Forwarded from Будущее.42.0.0.2.FNL.PSD
#police #secure #cybersecurity #safenet #bigdata #leaks #nationalID
Чуть больше года назад хакеры выложили данные о 49,6 миллиона (из чуть более 75) турецких жителей, взятых из правительственных архивов. Данные включали национальный идентификатор, имя, фамилию, имя матери и отца, пол, дату и город рождения, а также адрес места жительства.
6,6Гб. Я скачал.
А сегодня - вторая часть марлезонского балета.
130 млн индусов проснулись с новостью о том, что их ID и биометрические данные теперь гуляют по сети в открытом доступе.
То ли еще будет!
0. Ссылка на источник про взлом. https://boingboing.net/2017/05/02/what-could-possibly-go-wrong.html
1. Новость о сливе ID турецких жителей на русском - https://habrahabr.ru/post/280896/
2. Новость о сливе ID турецких жителей - оригинал - https://news.ycombinator.com/item?id=11420139
Чуть больше года назад хакеры выложили данные о 49,6 миллиона (из чуть более 75) турецких жителей, взятых из правительственных архивов. Данные включали национальный идентификатор, имя, фамилию, имя матери и отца, пол, дату и город рождения, а также адрес места жительства.
6,6Гб. Я скачал.
А сегодня - вторая часть марлезонского балета.
130 млн индусов проснулись с новостью о том, что их ID и биометрические данные теперь гуляют по сети в открытом доступе.
То ли еще будет!
0. Ссылка на источник про взлом. https://boingboing.net/2017/05/02/what-could-possibly-go-wrong.html
1. Новость о сливе ID турецких жителей на русском - https://habrahabr.ru/post/280896/
2. Новость о сливе ID турецких жителей - оригинал - https://news.ycombinator.com/item?id=11420139
Boing Boing
India's controversial national ID scheme leaks fraud-friendly data for 130,000,000 people
India's controversial national ID scheme leaks fraud-friendly data for 130,000,000 people
Forwarded from Ivan Begtin (Ivan Begtin)
Рубрика "Без комментариев". Я так понимаю что пока Meduza [1], а вскоре и остальные СМИ пишут о том что база паспортов всех проголосовавших через электронное голосование оказалась в открытом доступе.
Плохое в этом то что вообще была эта программа и то что она оказалась в открытом доступе (как и база к ней). Это не фатальная утечка, там только номера паспортов, но крайне неприятная, в виду контекста. Я пока не могу придумать рабочий кейс при котором просто список номеров паспортов без иной информации может повредить, но, как бы, даже такого лучше не допускать. Если, кстати, кто-то понимает как такие утечки могут наносить ущерб - напишите в @begtinchat
Хорошее, в том что при таких масштабах голосования неизбежно должны были быть и ошибки в паспортах и я не удивлюсь если сам реестр недостоверных паспортов на который ссылается Медуза, мягко скажем, не вполне достоверен. Во всяком случае доверия к данным МВД у меня лично по умолчанию значительно ниже чем к данным в Минкомсвязи.
P.S. То что некоторые телеграм каналы и не только эти сведения распространяют, это как раз разница политактивизма и профессионального подхода. Лично я считаю правомерным распространять причины утечек только после выполнения последовательных шагов:
- предупредить источник утечки данных
- передать журналистам для публикации материала (при условии отсутствия раскрытия самих персональных данных)
А распространять саму базу - это, мягко скажу, если доказать что это перс данные - то незаконно, а даже если не доказать, то неэтично. Конкретные примеры каналов приводить не буду.
Ссылки:
[1] https://meduza.io/feature/2020/07/09/vlasti-fakticheski-vylozhili-v-otkrytyy-dostup-personalnye-dannye-vseh-internet-izbirateley
#pdleaks #leaks
Плохое в этом то что вообще была эта программа и то что она оказалась в открытом доступе (как и база к ней). Это не фатальная утечка, там только номера паспортов, но крайне неприятная, в виду контекста. Я пока не могу придумать рабочий кейс при котором просто список номеров паспортов без иной информации может повредить, но, как бы, даже такого лучше не допускать. Если, кстати, кто-то понимает как такие утечки могут наносить ущерб - напишите в @begtinchat
Хорошее, в том что при таких масштабах голосования неизбежно должны были быть и ошибки в паспортах и я не удивлюсь если сам реестр недостоверных паспортов на который ссылается Медуза, мягко скажем, не вполне достоверен. Во всяком случае доверия к данным МВД у меня лично по умолчанию значительно ниже чем к данным в Минкомсвязи.
P.S. То что некоторые телеграм каналы и не только эти сведения распространяют, это как раз разница политактивизма и профессионального подхода. Лично я считаю правомерным распространять причины утечек только после выполнения последовательных шагов:
- предупредить источник утечки данных
- передать журналистам для публикации материала (при условии отсутствия раскрытия самих персональных данных)
А распространять саму базу - это, мягко скажу, если доказать что это перс данные - то незаконно, а даже если не доказать, то неэтично. Конкретные примеры каналов приводить не буду.
Ссылки:
[1] https://meduza.io/feature/2020/07/09/vlasti-fakticheski-vylozhili-v-otkrytyy-dostup-personalnye-dannye-vseh-internet-izbirateley
#pdleaks #leaks
Meduza
Власти фактически выложили в открытый доступ персональные данные всех интернет-избирателей В голосовании по поправкам участвовали…
Более миллиона жителей Москвы и Нижегородской области проголосовали за поправки к Конституции или против них через интернет. «Медуза» выяснила, что паспортные данные этих избирателей лежали практически в открытом доступе. Более того, оказалось, что некоторые…
Помните в мае 2019 года я публиковал доклад об утечках персональных данных из государственных информационных систем? [1] Хотите знать что изменилось за эти годы? А ничего не изменилось.
1. Официальной реакции Роскомнадзора не было да и диалога с ними тоже.
2. Официального технологического аудита информационных систем не было
3. Кое-что происходило кулуарно и непублично, об этом эхом мне потом рассказывали коллеги из разных органов власти.
4. Во многих случаях никакие изменения в информационных системах не вносились и данные по прежнему публикуются.
В качестве примера сайт https://xn--80akibckndbdsx1ezg.xn--p1ai/ от Роструда где собираются жалобы граждан. И, конечно же, они публикуются.
Мне очень не хотелось возвращаться к этой теме, потому что у неё есть сопутствующих ущерб, больше людей узнают об утечках и знают где их найти.
Ссылки:
[1] https://begtin.tech/pdleaks-p3-govsys/
#privacy #PersonalData #leaks
_______
Источник: https://t.iss.one/begtin/2213
1. Официальной реакции Роскомнадзора не было да и диалога с ними тоже.
2. Официального технологического аудита информационных систем не было
3. Кое-что происходило кулуарно и непублично, об этом эхом мне потом рассказывали коллеги из разных органов власти.
4. Во многих случаях никакие изменения в информационных системах не вносились и данные по прежнему публикуются.
В качестве примера сайт https://xn--80akibckndbdsx1ezg.xn--p1ai/ от Роструда где собираются жалобы граждан. И, конечно же, они публикуются.
Мне очень не хотелось возвращаться к этой теме, потому что у неё есть сопутствующих ущерб, больше людей узнают об утечках и знают где их найти.
Ссылки:
[1] https://begtin.tech/pdleaks-p3-govsys/
#privacy #PersonalData #leaks
_______
Источник: https://t.iss.one/begtin/2213
Мне очень не хочется это комментировать, но, простите, не могу удержаться. (c)
Ведение баз заболевших в таблицах в Google - это называется не человеческий фактор, а халатность. Это данные составляющие врачебную тайну и их вообще не имели право использовать за пределами медицинских информационных систем или иных регламентированных ГИС. А когда утекут данные по слежки Правительства Москвы за горожанами через городскую сеть WiFi, приложение Активный гражданин и др. - это тоже будет "человеческий фактор"? А неспособность властей Москвы сформировать четкие этические и технические регламенты работать с персональными данными - это тоже человеческий фактор?
Как бы помягче сказать, это ситуация не про дисциплинарные проверки и не про увольнения, а про уголовные дела. Особенно если канал утечки до конца не перекрыли и пытливые умы найдут в этих таблицах тех людей кого они там найти не должны были и не найдут тех кого были должны.
#leaks #moscow
_______
Источник: https://t.iss.one/begtin/2335
Ведение баз заболевших в таблицах в Google - это называется не человеческий фактор, а халатность. Это данные составляющие врачебную тайну и их вообще не имели право использовать за пределами медицинских информационных систем или иных регламентированных ГИС. А когда утекут данные по слежки Правительства Москвы за горожанами через городскую сеть WiFi, приложение Активный гражданин и др. - это тоже будет "человеческий фактор"? А неспособность властей Москвы сформировать четкие этические и технические регламенты работать с персональными данными - это тоже человеческий фактор?
Как бы помягче сказать, это ситуация не про дисциплинарные проверки и не про увольнения, а про уголовные дела. Особенно если канал утечки до конца не перекрыли и пытливые умы найдут в этих таблицах тех людей кого они там найти не должны были и не найдут тех кого были должны.
#leaks #moscow
_______
Источник: https://t.iss.one/begtin/2335
Telegram
Ivan Begtin
Мне очень не хочется это комментировать, но, простите, не могу удержаться. (c)
Ведение баз заболевших в таблицах в Google - это называется не человеческий фактор, а халатность. Это данные составляющие врачебную тайну и их вообще не имели право использовать…
Ведение баз заболевших в таблицах в Google - это называется не человеческий фактор, а халатность. Это данные составляющие врачебную тайну и их вообще не имели право использовать…
В Мексике произошла предположительная утечка данных о 91 миллионе избирателей [1]. На теневых форумах продают эти данные и утверждают что они содержат все личные данные мексиканских избирателей на 2021 год.
Характерны комментарии в треде обсуждения "и вот так же они будут хранить наши биометрические данные?".
Ссылки:
[1] twitter.com
#privacy #leaks #voters
_______
Источник | #begtin
Характерны комментарии в треде обсуждения "и вот так же они будут хранить наши биометрические данные?".
Ссылки:
[1] twitter.com
#privacy #leaks #voters
_______
Источник | #begtin
Я рассказывал ранее что госорганы крайне халатно относятся к персональным данным граждан, особенно граждан которые вступают с ними в любые взаимоотношения, например, трудовые или договорные. Ещё один наглядный пример федерального уровня, Минобороны России продаёт высвобождаемое имущество и публикует протоколы торгов включая паспортные данные представителей компаний. Их довольно легко "нагуглить" запросом 'паспорт серия site:mil.ru/files filetype:pdf' [1]
Удивительно что никто из граждан так и не засудил представителей Минобороны за такое.
И это один пример из тысяч и не все они находятся так просто, но пытливые умы могут найти многое.
Ссылки:
[1] www.google.com
#leaks #milru #government #privacy #personaldata
_______
Источник | #begtin
Удивительно что никто из граждан так и не засудил представителей Минобороны за такое.
И это один пример из тысяч и не все они находятся так просто, но пытливые умы могут найти многое.
Ссылки:
[1] www.google.com
#leaks #milru #government #privacy #personaldata
_______
Источник | #begtin