Вернуться   Форум сотрудников МВД > Правоохранительная деятельность вне МВД > СБ предприятий и банков > Частные кибер детективы
Забыли пароль?

Важная информация

Частные кибер детективы Кибер происшествия, расследования и другое

Ответ
 
Опции темы Опции просмотра
Старый 29.01.2018, 16:12   #1
Skyment
Бывший сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Как данные 14 миллионов россиян оказались у меня в руках

Интересный материал:
Цитата:
И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках.

Одиноким вечером, глядя на свою пустую зачётку и осознавая, что конец близок, я снова задумался о том, как бы мне сейчас собрать сумку, или даже просто рюкзак, положить туда рубашку, шорты и свалить в тёплую страну. Было бы хорошо, да вот с дипломом живётся намного лучше. Во всяком случае, мне всегда так говорят.

Также часто слышал много историй про людей, которые приходили на собеседования с красными дипломами МГУ, но при этом абсолютно не разбирались в своей специальности, а потом на корпоративах признавались, что диплом у них купленный.

Но времена сейчас другие, сейчас 21 век, век больших возможностей, любой работодатель, который умеет пользоваться мышкой и знает, как выглядит браузер на рабочем столе, может проверить данные диплома. Каждый диплом, который выдаётся учебным заведением, теперь регистрируется в едином реестре, доступ к которому есть у каждого через сайт Федеральной службы по надзору в сфере образования и науки.
Для получение информации о документе об образовании достаточно просто заполнить форму, передвинуть слайдер и нажать кнопку. Вам либо покажут информацию о документе, либо скажут, что такого нет (но ещё рано обвинять соискателя в обмане, мало ли, что могло произойти).
у и пока я смотрел на эту форму, решил я с ней поиграться. Повводил всякой чепухи, и бац — на поле, в которое было введено 1', я получаю такой response:
см. по ссылке!
Голый SQL Injection. Очевидно, что задачи продумать обработку ошибок перед разработчиком не было. Задача была сделать сервис, который работает. Сервис, который является гарантом. Так одинокий вечер превратился в весёлую одинокую ночь.

Ещё будучи подростком я очень любил всякие крутые истории про хакеров, а после того, как решил заняться программированием, изредка почитывал и интересные статьи по взлому и прочему. Так что то, что нужно делать дальше — я знал.

...

Итак, зная структуру базы данных, я написал скрипт на Питон и выкачал все самые интересные на мой взгляд данные. А именно:

Таблицу с дипломами об образовании (серия, номер, год поступления, год окончания, СНИЛС!, ИНН!!, серия и номер паспорта (честно говоря, у всех записей поля пустые, но сам факт!), дата рождения, национальность (зачем?), учебная организация, выдавшая документ), таблицу с гражданами с образованием (там всё проще: ФИО и всё), таблицу с пользователями системы (стандартно, логин, email, и, НЕОЖИДАНО, md5 хэш пароля, хоть не сам пароль), отдельная таблица admin с одной записью (так же: логин, хэш пароля и прочее), таблица с информацией об учебных заведениях (кто начальник, email, телефон, лицензия — в общем всё, что и так есть в открытом доступе) и ещё кучу вспомогательных таблиц.

По объёмам получилось: около 14 000 000 документов об образовании, около 14 000 000 записей с данными о бывших студентах, 1322 пользователя системы, 1 админ, который логинится по будням в системе, видимо, когда на работу приходит, 3391 учебное заведение и горы непонятной информации типа ОКОГУ и прочее. База весом 5 гб.

А теперь представьте, сколько времени это качалось. Вы думаете, кто-то заметил? Может быть сервис резко отключился, ip заблокировали или ещё что-то? НЕТ!
...
Отсюда: https://habrahabr.ru/post/347760/

Теперь вопрос - совершил ли автор строк правонарушение?
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Реклама Место СВОБОДНО для Вашей рекламы ;-)
Promotional Bot
 
Робот Форума
 
Регистрация: 06.02.2006
Реклама Реклама от Яндекса

Promotional Bot 
__________________
  Я очень хочу разместить здесь Вашу рекламу... 
Старый 30.01.2018, 10:15   #2
pushkiin
Осваиваюсь я!

Информация недоступна.
По умолчанию Re: Как данные 14 миллионов россиян оказались у меня в руках

Пока не указал на ошибки правообладателю, и не уничтожил скаченные данные - да.
pushkiin вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 31.01.2018, 00:20   #3
DerBruder
Местный
 
Аватар для DerBruder
 
Регистрация: 13.11.2010
Адрес: South West
Сообщений: 401
Сказал(а) спасибо: 357
Поблагодарили 17 раз(а) в 17 сообщениях
По умолчанию Re: Как данные 14 миллионов россиян оказались у меня в руках

Цитата:
совершил ли автор строк правонарушение?
конечно, если докажете, а значит весь комплекс по документальному закрепу, проще говоря - если найдете концы, то ды.
П.С. следующий вопрос!
__________________
быть в законе все равно что быть рыбой в аквариуме, вне закона - в океане.
DerBruder вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 31.01.2018, 22:48   #4
Prok
Новичок

Информация недоступна.
По умолчанию Re: Как данные 14 миллионов россиян оказались у меня в руках

Цитата:
Сообщение от Skyment Посмотреть сообщение
Интересный материал:

Отсюда: https://habrahabr.ru/post/347760/

Теперь вопрос - совершил ли автор строк правонарушение?
Неправомерный доступ к персональной информации. Естественно совершил. А у Вас иное мнение? )
Prok вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 31.01.2018, 23:55   #5
DerBruder
Местный
 
Аватар для DerBruder
 
Регистрация: 13.11.2010
Адрес: South West
Сообщений: 401
Сказал(а) спасибо: 357
Поблагодарили 17 раз(а) в 17 сообщениях
По умолчанию Re: Как данные 14 миллионов россиян оказались у меня в руках

Цитата:
Неправомерный доступ к персональной информации
такой статьи нету, да и это все красивые слова без закрепа
делал это скорее всего через анонимайзер, так шо "понять и простить"
__________________
быть в законе все равно что быть рыбой в аквариуме, вне закона - в океане.
DerBruder вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 01.02.2018, 02:02   #6
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Как данные 14 миллионов россиян оказались у меня в руках

Цитата:
Сообщение от DerBruder Посмотреть сообщение
"понять и простить"
УК РФ Статья 272. Неправомерный доступ к компьютерной информации
Цитата:
Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации...
Информация (персональные данные) охраняется законом? Да.
Лицо, обладало правом доступа к этой информации? Нет.
Охраняемая информация была скопирована? Да.

и ч.2 ст.274 УК под вопросом.
Утечка данных 14 миллионов россиян создало угрозу наступления тяжких последствий? Да / Нет?

Цитата:
Сообщение от DerBruder Посмотреть сообщение
такой статьи нету, да и это все красивые слова без закрепа
Рекомендуется к прочтению http://infowatch.livejournal.com/572...?thread=292041
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 01.02.2018, 11:45   #7
Skyment
Бывший сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Как данные 14 миллионов россиян оказались у меня в руках

Цитата:
Сообщение от Prok Посмотреть сообщение
Неправомерный доступ к персональной информации. Естественно совершил. А у Вас иное мнение? )
Нет, у меня аналогичное мнение.
Мне интересно другое - налицо явное правонарушение, предварительная квалификация которой обосновано дана Igor Michailov.
Сотрудники БСТМ по информации с Хабра будут заряжаться или будут ждать высокого указания сверху?...
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 01.02.2018, 12:14   #8
DerBruder
Местный
 
Аватар для DerBruder
 
Регистрация: 13.11.2010
Адрес: South West
Сообщений: 401
Сказал(а) спасибо: 357
Поблагодарили 17 раз(а) в 17 сообщениях
По умолчанию Re: Как данные 14 миллионов россиян оказались у меня в руках

Igor Michailov а сымсл в этих дефинициях? я это и без вашего знаю, вопрос в другом - доказать сможете?
__________________
быть в законе все равно что быть рыбой в аквариуме, вне закона - в океане.
DerBruder вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 01.02.2018, 12:19   #9
Skyment
Бывший сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Как данные 14 миллионов россиян оказались у меня в руках

Цитата:
Сообщение от DerBruder Посмотреть сообщение
я это и без вашего знаю, вопрос в другом - доказать сможете?
Кому? Вам? А Вы холть кто?...

В части же доказательств по материалам УД...
Igor Michailov, скажи плз, у Тебя сколько экспертиз было в прошлом году?
Ну и от Вас DerBruder, можно услышать такую же цифру?
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 01.02.2018, 15:12   #10
DerBruder
Местный
 
Аватар для DerBruder
 
Регистрация: 13.11.2010
Адрес: South West
Сообщений: 401
Сказал(а) спасибо: 357
Поблагодарили 17 раз(а) в 17 сообщениях
По умолчанию Re: Как данные 14 миллионов россиян оказались у меня в руках

Цитата:
Кому? Вам? А Вы холть кто?...
мне -нет, да и какая разница кто я? Мы же не в церковно-приходской школе, чтобы сыпать дефинициями. Я к тому веду, что толку давать определения явлению, если его не доказать. Только и всего..
__________________
быть в законе все равно что быть рыбой в аквариуме, вне закона - в океане.
DerBruder вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 01.02.2018, 15:37   #11
Клевер
Член клуба
 
Аватар для Клевер

Информация недоступна.
По умолчанию Re: Как данные 14 миллионов россиян оказались у меня в руках

Цитата:
Сообщение от Skyment Посмотреть сообщение
Сотрудники БСТМ по информации с Хабра будут заряжаться или будут ждать высокого указания сверху?
Ни так ни этак не зарядятся. Во-первых на хабре этот "хакер" пишет что информацию-таки не качал, а "имитировал" скачивание на протяжении 3-х дней. Во-вторых, как я понял, заявления-то нет от потерпевших. Они предпочли всё это "замолчать", и просто закрыли "дырку".
Так что тут без вариантов, видимо.
__________________
Кто хочет - ищет способы.
Кто не хочет - ищет причины.
Клевер вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 01.02.2018, 15:48   #12
zzz12
Активист форума
 
Аватар для zzz12

Информация недоступна.
По умолчанию Re: Как данные 14 миллионов россиян оказались у меня в руках

Цитата:
Сообщение от Клевер Посмотреть сообщение
Ни так ни этак не зарядятся. Во-первых на хабре этот "хакер" пишет что информацию-таки не качал, а "имитировал" скачивание на протяжении 3-х дней. Во-вторых, как я понял, заявления-то нет от потерпевших. Они предпочли всё это "замолчать", и просто закрыли "дырку".
Так что тут без вариантов, видимо.
Думаешь имитировал?
"Итак, зная структуру базы данных, я написал скрипт на Питон и выкачал все самые интересные на мой взгляд данные."
или не внимательно прочитала..
zzz12 вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 01.02.2018, 15:56   #13
Клевер
Член клуба
 
Аватар для Клевер

Информация недоступна.
По умолчанию Re: Как данные 14 миллионов россиян оказались у меня в руках

Цитата:
Сообщение от zzz12 Посмотреть сообщение
Думаешь имитировал?
В конце статьи посмотри UPD:
Цитата:
Попытаюсь оправдать себя: конечно же, никакой базы у меня нет, на протяжении 3-ёх дней я эмулировал скачивание, надеясь, что необычный трафик заподозрят.
__________________
Кто хочет - ищет способы.
Кто не хочет - ищет причины.
Клевер вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 01.02.2018, 16:18   #14
zzz12
Активист форума
 
Аватар для zzz12

Информация недоступна.
По умолчанию Re: Как данные 14 миллионов россиян оказались у меня в руках

Цитата:
Сообщение от Клевер Посмотреть сообщение
В конце статьи посмотри UPD:
Да вижу.
Ну, чё. разрабы тоже "молодцы". (молодцы специально взяла в кавычки).
И те кто за ними проверял - тоже.
zzz12 вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 01.02.2018, 16:47   #15
Клевер
Член клуба
 
Аватар для Клевер

Информация недоступна.
По умолчанию Re: Как данные 14 миллионов россиян оказались у меня в руках

Цитата:
Сообщение от zzz12 Посмотреть сообщение
Ну, чё. разрабы тоже "молодцы". (молодцы специально взяла в кавычки).
И те кто за ними проверял - тоже.
Ну да. Элементарная "скуля". Запросы видать совсем не фильтровались.
__________________
Кто хочет - ищет способы.
Кто не хочет - ищет причины.
Клевер вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 01.02.2018, 19:03   #16
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Как данные 14 миллионов россиян оказались у меня в руках

Цитата:
В конце статьи посмотри UPD
А еще он пальцы в кармане скрестил. Так что несчитово.
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 01.02.2018, 19:43   #17
Skyment
Бывший сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Как данные 14 миллионов россиян оказались у меня в руках

Цитата:
Сообщение от DerBruder Посмотреть сообщение
Я к тому веду, что толку давать определения явлению, если его не доказать.
Хорошо, сколько Вами было доказано 272-273-х в прошлом году?...
Мной, совместно с Коллегами, чуть более дюжины. Более половины из которых как раз по озвученному варианту.
Просто если говорить предметно надо понимать то, о чём говорят.
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 01.02.2018, 19:58   #18
zzz12
Активист форума
 
Аватар для zzz12

Информация недоступна.
По умолчанию Re: Как данные 14 миллионов россиян оказались у меня в руках

Цитата:
Сообщение от Клевер Посмотреть сообщение
Ну да. Элементарная "скуля".
Есть такая вещь, называется Code Review. И много зависит от фремворка.
Ну и т д)
zzz12 вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 01.02.2018, 23:50   #19
Клевер
Член клуба
 
Аватар для Клевер

Информация недоступна.
По умолчанию Re: Как данные 14 миллионов россиян оказались у меня в руках

Цитата:
Сообщение от Igor Michailov Посмотреть сообщение
А еще он пальцы в кармане скрестил. Так что несчитово.
Да правильно Скай говорит, ключевой момент - возможность доказывания. Если у него ничего нет (не столь важно имитировал скачивание, или уже удалил и носитель выкинул в речку), то замучаешься доказывать. Да, возможно есть какие-то логи у провайдера, и ещё некоторые методы которые не буду озвучивать. Но потерпевших-то нет.
Получается мало того что доказать крайне сложно (а может и невозможно), да ещё и доказывать-то незачем.
В общем это хорошо что он опубликовал и владельцам написал, а не качнул реально данные втихую и не продал их кому-нибудь. Или денег не начал вымогать с владельцев. А если его ещё и "нагнули" бы за то, что связался и опубликовал, было бы хуже стратегически. Плохо то, что полез искать дыры туда, куда его не просили.

Цитата:
Сообщение от zzz12 Посмотреть сообщение
Есть такая вещь, называется Code Review. И много зависит от фремворка.
Да понятно. Но это ж юзать надо уметь. Деньги опять же лишние (с их точки зрения) тратить (на пейнтесты, к примеру). Тут, по-моему, разрабы просто прописали прямой запрос к БД, вообще без фильтров. Иначе как объяснить прохождение кавычки (или апостроф там был) - не знаю.
__________________
Кто хочет - ищет способы.
Кто не хочет - ищет причины.
Клевер вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 02.02.2018, 09:16   #20
Skyment
Бывший сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Как данные 14 миллионов россиян оказались у меня в руках

Цитата:
Сообщение от Клевер Посмотреть сообщение
Получается мало того что доказать крайне сложно (а может и невозможно), да ещё и доказывать-то незачем.
В общем это хорошо что он опубликовал и владельцам написал, а не качнул реально данные втихую и не продал их кому-нибудь. Или денег не начал вымогать с владельцев. А если его ещё и "нагнули" бы за то, что связался и опубликовал, было бы хуже стратегически. Плохо то, что полез искать дыры туда, куда его не просили.
Ок!...
А давайте перевернём ситуацию и рассмотрим диспозицию данной статьи:
Цитата:
УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, -
Признаки данного правонарушения со стороны оператора имеются?
Способы их фиксации знакомы?
Потерпевшие нужны?
...я понимаю, что прецедентов мало, но почему не по-философствовать среди специалистов? Тем более, что конференция "на носу"...
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Быстрый переход


Часовой пояс GMT +3, время: 14:43.

Rambler's Top100 Рейтинг@Mail.ru Яндекс цитирования

Работает на vBulletin® версия 3.8.3.
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot