×Закрыть

В чем причина слива персональных данных миллионов украинцев

Друзья, наверное, многие слышали про утечку персональной информации, которую начинали продавать в Телеграм-боте UA Baza.
ubr.ua/...​lionov-ukraintsev-3892756

В интернете появился бот, предлагающий купить информацию якобы из баз «государства в смартфоне».
Народный депутат от пропрезидентской партии «Слуга народа» Александр Дубинский обвинил Министерство цифровой информации в утечке персональных данных. Согласно его заявлению в соцсетях, в Телеграм-боте UA Baza появилась онлайн-база данных о миллионах украинцев. Причем слив произошел из популярного приложения «Дія», отметил парламентарий.

Советник секретаря СНБО на общественных началах Юрий Мелащенко в комментарии UBR.ua подтвердил, что «очень давно этими базами торговали в «даркнете».

Он посетовал, что в Украине нет надлежащего контроля за утечками данных. И привел в пример европейский GDPR (General Data Protection Regulation — нормативный акт Европарламента и Совета ЕС, вступивший в силу в 2018 году, о защите прав физических лиц касательно их персональных данных).

«Там предусмотрена уголовная ответственность за преступления, связанные с кражей и торговлей персональными данными», — подчеркнул Юрий Мелащенко.

CEO GigaCloud Артем Коханевич дал несколько коротких советов по информационной безопасности, назвав их три «нет» и одно «да»:
Как защитить свои персональные данные:
1) Не открывайте ссылки и вложения в письмах, которые вы не просили. Даже если письмо приходит со знакомого адреса. Лучше переспросить.
2) Не вводите в интернет-сервисах и любых формах пароли и логины от других сервисов, или номера и пин-коды банковской карты.
3) Не авторизуйтесь в любых сервисах, в частности платежных, пользуясь общественным Wi-Fi. Подключайте для этого мобильный интернет.
4) Применяйте сложные пароли и настройте двухфакторную аутентификацию, например, с почтой и номером телефона. Для генерации и запоминания паролей можно пользоваться специальными менеджерами паролей.

Интересует мнение и наработанные лайфхаки на этот счет специалистов так или иначе связанных с кибербезопасностью.

Составим список обязательных действий для защиты своих персональных данных!

LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
посетовал

 — це друкарська помилка чи слово таке?

Не открывайте ссылки
Не вводите пароли и логины
Не авторизуйтесь общественным Wi-Fi
Применяйте сложные пароли

Забыл добавить «мойте руки»

Все бы ничего, но я в «Діє» никогда не регистрировался и даже не скачивал её, а мои данные в боте есть. Пусть и старые. Причем, судя по данным, это старая утечка Привата. Парампам.

потому что в боте утечки не только из дии, вы же сами об этом и сказали...

но я в «Діє» никогда не регистрировался
мои данные в боте есть.
Пусть и старые

коммент ради коммента

Если Дія показывает данные из реестров иных держателей, то где запросы за разрешением к гражданам от держателей самих реестров на передачу персональных данных за периметр обработки такой информации кому-либо из вне и этому приложению в том числе? Вроде, подписывая стандартную бумажку с кем-либо из регистрирующих, разрешаем обработку в их системе, а не передачу. Каким образом жираф — держатель реестра решает, что лицо разрешило какому-то внешнему приложению получать у них данные о нем?

Каким образом жираф — держатель реестра решает, что лицо разрешило какому-то внешнему приложению получать у них данные о нем?

там везде сноска о «партнерах»

Мир людей построен если на умысле обмана ,то на субъективной оценке каждым той или иной информации. Поэтому те кто врут ,что информаци я защищена не понимают ,что физический принцип построения инфо пространства ы компьютере основывается на двоичный код , а это как ниточка в лабиринте всегда приведёт к источнику . Но самое интересное это всегда обмануть мошенника ,который думает ,что обманул тебя

Правило перше: не обирайте аферистів у владу.

Умный аферист нанесет больше ущерба, он же умный )

розумній налаштує все під себе — ви ні про що не дізнаєтесь і не будете переживати )) до того ж не підпустить інших розумних. а тупий просто все зламає і цим скористаються всі, кому не лінь ))

розумній налаштує все під себе — ви ні про що не дізнаєтесь і не будете переживати ))

Як на Росii?

Ноуп, было где-то моделирование — сильный\слабый+умный\тупой и вот как раз обладатель двух качеств сильный+тупой явлются наиболее деструктивынми членами общества. Умные, пусть и злые, как минимум, не наносят деструктива себе. :-)

список обязательных действий для защиты своих персональных данных!

ха — ха — ха © Великий Ха

Это побочный эффект внедрения электронных БД. После таких случаев немцы, которые до сих пор возятся с бумажками, не выглядят так глупо.

Зручність чи безпечність. Так воно все.

У нас в хранилищах таких бумажек просто раз в пару месяцев были бы пожары.

1. Поставте openvpn/wireguard/strongswan на свій (локальний чи cloud) сервер, і пускайте трафік критичних застосунків через цей vpn.
2. Користуйтеся mainstream застосунками (firefox/chrome/edge) останніх версій
3. Використовуйте hardware ключі (Yubikey Neo etc) для критичних сайтів
4. Нікому не довіряйте. Мені можна.

Спасибо за такой подробный ответ!

4. Нікому не довіряйте. Мені можна.

))

ага, еще старик мюллер рекомендовал

Составим список обязательных действий для защиты своих персональных данных!

Пункт первый: Министр цифровой трансформации отвечает личными средствами и имуществом за утечку данных. Все согласны? А? Что? Министр несогласен? А, ну тогда все — расходимся.
Пост закрыт.

Відкрийте вакансію, на розробку застосунків з використанням персональних даних — де деви відповідають власними коштами за можливий витік даних.
Багато девів наберете? А міністр така сама людина.

Софт — это инструмент, если кого-то убили из автомата, то инженера ведь не садят, который участвовал в разработке.
В таких местах разработчиков к реальным данным не пускают.
А министр, банки, начальники различных реестров должны нести хоть какую-то ответственность.
Так что :

А міністр така сама людина.

Не катит! Пошел на такой пост, так пускай решает.

Ну так, якщо хтось — то хай відповідає своїм майном.
Якщо я — то так не катить.

Якщо я — то так не катить.

Я вас не пойму. Это вы не хотите на себя ответственность брать?
Или вы за всех расписываетесь?

Вроде по закону это касается всех ФОПов, отвечают имуществом.

В случае ДТП садят не разработчиков автомобиля но водителя. Аналогия ясна?

А якщо аварія через помилку в розробці?
Анологію бачите?

Ну если будет доказана вина производителя и то, что он умышленно скрывал эту ошибку (с целью эксплуатации/продажи), тогда конечно. Попутно зацепив организацию, которая провела аудит и не закрыла глаза на дыру.

Гарно, але чому ви цих умов не додали коли міністра — коли майном міністра розплачуватися хотіли?

Потому что министр не является производителем, это же очевидно.

В чем причина? А чего вы ждете от таких кадров? pasteboard.co/J8ShJwy.png

какой министр, такая и трансформация. да и откровенно скажем, вся эта киберполиция на основе госспецсвязи не более чем фуфел, начиная от зарплат и заканчивая отбором. какой там nsa...
ЗЫ
захотел освежить память по вакансиям, держите выхлоп...
nabir.np.gov.ua/...​Xdr3tMAltCvZT8j-M4443RLeg
даже страшно представить, что там еще можно найти, если покопаться.
если мне не изменяет память, то там чистыми выходит что-то около 9к грн. какой нормальный специалист пойдет туда работать на 350$? еще и небось это зп в киеве. 350$ в месяц, когда один только oscp стоит $1000+

Там сейчас yii2 фаталка с полным дебаг-бектрейсом вываливается :D Пожалуй это все. что стоит знать о программистах за 350 долларов в месяц))

Йому походу не пояснили що якщо ти він не компетентний і чогось не розуміє, то це не означає що нічого не відбувається.

Ну вы поняли о чем мой комментарий тут

мнение на счет чего? что за лайфхаки? никакие лайфхаки вас не спасут от того что работник писдит бланки\сканы или толкает информацию на лево. напоминаю, что до сих пор низкие зарплаты у нас, как в ссср, покрываются доступом к ресурсу. будь то работник банка, опсоса, кассир на жд или еще кого. поинтересуйтесь ради интереса, что можно за небольшую сумму пробить о вас, будете неприятно удивлены, а там ведь не только сканы, а порой и локация банкоматов, которые вы посещали — суммы — время. нужен гдпр и срочно, такие вещи решаются только огнем и мечем, и забюрократизированностью, как это ни страно. чтобы перед работой с персональными данными человек не пренебрегал специалистами по безопасности, мол так все пройдет, на авось, кому те данные нужны, а изучил дело, чем это грозит, прошел триста кругов ада для получения лицензии и все подобное.

Самое главное, чтоб за нарушение гдпр дело отдавали в европейский суд, а не в украинский.

Але ж ми не в країні «європа» живемо і перед чужими судами не відповідаємо.

само собой гдпр относится только к европейской юрисдикции. в том то и проблема просто «перенять» гдпр.

Составим список обязательных действий для защиты своих персональных данных!

Правило номер 1: не регистрироваться нигде онлайн.

Люди пишут, что там данные очень похожи на данные из ПриватБанка.

Да этих баз в инете полно, просто очередную чуть поновее залили, давно порау уже на гитхаб закинуть чтобы правки вносились и не парились.
Народ ипанутый, шо в раде, и шо в не в раде, это не лечится.

В РФ на той недели, тоже слили БД с 129млн автовладельцев, там тоже данные ПБ или может Дiя виновата ?)
Это проблема в целом эл. реестров.

Да, там были данные людей, которые никак не относятся к Дії. Мое мнение — это утечка информации с банков. Но хочу еще услышать мнение профильных специалистов.

Ще з банків хтось зливає номера сім карток. Потім інші займаються соціальною інженерією, щоб отримати доступ до рахунків.

Припоминаю, что в вебмани легко определяли перевыпуск симки по смс-кам и требовали пройти ее верификацию, т.е. подтвердить замену. Так что привязка возможна не только к номеру, а и видать к «серийнику» симки.

та практическая каждая прога на телефон сливает все данные о нем на сервера аналитики, (imei, imsi, все идентификаторы и все что можно собрать о о девайсе)
Когда-то icq ругали за то что контакт-лист на сервере хранится, а щас все с телефона сливается на сторону тех, кто захочет узнать про ваш телефон немного больше чем вы разрешите это делать прогам

Насталі нові часи. Незабаром і відбитки зливатимуть, в цілях покращення юзер експіріенсу, звісно.

Мой комментарий был про

не регистрироваться нигде онлайн

:)
Можно не регистрироваться, а данные всё равно сольют )

правило номер 2: носить шапочку из свинца от бесконтактного считывания

для этого даже не требуется выходить в онлайн. любая структура, куда вы относите свои персональные и не очень данные, может торговать ими. вне зависимости от вашего состояния, гендера, религии итд.

ФБ заводит профиль, даже если ты там не регаешься ))))

YouTube створює профіль уподобань згідно переглянутого навіть якщо не зареєстрований і дивишся в анонімному режимі, а у нових сесіях рекомендує відео від тих самих каналів. VPN не доможе.

Подписаться на комментарии