банками. Не существует в мире ни одного способа, который даст гарантию в 100%. Даже если всю работу с персональной информацией сконцентрировать в одной комнате, обвесить её камерами под всеми углами (даже на лоб сотруднику) и т.д., шанс всё равно остаётся. Любые «решатели проблем» без особых финансовых и организаторских затрат смогут любой банк довести до штрафа, а потом — к закрытию. Ну и обратная сторона — чем меньше людей имеют доступ к персональным данным, тем безопаснее. Стало быть, разговор будет таким:
— Здравствуйте, мне нужно перевыпустить карту.
— Ожидайте, пожалуйста. Наш оператор ответит вам в течение… 7 лет 250 дней 7 часов и 10 минут.
— Здравствуйте, мне нужно перевыпустить карту.
— Ожидайте, пожалуйста. Наш оператор ответит вам в течение… 7 лет 250 дней 7 часов и 10 минут.
На западе сделано разумнее, там есть обязательства предоставлять сведения по каждому взлому и возможны штрафы, смотря какие были причины взлома и сколько затронуло. Но попытка скрыть инфу — штрафы сразу до небес взлетают и отзыв лицензии легко бонусом.
Помнится, когда лет 15 назад я приехал из «глухой деревни» в Москву, то выпал в шоке, что возле Лубянки на Мясницкой продавались базы на дисках — база паспортов, база наркоманов, база тех и сех, и даже предлагались все банковские проводки за год на харде.
Меня тогда это нокаутировало. )))
К сожалению, это минус цифры.
Меня тогда это нокаутировало. )))
К сожалению, это минус цифры.
А еще операторы сливают в МВД (или другим заинтересованным лицам) в районе какой вышки, в какой момент времени вы находились, я так понял по триангуляции могут довольно точно назвать адрес и время прибывания.
Дочитал до ответа Тинькова. Что можно сказать — подставил сотрудника, продавца данных, герой! Может, даже медаль дадут. А может, и не дадут.
Для меня это никогда не было новостью, мне неприятно скорей другое, что за годы ситуация в общем-то не улучшается, даже в коммерческих структурах, что уж говорить про государственные где в этом вообще похоже интереса нет.
Вот что бывает, когда в ИБ берут не ИТ а ФСБ.
UFO just landed and posted this here
Возможно ли решить проблему зашумлением, чтобы гугл на запрос персональных данных выдавал 1000 разных фото, телефонов, паспортных данных и ссылок на базы данных?
интересная ситуация получается, организации любого уровня при контакте с физическим лицом для трудоустройства или каких-либо других взаимодействий проверяет человека законными или не очень методами для того чтобы обезопасить себя от проблем в будущем и вообщем то система смотрит на все это прикрыв глаза, но если за подобным замечет отдельный гражданин тут же начинается движение карательного характера. Вопрос как мне обезопасить себя тогда хотя бы от неадекватного работодателя? — или надо само общество привести в состоянию когда все сразу доступно при определенных процедурах(типа индекса гражданина в Китае) или невозможны или минимальны противоправные действия ввиду наличия контроля самого сообщества (вспомним советское вроде Совесть пассажира лучший контроллер). И тогда «пробив» будет неактуален
Все не так однозначно, друзья мои.
В частности открытым остается вопрос любого ли человека можно пробить таким образом.
Все знают, а кто не знает гугл в помощь, про кучку сервисов предлагающих прислать переписку любого человека в том же гугле или яндексе.
Но это не значит, что сотрудники гугла или яндекса барыжат данными.
Это с большой вероятностью означает, что пароль человека есть в базе паролей гуляющей по интернету.
Если он есть — сделка состоится, если нет — то нет.
Ни в чем не подозреваю автора, но вероятность что пробив по банкам происходит именно так не нулевая.
В частности открытым остается вопрос любого ли человека можно пробить таким образом.
Все знают, а кто не знает гугл в помощь, про кучку сервисов предлагающих прислать переписку любого человека в том же гугле или яндексе.
Но это не значит, что сотрудники гугла или яндекса барыжат данными.
Это с большой вероятностью означает, что пароль человека есть в базе паролей гуляющей по интернету.
Если он есть — сделка состоится, если нет — то нет.
Ни в чем не подозреваю автора, но вероятность что пробив по банкам происходит именно так не нулевая.
Вот простой пример торговли персональными данными из баз для служебного использования…
dtornado.ru/bazy/magistral
dtornado.ru/bazy/magistral
Будто люди от хорошей жизни этими данными торгуют. Не нужно никого наказывать, увеличьте зарплаты!
Хотите запреты — сделайте свой гулаг и запрещайте всё, что хотите.
Хотите запреты — сделайте свой гулаг и запрещайте всё, что хотите.
Я бы мог понять, если вред не шёл третьим лицам, но такое простите это уже наглость.
Что «это»? Им выгодно продавать эти данные, пока выгодно — они будут продавать, даже под страхом ужаснейших пыток. Надо просто сделать так, чтобы не было экономически выгодно торговать этими данными. Например платить 140-150 тысяч рублей в месяц после налогов, а за торговлю данными увольнять, ну и по закону штраф какой-нибудь и/или условный срок.
Это:
Это оправдания и мягко говоря не очень хорошие.
Завтра я продам скан вашего паспорта, по нему оформят кредит, оформят ЭЦП, на неё создадут ИП и продадут вашу квартиру. Вы тоже будете говорить: «ну з.п. у людей маленькая, не нужно никого наказывать»?
За такое только уголовный срок, за первый раз возможно условный, т.к. всё равно это уже чёрная метка и ни одна фин. организация такого человека не возьмёт на работу.
Будто люди от хорошей жизни этими данными торгуют. Не нужно никого наказывать, увеличьте зарплаты!
Это оправдания и мягко говоря не очень хорошие.
Завтра я продам скан вашего паспорта, по нему оформят кредит, оформят ЭЦП, на неё создадут ИП и продадут вашу квартиру. Вы тоже будете говорить: «ну з.п. у людей маленькая, не нужно никого наказывать»?
За такое только уголовный срок, за первый раз возможно условный, т.к. всё равно это уже чёрная метка и ни одна фин. организация такого человека не возьмёт на работу.
То есть вместо борьбы со причиной, т.е. низкий уровень жизни, плохая зарплата, мы будем бороться со следствием? Я правильно понимаю?
И аналогия бредовая.
И аналогия бредовая.
т.е. у высокопоставленных коррупционеров тоже низкий уровень жизни и плохая зарплата? надо их тогда пожалеть и отпустить всех. Или чем отличается менеджер от дорогого чиновника? Зарплату поднять это конечно хорошо, но у кого-то вместе с зарплатой и аппетит просыпается. С з/п в 10к вы будете изредка посматривать на мясо, с 30к — мясо уже есть, а засматриваться будете на элитный алкоголь, с 50к — может что из техники? с 100к — ой на Канары бы раз в месяц, но не хватает(( К хорошей зарплате надо ещё и хорошую ответственность прикладывать, да и государство не платит з/п менеджеру оператора или банка, но вот ответственность предложить может.
UFO just landed and posted this here
подумываю зарегистрировать церковь святого опохмелия и причащать в обмен на пожертвование.
Подпадёте под определение секты, ведь только кошерным церквям такое можно (это ли не чудо?), а кому попало — нет.
В госслужбах всё ещё проще — по крайней мере в некотором ПО (а не миф ли оно?) все запросы протоколировались и, внезапно, можно было посмотреть что Иванов запрашивает жителей своего района/участка, с которыми работает, а вот Петров — случайных жителей города (что не странно, поскольку они могут иметь отношение к району и странно, если число таких запросов выше среднестатистического (чтобы вписываться в коридор он должен быть 1. Умным, 2. Не работать, дабы не портить статистику)) или он вообще не работает с теми данными, для которых такие запросы нужны.
Но для этого должно быть хоть у кого-то желание поймать Петрова (и наказать, а не потребовать поделиться), а с желаниями у них как-то несколько импотентно.
Если нарушитель не дурак, будет делать эти запросы от другого лица.
Да ещё и так, чтобы никого не было в это время в офисе… на чём и прогорают (ибо учётка одного, а по СКУД в офисе только другой). Если что — это мне приснилось.
Проще еще чтобы любой доступ к данным клиента, вне рамок стандартных процедур без авторизации клиента (не чат, телефон, отделение) требовал смс подтверждения
Не заработает, как же вам впарить "новую мультиплатиновую безпроцентную кредитную карту с кешбеком <Лохолява>"?
Нет, конечно, можно сделать модуль аналитики, который выдаст по непонятному правилу телефон-ФИО, но это долго и правила нельзя быстро менять, а тут нейросеть в костюме сидит, оценивает, звОнит с предложениями (вы делали вклад полгода назад и у нас есть униКальное предложение вложить 100500 мульёнов под 0.5% годовых, как не интересно и нет денег? если расскажете знакомым — дадим 100 рублей). Профит.
Вот сейчас тиньк прибьет у себя канал утечки, но найдется другой, который просто будет стоить дороже.
Отлично, повторять{действие();}пока(цена<бесконечности);
Никто не логирует все запросы к БД.
К БД не нужно, к БД должны иметь доступ несколько человек (или давать доступ на время проведения работ специалистам нижнего уровня), а запросы "подайте мне всех Ивановых Иванов" должны логироваться, с указанием кто, когда, откуда и что запрашивал, причём как из интерфейса, так и пакетные запросы смежных систем.
А пока такой бардак, что любой наёмный тестер может select *, то только дыра и в безопасности (на самом деле логи наверняка есть, но чтобы кого-то ловить, надо поднять зад) и как раз именно "безопасники" получать доступ и не должны (это как на складе сторож-дегустатор).
как вы этого добились, например, в налоговой, в мвд, в куче банков, у сотовых операторов
Вы ставите вопрос о завершённости начатого процесса, это некорректная постановка вопроса, процесс начинается в том числе такими статьями.
Стоит почитать, прежде чем писать, это задача перечисленных органов сделать пробив дороже выхлопа (причём, не просто сделать 200 рублей за 100 профита, а сделать 5 лет с достаточно большой вероятностью за 100 профита).
Скомпрометированное кодовое слово может очень дорого обойтись клиенту.
Кодовое слово может быть набрано латиницей и быть не KOROVA, а LOREMIPSUM какой, не считая варианта смешанного языка — опреатор выполняет нечёткий поиск aka "ну, вроде, похоже".
Хотя когда-то слышал о варианте "назовите 3ю и 5ю букву кодового слова", когда софт показывает несколько букв, порадовался, но потом во всех банках именно слово целиком запрашивалось.
подставил сотрудника, продавца данных, герой
Звучит как "поймал вора". Вы из профсоюза воров, раз так расстроились за коллегу?
Надо просто сделать так, чтобы не было экономически выгодно торговать этими данными.
Так это и предлагается — когда штраф в годовую зарплату и вероятность его высока, то экономическая выгода от торговли отсутствует (для большинства).
Плати вы им по 150тыр, то всё равно найдутся сливающие (ответственности-то нет, а профит есть), да и связь подорожает существенно, а за ней и остальные услуги (поскольку много где есть что сливать и придётся поднимать всем, в итоге что раньше было 30 — теперь станет 150).
Интересно, а сколько стоит перевести SIM-карту на архивный тариф с поминутной тарификацией?
а вот как это устроено (примерно) со стороны ментов meduza.io/feature/2019/08/08/maksimalnoe-kolichestvo-kompromata-na-vseh
DeviceLock DLP: Цены российского черного рынка на пробив персональных данных (плюс ответ на ответ Тинькофф Банка)