Введение


Доброго времени суток, друзья. Эта история небольшого взлома произошла со мной в середине августа этого 18-го года. Начиналась история в маленьком городе краснодарского края, с тырнетом плохо, есть 4g но это все не то, тут за городом можно было только мечтать о проводах. И вот недавно это чудо случилось, в мой район провели провода, и я сразу побежал подключать 100 мбит по оптоволокну, 8к за подключение с тарифом.

Любопытство


Радости полные штаны, тырнет хороший, провайдер небольшой местный, лк у него соответствует статусу местного провайдера, из любопытства ради я шарился по лк, смотрел какие поддомены есть, и нашел я поддомен admin.домен_провайдера.ru/ который сразу кидал на форму авторизации login.php, F12, открыл посмотрел что туда подгружалось, посмотрел js, там находились любопытные ссылки в ajax запросах "/?user_id=" + id, просто скопировав ссылку и вбив рандомное число, мне выкинули данные пользователя в таблице:

Серия/номер паспорта
Кем выдан
Дата выдачи
ФИО
адресс проживания
номер телефона
Логин(от тырнета)

«Да ну не может быть», воткнул в head jq библиотеку, трачу 5 минут на написание ajax запроса в цикле и выплёвывание это в body страницы, вывело 21 000 записей.

Быстро ctrl + f, вбил своё фио, и да я там был. Моё удивление, т.е. в свободном доступе висели данные пользователей. Посмотрел остальные ссылки в ajax запросах, там куча всего было, на какое-то управление свичами, на какие-то перезагрузки чего-то, по тому что выплевывало было трудно понять что за что отвечает, мне уже это было не так интересно.

Было уже поздно, я подумал «вот разрабы болваныоблажались», и лег спать.

На след. день я начал соображать, это как бы все не шутки, и я могу понести за это уголовную ответственность, а у нас в стране за репосты сажают. Стоить заметить я ничего не планировал такого делать, иначе я бы обезопасил себя vpn'ом/проксей. А с другой стороны если они оставляют такие дыры, то навряд ли они будут смотреть логи. А с третьей стороны, лучше если я им сообщу, чем они найдут мои следы, и тогда со мной точно не будут разговаривать.

Очко сыграло


Гуглю на Хабре название организации, нахожу организацию, с несколькими репами, в них ничего интересного, смотрю кто входит в эту орагнизацию, еще раз гуглю, нахожу разрабов в вк. Пишу: «Привет, а почему 21 000 запись пользователей со всеми их данными, находятся в открытом доступе?». Пишет что сообщил начальнику. Ок думаю, я свою работу сделал.

Расплата за любопытство


Я проснулся, часов 10 утра, надо поработкать, я фронтендлю. Стук в калитку, выглядываю в окно, смотрю стоит красненькая машинка, 3 человека, по фоткам узнаю одного из разрабов, думаю ну все, а записи то все я сохранил, просто как html страничку на рабочем столе, быстро shift + del > подтвердить, беру сигарету, беру зажикалку, иду думаю, сейчас будет весело, подкуриваю, выхожу.

— Здравствуйте
— Здравствуйте
— Я так понял вы понимаете, откуда мы
— Да, я уже понял — затягиваю дым
— Хочу вас прудпредить (показывает телефон) разговор я записываю
— Хорошо
— Вы вчера скачали нашу базу данных
— Нет я не скачивал, я нашел уязвимость, и сообщил вам.
— У наших айтишников есть данные что вы скачали эту базу
— Это невозможно, вы можете только увидеть что я ее посмотрел
— Мы настроены решить это тихо-мирно, наши айтишники могут убедиться что вы ее не сохранили себе?
— Впринципе да, вы ходите забрать системник или у меня дома это все проверить?
айтишник говорит:
— Лучше если мы возьмем системник и проверим в офисе
— Хорошо

Тут можно поспорить с моим решением, с одной стороны, вы кто такие, я ничего не скачивал, идите не мешайте, не дам я свой системник, и что вообще вы мне доказываете, с другой стороны это опасно, лучше я буду разговаривать с ними, чем с полицией. Их можно понять, они обосрались с сесюрити, они имеют право убедиться. Я принял решение что лучше разговаривать с ними.

Заходим с ними домой, вырубаю системник, натагиваю джинсы, кроссовки, едем в офис, выходим из машины, идем все вместе к директору. Разные вопросы, зачем ты это делал, почему, как ты это сделал, я рассказал что их база висела в открытом доступе, и любой это мог сделать. Поговорили, идем проверять системник, эти специалисты проверяли жетсяк, смотрели корзину, скачали прогу искали по ключевым словам, я им предлагал телефон еще мой проверить? Я мог на телефон сохранить, на флешку, а облака? Я мог в гугл драйв сохранить. В общем они для галочке посмотрели, я наблюдал и надеялся что они не догадаются скачать какую нибудь прогу по восстановлению данных, и посмотреть что было удалено. (вопрос в комменты, а c ssd данные также легко восстанавливаются как и с жесткого?)

Эпилог


Сидел часа 2 наблюдал за их потугами. Забрал системник, пошли с юристом к директору, предложили мне подписать договор по которому я якобы был нанят задним числом, на поиск уязвимостей в их системе, говорят но мы тебе платить не будем (договор я прочитал перед тем как подписывать(а вот попросить копию не догадался)), мы дадим тебе год бесплатного интернета как оплату, хорошо. Отвезли меня домой.

Как заметил потом мой коллега, хорошо что год бесплатного интернета а не год условно. 1500 стоит месяца безлима, умножайте на 12, столько у меня было на счету в лк, когда вернулся домой и проверил. Откидываюсь на кресле, выдыхаю.

Комментарии (125)


  1. Barsuk
    05.11.2018 20:12
    +3

    Может «адекватный» занести в ""?


    1. parcnfalb Автор
      05.11.2018 20:19

      Баг баунти адекватный без ковычек, нашел баг => заплатили. К слову недавно была статья как один украинский хакер нашел серьёзный баг в Киевстаре, и ему заплатили 50$, хотя багбаунти у них был заявлен.


      1. lostpassword
        05.11.2018 20:37
        +1

        А это уже из категории «совсем неадекватный».


      1. acyp
        06.11.2018 05:50

        Есть нюанс и я бы на Вашем месте сходил к юристу, знакомому с налоговым правом. Ну или самому на первом этапе вбить в поиск: «налогообложение подарков, совершенных в натуральной форме» (ну или что-нить похожее). Ибо ваше баунти и есть ничто иное, как подарок в натуральной форме. Кто по договору платит подоходный? Если это типовой ГПХ и вознаграждением является баунти, то наверно все в порядке. Короч, смотреть надо, но тут может зарыться свинья, сумма хорошая (НДФЛ-13% от 18000 = 2340), налоговики нынче довольно легко устанавливают кроссы «вознаграждение от ЮЛ == НДФЛ от ФЛ».
        Я бы перебдел.


        1. i0000
          06.11.2018 10:37

          по такой логике можно и со скидки по карте «лента», или с акции «два по цене одного» на налог попасть. а что, подарок в натуральной форме, типа.


          1. acyp
            06.11.2018 10:54

            К сожалению, я Вам не подскажу все тонкости этого процесса. Просто предлагаю вспомнить кипишь (условно) годов 2006-2007 у сотовых операторов. Когда они учитывали бонусные фишки как хрень, которая уменьшала налогооблагаемую базу, на что ИФНС резонно на мой взгляд им возразили.
            Про ретейлеров вообще налогообложение — отдельная песня, они с ясными глазами могут списывать из базы налога на прибыль до 3% оборота на «усушку, утруску, уноску...». Можете мне поверить — это существенные цифры.
            Я к тому, что проблематика этого вопроса есть. Куда относят затраты ретейлеры? Как оформлен договор? А читаете ли вы оферту к этим бонусам?
            Много вопросов. И чаще всего ответы лучше знать, тем более, что в ретейле у вас безименная (чаще всего) скидка, а в случае с сотовыми и провами — договор именной с Вашими реквизитами.


      1. roscomtheend
        06.11.2018 09:48

        «Заплатили» тоже в кавычках — ехать с мутными людьми неизвестно куда так себе оплата.


  1. lytican
    05.11.2018 20:29
    +1

    Они: наши айтишники могут убедится что вы ее не сохранили себе?
    Я: да, вы ходите забрать системник или у меня дома это все проверить?
    Они: мы возьмем системник.

    Заходим с ними домой, вырубаю системник, натагиваю джинсы, кроссовки, едем в офис, выходим из машины, идем все вместе к директору.

    Специалисты смотрели все на жестяке, корзину.

    Я: «а телефон будете проверять?», «а облака? Я мог в гугл драйв сохранить», «а c ssd данные также легко восстанавливаются как и с жесткого?»

    Откуда в вас столько стремления быть наказанным?
    Почему вы не намекнули специалистам, что была возможность скинуть базу на флэшку,
    а флэшку спрятать в себя?


    1. parcnfalb Автор
      05.11.2018 20:35

      Я им намекал, им не очень то и хотелось что-то находить.


    1. qw1
      05.11.2018 20:47
      +1

      Откуда в вас столько стремления быть наказанным?
      А есть смысл геройствовать, когда

      1) У провайдера все доказательства на руках и обеспечить посадку на 2 года по 272 УК они могут влёгкую. Особенно учитывая, что в мелком городе вся верхушка друг друга знает: владелец провайдера — администрация города — силовики — суды.

      2) Ссориться с единственным качественным провайдером неразумно, т.к. во-первых, в договорах всегда есть пункт, что провайдер может по своему усмотрению расторгнуть договор в одностороннем порядке, а даже если его принудить к обслуживанию, может не найтись технической возможности подключения, либо поставит он на подключение в очередь с неопределённым сроком.


      1. Shvedov
        06.11.2018 02:38

        Оператор связи не имеет права расторгнуть договор по своему желанию, читайте законы… Только в результате нарушений с вашей стороны, описанных в договоре, или из-за ликвидации.


        1. edogs
          06.11.2018 03:19

          У провайдера все доказательства на руках и обеспечить посадку на 2 года по 272 УК они могут влёгкую
          Если забыть о Вашей приписке про «все друг друга знают» (а если о ней помнить, то в общем-то что бы присесть и взлом не обязателен), то в случае взлома провайдера с этого же провайдера не всё так однозначно.
          В таком случае мало того, что «доказательства» находятся под полным контролем заявителя (что уже делает их по сути ничтожными), так еще и программное обеспечение заявителя скомпрометировано (что следует из самой сути дела) что делает весомость этих доказательств околонулевой.
          p.s.: Про сорм и яровую в курсе, но это отдельный вопрос, который однозначно тут ситуацию не решает.


          1. Shvedov
            06.11.2018 04:01

            Промазал…


          1. i0000
            06.11.2018 10:40

            Это все не в нашей стране победившей демократии, где правят силовики и «я друг друга знаю». И уж подавно не для «мелкого городка Краснодарского края», одним из которых является знаменитая Кущевская )


            1. edogs
              06.11.2018 19:23

              Упомянули об этом в скобках, поясним — в прикладном плане тут 2 нюанса.
              а) Если захотят посадить, то и взламывать никого не надо, все равно посадят. В такой ситуации можно сразу сдаваться.
              б) А вот если не стоит цель посадить именно Вас, то для спасения не обязательно «бежать быстрее медведя», достаточно бежать быстрее другой жертвы или бежать достаточно долго что бы медведь устал. Поэтому демонстрация своего знакомства с правовой позицией по этому вопросу и техническая грамотность может дать необходимую фору, что бы отстали именно от Вас или отстали вообще.


        1. qw1
          06.11.2018 12:16

          Оператор связи не имеет права расторгнуть договор по своему желанию, читайте законы
          Если не затруднит, дайте ссылку на нормативный документ.


          1. Shvedov
            06.11.2018 13:28

            1. Закон о связи, глава 44, п. 3
            2. ППРФ №575, п. 21, 27, 47.


            1. qw1
              06.11.2018 17:33

              Ну там всё написано, что оператор имеет право приостановить оказание услуг, если абонент нарушает правила, но не написано, что оператор обязан подключить любого абонента.

              Всегда можно ссылаться на отсутствие технической возможности.
              «техническаявозможность предоставления доступа к сети передачи данных» — одновременное наличие незадействованной монтированной емкости узла связи, в зоне действия которого запрашивается подключение пользовательского (оконечного) оборудованияк сети передачи данных, и незадействованных линий связи, позволяющих сформировать абонентскую линию связи между узлом связи и пользовательским(оконечным) оборудованием;


              1. altrus
                06.11.2018 17:52

                да перетянет канал просто и все
                иди потом судись по ЗЗП


                1. Shvedov
                  07.11.2018 02:03

                  Судится будет Роскомнадзор, если оператор, конечно, пожелает довести до суда.


                  1. altrus
                    07.11.2018 06:39

                    Зачем вы пишите о вещах, о которых не знаете, как они происходят?


                    1. Shvedov
                      07.11.2018 11:05

                      Красивый вброс


              1. Shvedov
                07.11.2018 01:42

                А причём тут подключение? Если оператор подключил, значит есть техническая возможность, если она исчезла, то это проблема оператора, как она появится снова. Я говорил про расторжение договора со стороны оператора. Опять же никто не запрещает принудить оператора подключить в судебном порядке. Но на самом деле достаточно заявления в Роскомнадзор :)


                1. qw1
                  07.11.2018 12:22

                  В приведённых вами нормативных документах нет запрета на расторжение договора провайдером (или я не нашёл, где это написано прямым тесктом).

                  Опять же никто не запрещает принудить оператора подключить в судебном порядке
                  На основании чего? Где написано, что оператор обязан подключать любого по заявлению? Самое главное, где прописаны наказания за неподключение (или за «исчезновение технической возможности подключения»)? Нет наказаний — можно не подключать и ничего за это не будет.


                  1. Shvedov
                    07.11.2018 13:12

                    Указано всего одно условие для расторжения в одностороннем порядке, договор бессрочный по умолчанию. По соглашению сторон, может быть срочным.

                    На основании чего? Где написано, что оператор обязан подключать любого по заявлению?
                    Да всё там написано, ссылки уже давал, пункты соседние. Если Вам так интересна эта сфера, прочитайте полностью ППРФ, там всё есть. Помимо этого деятельность оператора регламентируется и другими нормативными актами.


                    1. qw1
                      07.11.2018 17:23

                      Сделал поиск по «Растор» (расторгнуть, расторжение) — ничего не нашлось, только права оператора расторгнуть договор при определённых действиях со стороны клиента. А значит, если в соглашении есть пункт, что оператор оставляет за собой право расторгнуть договор в одностороннем порядке, то так оно и есть (кроме того, зачем оператор будет включать в договор незаконные пункты?)


                      1. Shvedov
                        07.11.2018 17:33

                        Ст. 310 ГК РФ ч.1. Недопустимость одностороннего отказа от исполнения обязательства


                        1. qw1
                          07.11.2018 19:15

                          Это если есть обязательство в договоре, с указанным сроком, или навсегда. В этом случае провайдер не обязывался обеспечивать абонента интернетом до скончания веков.

                          Типичный договор выглядит как

                          Срок действия, порядок прекращения договора
                          Договор вступает в силу со дня его подписания и действует неопределенный срок и может быть расторгнут в порядке, предусмотренном Описанием Услуг.
                          Насчёт расторжения провайдер оставляет себе пункт «на своё усмотрение».


    1. oteuqpegop
      05.11.2018 20:54
      +3

      >а флэшку спрятать в себя
      image


  1. denis-19
    05.11.2018 20:46

    Они дыру закрыли то? И это можно проверить?


    1. parcnfalb Автор
      05.11.2018 20:51

      Когда утром к ним приехал, они уже закрыли. Проверить эту историю? Я даже не знаю, я специально это скрыл, но в личке могу намекнуть.


  1. lostpassword
    05.11.2018 20:50

    Во-первых, поздравляю автора с успехом: нашёл, зарепортил и не посадили!)
    Во-вторых, реакция провайдера, ИМХО, в целом приемлемая, но чёт с вежливостью у них не очень (если, конечно, приведённые в статье диалоги точно соответствуют действительности). Было бы неплохо, если бы они добавили щепотку хороших манер и говорили бы с Вами с уважением.


    1. parcnfalb Автор
      05.11.2018 21:09
      +1

      Спасибо, ну да ситуация была совсем не располагающая к вежливости. Но я в долгу не остался, когда мы в офис приехали, вышли из машины, открыли багажник, говорят мне неси системник, я говорю вам надо вы и несите, потащили. Борзанул так сказать.


      1. Fox_exe
        06.11.2018 01:10

        Даже немножечко жаль, что у вас системник не чугунный, под 50 кило веса :)


        1. dartraiden
          06.11.2018 01:52

          У меня как раз такой. С какой радостью я бы наблюдал, как они пыхтят.


          1. Sheti
            06.11.2018 09:04

            Классный, кстати, системник. Сам себе такой приобрел давно уже.


      1. TimsTims
        06.11.2018 01:12
        +1

        Они скорее не потому, что хотели вас заставить его тащить, а потому что брать и уносить к себе чужое имущество может быть слегка незаконно. Грань очень тонкая, хотя все остальные действия тоже не лучше) начиная от выдачи системника, заканчивая просмотром содержимого. Ну хоть осматривали ваш компьютер при вас


      1. i0000
        06.11.2018 10:44
        -1

        Борзанул так сказать.


        Ну это как в анекдоте «пока он тебя е..., я три раза за круг выбежал».

        Смешно, право. Вы дали себя полностью опустить, то есть применить к вам незаконные меры (чтоб какие-то левые люди шмонали ваш системник без всякой санкции и ездили к вам домой, вызывая «на разговоры»), а потом «три раза за круг выбежали».

        Я не к тому, что надо было геройствовать (ситауция не располагает, и это здесь все интернет-герои, а в реале вы бы могли пополнить списки Яровой на счет «раз», о чем вполне обоснованно опасались), но уж если дали себе ввести, лежите и получайте удовольствие…


        1. parcnfalb Автор
          06.11.2018 12:15

          Если серьезно воспринимать эту ситуацию, то так оно и есть.


  1. MaxVetrov
    05.11.2018 20:58

    Ну теперь осталось найти дыру для обналичивания личного счета и перейти к другому провайдеру =))


  1. Sersoftin
    05.11.2018 21:09

    Молчал бы и ничего бы тебе не было вообще)


  1. Tyusha
    05.11.2018 21:41
    +1

    Вот интересно, а где грань между взломом и просто посмотрел. Можно же даже без ajax-запроса легально набрать в браузер адрес страницы index.php?user_id=… Т.е. люди вывесили в Интернет данные, а взломщик вы.


    1. parcnfalb Автор
      05.11.2018 21:41
      +2

      Вот вот.


      1. Tyusha
        05.11.2018 21:48
        +1

        Хотя тут наверное имеет значение, что вы целенаправленно собрали охраняемых законом данные, хоть они и оказались в открытом доступе. Это примерно как если бы из инкассаторской машины посыпались бы деньги, а вы бы стали их собирать и присваивать. Аналогия, понимаю, плохая, но лучше не придумала. Ну или кража из незапертой квартиры. Оттого что она не заперта, кража не перестаёт быть кражей.


        1. vdem
          06.11.2018 09:42

          Квартира — это как бы частная собственность, а просмотреть выложенные в свободный доступ в Интернет данные (думаю тут неважно, что на них нет прямой ссылки, скажем, на сайте того же провайдера) — это далеко не то же самое, что зайти в незапертую квартиру :) Вообще это как бы использование недокументированных возможностей :) И засудить за это, думаю, можно разве что только в том случае, если примут законы, запрещающие использовать URLы и запросы к API, не разрешенные прямо.


          1. i0000
            06.11.2018 10:49
            +3

            тем, кто «засуживает», глубоко пофиг, что такое УРЛы, АПИ и аякс-запросы. Они знать таких слов не знают и знать не собираются.

            Они своим сухим канцелярским языком напишут… «пользуясь… незаконно… в соответствии с (тут букет статей)… заполучил....» — и плюс галочку к статистике раскрытий.


        1. i0000
          06.11.2018 10:47
          +1

          Тут другая аналогия с квартирой (имевшая место быть в личном опыте). Получаю ключи от квартиры, понимаю, что дверь совсем халтурная, решил попробовать ради интереса — подойдет ли ключ к соседней двери. Раз — дверь открывается, к счастью, внутри — какие-то гастарбайтерские стремянки и никого. Очканул, конечно, было бы весело, если б нарвался на хозяев.


    1. Fox_exe
      06.11.2018 01:12

      Можно дальше шагнуть — Ктото другой нашел дыру и, до кучи, получил доступ к самому серверу, ну и поменял в логах IP адрес на случайный, дабы запутать следы.
      И фиг докажешь, что ты не жираф :)


      1. lostpassword
        06.11.2018 02:53

        На самом деле, надо смотреть судебную практику.
        Как я понимаю, суд не будет вникать во все эти подробности. С убийством же тоже можно сказать «этот нож с моими отпечатками у меня украли, а потом им убили, чтобы меня подставить». А суд изучит собранные обвинением доказательства и может решить, что их достаточно для обвинительного приговора.
        Так же и здесь. Если не поверят — могут назначить экспертизу компа. Исследуют его методами цифровой криминалистики — и если вдруг там обнаружится что-то, что заставит серьёзно усомниться в версии «ктото другой нашел дыру» — то впаяют по полной, плюс ещё и дачу ложных показаний на закуску. Выйдет ещё дороже, чем чистосердечное.


        1. Weresk
          06.11.2018 09:06

          Для обвиняемого не существует статьи о даче ложных показаний — это для свидетелей, понятых, экспертов и т.д.


    1. 4tlen
      06.11.2018 10:03

      Необязательно даже набирать адрес в браузере
      image



  1. Tyusha
    05.11.2018 21:41

    Del


  1. saipr
    05.11.2018 21:52
    +1

    Стук в калитку, выглядываю в окно, смотрю стоит красненькая машинка, 3 человека

    Вот так бы оперативно провайдеры стихийные бедствия устраняли!


  1. smart_alex
    05.11.2018 21:56
    +3

    Какой-то театр абсурда. У них 21 000 персональных данных пользователей торчит наружу, но виноваты не они, а «студент», сообщивший им об этом… В этой истории всё перевёрнуто с ног на голову.


  1. solariserj
    05.11.2018 23:19

    Ну хоть дали плюшку.
    У нас в компании когда один пользователь нашёл лазейку и на сервере увидели что он обошёл защиту, припугнули что если он не скажет как это сделал то обнулим результат. Тогда он и рассказал, Но начальник отдела все равно сказал обнулить результат… Программисты подчились;(


    1. parcnfalb Автор
      05.11.2018 23:21
      +2

      Обнулить результат?


      1. Fox_exe
        06.11.2018 01:13

        Видимо, речь про сервер некой игры.


        1. solariserj
          06.11.2018 09:32

          Приложение для ios, где можно заработать лайки или купить.
          Меня больше задело то, что зажали эти лайки.


      1. TimsTims
        06.11.2018 01:14

        Видимо, онлайн игра.


  1. dartraiden
    05.11.2018 23:23
    +1

    вопрос в комменты, а c ssd данные также легко восстанавливаются как и с жесткого?
    Стереть нельзя восстановить

    Нет 100% гарантии восстановления, как на жёстком, но нет и 100% гарантии стирания. Поэтому нужно не затирать, а отдать команду Secure Erase, которая вынуждает контроллер уничтожить ключ шифрования (все данные на современных SSD шифруются прозрачно для пользователя, чтобы износ памяти был более равномерным).


    1. vesper-bot
      06.11.2018 09:06
      +1

      А разве обычный TRIM не затрет свободные сектора так, что хрен восстановишь? SSD же.


      1. dartraiden
        06.11.2018 16:15

        TRIM, если мне не изменяет память, лишь сообщает контроллеру о неиспользуемых областях, но решение о том, когда именно «собрать мусор», принимает контроллер, а мы не можем быть уверены, что он решит это сделать сейчас, а не через несколько часов, за которые накопитель уже могут изъять и изучать.

        К тому же, накопители имеют некоторые объём пространства, недоступный пользователю (чтобы гарантировать, что пользователь не забьёт накопитель под завязку, поскольку при этом драматически снижается производительность, контроллеру очень трудно «перетасовывать» данные, если мало свободных ячеек), поэтому мы не можем быть уверены, что контроллер какие-то ошмётки конфиденциальных данных туда не записал и они не дожили до того, как накопитель попал в руки экспертов.


      1. Foggy4
        06.11.2018 17:27

        Затрет, пробовал R-Studio восстановить файл с SSD через пару часов после удаления: ничего не нашлось. Диск Hyper-X 3k на контроллере SF-2281


        1. qw1
          06.11.2018 17:35

          Разумеется, ничего не нашлось. Чтение сектора, который помечен командой trim, будет возвращать нули. Надо выпаивать чипы NAND Flash и искать там сектора, которые контроллер не успел очистить. А учитывая, что всё более модно ставить контроллеры с шифрованием, всё ещё усложняется.


          1. vesper-bot
            07.11.2018 09:12

            Разве что в использованном накопителе баг в реализации шифрования, как в сегодняшней статье.


  1. kloppspb
    06.11.2018 01:00

    1500 стоит месяца безлима

    Это где такие радости? И в каких попугаях?


    1. parcnfalb Автор
      06.11.2018 01:01
      +2

      Рубли, краснодарский край, за городом, частный сектор


    1. Destructive
      06.11.2018 11:42

      Полагаю, вы ещё на Камчатке цен не видели.


      1. 4tlen
        06.11.2018 23:02

        а с мобильным там глухо?


      1. kloppspb
        07.11.2018 03:25

        Да, сурово! Я в ленобласти, здесь примерно так. Или так Есть места, в которые провода по каким-то причинам не дотягиваются (буквально через дорогу от меня, например, повезло). Вот там начинается беспредел: тарелка (от 25 тыщ за установку) и полторы-две в месяц.


  1. altrus
    06.11.2018 07:26

    «Да ну не может быть», воткнул в head jq библиотеку, трачу 5 минут на написание ajax запроса в цикле и выплёвывание это в body страницы, вывело 21 000 записей.

    И все это не через прокси или VPN?
    Умные люди их для чего придумали?


    1. acyp
      06.11.2018 07:35

      Вполне могло иметь место быть, что ресурс доступен только из подсети провайдера.


      1. altrus
        06.11.2018 07:38

        Если админка недоступна для оперативного доступа персонала со смартфона, то это не годный провайдер


        1. acyp
          06.11.2018 08:45
          +1

          А вот тут VPN со смарта админа в сеть компании :). Ну и опять же, как я понял — это та админка, которую лучше прятать внутри и доступ регулировать.


  1. QtRoS
    06.11.2018 07:54
    +1

    Новый принцип в ИБ: security through po ponyatiyam
    Если взломал, то приедут и сломают!


    1. qw1
      06.11.2018 12:22

      Ха, если бы «новый».


    1. MaxVetrov
      06.11.2018 15:00

      Закон сохранения взлома =)
      Если что-то ломается, то кого-то ломают.

      Ну или Rubber-hose hacking =)


    1. dimaviolinist
      06.11.2018 16:49

      Собственно, в девяностые ходила такая городская легенда что, мол, наши хакеры наши же банки не ломают. Потому что СБ наших банков не в суд подаёт, а в лес увозит.


  1. altrus
    06.11.2018 07:58

    Раньше на закрытые места на сервере навешивался амбарный замок на всю директорию.
    Сейчас с модными сайтами на XHR запросах нужно не забыть определить каждому эндпойнту свою секьюрити роль. А это может вылететь из головы, если даже там было.

    Так что, если покопаться в сети, таких в прямом смысле слова дырявых сайтов наверняка можно найти немало.


  1. knstqq
    06.11.2018 08:39

    c ssd данные также легко восстанавливаются как и с жесткого?)

    C SSD ещё хуже если есть физический доступ: даже сотня перезаписей нулями или случайными данными не обеспечит гарантию: внутри есть контроллер, который каждый раз будет выдавать разные номера блоков и номер блока с секретными данными может никогда не выпасть.


    1. qw1
      06.11.2018 12:24

      С SSD безопаснее, т.к. использованные блоки попадают в очередь на стирание, и удалённые файлы в фоне физически зачищаются.


  1. Frimko
    06.11.2018 08:57

    В нынешних реалиях, проще сделать дамп и продать на античате. Выгоды в разы больше и шанс, что посадят меньше. Шизанутых придурков в крупных фирмах хватает, порой им выгоднее посадить добродеятеля, чем откупиться.


    1. altrus
      06.11.2018 09:25

      Во-первых, за такое не садят
      Во-вторых, даже если натянуть состав преступления, преступник сам сознался, что в данном случае снимает уголовную ответственность
      В-третьих, фирма не захочет общественного резонанса и последствий ненадлежащего обращения с персональными данными, и не будет подавать заявление
      Так что тут автора статьи на испуг взяли. Мог и повкусней ништяков себе выторговать при подобном опыте.


      1. Frimko
        06.11.2018 09:31

        до общественного резонанса информацию еще нужно донести(а это в частности проплатить журналистам, дада, их мало волнует подобный контекст статей.). То, что вы читаете на хабре и пикабу — это лишь малая песчинка всего безумия, что творится у нас в стране.
        Возьмем к примеру регионального провайдера, он сливает личные данные пользователей другому провайдеру, тот начинает их обзванивает и предлагать им TV-приставку(которая нафиг не упала вам). Ваша реакция? Реакция остальных? Да всем насрать. Слили базу личной инфы и ладно. Что-бы добиться чего-то, идите в суд, разбирайтесь, нанимайте юристов, тратьте свое время, деньги, добивайтесь справедливости. Ха, романтика)


        1. altrus
          06.11.2018 09:34

          Под общественным резонансом тут больше понималось осведомленность ментов и прокуратуры, которые хорошо бы на этом покормились. Ну и конкуренты, если есть.
          Простым людям похер, это понятно.


          1. Frimko
            06.11.2018 09:52

            как покормились? компания заносит заявление в полицию, мол «их взломали». К вам прибегают 2ех полицейских, забирают ноут, мобилу, системник, планшет, читалку. Причем радостно все это делают, ведь им премию дадут за поимку «особо опасного хакера». Все, менты вроде как и вкурсе, вы сидите в обезьяннике целые сутки(если повезет).


            1. altrus
              06.11.2018 10:00

              У вас несколько неверные представления о том, как работает система в подобных случаях.
              Electrohedgehog неплохо объяснил


              1. Frimko
                06.11.2018 10:03

                проходил через это лично, когда «случайно» нашел личные данные росатома. Прекрасные воспоминания скажу я вам.


                1. altrus
                  06.11.2018 10:04

                  не путайте росатом и местного провайдера


                  1. Frimko
                    06.11.2018 10:09

                    ну так никто и не путает, кто больше денег в суд занесет, тот и прав. Местный провайдер по-любому больше зарабатывает обычного кодера на удаленке.


                    1. altrus
                      06.11.2018 10:14

                      Сейчас больше решают не деньги, а связи
                      И опять же — здесь много факторов. Штрафы и проверки прокуратуры и РКН — самые значимые. Поэтому никакая фирма выносить сор такой ради посадки горе-хакера на год условно (да и нет тут состава — мотива нет. Человек решил проверить, есть ли там данные на него — проверил) не будет.


                      1. qw1
                        06.11.2018 12:26

                        Штрафы и проверки прокуратуры и РКН — самые значимые.
                        А это компетенция РКН — проверять и штрафовать за дыры в софте?


                        1. altrus
                          06.11.2018 12:29

                          FAQ

                          Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?

                          Ответ: Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи. В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.


                          1. niknamezanat
                            06.11.2018 13:23

                            И что? Виноват то в утечке будет опять же условный «хакер», а не провайдер. В приведённой вами цитате речь только про соив данных по инициативе провайдера, не более.


  1. achekalin
    06.11.2018 09:32

    … просто скопировав ссылку и вбив рандомное число, мне выкинули данные...

    Сразу вспомнилось из курса школы чеховское: «Проходя по мосту, с меня слетела шляпа»

    А по поводу топика: ребята вели себя на грани, я бы если и вел кого-то домой, то сказал бы — пусть от вас самый грамотный со мной пройдет, я ему покажу, а уж системник таскать куда-то…

    Понятно, что их нач-во наехало на своих, и потребовало этих самых доказательств. Но все люди адекватные же, понимают, что в облаке спрятать что угодно можно, и фиг найдут.


  1. Electrohedgehog
    06.11.2018 09:41
    +2

    Крайне неприятно такое читать. Почему это вдруг вы считаете адекватными действия профессионально безграмотных людей, которые допустили огромную утечку персональнх данных да ещё и пытаются быковать (так же безграмотно, к слову)?

    Давайте-ка немного пофантазируем, что будет в случае огласки. Ну допустим, автору дают три года условно (ну пусть даже не условно, хотя это будет чертовски сложно). А что же ждёт провайдера?
    1) Штраф/взятка/закрытие за утечки. Да, вот именно так, а что вы хотели?
    2) Отдел разработки получает волчий билет, весь до последнего человека. Имена героев будут звучать в истории города.
    3) Куча проверок причастных и непричастных.

    Я не говорю, что автору надо было лезть в конфликт, но если отбросить эмоции, получили мы следующее:
    1)Огромный косяк провайдера остался безнаказанным. Вообще. Что стимулирует продолжать в том же ключе.
    2)Скомпрометированные данные по прежнему свободно гуляют по сети. Нет, ну правда, вы же не думаете что автор первый?
    3)В очередной раз получили доказательство того, что без баг баунти сведения об уязвимостях сообщать невыгодно — больше чёрных шляп, больше дыр.

    Типичный хэппи-энд: человека, сказавшего что дверь не закрыта милостиво не арестовали.

    Не надо выгораживать некомпетентность. И уж точно не надо хвалить замалчивание некомпетентности.


    1. altrus
      06.11.2018 10:01

      Автора спасает одно — больше интернет провайдеров на раёне нет…


    1. JC_IIB
      06.11.2018 11:02
      +1

      1)Огромный косяк провайдера остался безнаказанным. Вообще. Что стимулирует продолжать в том же ключе.


      Вот и мне показалось, что ребятки зашибись сэкономили, всего лишь навсего начислив человеку фантиков на счет. Судя по их реакции, они перепугались донельзя, кстати, но сделали вид, что «скажи спасибо, что не посадили».


    1. qw1
      06.11.2018 12:29
      +1

      А что же ждёт провайдера?
      1) Штраф/взятка/закрытие за утечки
      Это когда за баги и дыры кого-то наказывали? Можно так пол гитхаба пересажать: ищешь коммит «исправлена ошибка» и вот тебе чистосердечное.


      1. Electrohedgehog
        06.11.2018 12:41

        Баги и дыры в протестированом и принятом продукте организации, аккредитованой министерством связи и имеющей статус оператора персональных данных. Здесь есть явное нарушение законов РФ. Я не верю в то, что без финансовых и репутационных потерь при таком серьёзном залёте можно было бы легко замять дело. Даже если бы всё порешали по-братски в кабинетах, как минимум ИТ-отделу влетело бы по первое число, а клепатель сайта мог бы получить увольнение по несоответствию или иск, если это подрядчик. В любом случае, хоть что-то бы изменилось к лучшему.

        Но увы, как сказали выше всё обернулось раздариванием фантиков. Не уверен, что хотя бы какая-то внутренняя проверка будет предпринята.


        1. qw1
          06.11.2018 17:41

          Репутационные издержки могут быть (хотя, кого они волнуют в отсутствие конкуренции).
          Нарушения законов — нет.


  1. peresada
    06.11.2018 09:53

    Интересно, а есть ли какие-либо критерии, что считается взломом и что попадает под УК РФ? Если кривой разработчик выложил все данные в комментированном html, считается ли взломом просмотр исходного кода страницы?


    1. Frimko
      06.11.2018 09:56

      да, добыли данные, которые сложно добыть через пользовательский интерфейс, или предоставленное в доках апи? вы хакер! Пока обратного не смогли доказать, прецедентов не наблюдалось.


    1. MikailBag
      06.11.2018 12:27
      +1

      Если с точки зрения (моего) здравого смысла — то вопроч в умышленности и целях.
      При этом легкость взлома значения не имеет.


  1. i0000
    06.11.2018 10:36
    -2

    наши айтишники могут убедится


    «убедиТСя» (дважды) выдает в вас айтишника. такой же грамотный, как и все они. русский язык учить — это же не аякс-запросы рассылать и двести джаваскрипт-фреймворков знать назубок. Простейшее правило грамматики айтишникам запомнить западло.


    1. altrus
      06.11.2018 10:44
      +1

      это же не аякс-запросы рассылать

      аджакс
      сиквел, джава, о-оди (машина такая, с колечками)


      1. i0000
        06.11.2018 10:54
        -2

        мне побоку на кодерский сленг, учите лучше русский!


        1. altrus
          06.11.2018 11:16
          +1

          За русский столько не платят.
          Но, в принципе, согласен с Вами. Даже больше, — уверен, если бы автор в школе хорошо учился, то дал бы отпор этим беспредельщикам. А то взяли, понимаешь, хлопца на гоп-стоп…
          (с пунктуацией нигде не напутал?)


          1. i0000
            06.11.2018 12:51

            «Дать отпор беспредельщикам», если ты — одинокий кодер из краснодарской станицы, не так-то просто, а вот загреметь по статье — куда проще.

            Насчет терминологии — среди кодеров «аякс» является вполне себе обиходным (как и «аджакс»), так же, как и «сиквел» вполне себе называют «эс ку эль». А грубые ошибки в русском языке делают в наше время, увы, даже профессиональные филологи.


            1. altrus
              06.11.2018 12:54

              насчет терминологии — среди кодеров «аякс» является вполне себе обиходным (как и «аджакс»), так же, как и «сиквел» вполне себе называют «эс ку эль».

              С такими основаниями можно дать право на существование и индийскому английскому, который понимают только они.
              Так японский от китайского и получился, наверное — иероглифы одни, а слова разные.


  1. Xapu3ma-NN
    06.11.2018 11:08

    Забавная история. Хорошо что у Вас все разрешилось. Вопрос к знатокам в юриспруденции IT. Деяния автора попадают под 272 или нет? Информация к которой автор получил доступ конечно считается «охраняемая законом компьютерная информация и.т.д» Но вот по поводу «не санкционированного доступа» Автор же (как я понял) не обходил никакие системы защиты, не взламывал сервера, не брутил авторизационные формы. Если информация доступна по «ваш урл\цифровой ид» без всякой проверки аутентификации, какой тут может быть взлом? Или я что-то не понял из рассказа.


    1. Electrohedgehog
      06.11.2018 12:54

      Кстати об этом. Может кто-то прокомментирует действия провайдера как состав 274 статьи?


      1. altrus
        06.11.2018 13:00

        Крупного ущерба нет, значит и состава нет.

        Но ситуация с вывозом потерпевшего с системным блоком и все остальное на несколько статей точно натягивается.


        1. Electrohedgehog
          06.11.2018 13:13

          Тут мы вступаем в опасное поле предположений. Как вы оцените стоимость, скажем, голосования по краденым паспортным данным или регистрацию фейковых аккаунтов? Если это для вас не убедительно, то можно рассмотреть стоимость базы телефонов или паспортов в интернетах. Я полагаю, что при желании натянуть на крупный ущерб можно.


          1. altrus
            06.11.2018 13:18

            Я не о том
            Сама по себе потеря персональных данных может считаться крупным ущербом. Но в данном случае этого не произошло.
            А через ст.30 УК РФ эту вряд ли натянешь

            Если делать 274 то надо признавать копирование, а тогда автоматом идет 272 для автора


            1. Electrohedgehog
              06.11.2018 13:29

              Я про это и говорю. Если нету состава 272, то и говорить не о чем. Если есть, то провайдер куда сильнее попадает чем «хакер».


              1. altrus
                06.11.2018 13:34

                Если мы говорим о правосудном мире, то суммарно 274 в общем приговоре провайдеру добавила бы пару месяцев всего. Остальное идет от давления на человека. Там уже реальные статьи, хоть сейчас четко и сложно сказать, какие.


                1. Electrohedgehog
                  06.11.2018 13:48

                  До пяти лет, вообще-то.


        1. Electrohedgehog
          06.11.2018 13:15

          Ну и кстати, если каждый из 21 000 пользователей оценит моральный ущерб в 100 рублей то тут и особо крупный размер набежит.


      1. qw1
        06.11.2018 17:49

        действия провайдера как состав 274 статьи?

        Есть комментарии к УК.
        Во-первых, нарушения должны быть бюрократические )))
        Скрытый текст
        Применительно к комментируемой статье под правилами эксплуатации глобальных сетей понимаются нормативные акты, регламентирующие работу данной сети, в частности Федеральный закон от 07.07.2003 N 126-ФЗ «О связи» (в ред. от 25.12.2012) <1>, регламентирующий порядок создания и подключения к информационно-телекоммуникационной сети Интернет. Примерами иных нормативных актов, устанавливающих правила эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей, могут служить: во-первых, общероссийские правила, например Временные санитарные нормы и правила для работников вычислительных центров; во-вторых, техническая документация на компьютерную технику; в-третьих, конкретные принимаемые в определенном учреждении или организации оформленные нормативно и доведенные до сведения соответствующих работников инструкции и правила внутреннего порядка


  1. Bonio
    06.11.2018 11:44

    Маленькие провайдеры вообще не слишком заморачиваются безопасностью. У моего провайдера панель управления биллингом висит на том же ip, через который клиенты получают доступ в сеть. И сайт с названием города, доступный по ip на нем же.
    А сообщать о подобных находках в современных реалиях, не знаю, я бы не рискнул, нервы дороже.


  1. dartraiden
    06.11.2018 16:28

    Вот поэтому, когда у моего провайдера обнаружился незакрытый git-репозиторий на основном домене, я выждал годик, чтобы логи протухли, а потом с одноразовой почты из интернет-кафе им написал, что репозиторию лучше не торчать голой задницей в сеть, кто знает, что интересного оттуда можно выудить…


    1. parcnfalb Автор
      06.11.2018 16:32

      Грамотно, нервы дороже стоят, если бы я не сглупил и не стал в цикле перебирать, то поступил бы точно так же