Введение
Доброго времени суток, друзья. Эта история небольшого взлома произошла со мной в середине августа этого 18-го года. Начиналась история в маленьком городе краснодарского края, с тырнетом плохо, есть 4g но это все не то, тут за городом можно было только мечтать о проводах. И вот недавно это чудо случилось, в мой район провели провода, и я сразу побежал подключать 100 мбит по оптоволокну, 8к за подключение с тарифом.
Любопытство
Радости полные штаны, тырнет хороший, провайдер небольшой местный, лк у него соответствует статусу местного провайдера, из любопытства ради я шарился по лк, смотрел какие поддомены есть, и нашел я поддомен admin.домен_провайдера.ru/ который сразу кидал на форму авторизации login.php, F12, открыл посмотрел что туда подгружалось, посмотрел js, там находились любопытные ссылки в ajax запросах "/?user_id=" + id, просто скопировав ссылку и вбив рандомное число, мне выкинули данные пользователя в таблице:
Серия/номер паспорта
Кем выдан
Дата выдачи
ФИО
адресс проживания
номер телефона
Логин(от тырнета)
«Да ну не может быть», воткнул в head jq библиотеку, трачу 5 минут на написание ajax запроса в цикле и выплёвывание это в body страницы, вывело 21 000 записей.
Быстро ctrl + f, вбил своё фио, и да я там был. Моё удивление, т.е. в свободном доступе висели данные пользователей. Посмотрел остальные ссылки в ajax запросах, там куча всего было, на какое-то управление свичами, на какие-то перезагрузки чего-то, по тому что выплевывало было трудно понять что за что отвечает, мне уже это было не так интересно.
Было уже поздно, я подумал «вот разрабы
На след. день я начал соображать, это как бы все не шутки, и я могу понести за это уголовную ответственность, а у нас в стране за репосты сажают. Стоить заметить я ничего не планировал такого делать, иначе я бы обезопасил себя vpn'ом/проксей. А с другой стороны если они оставляют такие дыры, то навряд ли они будут смотреть логи. А с третьей стороны, лучше если я им сообщу, чем они найдут мои следы, и тогда со мной точно не будут разговаривать.
Очко сыграло
Гуглю на Хабре название организации, нахожу организацию, с несколькими репами, в них ничего интересного, смотрю кто входит в эту орагнизацию, еще раз гуглю, нахожу разрабов в вк. Пишу: «Привет, а почему 21 000 запись пользователей со всеми их данными, находятся в открытом доступе?». Пишет что сообщил начальнику. Ок думаю, я свою работу сделал.
Расплата за любопытство
Я проснулся, часов 10 утра, надо поработкать, я фронтендлю. Стук в калитку, выглядываю в окно, смотрю стоит красненькая машинка, 3 человека, по фоткам узнаю одного из разрабов, думаю ну все,
— Здравствуйте
— Здравствуйте
— Я так понял вы понимаете, откуда мы
— Да, я уже понял —
— Хочу вас прудпредить (показывает телефон) разговор я записываю
— Хорошо
— Вы вчера скачали нашу базу данных
— Нет я не скачивал, я нашел уязвимость, и сообщил вам.
— У наших айтишников есть данные что вы скачали эту базу
— Это невозможно, вы можете только увидеть что я ее посмотрел
— Мы настроены решить это тихо-мирно, наши айтишники могут убедиться что вы ее не сохранили себе?
— Впринципе да, вы ходите забрать системник или у меня дома это все проверить?
айтишник говорит:
— Лучше если мы возьмем системник и проверим в офисе
— Хорошо
Тут можно поспорить с моим решением, с одной стороны, вы кто такие, я ничего не скачивал, идите не мешайте, не дам я свой системник, и что вообще вы мне доказываете, с другой стороны это опасно, лучше я буду разговаривать с ними, чем с полицией. Их можно понять, они обосрались с сесюрити, они имеют право убедиться. Я принял решение что лучше разговаривать с ними.
Заходим с ними домой, вырубаю системник, натагиваю джинсы, кроссовки, едем в офис, выходим из машины, идем все вместе к директору. Разные вопросы, зачем ты это делал, почему, как ты это сделал, я рассказал что их база висела в открытом доступе, и любой это мог сделать. Поговорили, идем проверять системник, эти специалисты проверяли жетсяк, смотрели корзину, скачали прогу искали по ключевым словам, я им предлагал телефон еще мой проверить? Я мог на телефон сохранить, на флешку, а облака? Я мог в гугл драйв сохранить. В общем они для галочке посмотрели, я наблюдал и надеялся что они не догадаются скачать какую нибудь прогу по восстановлению данных, и посмотреть что было удалено. (вопрос в комменты, а c ssd данные также легко восстанавливаются как и с жесткого?)
Эпилог
Сидел часа 2 наблюдал за их потугами. Забрал системник, пошли с юристом к директору, предложили мне подписать договор по которому я якобы был нанят задним числом, на поиск уязвимостей в их системе, говорят но мы тебе платить не будем (договор я прочитал перед тем как подписывать(а вот попросить копию не догадался)), мы дадим тебе год бесплатного интернета как оплату, хорошо. Отвезли меня домой.
Как заметил потом мой коллега, хорошо что год бесплатного интернета а не год условно. 1500 стоит месяца безлима, умножайте на 12, столько у меня было на счету в лк, когда вернулся домой и проверил. Откидываюсь на кресле, выдыхаю.
Комментарии (125)
lytican
05.11.2018 20:29+1Они: наши айтишники могут убедится что вы ее не сохранили себе?
Я: да, вы ходите забрать системник или у меня дома это все проверить?
Они: мы возьмем системник.
Заходим с ними домой, вырубаю системник, натагиваю джинсы, кроссовки, едем в офис, выходим из машины, идем все вместе к директору.
Специалисты смотрели все на жестяке, корзину.
Я: «а телефон будете проверять?», «а облака? Я мог в гугл драйв сохранить», «а c ssd данные также легко восстанавливаются как и с жесткого?»
Откуда в вас столько стремления быть наказанным?
Почему вы не намекнули специалистам, что была возможность скинуть базу на флэшку,
а флэшку спрятать в себя?qw1
05.11.2018 20:47+1Откуда в вас столько стремления быть наказанным?
А есть смысл геройствовать, когда
1) У провайдера все доказательства на руках и обеспечить посадку на 2 года по 272 УК они могут влёгкую. Особенно учитывая, что в мелком городе вся верхушка друг друга знает: владелец провайдера — администрация города — силовики — суды.
2) Ссориться с единственным качественным провайдером неразумно, т.к. во-первых, в договорах всегда есть пункт, что провайдер может по своему усмотрению расторгнуть договор в одностороннем порядке, а даже если его принудить к обслуживанию, может не найтись технической возможности подключения, либо поставит он на подключение в очередь с неопределённым сроком.Shvedov
06.11.2018 02:38Оператор связи не имеет права расторгнуть договор по своему желанию, читайте законы… Только в результате нарушений с вашей стороны, описанных в договоре, или из-за ликвидации.
edogs
06.11.2018 03:19У провайдера все доказательства на руках и обеспечить посадку на 2 года по 272 УК они могут влёгкую
Если забыть о Вашей приписке про «все друг друга знают» (а если о ней помнить, то в общем-то что бы присесть и взлом не обязателен), то в случае взлома провайдера с этого же провайдера не всё так однозначно.
В таком случае мало того, что «доказательства» находятся под полным контролем заявителя (что уже делает их по сути ничтожными), так еще и программное обеспечение заявителя скомпрометировано (что следует из самой сути дела) что делает весомость этих доказательств околонулевой.
p.s.: Про сорм и яровую в курсе, но это отдельный вопрос, который однозначно тут ситуацию не решает.i0000
06.11.2018 10:40Это все не в нашей стране победившей демократии, где правят силовики и «я друг друга знаю». И уж подавно не для «мелкого городка Краснодарского края», одним из которых является знаменитая Кущевская )
edogs
06.11.2018 19:23Упомянули об этом в скобках, поясним — в прикладном плане тут 2 нюанса.
а) Если захотят посадить, то и взламывать никого не надо, все равно посадят. В такой ситуации можно сразу сдаваться.
б) А вот если не стоит цель посадить именно Вас, то для спасения не обязательно «бежать быстрее медведя», достаточно бежать быстрее другой жертвы или бежать достаточно долго что бы медведь устал. Поэтому демонстрация своего знакомства с правовой позицией по этому вопросу и техническая грамотность может дать необходимую фору, что бы отстали именно от Вас или отстали вообще.
qw1
06.11.2018 12:16Оператор связи не имеет права расторгнуть договор по своему желанию, читайте законы
Если не затруднит, дайте ссылку на нормативный документ.Shvedov
06.11.2018 13:281. Закон о связи, глава 44, п. 3
2. ППРФ №575, п. 21, 27, 47.qw1
06.11.2018 17:33Ну там всё написано, что оператор имеет право приостановить оказание услуг, если абонент нарушает правила, но не написано, что оператор обязан подключить любого абонента.
Всегда можно ссылаться на отсутствие технической возможности.
«техническаявозможность предоставления доступа к сети передачи данных» — одновременное наличие незадействованной монтированной емкости узла связи, в зоне действия которого запрашивается подключение пользовательского (оконечного) оборудованияк сети передачи данных, и незадействованных линий связи, позволяющих сформировать абонентскую линию связи между узлом связи и пользовательским(оконечным) оборудованием;Shvedov
07.11.2018 01:42А причём тут подключение? Если оператор подключил, значит есть техническая возможность, если она исчезла, то это проблема оператора, как она появится снова. Я говорил про расторжение договора со стороны оператора. Опять же никто не запрещает принудить оператора подключить в судебном порядке. Но на самом деле достаточно заявления в Роскомнадзор :)
qw1
07.11.2018 12:22В приведённых вами нормативных документах нет запрета на расторжение договора провайдером (или я не нашёл, где это написано прямым тесктом).
Опять же никто не запрещает принудить оператора подключить в судебном порядке
На основании чего? Где написано, что оператор обязан подключать любого по заявлению? Самое главное, где прописаны наказания за неподключение (или за «исчезновение технической возможности подключения»)? Нет наказаний — можно не подключать и ничего за это не будет.Shvedov
07.11.2018 13:12Указано всего одно условие для расторжения в одностороннем порядке, договор бессрочный по умолчанию. По соглашению сторон, может быть срочным.
На основании чего? Где написано, что оператор обязан подключать любого по заявлению?
Да всё там написано, ссылки уже давал, пункты соседние. Если Вам так интересна эта сфера, прочитайте полностью ППРФ, там всё есть. Помимо этого деятельность оператора регламентируется и другими нормативными актами.qw1
07.11.2018 17:23Сделал поиск по «Растор» (расторгнуть, расторжение) — ничего не нашлось, только права оператора расторгнуть договор при определённых действиях со стороны клиента. А значит, если в соглашении есть пункт, что оператор оставляет за собой право расторгнуть договор в одностороннем порядке, то так оно и есть (кроме того, зачем оператор будет включать в договор незаконные пункты?)
Shvedov
07.11.2018 17:33Ст. 310 ГК РФ ч.1. Недопустимость одностороннего отказа от исполнения обязательства
qw1
07.11.2018 19:15Это если есть обязательство в договоре, с указанным сроком, или навсегда. В этом случае провайдер не обязывался обеспечивать абонента интернетом до скончания веков.
Типичный договор выглядит как
Срок действия, порядок прекращения договора
Насчёт расторжения провайдер оставляет себе пункт «на своё усмотрение».
Договор вступает в силу со дня его подписания и действует неопределенный срок и может быть расторгнут в порядке, предусмотренном Описанием Услуг.
oteuqpegop
05.11.2018 20:54+3>а флэшку спрятать в себя
lostpassword
05.11.2018 20:50Во-первых, поздравляю автора с успехом: нашёл, зарепортил и не посадили!)
Во-вторых, реакция провайдера, ИМХО, в целом приемлемая, но чёт с вежливостью у них не очень (если, конечно, приведённые в статье диалоги точно соответствуют действительности). Было бы неплохо, если бы они добавили щепотку хороших манер и говорили бы с Вами с уважением.parcnfalb Автор
05.11.2018 21:09+1Спасибо, ну да ситуация была совсем не располагающая к вежливости. Но я в долгу не остался, когда мы в офис приехали, вышли из машины, открыли багажник, говорят мне неси системник, я говорю вам надо вы и несите, потащили. Борзанул так сказать.
Fox_exe
06.11.2018 01:10Даже немножечко жаль, что у вас системник не чугунный, под 50 кило веса :)
TimsTims
06.11.2018 01:12+1Они скорее не потому, что хотели вас заставить его тащить, а потому что брать и уносить к себе чужое имущество может быть слегка незаконно. Грань очень тонкая, хотя все остальные действия тоже не лучше) начиная от выдачи системника, заканчивая просмотром содержимого. Ну хоть осматривали ваш компьютер при вас
i0000
06.11.2018 10:44-1Борзанул так сказать.
Ну это как в анекдоте «пока он тебя е..., я три раза за круг выбежал».
Смешно, право. Вы дали себя полностью опустить, то есть применить к вам незаконные меры (чтоб какие-то левые люди шмонали ваш системник без всякой санкции и ездили к вам домой, вызывая «на разговоры»), а потом «три раза за круг выбежали».
Я не к тому, что надо было геройствовать (ситауция не располагает, и это здесь все интернет-герои, а в реале вы бы могли пополнить списки Яровой на счет «раз», о чем вполне обоснованно опасались), но уж если дали себе ввести, лежите и получайте удовольствие…
MaxVetrov
05.11.2018 20:58Ну теперь осталось найти дыру для обналичивания личного счета и перейти к другому провайдеру =))
Tyusha
05.11.2018 21:41+1Вот интересно, а где грань между взломом и просто посмотрел. Можно же даже без ajax-запроса легально набрать в браузер адрес страницы index.php?user_id=… Т.е. люди вывесили в Интернет данные, а взломщик вы.
parcnfalb Автор
05.11.2018 21:41+2Вот вот.
Tyusha
05.11.2018 21:48+1Хотя тут наверное имеет значение, что вы целенаправленно собрали охраняемых законом данные, хоть они и оказались в открытом доступе. Это примерно как если бы из инкассаторской машины посыпались бы деньги, а вы бы стали их собирать и присваивать. Аналогия, понимаю, плохая, но лучше не придумала. Ну или кража из незапертой квартиры. Оттого что она не заперта, кража не перестаёт быть кражей.
vdem
06.11.2018 09:42Квартира — это как бы частная собственность, а просмотреть выложенные в свободный доступ в Интернет данные (думаю тут неважно, что на них нет прямой ссылки, скажем, на сайте того же провайдера) — это далеко не то же самое, что зайти в незапертую квартиру :) Вообще это как бы использование недокументированных возможностей :) И засудить за это, думаю, можно разве что только в том случае, если примут законы, запрещающие использовать URLы и запросы к API, не разрешенные прямо.
i0000
06.11.2018 10:49+3тем, кто «засуживает», глубоко пофиг, что такое УРЛы, АПИ и аякс-запросы. Они знать таких слов не знают и знать не собираются.
Они своим сухим канцелярским языком напишут… «пользуясь… незаконно… в соответствии с (тут букет статей)… заполучил....» — и плюс галочку к статистике раскрытий.
i0000
06.11.2018 10:47+1Тут другая аналогия с квартирой (имевшая место быть в личном опыте). Получаю ключи от квартиры, понимаю, что дверь совсем халтурная, решил попробовать ради интереса — подойдет ли ключ к соседней двери. Раз — дверь открывается, к счастью, внутри — какие-то гастарбайтерские стремянки и никого. Очканул, конечно, было бы весело, если б нарвался на хозяев.
Fox_exe
06.11.2018 01:12Можно дальше шагнуть — Ктото другой нашел дыру и, до кучи, получил доступ к самому серверу, ну и поменял в логах IP адрес на случайный, дабы запутать следы.
И фиг докажешь, что ты не жираф :)lostpassword
06.11.2018 02:53На самом деле, надо смотреть судебную практику.
Как я понимаю, суд не будет вникать во все эти подробности. С убийством же тоже можно сказать «этот нож с моими отпечатками у меня украли, а потом им убили, чтобы меня подставить». А суд изучит собранные обвинением доказательства и может решить, что их достаточно для обвинительного приговора.
Так же и здесь. Если не поверят — могут назначить экспертизу компа. Исследуют его методами цифровой криминалистики — и если вдруг там обнаружится что-то, что заставит серьёзно усомниться в версии «ктото другой нашел дыру» — то впаяют по полной, плюс ещё и дачу ложных показаний на закуску. Выйдет ещё дороже, чем чистосердечное.Weresk
06.11.2018 09:06Для обвиняемого не существует статьи о даче ложных показаний — это для свидетелей, понятых, экспертов и т.д.
4tlen
06.11.2018 10:03saipr
05.11.2018 21:52+1Стук в калитку, выглядываю в окно, смотрю стоит красненькая машинка, 3 человека
Вот так бы оперативно провайдеры стихийные бедствия устраняли!
smart_alex
05.11.2018 21:56+3Какой-то театр абсурда. У них 21 000 персональных данных пользователей торчит наружу, но виноваты не они, а «студент», сообщивший им об этом… В этой истории всё перевёрнуто с ног на голову.
solariserj
05.11.2018 23:19Ну хоть дали плюшку.
У нас в компании когда один пользователь нашёл лазейку и на сервере увидели что он обошёл защиту, припугнули что если он не скажет как это сделал то обнулим результат. Тогда он и рассказал, Но начальник отдела все равно сказал обнулить результат… Программисты подчились;(parcnfalb Автор
05.11.2018 23:21+2Обнулить результат?
Fox_exe
06.11.2018 01:13Видимо, речь про сервер некой игры.
solariserj
06.11.2018 09:32Приложение для ios, где можно заработать лайки или купить.
Меня больше задело то, что зажали эти лайки.
dartraiden
05.11.2018 23:23+1вопрос в комменты, а c ssd данные также легко восстанавливаются как и с жесткого?
Стереть нельзя восстановить
Нет 100% гарантии восстановления, как на жёстком, но нет и 100% гарантии стирания. Поэтому нужно не затирать, а отдать команду Secure Erase, которая вынуждает контроллер уничтожить ключ шифрования (все данные на современных SSD шифруются прозрачно для пользователя, чтобы износ памяти был более равномерным).vesper-bot
06.11.2018 09:06+1А разве обычный TRIM не затрет свободные сектора так, что хрен восстановишь? SSD же.
dartraiden
06.11.2018 16:15TRIM, если мне не изменяет память, лишь сообщает контроллеру о неиспользуемых областях, но решение о том, когда именно «собрать мусор», принимает контроллер, а мы не можем быть уверены, что он решит это сделать сейчас, а не через несколько часов, за которые накопитель уже могут изъять и изучать.
К тому же, накопители имеют некоторые объём пространства, недоступный пользователю (чтобы гарантировать, что пользователь не забьёт накопитель под завязку, поскольку при этом драматически снижается производительность, контроллеру очень трудно «перетасовывать» данные, если мало свободных ячеек), поэтому мы не можем быть уверены, что контроллер какие-то ошмётки конфиденциальных данных туда не записал и они не дожили до того, как накопитель попал в руки экспертов.
Foggy4
06.11.2018 17:27Затрет, пробовал R-Studio восстановить файл с SSD через пару часов после удаления: ничего не нашлось. Диск Hyper-X 3k на контроллере SF-2281
qw1
06.11.2018 17:35Разумеется, ничего не нашлось. Чтение сектора, который помечен командой trim, будет возвращать нули. Надо выпаивать чипы NAND Flash и искать там сектора, которые контроллер не успел очистить. А учитывая, что всё более модно ставить контроллеры с шифрованием, всё ещё усложняется.
vesper-bot
07.11.2018 09:12Разве что в использованном накопителе баг в реализации шифрования, как в сегодняшней статье.
kloppspb
06.11.2018 01:001500 стоит месяца безлима
Это где такие радости? И в каких попугаях?Destructive
06.11.2018 11:42Полагаю, вы ещё на Камчатке цен не видели.
kloppspb
07.11.2018 03:25Да, сурово! Я в ленобласти, здесь примерно так. Или так Есть места, в которые провода по каким-то причинам не дотягиваются (буквально через дорогу от меня, например, повезло). Вот там начинается беспредел: тарелка (от 25 тыщ за установку) и полторы-две в месяц.
altrus
06.11.2018 07:26«Да ну не может быть», воткнул в head jq библиотеку, трачу 5 минут на написание ajax запроса в цикле и выплёвывание это в body страницы, вывело 21 000 записей.
И все это не через прокси или VPN?
Умные люди их для чего придумали?acyp
06.11.2018 07:35Вполне могло иметь место быть, что ресурс доступен только из подсети провайдера.
QtRoS
06.11.2018 07:54+1Новый принцип в ИБ: security through po ponyatiyam
Если взломал, то приедут и сломают!MaxVetrov
06.11.2018 15:00Закон сохранения взлома =)
Если что-то ломается, то кого-то ломают.
Ну или Rubber-hose hacking =)
dimaviolinist
06.11.2018 16:49Собственно, в девяностые ходила такая городская легенда что, мол, наши хакеры наши же банки не ломают. Потому что СБ наших банков не в суд подаёт, а в лес увозит.
altrus
06.11.2018 07:58Раньше на закрытые места на сервере навешивался амбарный замок на всю директорию.
Сейчас с модными сайтами на XHR запросах нужно не забыть определить каждому эндпойнту свою секьюрити роль. А это может вылететь из головы, если даже там было.
Так что, если покопаться в сети, таких в прямом смысле слова дырявых сайтов наверняка можно найти немало.
knstqq
06.11.2018 08:39c ssd данные также легко восстанавливаются как и с жесткого?)
C SSD ещё хуже если есть физический доступ: даже сотня перезаписей нулями или случайными данными не обеспечит гарантию: внутри есть контроллер, который каждый раз будет выдавать разные номера блоков и номер блока с секретными данными может никогда не выпасть.qw1
06.11.2018 12:24С SSD безопаснее, т.к. использованные блоки попадают в очередь на стирание, и удалённые файлы в фоне физически зачищаются.
Frimko
06.11.2018 08:57В нынешних реалиях, проще сделать дамп и продать на античате. Выгоды в разы больше и шанс, что посадят меньше. Шизанутых придурков в крупных фирмах хватает, порой им выгоднее посадить добродеятеля, чем откупиться.
altrus
06.11.2018 09:25Во-первых, за такое не садят
Во-вторых, даже если натянуть состав преступления, преступник сам сознался, что в данном случае снимает уголовную ответственность
В-третьих, фирма не захочет общественного резонанса и последствий ненадлежащего обращения с персональными данными, и не будет подавать заявление
Так что тут автора статьи на испуг взяли. Мог и повкусней ништяков себе выторговать при подобном опыте.Frimko
06.11.2018 09:31до общественного резонанса информацию еще нужно донести(а это в частности проплатить журналистам, дада, их мало волнует подобный контекст статей.). То, что вы читаете на хабре и пикабу — это лишь малая песчинка всего безумия, что творится у нас в стране.
Возьмем к примеру регионального провайдера, он сливает личные данные пользователей другому провайдеру, тот начинает их обзванивает и предлагать им TV-приставку(которая нафиг не упала вам). Ваша реакция? Реакция остальных? Да всем насрать. Слили базу личной инфы и ладно. Что-бы добиться чего-то, идите в суд, разбирайтесь, нанимайте юристов, тратьте свое время, деньги, добивайтесь справедливости. Ха, романтика)altrus
06.11.2018 09:34Под общественным резонансом тут больше понималось осведомленность ментов и прокуратуры, которые хорошо бы на этом покормились. Ну и конкуренты, если есть.
Простым людям похер, это понятно.Frimko
06.11.2018 09:52как покормились? компания заносит заявление в полицию, мол «их взломали». К вам прибегают 2ех полицейских, забирают ноут, мобилу, системник, планшет, читалку. Причем радостно все это делают, ведь им премию дадут за поимку «особо опасного хакера». Все, менты вроде как и вкурсе, вы сидите в обезьяннике целые сутки(если повезет).
altrus
06.11.2018 10:00У вас несколько неверные представления о том, как работает система в подобных случаях.
Electrohedgehog неплохо объяснилFrimko
06.11.2018 10:03проходил через это лично, когда «случайно» нашел личные данные росатома. Прекрасные воспоминания скажу я вам.
altrus
06.11.2018 10:04не путайте росатом и местного провайдера
Frimko
06.11.2018 10:09ну так никто и не путает, кто больше денег в суд занесет, тот и прав. Местный провайдер по-любому больше зарабатывает обычного кодера на удаленке.
altrus
06.11.2018 10:14Сейчас больше решают не деньги, а связи
И опять же — здесь много факторов. Штрафы и проверки прокуратуры и РКН — самые значимые. Поэтому никакая фирма выносить сор такой ради посадки горе-хакера на год условно (да и нет тут состава — мотива нет. Человек решил проверить, есть ли там данные на него — проверил) не будет.qw1
06.11.2018 12:26Штрафы и проверки прокуратуры и РКН — самые значимые.
А это компетенция РКН — проверять и штрафовать за дыры в софте?altrus
06.11.2018 12:29FAQ
Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?
Ответ: Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи. В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.niknamezanat
06.11.2018 13:23И что? Виноват то в утечке будет опять же условный «хакер», а не провайдер. В приведённой вами цитате речь только про соив данных по инициативе провайдера, не более.
achekalin
06.11.2018 09:32… просто скопировав ссылку и вбив рандомное число, мне выкинули данные...
Сразу вспомнилось из курса школы чеховское: «Проходя по мосту, с меня слетела шляпа»
А по поводу топика: ребята вели себя на грани, я бы если и вел кого-то домой, то сказал бы — пусть от вас самый грамотный со мной пройдет, я ему покажу, а уж системник таскать куда-то…
Понятно, что их нач-во наехало на своих, и потребовало этих самых доказательств. Но все люди адекватные же, понимают, что в облаке спрятать что угодно можно, и фиг найдут.
Electrohedgehog
06.11.2018 09:41+2Крайне неприятно такое читать. Почему это вдруг вы считаете адекватными действия профессионально безграмотных людей, которые допустили огромную утечку персональнх данных да ещё и пытаются быковать (так же безграмотно, к слову)?
Давайте-ка немного пофантазируем, что будет в случае огласки. Ну допустим, автору дают три года условно (ну пусть даже не условно, хотя это будет чертовски сложно). А что же ждёт провайдера?
1) Штраф/взятка/закрытие за утечки. Да, вот именно так, а что вы хотели?
2) Отдел разработки получает волчий билет, весь до последнего человека. Имена героев будут звучать в истории города.
3) Куча проверок причастных и непричастных.
Я не говорю, что автору надо было лезть в конфликт, но если отбросить эмоции, получили мы следующее:
1)Огромный косяк провайдера остался безнаказанным. Вообще. Что стимулирует продолжать в том же ключе.
2)Скомпрометированные данные по прежнему свободно гуляют по сети. Нет, ну правда, вы же не думаете что автор первый?
3)В очередной раз получили доказательство того, что без баг баунти сведения об уязвимостях сообщать невыгодно — больше чёрных шляп, больше дыр.
Типичный хэппи-энд: человека, сказавшего что дверь не закрыта милостиво не арестовали.
Не надо выгораживать некомпетентность. И уж точно не надо хвалить замалчивание некомпетентности.
JC_IIB
06.11.2018 11:02+11)Огромный косяк провайдера остался безнаказанным. Вообще. Что стимулирует продолжать в том же ключе.
Вот и мне показалось, что ребятки зашибись сэкономили, всего лишь навсего начислив человеку фантиков на счет. Судя по их реакции, они перепугались донельзя, кстати, но сделали вид, что «скажи спасибо, что не посадили».
qw1
06.11.2018 12:29+1А что же ждёт провайдера?
Это когда за баги и дыры кого-то наказывали? Можно так пол гитхаба пересажать: ищешь коммит «исправлена ошибка» и вот тебе чистосердечное.
1) Штраф/взятка/закрытие за утечкиElectrohedgehog
06.11.2018 12:41Баги и дыры в протестированом и принятом продукте организации, аккредитованой министерством связи и имеющей статус оператора персональных данных. Здесь есть явное нарушение законов РФ. Я не верю в то, что без финансовых и репутационных потерь при таком серьёзном залёте можно было бы легко замять дело. Даже если бы всё порешали по-братски в кабинетах, как минимум ИТ-отделу влетело бы по первое число, а клепатель сайта мог бы получить увольнение по несоответствию или иск, если это подрядчик. В любом случае, хоть что-то бы изменилось к лучшему.
Но увы, как сказали выше всё обернулось раздариванием фантиков. Не уверен, что хотя бы какая-то внутренняя проверка будет предпринята.qw1
06.11.2018 17:41Репутационные издержки могут быть (хотя, кого они волнуют в отсутствие конкуренции).
Нарушения законов — нет.
peresada
06.11.2018 09:53Интересно, а есть ли какие-либо критерии, что считается взломом и что попадает под УК РФ? Если кривой разработчик выложил все данные в комментированном html, считается ли взломом просмотр исходного кода страницы?
Frimko
06.11.2018 09:56да, добыли данные, которые сложно добыть через пользовательский интерфейс, или предоставленное в доках апи? вы хакер! Пока обратного не смогли доказать, прецедентов не наблюдалось.
MikailBag
06.11.2018 12:27+1Если с точки зрения (моего) здравого смысла — то вопроч в умышленности и целях.
При этом легкость взлома значения не имеет.
i0000
06.11.2018 10:36-2наши айтишники могут убедится
«убедиТСя» (дважды) выдает в вас айтишника. такой же грамотный, как и все они. русский язык учить — это же не аякс-запросы рассылать и двести джаваскрипт-фреймворков знать назубок. Простейшее правило грамматики айтишникам запомнить западло.altrus
06.11.2018 10:44+1это же не аякс-запросы рассылать
аджакс
сиквел, джава, о-оди (машина такая, с колечками)i0000
06.11.2018 10:54-2мне побоку на кодерский сленг, учите лучше русский!
altrus
06.11.2018 11:16+1За русский столько не платят.
Но, в принципе, согласен с Вами. Даже больше, — уверен, если бы автор в школе хорошо учился, то дал бы отпор этим беспредельщикам. А то взяли, понимаешь, хлопца на гоп-стоп…
(с пунктуацией нигде не напутал?)i0000
06.11.2018 12:51«Дать отпор беспредельщикам», если ты — одинокий кодер из краснодарской станицы, не так-то просто, а вот загреметь по статье — куда проще.
Насчет терминологии — среди кодеров «аякс» является вполне себе обиходным (как и «аджакс»), так же, как и «сиквел» вполне себе называют «эс ку эль». А грубые ошибки в русском языке делают в наше время, увы, даже профессиональные филологи.altrus
06.11.2018 12:54насчет терминологии — среди кодеров «аякс» является вполне себе обиходным (как и «аджакс»), так же, как и «сиквел» вполне себе называют «эс ку эль».
С такими основаниями можно дать право на существование и индийскому английскому, который понимают только они.
Так японский от китайского и получился, наверное — иероглифы одни, а слова разные.
Xapu3ma-NN
06.11.2018 11:08Забавная история. Хорошо что у Вас все разрешилось. Вопрос к знатокам в юриспруденции IT. Деяния автора попадают под 272 или нет? Информация к которой автор получил доступ конечно считается «охраняемая законом компьютерная информация и.т.д» Но вот по поводу «не санкционированного доступа» Автор же (как я понял) не обходил никакие системы защиты, не взламывал сервера, не брутил авторизационные формы. Если информация доступна по «ваш урл\цифровой ид» без всякой проверки аутентификации, какой тут может быть взлом? Или я что-то не понял из рассказа.
Electrohedgehog
06.11.2018 12:54Кстати об этом. Может кто-то прокомментирует действия провайдера как состав 274 статьи?
altrus
06.11.2018 13:00Крупного ущерба нет, значит и состава нет.
Но ситуация с вывозом потерпевшего с системным блоком и все остальное на несколько статей точно натягивается.Electrohedgehog
06.11.2018 13:13Тут мы вступаем в опасное поле предположений. Как вы оцените стоимость, скажем, голосования по краденым паспортным данным или регистрацию фейковых аккаунтов? Если это для вас не убедительно, то можно рассмотреть стоимость базы телефонов или паспортов в интернетах. Я полагаю, что при желании натянуть на крупный ущерб можно.
altrus
06.11.2018 13:18Я не о том
Сама по себе потеря персональных данных может считаться крупным ущербом. Но в данном случае этого не произошло.
А через ст.30 УК РФ эту вряд ли натянешь
Если делать 274 то надо признавать копирование, а тогда автоматом идет 272 для автораElectrohedgehog
06.11.2018 13:29Я про это и говорю. Если нету состава 272, то и говорить не о чем. Если есть, то провайдер куда сильнее попадает чем «хакер».
altrus
06.11.2018 13:34Если мы говорим о правосудном мире, то суммарно 274 в общем приговоре провайдеру добавила бы пару месяцев всего. Остальное идет от давления на человека. Там уже реальные статьи, хоть сейчас четко и сложно сказать, какие.
Electrohedgehog
06.11.2018 13:15Ну и кстати, если каждый из 21 000 пользователей оценит моральный ущерб в 100 рублей то тут и особо крупный размер набежит.
qw1
06.11.2018 17:49действия провайдера как состав 274 статьи?
Есть комментарии к УК.
Во-первых, нарушения должны быть бюрократические )))
Скрытый текстПрименительно к комментируемой статье под правилами эксплуатации глобальных сетей понимаются нормативные акты, регламентирующие работу данной сети, в частности Федеральный закон от 07.07.2003 N 126-ФЗ «О связи» (в ред. от 25.12.2012) <1>, регламентирующий порядок создания и подключения к информационно-телекоммуникационной сети Интернет. Примерами иных нормативных актов, устанавливающих правила эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей, могут служить: во-первых, общероссийские правила, например Временные санитарные нормы и правила для работников вычислительных центров; во-вторых, техническая документация на компьютерную технику; в-третьих, конкретные принимаемые в определенном учреждении или организации оформленные нормативно и доведенные до сведения соответствующих работников инструкции и правила внутреннего порядка
Bonio
06.11.2018 11:44Маленькие провайдеры вообще не слишком заморачиваются безопасностью. У моего провайдера панель управления биллингом висит на том же ip, через который клиенты получают доступ в сеть. И сайт с названием города, доступный по ip на нем же.
А сообщать о подобных находках в современных реалиях, не знаю, я бы не рискнул, нервы дороже.
dartraiden
06.11.2018 16:28Вот поэтому, когда у моего провайдера обнаружился незакрытый git-репозиторий на основном домене, я выждал годик, чтобы логи протухли, а потом с одноразовой почты из интернет-кафе им написал, что репозиторию лучше не торчать голой задницей в сеть, кто знает, что интересного оттуда можно выудить…
parcnfalb Автор
06.11.2018 16:32Грамотно, нервы дороже стоят, если бы я не сглупил и не стал в цикле перебирать, то поступил бы точно так же
Barsuk
Может «адекватный» занести в ""?
parcnfalb Автор
Баг баунти адекватный без ковычек, нашел баг => заплатили. К слову недавно была статья как один украинский хакер нашел серьёзный баг в Киевстаре, и ему заплатили 50$, хотя багбаунти у них был заявлен.
lostpassword
А это уже из категории «совсем неадекватный».
acyp
Есть нюанс и я бы на Вашем месте сходил к юристу, знакомому с налоговым правом. Ну или самому на первом этапе вбить в поиск: «налогообложение подарков, совершенных в натуральной форме» (ну или что-нить похожее). Ибо ваше баунти и есть ничто иное, как подарок в натуральной форме. Кто по договору платит подоходный? Если это типовой ГПХ и вознаграждением является баунти, то наверно все в порядке. Короч, смотреть надо, но тут может зарыться свинья, сумма хорошая (НДФЛ-13% от 18000 = 2340), налоговики нынче довольно легко устанавливают кроссы «вознаграждение от ЮЛ == НДФЛ от ФЛ».
Я бы перебдел.
i0000
по такой логике можно и со скидки по карте «лента», или с акции «два по цене одного» на налог попасть. а что, подарок в натуральной форме, типа.
acyp
К сожалению, я Вам не подскажу все тонкости этого процесса. Просто предлагаю вспомнить кипишь (условно) годов 2006-2007 у сотовых операторов. Когда они учитывали бонусные фишки как хрень, которая уменьшала налогооблагаемую базу, на что ИФНС резонно на мой взгляд им возразили.
Про ретейлеров вообще налогообложение — отдельная песня, они с ясными глазами могут списывать из базы налога на прибыль до 3% оборота на «усушку, утруску, уноску...». Можете мне поверить — это существенные цифры.
Я к тому, что проблематика этого вопроса есть. Куда относят затраты ретейлеры? Как оформлен договор? А читаете ли вы оферту к этим бонусам?
Много вопросов. И чаще всего ответы лучше знать, тем более, что в ретейле у вас безименная (чаще всего) скидка, а в случае с сотовыми и провами — договор именной с Вашими реквизитами.
roscomtheend
«Заплатили» тоже в кавычках — ехать с мутными людьми неизвестно куда так себе оплата.