Comments 98
Т.е. даже если Роскомнадзор прикроет доступ к сайту, на котором размещены страницы с персональными данными, то это никаким образом не повлияет на доступность уже утекших данных.
А смешнее всего, что они таки правда будут блокировать эти самые сайты. И еще отчитаются на какой-то пресс-конференции об «успешно отраженной атаке». Не найдя реальную причину слива. Ведь действия РКН — это сплошной оксюморон.
Проверил свои и жены, данных на портале больше и они актуальные. Да и фото разные.
Данные из SAP базы, но вообще их гораздо больше.
Меня больше убивает что это до сих пор не заблокированно.
Там данные всех от Генерального директора до последнего составителя
Я это к чему, чтобы пройти тест, нужно было авторизоваться, через логин-пароль. Логины-пароли выдали на листе А4, табличкой в ~20 человек. Находишь себя и авторизуешься. Просто вдумайтесь на абсурдность ситуации. Подчеркиваю, курс был именно по информационной безопасности.
Хотя именно о безопасниках я был более высокого мнения, до этой статьи.
703 тысячи больше похоже на общее число сотрудников и контракторов.
А вот утечка ПД скорее всего произошла из Сервисного портала сотрудника и пенсионера, который начали активно внедрять примерно полгода назад. Там как раз и ФИО, должность, фото как с пропуска, контактные данные (мобильный телефон и личную почту сотрудник может указать по желанию) в доступе через адресную книгу. Сотрудники кадров, я думаю, видят больше. Сам на своей страничке видишь гораздо больше документов, вплоть до свидетельств о рождении своих детей. Первичный пароль действовал пару дней, раздавали на листе А4 отдел кадров. При первом входе пароль требовалось сменить.
Есть еще приложение для работы с порталом. Раз в месяц оно выкидывает: «Найдена критическая уязвимость в приложении, с данной версией работать больше нельзя, срочно обновите».
Это хорошая идея, но разве у нас с 2014 года не заморожены пенсионные накопления? Вот видите, правительство все предусмотрело.
Перевести в другой ПФ? Подпись нужна и паспорт. Два заявления на ПФ в Прокуратуру — и бенефициары этого ПФ обеспечат себе хлеб, воду и жилье по 159 ст. УК РФ. Прецеденты есть.
Прозвон по ФИО? Кому? Машинистам и обходчикам? Ладно, звоню я дежурной Павловне 1989 г.р.: «Здрасьте, это Георгиевич с Участка эксплуатации, файлик примите
Не надо из мухи делать слона и орать: «Утечка!» Вы с этих данных анонимно денег не получите. А попытка нарушить работу станции в какой-нибудь Козульке встанет боком по 205 статье УК РФ.
поэтому есть куча банков, в которых можно восстановить кодовое слово по паспортным данным, узнать балансы и операции, чтобы использовать эти данные для получения других.
Давайте в студию кучу банков. Кодовое слово по паспорту? Утекли паспортные данные? Нет. У вас есть история трех последних платежей по карте? Нет. Вы звонит с телефона, который указан в банке? Нет. Даже будучи созаемщиком по кредиту без личного визита в банк вы про этот самый кредит не узнаете НИЧЕГО.
Просто смотрите чуть шире, читайте профильные издания, что ли.
нечистоплотный менеджер может навыписывать кучу кредитов, получить премию и уволится. а счастливая толпа будет бегать за банком. это если банк, а если МФО… там вообще темный лес.
Карту ему только в кассе выдадут, по предъявлению паспорта кредитуемого и при совпадении лица на паспорте с получателем. с наличкой аналогично.
там слишком много надо народа вписать, при этом слишком отчаянного, но пушистого. Не каждого берут в банк «менеджером» и тем более кассиром (сб проверяет залеты по административке и тем более уголовке), а им еще и сговориться надо. С таким же успехом кассир может сам вынести кассу, без участия «менеджера», один хрен уголовка.
Скорее это может у микрокредитов где-то сработает, где по понятиям до сих пор и то их надо суметь обмануть ксерокопиями
Ну и как он его получит?
да даже если и не получит, он получит премию, насколько я помню у них премия зависит от количества оформленных кредитов
Также он сам себе может и выдать карту, он же операционист… он сам и будет сверять с собой же
Не каждого берут в банк «менеджером»
Это самая низовая специальность, без опыта работы с минимальной зарплатой
еще веселее работники коллцентров, которые к очень деликатным данным имеют доступ, да ещё могут и транзакции проводить
один хрен уголовка.
вы удивитесь насколько упоротые люди бывают, чего стоит чел обслуживающий банкоматы который положил на телефон 50тыр выковыривая пятитысячную купюру из купюроприемника на пути к кассете и засовывая её назад… прям гений преступного мира, наверное он думал что никто никто не догадается что это он сделал
Прямой же ответ на ваш вопрос — я не верю, я знаю. И в некоторых случаях не надо копии как таковой (ксеро- или скан-), достаточно просто паспортных данных.
Как вариант это журналисты перевирают, называя МФО и прочие шарашки «банками» для упрощения подачи материала.
P.S. Но что принципиально изменится, если это будет не банк, а МФО, для «пострадавшего»? Кредит в МФО ничуть не хуже может испортить жизнь человеку — они наравне с банками имеют доступ в бюро кредитных историй, и отнюдь не только на чтение.
Не пускает почту? Да некоторые почтовые сервера РЖД, если не большинство, позволяют отправлять почту БЕЗ авторизации совсем. С указанием любого адреса отправителя. С любого компа внутри сети. О какой безопасности может идти речь? Да и РЖД сотни разных внутренних порталов и сервисов, часть из них позволяют посмотреть данные по сотрудникам произвольно, часть перебором по каким-нибудь id. При желании любой заинтересованный работник мог собрать эти данные автоматизированно.
Но правильно сказали — кроме пенсионных фондов они никому особо и не нужны.
Или вы пытаетесь найти законные способы применить утечку?
Обломаетесь — устройства СЦБ никак к сети передачи данных РЖД не подключены. Максимум — испортить какую-нибудь систему ОТОБРАЖЕНИЯ данных движения. Но поезда не встанут от этого. Куча дублирующих есть.
Грузовая станция, сортировочная горка, отлаживаем GPS (точнее GNSS) для Клуб-У. Из-за нестыковки стандартов DGNSS через УКВ (RTCM 2.3 vs 2.2) в некоторые моменты точность падает и у диспетчера отображается, что мы на соседнем пути. А по нему встречный.
Во-первых — все встали. Ибо самое безопасное — остановить всех. Во-вторых, диспетчер была ярко-белая, и от инфаркта её отделяло очень немного. В третьих — поехали после пятого подтверждения, что баг у нас и локомотив на правильном пути. То есть подтверждали и мы, и машинисты и машинисты встречного…
Так что, чтобы все встало — нужно совсем немного… Расхождение данных дублирующих систем — очень веский повод для остановки. Даже на испытаниях, даже когда известно, какая система отлаживается. Кстати, DGNSS через УКВ там штатный, и подавляется он понятно как.
Так что один левый апдейт для КЛУБ-У — и можно остановить всю дорогу. :-))))
Расхождение данных дублирующих систем — очень веский повод для остановки.
Эх, было бы так у Боинга.
(оффтопик)
Это же не про airgap, а про «ламповость» СЦБ.
А попытка нарушить работу станции в какой-нибудь Козульке встанет боком по 205 статье УК РФ.
Скажу страшное: а что если этим займется Страшный Заграничный Шпиён, которому положить с прибором на УК РФ? Транспортная безопасность, туда-сюда.
ссылку на сайт не привожу специальноЗато она мгновенно гуглится по той самой надписи
Портал интегрируется с дорожными системами ЕК АСУТР (по числу дорог + центр) через шину.
В опубликованных данных, кстати, указан адрес места работы сотрудника.
В выгрузке нет данных работников ДЗО (ФГК, ВРК, ФПК и т.п.) т.к. для них сервисный портал ещё недоступен :)
Офигеть :(
Уволился из РЖД в самом конце марта этого года. Своих данных не нашел.
Судя по комментариям открыли только в апреле, утекло наверное позже
Кстати стрелочниками назначат кадровиков — они паролями рулили, опять же исходя из комментариев
Интересно, интернет находит два портала
my.rzd.ru (собственник rzd)
my-rzd.ru (инфа whois недоступна, создана 29 мая 2019)
my-rzd.ru скорее всего фишинговый адрес. Попробовал на него зайти с рабочего компьютера, его сразу заблокировал антивирус. Возможно, благодаря этому сайту данные и утекли.
Этак года через 3 тут можно будет найти объяснения того, что такое браузер, и что интернет != браузер.
P.S. Это так, мысли вслух.
Возможно это я просто так начал воспринимать, соответственно оценке контента, аудиторию — а мой комментарий выше был абсолютно бесполезным.
Ну, подумаешь 700 тыщ. Вон и 500 миллионов утекало. https://m.habr.com/ru/company/0/blog/431682/
Наоборот — если все данные в одном месте, то проще контролировать и создать систему, которая будет обеспечивать защиту. Условно — это как с RAID массивами. Один диск — ну, да, ломается редко, но теряешь все. Два диска с дублированием — вероятность выхода каждого выше, но зато инфа остается целостной.
В переводе на Вашу ситуацию — куча корзин — с одной, да утечет, течь будет чаще, но зато утечка аффектит меньше данных (но не меньше персоналий!!! т.к. очевидно, что каждый человек есть и в базе МВД, и в базе ПФ, и в базе ИФНС и т д).
Но, конечно, более вероятно, что такое сливают централизованно из базы
Данные из нового приложения для андроид и айос Сервисный портал. Удобное приложение только появилось и на тебе подарок. Служба безопасности наказывает работников РЖД за всякие мелочи(флешки, почта и т.д.). А сами обкакались по крупному, разрешив такое приложение.
Некоторое время назад, когда я был ещё молод и горяч, решил я зарегиться на портале государственной гражданской службы — https://gossluzhba.gov.ru
Разместил там свои данные, резюме, все дела и об этом всем забыл.
А спустя год или около того решил вбить ФИО в поиск Яндекса. Я, мягко говоря, очень удивился, когда третьей ссылкой увидел свои данные (всё резюме, включая опыт работы и желаемую ЗП), размещенные на портале госслужбы. Причём тупо ссылкой на документ, размещенный у них.
Накатал жалобу в свежесозданный тогда Роскомнадзор (почему-то не ответили) и в поддержку портала. Поддержка ответила, что мол пофиксили. Осадочек остался.
Когда создавалась Сеть Передачи Данных МПС России в конце 90-х годов прошлого столетия, то защите сети уделялось очень и очень большое внимание. Жаль что так, сегодня происходит.
Утечка персональных данных предположительно сотрудников ОАО «РЖД»