Как стать автором
Обновить

Минцифра Татарстана: найден виновник утечки данных пользователей госуслуг

Время на прочтение 2 мин
Количество просмотров 6.7K
Всего голосов 6: ↑5 и ↓1 +4
Комментарии 13

Комментарии 13

в открытом доступе оказались не 500 ГБ информации, а в 30 раз меньше, то есть 15-16 ГБ

Надо было не tgz, а 7z использовать. Было бы еще меньше.

ещё бы лучше написали что утёк только служебный файл .torrent на несколько килобайт, который не содержит персональных данных
magnet-ссылка
>Утечка произошла из-за неправильно настроенной СУБД MongoDB
точнее, отсутствие настройки как таковой, т.к. по умолчанию доступ полностью открытый
Просто программиста искали на rosrabota.ru за 30 тысяч рублей.
Виновник найден и уволен, всё в лучших традициях.
Специально нашли, чтоб уволить по статье?
Благодаря привлечению подрядчиков теперь чиновники могут всегда сваливать вину на них. А то, что заказчик принимает работу подрядчика, и, соответственно, несет за нее ответственность, об этом как-то забывают. Вспоминают только когда приходят с проверкой к юр. лицу, чьи владельцы недостаточно рупокожатые граждане.
А чиновники должны разбираться в тонкостях настройки MongoDB?
Нет, у них должны быть специалисты (подрядчики либо свои), которые делают аудит безопасности, потому что они работают с персональными данными. Очевидно, никакого аудита не было. Человек, который принял работу без должной проверки, несет за нее полную ответственность. Так же понятно, что со стороны заказчика ставили свои подписи люди из их ИТ-отдела, у которых соответствующие знания должны быть.
Нет. Чиновники вообще даже не обязаны знать, что существуют отдельные аудиты безопасности. Они заказали сайт и наверняка в ТЗ указывалось, что осуществляется работа с персональными данными. Это дело подрядчика организовывать аудит, арендовать сервера, создавать сайт, организовывать бэкапы и авторизацию, патчить уязвимости и прочее — самим или через субподряды.
Собственно, возвращаемся к моему первоначальному тезису — благодаря подрядчикам никто из чиновников ответственности не несет, а значит можно даже не стараться защищать наши данные. Более того, если один подрядчик и разрабатывает продукт, и осуществляет его аудит, то это явный повод для подлога.
Это всё равно что если бы жильцы дома несли ответственность за то, что, скажем, балкон отвалился. Они же вселились и не обратились к независимым фирмам чтобы проверить состояние балкона!
Или если бы семья отравилась бы едой из магазина, то тот, кто эту еду купил (мама, например), несла бы ответственность за то, что не осуществила лабораторные анализы данной еды, а беспечно накормила мужа и детей.
Эм, нет, аналогия в корне неверная. Правильная выглядит так: это то же самое, если бы ЖЭК не нес ответственность за отвалившийся балкон, если обратился в подрядную организацию для его ремонта. Или магазин не нес бы ответственность за проданную просрочку, потому что поставщик привез уже просроченный товар и магазин не проверил маркировку. А по вашей аналогии за утечку персональных данных через торчащую наружу базу должны были бы отвечать пользователи ресурса, что, конечно, абсурд.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Другие новости

Истории