Comments 66
С одной стороны — преступная халатность. С другой стороны — пострадавшая от взломщиков сторона еще и сама становится виноватой и оштрафованной.
А можно немного подробностей про их нормативы по защите данных? Какие меры необходимо принимать следуя их законодательству?
А можно немного подробностей про их нормативы по защите данных? Какие меры необходимо принимать следуя их законодательству?
Думаю, в законах не прописаны конкретные меры. Всё-таки законы пишут юристы, а не программисты с сисадминами. Но в разделе «Для справки» есть отсыл к некоторым основным законам в сфере защиты информации, можете поискать первоисточники.
Ну, если отделение банка сделает дополнительную дверь в хранилище с улицы, запирающуюся на простенький китайский замок (для уборщицы), а потом оттуда вынесут ваше имущество — то обидитесь вы в первую очередь на банк.
Пострадавшая сторона — не университет, а студенты, чьи данные были слиты из-за халатности.
На месте студентов имело бы смысл отдельный иск подать. Ведь самое страшное, когда учат делать все хорошо, но сами даже в процессе учебы этот принцип не применяют. «Вы пока делайте лажово, зато потом, когда будете с дипломом, все сделаете как надо» — и сами же в дальнейшем будут плакать, когда эти «специалисты» так же весело их собственные личные данные проэтосамят.
В общем, на ком-то этот порочный круг должен был разорваться. Бить, и бить страшно. Вплоть до лишения преподавателей и вуза дипломов и лицензий.
В общем, на ком-то этот порочный круг должен был разорваться. Бить, и бить страшно. Вплоть до лишения преподавателей и вуза дипломов и лицензий.
А что там за сервак если смог отработать 12 лет?
Без сбоев и перезагрузок? и наверное светил в интернет белым IP к тому же.
Без сбоев и перезагрузок? и наверное светил в интернет белым IP к тому же.
Возможно это только один из на машине был и регулярно переезжал на новое железо, когда переносили всем скопом данные не копаясь, что там есть на самом деле.
За 10 лет +- вышли из строя все серваки. что самое интересное первыми вышли из строя более новые. Накопители продержались почти все. Так, что думаю там были переносы на другое железо.
Сходу вспоминаются байки про мрущий годами оспополамный сервер и про замурованный в подсобке…
Пфф
16,5 лет не срок. Вырубили (он бы еще поработал, а если бы его чистили регулярно — то поработал бы прилично).
habr.com/post/174769
16,5 лет не срок. Вырубили (он бы еще поработал, а если бы его чистили регулярно — то поработал бы прилично).
habr.com/post/174769
Ну, у нас сервер IBM-360 проработал 15 лет не выключаясь. Выключили только по причине морального устаревания.
Перезагрузки тут ситуацию не изменили бы. Демоны веб-сервера запускаются, как правило, автоматом.
Многие десктопы того времени могли без проблем проработать 10-15 лет без выключения.
В моём распоряжении была парочка машин с древним AMD x64 процом (какой-то дешёвый HP, одно ядро, пару гиг памяти и механические диски).
Только недавно выключили просто потому что мне надоело за ним следить, а там уже ничего полезного не осталось.
Так же дома был мелкий сервер на AMD Geode для VPN. Работал лет 8-10 точно. Выключил буквально полгода-год назад, так как виртуализировал его.
Это всё несерверное железо. С серверным ведь ещё больше можно «забыть».
В моём распоряжении была парочка машин с древним AMD x64 процом (какой-то дешёвый HP, одно ядро, пару гиг памяти и механические диски).
Только недавно выключили просто потому что мне надоело за ним следить, а там уже ничего полезного не осталось.
Так же дома был мелкий сервер на AMD Geode для VPN. Работал лет 8-10 точно. Выключил буквально полгода-год назад, так как виртуализировал его.
Это всё несерверное железо. С серверным ведь ещё больше можно «забыть».
С такими законами уважаемые граждане пользователи получат ровно то же самое, что уже получили в остальных отраслях: «черный ящик», с которым ничего незапланированного производителем сделать нельзя, который абсурдно туп в управлении (смарттв двух-трехлетней давности, смартфоны десятилетней давности) и который не перегружает сознание лишней информацией (ну т.е. мессенджеры с бабблами на 50 слов на экране, из них 20 — рекламного контента).
Зачем производителю тех же автомобилей оптимизировать технические характеристики под возможность ремонта и настройки, если это ударяет по прибыли, бюджету и приводит к ненужным искам?
Зачем заниматься разработкой чего-либо, рассчитанного на откровенно уязвимую аудиторию (т.е. не способную удержать в голове что-то, кроме своей предметной области, и то редко), когда можно абстрагироваться от этого в глубокий кровавый энтерпрайз или в наукоемкие отрасли?
Так и получится, что юзерский софт будет писаться 2-3 компаниями, готовыми мириться с абсурдными законами и копирайтом ради прибыли, только тогда потребителям придется мириться с тем, что их позиция и мировоззрение при всем удобстве потребления, оказывается, все равно будут подвергаться критике, пусть даже критикующие и будут вынуждены покупать компы времен PIV на ибее и хостить все свои поделия на локалхосте с убунту 16.
Зачем производителю тех же автомобилей оптимизировать технические характеристики под возможность ремонта и настройки, если это ударяет по прибыли, бюджету и приводит к ненужным искам?
Зачем заниматься разработкой чего-либо, рассчитанного на откровенно уязвимую аудиторию (т.е. не способную удержать в голове что-то, кроме своей предметной области, и то редко), когда можно абстрагироваться от этого в глубокий кровавый энтерпрайз или в наукоемкие отрасли?
Так и получится, что юзерский софт будет писаться 2-3 компаниями, готовыми мириться с абсурдными законами и копирайтом ради прибыли, только тогда потребителям придется мириться с тем, что их позиция и мировоззрение при всем удобстве потребления, оказывается, все равно будут подвергаться критике, пусть даже критикующие и будут вынуждены покупать компы времен PIV на ибее и хостить все свои поделия на локалхосте с убунту 16.
Насколько я понимаю, если ты не собираешь и не сохраняешь у себя на сервере личные данные пользователей — то и докопаться не до чего. Так что ваш пассаж слегка мимо кассы. Другое дело что сейчас их ттолько ленивый не тянет — но это закон и должен исправить.
UFO just landed and posted this here
Ну например в современных автомобилях достаточно сложная процедура прописывания ключа зажигания, притом с разной степенью уязвимости она подразумевает цепочку клиент-дилер-производитель. Даже с магнитолами такое было, а сейчас продвигается с критичными узлами.
Самый простой кейс: не дать автосервису в сговоре с угонщиками прописать комплект ключей и потом не огребать негатив в виде «бренд угоняем как детский самокат» — в таком кейсе дилер/сервис пересылает в бренд документы владельца, которые после сверки с теми, что наличествуют с прошлых раз — дают повод отказать или дать сессию прописывания ключей/узла.
Ну и из простого: производитель авто кровно заинтересован в удовлетворенности клиентов и поэтому «через голову» дилеров дополнительно интересуется о качестве услуг у конечных клиентов. То есть дилеры/сервисы льют в почти обязательном порядке CSI-отчетность в голову (естественно там четко есть разделение по передаваемым полям в зависимости от наличия письменного согласия на обработку ПД).
Самый простой кейс: не дать автосервису в сговоре с угонщиками прописать комплект ключей и потом не огребать негатив в виде «бренд угоняем как детский самокат» — в таком кейсе дилер/сервис пересылает в бренд документы владельца, которые после сверки с теми, что наличествуют с прошлых раз — дают повод отказать или дать сессию прописывания ключей/узла.
Ну и из простого: производитель авто кровно заинтересован в удовлетворенности клиентов и поэтому «через голову» дилеров дополнительно интересуется о качестве услуг у конечных клиентов. То есть дилеры/сервисы льют в почти обязательном порядке CSI-отчетность в голову (естественно там четко есть разделение по передаваемым полям в зависимости от наличия письменного согласия на обработку ПД).
UFO just landed and posted this here
Ну тут это уровня «почему дверь называется дверью» получается.
И по-моему каких-то коллизий при этом не возникает (по крайней мере за последние лет 15 я не слышал).
К примеру покупка авто. Это ведь как минимум договор между продавцом или представителем продавца и покупателем или его представителем.
То бишь как минимум в начальной части однозначная идентификация сторон + в конце подписи сторон с реквизитами.
Ну а с учетом, что чаще всего дилер не является собственником авто (они их не выкупают у импортера, а лишь ответственно хранят) — фигурирует 3 стороны: покупатель, дилер и представительство бренда в стране. Плюс ГИБДД, ФНС, ОФД — как косвенное следствие…
p/s/ кстати те же дилеры/сервисы помимо согласия на обработку ПД уже давно хранят еще опциональные согласия на обзвоны, sms, e-mail и соцсети.
И по-моему каких-то коллизий при этом не возникает (по крайней мере за последние лет 15 я не слышал).
К примеру покупка авто. Это ведь как минимум договор между продавцом или представителем продавца и покупателем или его представителем.
То бишь как минимум в начальной части однозначная идентификация сторон + в конце подписи сторон с реквизитами.
Ну а с учетом, что чаще всего дилер не является собственником авто (они их не выкупают у импортера, а лишь ответственно хранят) — фигурирует 3 стороны: покупатель, дилер и представительство бренда в стране. Плюс ГИБДД, ФНС, ОФД — как косвенное следствие…
p/s/ кстати те же дилеры/сервисы помимо согласия на обработку ПД уже давно хранят еще опциональные согласия на обзвоны, sms, e-mail и соцсети.
Во втором случае всё очевидно: хочет спрашивать о качестве услуг? Пусть обеспечивает безопасность данных.
В первом случае всё, опять же, завязывается на производителе, а не дилере.
В первом случае всё, опять же, завязывается на производителе, а не дилере.
Там их сложно разорвать производителя (или представительство в конкретной стране) и дилера: по одной цепочке первый реализует автомобиль при посредничестве дилера; по-другой — все-таки продает дилеру, а дилер уже продает покупателю.
Ну и как правило с хранением в стране и обеспечением пристойной сохранности ПД у представительства — вполне прилично. Есть некие коллизии в плане штабквартир, ибо они не в стране покупателя, но и интересуют их скорее данные достаточно абстрагированные от ПД: например связанные с конкретным авто (vin) поломки, пробеги, ремонты, жалобы и профиль эксплуатирующего авто (пол, возраст, регион эксплуатации).
Во всем этом есть, правда классика из серии «знают двое — знает и свинья» )
То бишь зачастую выявить конкретную точку утечки данных сложновато — то ли сотрудник-продавец слил налево, то ли кто-то из дилера, то ли через обработчика-консолидатора по пути к штабквартире утекло…
А если учесть, что информационные цепочки владелец-автомобиль-салон-сервис в реалиях несколько поширше… Тут и возникают на горизонте всяческие сервисы «пробей б/у авто перед покупкой» )
чего далеко ходить? за месяц до истечения ОСАГО на авто — летит куча звонков от разных клоунов с предложением продлить у них… иногда в подробностях фигурирует много чего интимно-ПДшного…
Ну и как правило с хранением в стране и обеспечением пристойной сохранности ПД у представительства — вполне прилично. Есть некие коллизии в плане штабквартир, ибо они не в стране покупателя, но и интересуют их скорее данные достаточно абстрагированные от ПД: например связанные с конкретным авто (vin) поломки, пробеги, ремонты, жалобы и профиль эксплуатирующего авто (пол, возраст, регион эксплуатации).
Во всем этом есть, правда классика из серии «знают двое — знает и свинья» )
То бишь зачастую выявить конкретную точку утечки данных сложновато — то ли сотрудник-продавец слил налево, то ли кто-то из дилера, то ли через обработчика-консолидатора по пути к штабквартире утекло…
А если учесть, что информационные цепочки владелец-автомобиль-салон-сервис в реалиях несколько поширше… Тут и возникают на горизонте всяческие сервисы «пробей б/у авто перед покупкой» )
чего далеко ходить? за месяц до истечения ОСАГО на авто — летит куча звонков от разных клоунов с предложением продлить у них… иногда в подробностях фигурирует много чего интимно-ПДшного…
UFO just landed and posted this here
UFO just landed and posted this here
Похоже, типичное время жизни сайта в Клирнете теперь сократится ещё больше. Вместе с мусором будет всё больше исчезать и полезной информации.
Кстати, а не нарушают ли GDPR Web-архив и кеши поисковиков?
Вместе с мусором будет всё больше исчезать и полезной информации.
Вы под полезной информацией имеете в виду что? Базы кардеров? Спам-базы? Ну, я, например, двумя руками за, чтобы такая "полезная информация" исчезла.
Ну, для вас, получается, не существует никакой другой «полезной информации», кроме как баз кардеров и спамеров? Как насчёт архивов научных публикаций?
Как насчёт архивов научных публикаций?
В научных публикациях данные о добровольцах принято анонимизировать. А в той же математике персональных данных, в общем-то, и вовсе нет.
Разве что речь об исторических документах.
UFO just landed and posted this here
Ответил выше — генеалогия, например.
Миллиарды страниц Веб-архива просто не могут не содержать массы случайно захваченных персональных данных. Как и кеши поисковиков. Найти их там и автоматически или вручную зачистить — невозможно. Значит, все они автоматически становятся нарушителями GDPR.
Да не важно, попадает или нет. Есть заброшенный форум, скажем. Активности ноль, история огромная. В движке дыра на дыре. Юзверям предлагалось вводить имя и мыло, как это всю жизнь на форумах делали.
То он лежал себе и никому не мешал. Если надо было что-то, можно заглянуть. Теперь точно удалят. Не чинить же мёртвый форум.
То он лежал себе и никому не мешал. Если надо было что-то, можно заглянуть. Теперь точно удалят. Не чинить же мёртвый форум.
Да, всё нормально насчёт архивов научных публикаций. Я, в принципе, допускаю, что вы являетесь таким специальным человеком, что видите какую-то разницу, между тем будут данные ваших банковских карт лежать в базе кардеров или в научной публикации и во втором случае вы выдохните и скажите, — а, ну, это же научная публикация, пусть лежат! — но большинство людей всё-таки нормальные и разницы не видят. Поэтому, насчёт архивов научных публикаций всё абсолютно так же — если архив научных публикаций содержит мои персональные данные, то я двумя руками за то, чтобы эти данные исчезли.
PS. Генеалогия — это не наука, это прикладной раздел истории. Примерно как бухгалтерия — это не наука, а прикладной раздел экономики.
PPS. Для меня полезная информация как раз отличается от спам-баз, поэтому я не рыдаю как местные спамомрази от того, что их "корм" исчезнет, поскольку нет ни каких причин и поводов к исчезновению дейстительно полезной информации. А вот со спамомразями сейчас стало просто сказочно — лёгким движением руки они оправляются ровно туда, куда и заслуживают. Viva GDPR!
Хостеры не будут под риском таких наказаний разбираться, что там за старый контент у них храниться. И будут тереть всё. Выплескивая с водой и младенцев.
А вот всякая кардерская инфо как раз будет замечательно храниться в даркнете, которому пофиг нам новые запреты.
Да, именно так. Похоже, борьба со спамерами приведёт к худшим последствиям, чем сам спам.
Это напомнило случай на моем первом месте работы. На 4-м курсе устроился приходящим админом в одну конторку.
Задачей было убрать клубки из свичей/роутеров/кабелей/и еще бог знает чего из каждого кабинета и построить нормальную СКС с бодро жужжащим сетевым шкафом в коморке.
Уничтожая старую сеть я наткнулся на непонятный мне кабель идущий во внешнюю стену и идущий через 5 этажей на чердак. Местный завхоз прознав про такую находку вручил ключи от чердака и дал команду демонтировать.
Самое интересное обнаружилось на чердаке — кабель как оказалось вел не к свичу провайдера, а к бодро жужащему серверу Supermicro с 2-мя вторыми пнями! Не знаю работал ли он на тот момент но после отключения он больше не завелся, а проверить на наличие инфы старые SCSI диски было не на чем и вообще директор той конторы быстро погрузил сервак в багажник и увез.
После разговора с местными я узнал что это был старый сервак с 1С (теперь понятно почему он был на чердаке), который перестали использовать лет 5 назад. Т.к тех персонал был в остновном приходящим все о данном серваке забыли.
Задачей было убрать клубки из свичей/роутеров/кабелей/и еще бог знает чего из каждого кабинета и построить нормальную СКС с бодро жужжащим сетевым шкафом в коморке.
Уничтожая старую сеть я наткнулся на непонятный мне кабель идущий во внешнюю стену и идущий через 5 этажей на чердак. Местный завхоз прознав про такую находку вручил ключи от чердака и дал команду демонтировать.
Самое интересное обнаружилось на чердаке — кабель как оказалось вел не к свичу провайдера, а к бодро жужащему серверу Supermicro с 2-мя вторыми пнями! Не знаю работал ли он на тот момент но после отключения он больше не завелся, а проверить на наличие инфы старые SCSI диски было не на чем и вообще директор той конторы быстро погрузил сервак в багажник и увез.
После разговора с местными я узнал что это был старый сервак с 1С (теперь понятно почему он был на чердаке), который перестали использовать лет 5 назад. Т.к тех персонал был в остновном приходящим все о данном серваке забыли.
История была, решили почистить серваки 15-летней давности. Термопасту поменять, от пыли продуть… после чистки материнка ОТКАЗАЛАСЬ запускаться. финита ля… снимаешь радиатор — всё работает на голом проце но он понятное дело за секунды нагревается. От 15-летней деформации, после снятия радиатора порвались какие-то внутренние дорожки на материнке.
Я не понял из статьи, как была получена конфиденциальная информация-то? Ну получили взломщики доступ к никому не нужному серверу 12 летней давности. Дальше-то что? Это все прямо там и хранилось? Я конечно понимаю, что доступ к внутренней сети это уже пол дела, но там у тысяч студентов есть точно такой же доступ в эту сеть. Или сервер был какой-то привилегированный?
Подробностей по вектору атаки я не встречал. Возможно, в самом решении ICO (длинная PDF-ка) было что-то. Возможно, сама идея микросайта подразумевала доступ к общей базе, и он там был зашит. Возможно, был ещё ряд завтыков со стороны университета. У него была ещё независимая утечка данных ранее, по совершенно другим причинам. Но тогда обошлось предупреждением.
Там загрузка файлов реализована. Может как раз в файлах данные были..
А кто из вас сливал репозитории или клиентские базы перед уходом из компании? ;)
Частенько сливаем, потому что после нашего ухода проект обычно больше 1-2 лет не живёт, а в портфолио что-то показывать надо. :) Разумеется, имена, пароли, ключи для расшифровки в слитом дампе подменяются на случайные строки.
Королевская прокурорская служба оштрафована на £325 тыс. за утерю незашифрованных DVD-дисков с полицейскими допросами, касающимися дел 15 жертв детского сексуального насилия. И это был уже второй случай утери данных прокурорской службой. Не только у нас в странах бардак...
Я хочу, чтобы в СНГ тоже можно было бы оштрафовать полицию за подобные проколы. Можно?
Деньги из одного госкармана переложат в другой. Это же штраф, а не компенсация пострадашим.
Дело в том, что госкарманы принадлежат разным людям, поэтому подобные штрафы могут отлично работать даже если пострадавшие не получат компенсацию.
UFO just landed and posted this here
Он тоже не получит свою премию и бонусы?
UFO just landed and posted this here
Правило номер 0: учёт и периодическая инвентаризация
Если вы не знаете где какие сервера или сервисы подняты вы не сможете ни обновлять их, ни вовремя удалять.
Если вы не знаете где какие сервера или сервисы подняты вы не сможете ни обновлять их, ни вовремя удалять.
Sign up to leave a comment.
Как забытый на 12 лет сервер может обойтись в 120000 фунтов стерлингов