73 ответов в теме

[Gamefreak]

Короче, я тут поспрашивал, по анонимным источникам. Возможно, очень вовремя. В ойти отделе СДЕКа ща паника, смена всех паролей, подозревают взлом. СДЕК - группа компаний, с юрлицами и офисами в т.ч. за границей. Возможно, Чепига пользовался их услугами. Всем бояцца. Пруфов не будет.

Более вероятно, что паника из-за этого: https://gorodkirov.r...j-20181017-1713

Из-за сбоя в курьерской службе граждане теряют десятки тысяч рублей

[korumis]

 

Тем не менее ты можешь законно написать в СДЕК и потребовать удалить твои ПД, с письменным уведомлением. И тогда их удалить должны будут и все, кому их передавали по цепочке.

И вот тогда, он абсолютно законно, пойдёт таможить свою следущую посылку сам

[amardil]

И вот тогда, он абсолютно законно, пойдёт таможить свою следущую посылку сам

Закон есть закон, это раз.

Не вижу проблем в удалении единичных данных "особо озабоченных клиентов", это два.

 

Ты думаешь, у них там миллиард ИСПД есть? Да фига с два там! А найти строчку в десятке БД и ее грохнуть много времени не займет.

[vmarkelov]

А найти строчку в десятке БД и ее грохнуть много времени не займет.

И во всех резервых копиях. А это уже цирк с конями.
Потом тебе еще надо будет собрать коммиссию, которая зафиксирует факт удаления ПДн и составит акт установленного образца.

[amardil]

И во всех резервых копиях. А это уже цирк с конями.

С бекапами никто не будет морочиться, билив ми. Убьют из текущих и все. Но из текущих - убьют.

Комиссия тож все фигня, она же в основном формальность, все свои. Подписали бумажульку, убрали в папку, все ок.

[L'ecran]

Возможно, Чепига пользовался их услугами.

рассылал конверты с новичком?

[koraven]

Защита персональных данных

 

https://www.whois.co...212.100.155.184

 

 

netname: COMCOR-Mihalkov-Nikita-Sergeevich

person:         Mihalkov Nikita Sergeevich

address:        Russia, MO, Odincovskiy r-n, poselok Nikolina Gora, prospekt Shmidta, d.32

phone:          +7 910 428-78-57

 

 

 

Да, Комкор (Акадо) выкладывает персональные данные своих клиентов прямо в БД RIPE, которая доступна с помощью whois.

Там всё:

ФИО клиента (или название компании), адрес подключения, телефон клиента.

 

Вот их сети:

212.100.128.0/19

212.45.0.0/19

178.208.128.0/19

 

Вот клиенты (https://imgur.com/a/KblshTZ) элитного посёлка «Жуковка».

Вот клиенты (https://imgur.com/a/FowhJb5) в Барвихе, включая местный Альфа-Банк.

А что это за Никита Сергеевич в посёлке Николина Гора пользуется услугами горе-провайдера, не известный ли кинорежиссёр? Ага, он (https://imgur.com/a/ROpBJje).

 

«Какая-то невероятная дичь», — воскликните вы, и будете совершенно правы.

Давайте теперь посмотрим, как обстоит дело с защитой персданных клиентов-фирм и объектов инфраструктуры Москвы.

Вот IP-адреса (https://imgur.com/a/8iVlNQ7) объектов ДИТ Москвы — Департамента инфромационных технологий — к Акадо подключены сотни таких объектов. Это интернет для камер, телеметрии и других служебных устройств.

Давайте поищем по ключевому слову «Bank».

И что мы видим? Сотни банков (https://imgur.com/a/w4WQG9W) подключены к Комкору, и любой человек на свете может узнать IP-адрес конкретного филиала, контакт технического специалиста, его ФИО и так далее.

 

 

[koraven]

Продолжение истории, которое стоило бы возможно в бар тоже положить.

 

 

Теперь проверим IP 212.100.159.130 (http://whois.domaint...212.100.159.130) — офис Альфа-Банка на проспекте Вернадского. Тоже совпадение (https://imgur.com/a/HubNrkR)! Значит, сервис правильно кеширует информацию (технари из Альфы, вы же читаете канал — надавайте этим олухам по шапке!).

 

Теперь играет трагическая музыка из роликов ФБК

 

А давайте посмотрим, кому принадлежит IP 212.45.12.154 (http://whois.domaint...m/212.45.12.154)?

Хмммм.... Некий Krivoruchko Aleksey Yurjevich.

Загуглим (https://www.google.c...eksey Yurjevich). 

Ого! Да этот самый Алексей Криворучко, которого недавно назначили (https://tvzvezda.ru/...131551-hi9d.htm) заминистром обороны России!

 

Акадо уже выпилил данные, но вчерашний дамп базы RIPE поможет (https://imgur.com/a/1jIjeI8) нам вспомнить остальные поля.

 

И никаких внешних врагов не надо!

Партизаны из Акадо, очевидно, работающие на иностранную разведку, добровольно выложили IP-адрес, домашний адрес и номер телефона замминистра обороны России на европейские серверы, и эти данные были доступны для всех желающих многие годы.

 

 

[New Strannik]

Журналюги опять чудят.

 

Требования по идентификации конечного пользователя, которому выделяются ресурсы типа PA, и внесения в базу данных RIPE существуют последние... да всегда существуют, RIPE - это организация которая занимается распределением ip-адресов в европейском адресном пространстве.

Если провайдер со статусом LIR выделяет кому-то адресное пространство более 1 адреса, оно обязано быть учтено в DB RIPE.

Другое дело, что в большинстве своём на это дело забивается или обращают внимания только на анонсируемые блоки адресов (сеть /24 и более), а у Акадо автоматизация работает как надо. Публичный адрес на то и публичный, что известно за кем закреплён.)

 

И это они ещё не знают, что все должностные лица ответственные за маршрутизацию выделенного адресного пространства тоже в этой публичной базе с контактами)

Сообщение отредактировал New Strannik: 04 November 2018 - 13:00

[koraven]

Журналюги опять чудят.

 

Требования по идентификации конечного пользователя, которому выделяются ресурсы типа PA, и внесения в базу данных RIPE существуют последние... да всегда существуют, RIPE - это организация которая занимается распределением ip-адресов в европейском адресном пространстве.

Если провайдер со статусом LIR выделяет кому-то адресное пространство более 1 адреса, оно обязано быть учтено в DB RIPE.

Другое дело, что в большинстве своём на это дело забивается или обращают внимания только на анонсируемые блоки адресов (сеть /24 и более), а у Акадо автоматизация работает как надо. Публичный адрес на то и публичный, что известно за кем закреплён.)

А ФИО, домашний адрес и телефон ФИЗИЧЕСКИХ лиц тоже должен быть в открытой всему миру базе?

Был такой закон я слышал, о защите персональных данных. Кроме того, остальные провайдеры почему-то не светят такие данные всему миру. Акадо - самый правильный?

 

оттуда же. Я кусок того поста притащил только

 

 

Я проверил: убрали персданные только из блока person и только из двух моих примеров в первом письме, но в блоке inetnum персданные остались даже в моих примерах, о чём я написал (https://imgur.com/a/qiIHlWW) и получил очень странный ответ (https://imgur.com/a/rBtCJTB), что «принято решение» убрать персданные пользователей белых сетей (когда убрать?!), но поле inetnum они обязаны заполнять.

Да никто не спорит, что обязаны — но провайдеры записывают туда информацию о назначении сети, или, если это фирма — максимум, её название и юр. адрес (и даже это далеко не всегда, точнее — почти никогда), но никак не ФИО клиента-физлица.

....

В случае выдачи большого блока, максимум — указывается юрлицо, его контакт и юридический адрес. И то, так делают далеко не все провайдеры, и никаких санкций, конечно же, за это нет.

И это они ещё не знают, что все должностные лица ответственные за маршрутизацию выделенного адресного пространства тоже в этой публичной базе с контактами)

Прекрасно знают

Даже если забить на юрлица, никуда не девается тот факт, что акадо обосрались с выставлением в интернет персональных данных физлиц. Или Михалков Никита Сергеевич и Криворучко Алексей Юрьевич это организации?

Сообщение отредактировал koraven: 05 November 2018 - 13:08

[New Strannik]

 

А ФИО, домашний адрес и телефон ФИЗИЧЕСКИХ лиц тоже должен быть в открытой всему миру базе?

Был такой закон я слышал, о защите персональных данных. Кроме того, остальные провайдеры почему-то не светят такие данные всему миру. Акадо - самый правильный?

 

ФИО и контактные данные светятся по действующему договору, это законно. Указывается контактное лицо и почтовый адрес, как контактная информация. Юрик, физик, или ИП, роли не играет. Общий смысл этих записей - чтобы иметь возможность связаться с владельцем публичного ресурса.

Светят ещё кое-где, не редко встречается в DB ARIN, но как я говорил, это не ручная работа, слишком много записей необходимо вносить. Акадо автоматизировал процесс, пользы от этого нет, просто формальное следования правилам RIPE. Зачем оно надо было, не знаю, проверка по конечным пользователям с таким малым количеством ip не проводится никогда, скорей всего уберут из базы весь ресурс sub-allocation, чтобы не напрягать юр-отдел.

 

Вы слышали о законе и думаете он для того, чтобы защитить ваши данные)  А он для того, чтобы подоить предприятия по очередным формальным признакам.

Сообщение отредактировал New Strannik: 05 November 2018 - 14:10

[Mersia]

Пришел ответ от РКН по поводу СДЕК.

Напомню, я писал в РКН с просьбой проверить, почему "СДЕК-ДС" собирает персоналные данные, хотя их вообще нет в списке обработчиков ПД на сайте РКН.

 

Управление Роскомнадзора по Ростовской области (далее – Управление) рассмотрело Ваше обращение от 23.10.2018 № 07-12-2010/61, поступившее с официального сайта Роскомнадзора, и сообщает следующее.

По информации из Вашего обращения следует, что ООО «СДЭК-ДС» (ИНН 5406768160, г. Новосибирск) не зарегистрирован как оператор персональных данных.

В соответствии с ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон) оператор до начала обработки персональных данных обязан уведомить Уполномоченный орган о своем намерении осуществлять обработку персональных данных. Операторы, осуществляющие обработку персональных данных, обязаны направить в Уполномоченный орган уведомление об обработке персональных данных (далее – Уведомление).

Однако пункт 2 ст. 22 Закона предусматривает случаи, когда оператор вправе осуществлять обработку персональных данных без уведомления Уполномоченного органа. Таких исключений – 9.

Информация об отсутствии ООО «СДЭК-ДС» в реестре операторов, осуществляющих обработку персональных данных, не свидетельствует о нарушении Закона.

Оценка деятельности оператора, осуществляющего обработку персональных данных, на предмет соответствия требованиям законодательства Российской Федерации в области персональных данных, включая необходимость направления уведомления, осуществляется при проведении контрольно-надзорных мероприятий в отношении указанного оператора. Основания для проведения Управлением внеплановой проверки указаны в п. 38 Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденного Приказом Минкомсвязи России от 4.11.2011 № 312. Доводы, указанные в Вашем обращении, не являются основанием для проведения внеплановой проверки.

Управление дополнительно сообщает, что информация о невозможности отправки в адрес Управления письма с почтового сервиса mail.ru принята к сведению.

Данный ответ подписан электронной подписью. Проверку достоверности электронной подписи можно осуществить на сайте «Портал государственных услуг»: http://www.gosuslugi.ru/pgu/eds; выбрав для проверки сервис: «ЭП – отсоединенная, в формате PKCS#7».

 

[vmarkelov]

В ответ пишем просьбу уточнить к каком именно типу исключений относится сдэк-дс, ибо:

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

4) сделанных субъектом персональных данных общедоступными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Ибо у меня сова порвалась о глобус в попытках натянуть сдэк хоть на один из этих пунктов. Аж интересно посмотреть, как оно получится у них.

Сообщение отредактировал vmarkelov: 08 November 2018 - 15:45

[r0n1]

Защита персональных данных

И что мы видим? Сотни банков (https://imgur.com/a/w4WQG9W) подключены к Комкору, и любой человек на свете может узнать IP-адрес конкретного филиала, контакт технического специалиста, его ФИО и так далее.

и? в чем проблема-то?