За последнюю неделю раскрыта информация о нескольких крупных инцидентах, связанных с утечкой персональных данных:
- Компания Dell опубликовала (https://www.dell.com/learn/us/en/uscorp1/press-releases/2018... сведения о произошедшей 9 ноября атаке на внутреннюю сеть компании, в результате которой злоумышленники получили доступ к инфраструктуре, обеспечивающей работу сайта dell.com. В том числе зафиксирована попытка выгрузки базы пользователей Dell, включающей персональные данные (ФИО, email) и хэши паролей (информация о степени надёжности применяемого метода хэширования не приводится). БД с номерами кредитных карт не пострадала. В качестве ответной меры компанией Dell инициирован процесс смены паролей. Всем пользователям, имеющим учётную запись на dell.com, рекомендуется убедиться, что используемый пароль не применялся для авторизации на других сайтах.- В сети обнаружен (https://blog.hackenproof.com/industry-news/new-data-breach-e... доступный без авторизации сервер ElasticSearch, предоставляющий сведения о персональных данных около 57 млн жителей США (общий размер БД - 73GB).
Данные включают ФИО, email, домашний адрес, ZIP-код, номер телефона и IP-адрес. Утечка была выявлена в ходе аудита незащищённых серверов, проиндексированных поисковой системой Shodan. Проблемный сервер был впервые проиндексирован 14 ноября. По косвенным данным владельцем сервера является канадская компания Data & Leads Inc, специализирующаяся на обработке больших объёмов данных. Примечательно, что летом из-за ненадлежащей конфигурации ElasticSearch в открытом доступе оказалась (https://www.opennet.ru/opennews/art.shtml?num=48873) БД маркетинговой компании Exactis, включающая сведения практически обо всех взрослых жителях США.- Из-за технической ошибки произошла (https://www.washingtonpost.com/technology/2018/11/21/amazonc... утечка имён и email-адресов клиентов интернет-магазина Amazon. Детали инцидента и число пострадавших пользователей не сообщается, утверждается только, что из-за ошибки на сайте раскрывались не подлежащие разглашению персональные сведения.
- Выявлена (https://krebsonsecurity.com/2018/11/usps-site-exposed-data-o... возможность получения доступа к персональным данным около 60 млн пользователей USPS (Почтовая служба США). Проблема вызвана некорректной реализацией Web API, который позволял любому зарегистрированному пользователю USPS узнать детальные сведения о других пользователях, включая ФИО, email, адрес и телефон. Так как API USPS поддерживает обработку запросов по маскам, имелась возможность пакетной выгрузки больших объёмов персональных данных.
- Неавторизированный доступ (https://atriumhealth.org/about-us/newsroom/security/special-... к больничной информационной системе Atrium Health (https://en.wikipedia.org/wiki/Atrium_Health) привёл к утечке записей о более чем 2.6 млн пациентах. Утечка содержимого БД произошла в результате взлома инфраструктуры компании AccuDoc Solutions, подключенной к информационной системе Atrium Health.
URL: https://www.dell.com/learn/us/en/uscorp1/press-releases/2018...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49679
Никогда не было и вот опять.
Кто не переустанавливает винду спразу после покупки сами в этом сливе виноваты. У нормальных людей десятка сливает только в Майкрософт.
У нормальных людей стоит Linux и ничего не сливает.
> У нормальных людей стоит Windows 7 и ничего не сливает.
> У нормальных людей стоит Windows 7 и ничего не сливает.Увы, братишка Винда начала втихаря сливать ещё с середины 90-х гг. В дисяточке сливы оформили юридически.
А пруф будет?
Тебе EULA мало?
Гнилая дорожка началась еще с икспы, когда винда стала периодически отстукивать на сервера активации. Тут же и истории когда "отключенный" апдейтер мало того что лазил на сервера MS так еще и обновлял что-то без спроса. Хоть его якобы и и "отключили".
Ubuntu 18 ? Тот, который с телеметрией ?
Кто мешает юзать Kubuntu/Xubuntu/Lubuntu без телеметрии?Кто мешает юзать еще 100500 Linux-дистрибутивов без телеметрии?
Кто мешает в конце концов отключить телеметрию в стандартной Ubuntu? Она отключается одной кнопкой. И если могёшь в исходники, то заметишь что она действительно отключается (а не как в твоей любимой винде).
В том же дебиане есть телеметрия установленных пакетов.
Только если ты сам её поставил
Там есть автообновление пакетов, насколько я помню. Потому что сотни тысяч ботов с непатченых машин всех задолбали - и с какого-то момента стало так. Чтобы растяпы с дефолтами не клали всех ддосами.Но это мигом лечится systemctl mask apt-daily.timer (заолно и одноименный .service можно). Как вариант apt-daily-upgrade.* еще бывает. Но тогда апдейты самому надо ставить вовремя.
Телеметрия есть - утечки персональный данных нет.
Вот такой вот парадокс)
вопрос, насколько персональными ты считаешь данные о каждом своем логине в систему (умельцы-в-исходники, привет!) вместе с характеристиками системы, которые, включая ip, позволяют различить машинки как минимум одну от другой?
Вопрос, сколько и чего еще утекает, о чем "умельцы-в-исходники" не в курсах, потому что проанализировать ВСЕ исходники ВСЕГО - явно не по их умениям задачка. Я вот знаю три утечки в бубунте-без-телеметрии, а сколько я еще не нашел?
Вопрос на закусочку - а уверен ли ты, что если эти данные предоставить, ну, например, гуглю, в порядке партнерского обмена - он в ответ не сможет предоставить имя, фамилию и адрес, с хорошей вероятностью являющиеся твоими?
Производители на ноутбуки с линуксом предустанавливают свои зонды.
> Производители на ноутбуки с линуксом предустанавливают свои зонды.Мне наиболее "симпотичны" пережигаемые перемычки в процессорах Интел. Детство, cпички ^W ППЗУ, ...
Ну ты то хомячок или линуксоид? Дистрибутив залить не осилишь?)
жира с экрана столько, что я бы тебя даже облизал.
RMS был прав
> При заданных ограничениях, любая система стремится к наиболее простому решению.Сомнительное утверждение. Во-первых, не любая система обладает субъектностью, для того, чтобы про неё можно было бы говорить, что она "стремится" не вдаваясь затем в подробности того, что мы имеем в виду. Во-вторых, что значит "наиболее простое решение"? В третьих же, под эту фразу можно подвести любое поведение системы, даже контрпродуктивное: типа стремится к решению, но что-то ей мешает, поэтому она идёт в другую сторону.
Ты не мог бы объяснить эту свою фразу?
>> При заданных ограничениях, любая система стремится к наиболее простому решению.
> Ты не мог бы объяснить эту свою фразу?Видимо он подводить под 2 закон термодинамики.
2 закон термодинамики скорей обратен - все приходит в хаус. Тут скорей 1-том ландоу&лившиц - аналитическая механика - самый короткий путь.
Хаос -- это и есть то самое наиболее простое решение.
К 1-му тому Лифшиц никакого отношения не имел. Он появился у Ландау после того, как Ландау разосpалcя с соавтором Пятигорским.
Речь про достижение целей с условиях поставленных ограничений. Самое простое решение - ничего не делать и провалить задачу. Остальные решения, приводящие к недостижению поставленных целей я даже не рассматриваю.Любую неорганизованную систему (воду напр.) можно рассматривать как организованную. Напр. воду наливали в бочку с досками разной высота, вода начала выливаться из бочки (= результат). Можно с уверенностью заявить что в первую очередь она начнёт выливаться через доску наименьшей высоты. Потому что это самый быстрый способ решить проблему вылиться за край (= достичь результата).
> Напр. воду наливали в бочку с досками разной высота, вода начала выливаться из бочки (= результат). Можно с уверенностью заявить что в первую очередь она начнёт выливаться через доску наименьшей высоты.Далеко не факт, если использовать иное расположение досок + наклон бочки.
Раньше полагали, что Мир порождён из Хаоса.
Теперь считается, что Вселенная расширяется.А что происходит в Вашей замкнутой системе - это Вам виднее.
> Раньше полагали, что Мир порождён из Хаоса.Хаос как-то противоречит теории большого взрыва?
> Теперь считается, что Вселенная расширяется.
Не просто расширяется, а с ускорением. Совсем не блюстит законы физики. ;)
>> Раньше полагали, что Мир порождён из Хаоса.
> Хаос как-то противоречит теории большого взрыва?В современной науке в принципе отсутствуют противоречия с античным мировоззрением (как бы их кто не пытался найти, в т.ч. утверждая "все приходит в хаус"), происходит детализация и дальнейшее развитие.
>> Теперь считается, что Вселенная расширяется.
> Не просто расширяется, а с ускорением. Совсем не блюстит законы физики. ;)Кстати, с т.з. метафизики это объясняет, почему раньше был "просто Хаос", а нынче всё больше фолиантов заполняют двадцатиэтажными формулами. :)
>RMS был правТы уже выбросил несвободные телефон и компьютер? Перешел с денег на золото и пушнину? Ушел из города в тайгу?
тайга вся уже давно - чья-то, некуда из города уходить. Понаплодилось человечинки, не хватает на всех участков.допивай боярышник, и подыхай на обочине, сэкономишь на похоронах (да еще и в настоящем гробу в настоящую землю - правда, ненадолго. Лет через пять, что-ли, вытряхивают, освобождая место следующему.)
Столько людишек - ненужно.заодно снова возникнет дефицит грамотных специалистов, и им, в отличие от девляпсов современности, рупь пучок, может быть снова будут платить и слушать их мнение. А то "периметр безопасности", "контроль сетевых аномалий", "управление привиллегиями доступа" - не, не слышали.
у тебя в комментариях к большинству новостей виноваты девопсы.
признавайся, была история: ты пришел домой, а твою даму такой ушлый деплоил в ансибл?
те кто их нанимает вместо админов, дешевые рабы не виноваты в том, что они - дешевые.а потом над каждой анкетой регистрации на любом ненужно-сайте приходится думать - какие поля заполнить из /dev/random, какие правильно, а в какие осторожно подставить чужие данные.
потому что вопрос не "сопрут или нет", не "будут спамить или нет", а только когда и в каком количестве.
в которой из компаний перечисленных в новости нанимают девопсов вместо админов?или ты проецируешь личный опыт работы в ООО вектор?
> те кто их нанимает вместо админов, дешевые рабы не виноваты в том,
> что они - дешевые.Они не только дешевые, но еще и полезные и многофункциональные, в отличие от надувающих щеки ветеран-юникс-чудиков, желающих получать во, а делать во. Вот все как-то и предпочли девопсов, куда как более полезных командам проектов и не гнущих пальцы своими сакральными знаниями в виде заученых команд какого-то экзота. Это не больно какой скилл чтобы за него много платить.
> а потом над каждой анкетой регистрации на любом ненужно-сайте приходится думать -
Если это ненужно-сайт то и думать не нужно - вбиваешь туда левак какой-то и телемаркет.
А если нет, то RMS не прав?
Он всегда был прав. Но вы его не слушали.
Перл лучше, у меня свобода выражения мыслей!
Я могу писать код в виде верблюда!
а через годик его прочесть потом слабо?))) всегда забавно когда сами потиом вспоминают че за хр*ь написали))) но зато свобода выражения . это конечно мощно))
Если нормально пишешь, потом нормально читается.
>Во всем виноват Ц++, переписать все на раст!!!Ты что, этот, ... кхм ...раст?
Так всего-то надо подождать...
> Так всего-то надо подождать...Практическая ценность тепловой смерти Вселенной преувеличивается.
человечество вымрет раньше
Да да читал где то осталось менее десяти лет :D
И читал ты это двадцать лет назад, я угадал?
Да.
Истинно вам говорю: 4 мая 1925 года земля налетит на небесную ось!
Не ужели так трудно ограничить количество запросов с одного IP, чтобы труднее было гигабайты БД качать? Хотя о чём это я, там даже пароль для доступа к БД некоторые не ставят.
запретить curl/match_all, и ведомственные nat'ы забанить, за записанный пароль расстрелять
Расскажи, как ты практически забанишь курл?
С заголовками хрома.
Понимаешь ли, дорогой админ локалхоста. Когда хакир поймет, что нашел что-то вкусное, то найдет и ресурсы, чтобы ускорить выкачку .
> Понимаешь ли, дорогой админ локалхоста. Когда хакир поймет, что нашел что-то вкусное,
> то найдет и ресурсы, чтобы ускорить выкачку .Он купит за 5 американских копеек 1000 прокси из непатченых юзеров винды и прочих роутеров с бэкдорами. И скачает в 1000 потоков. Вот так просто и банально.
Дайте ссылку по которой все эти базы можно надыбать.
И? Когда в телеге едут максимум двое, то пострадать могут максимум четверо (столкновение двух телег). Когда в самолёте летят 400 человек - максимум 800. Когда в поезде едут 1500 человек - максимум 3000. Когда на пароме плывут 5000 человек - максимум 10000.Аналогично с данными: чем быстрее и проще получать к ним доступ, тем быстрее и проще получать к ним несанкционированный доступ. Чем больше данных в одном месте (централизованное хранение), тем проще получить несанкционированный доступ сразу ко всем.
Если есть данные, если на данных можно заработать, то данные будут воровать. Если воруют 0.00000001% всех данных, то с ростом объёма хранимых данных абсолютные размеры наворованного также будут расти.
Отсюда вопрос: и зачем нужна эта статья? Ещё раз напомнить что вода мокрая?
Аналогия твоя упускает один нюанс. Изменение способа передвижения может радикально менять вероятности того, что кто-то пострадает. Современные самодвижущиеся телеги гораздо более опасны, чем современные самолёты, несмотря на то, что в телеге помещается гораздо меньше народа.С безопасностью же данных получается так, что сегодня, по-моему, не так уж и много людей осталось, чьи данные ещё не спёрли.
Речь не про вероятность, а про количество. Чем больше данных храним в одном месте и проще к ним доступ - тем больше данных украдут.Вероятность катастрофы/несанкционированного доступа обратно пропорционально профессионализму и вниманию. Безопасности авиаперелётов уделяется значительно больше внимания, чем поездке на автомобиле, поэтому количество катастроф с самолётами ниже, чем количество ДТП с автомобилями.
> И? Когда в телеге едут максимум двое, то пострадать могут максимум четверо (столкновение двух телег). Когда в самолёте летят 400 человек - максимум
> 800. Когда в поезде едут 1500 человек - максимум 3000.О чудный, дивный мир аналогий! Там лошади никогда не несут и не топчут пеших, там самолеты не могут свалиться на детский сад (или просто в центре города), там поезда не сходят с рельс на скоростях 200 км/ч, сметая все на своем пути …
Самолёты существуют 100 лет, поезда - 180. За это время, полагаю, накоплена достаточная статистика чтобы говорить предметно.Приведи примеры когда при падении полностью (или почти полностью) заполненного самолёта на земле погибало больше людей, чем в воздухе. Аналогично с поездами, которые сошли с рельс.
Тер.акты не принимаются потому что там цель - это убить и искалечить людей, а следовательно разумнее говорить о том, можно ли было достичь той же цели (того же количества убитый и искалеченных) меньшими усилиями, но никак не о об общем количестве жертв.
> Самолёты существуют 100 лет, поезда - 180.Да-да, особенно самолеты на 400 пассажиров.
> За это время, полагаю, накоплена достаточная статистика чтобы говорить предметно.Статистика говорит, что у самолета шансы шлепнутся на землю без предварительного столкновения с другим самолетом - намного выше.
Еще, та же статистика говорит, что почему-то анонимы, сами не заморачивающиеся предметностью, требуют ее у других. Причем, чем незамороченне аноним, тем строже требования к другим.> Приведи примеры когда при падении полностью (или почти полностью) заполненного самолёта на земле погибало больше людей, чем в воздухе.
"После столкновения с деревьями повреждённый самолёт пролетел около 200 метров и рухнул на здание детского сада в Светлогорске. В катастрофе погибли 34 человека: все 8 находившихся в самолёте, 23 ребёнка и 3 сотрудника детского сада."
"что привело к потере всех гидравлических систем и сильному крену влево, где в итоге самолёт рухнул на жилой комплекс "Груневен" Амстердам (Нидерланды), врезавшись в один из жилых домов. На борту погибли все 5 человек, а также 39 человек, находящихся в этот момент в доме."
"Самолет упал на дачный поселок. Погибли 39 человек: 4 члена экипажа и 35 человек находящихся на земле, "
> Аналогично с поездами, которые сошли с рельс."Корейская Народно-Демократическая Республика 22 апреля 2004 — на станции Йончхон лобовое столкновение двух грузовых поездов, один из которых перевозил нефть, а другой — химикаты. Взрывом разрушена часть примыкающего к станции города. Официально 161 человек погиб, около 1300 — ранены[15]."
> Тер.акты не принимаются потому что там цель - это убить
Ну да, ну да. А еще очень не вписывается в предыдущие утверждения …
На станции Йончхон поезда не сталкивались. На соседних путях оказались цистерны с нефтью, вагоны с взрывчаткой для шахт и пара поездов с удобрениями. Произошёл обрыв контактного провода над поездом с нефтью, с последующим пожаром, взрывом взрывчатки, из-за чего сдетониовали удобрения. Нитрат аммония - удобрение и одновременно основной компонент взрывчатки. В виде удобрения его крайне сложно сдетонировать (взрывчатого вещества инициатора должно быть минимум вдвое больше, чем удобрений), но в случае детонации он по мощности равен тротилу.Взрывом оказалась разрушена узловая станция, пострадали и погибли железнодорожники. В ближайшем городе (10 км.) выбило стёкла, порезав нескольких человек. Если уж приводишь примеры, потрудись разобраться в теме.
Малая авиация - это отдельный разговор, у них раздолбайские правила и слабый контроль. Для избежания падения самолётов на городские кварталы, глиссады (найди что означает это слово) проходят над реками и парками.
Пока что я вижу, что ради достижения своей цели, ты готов на обман.
> На станции Йончхон поезда не сталкивались. На соседних путях оказались цистерны с нефтью, вагоны с взрывчаткой для шахт и пара поездов с удобрениями.Ух ты, свидетель из Северной Кореи!
> Малая авиация - это отдельный разговор, у них раздолбайские правила и слабый контроль.Пошел юлеж. Скажи, какое слово в "там самолеты не могут свалиться на детский сад" ты не понял ?
> Для избежания падения самолётов на городские кварталы, глиссады (найди что означает это слово) проходят над реками и парками.В отличие от теоретиков, я не только знаю значение этого слова, но и наблюдаю каждый день, где эти глиссады проходят, особенно когда куча самолетов встают в "очередь" на посадку - у меня тут в 20 км на северо-западе аэропорт на 25 млн. пассажиров в год и в 35км в другую сторну на 12 млн. пассажиров.
> Пока что я вижу, что ради достижения своей цели, ты готов на обман.
Я вижу передерг и юлеж. В общем, ничего нового.
Простите что встреваю в вашу дискуссию, парни. Делл конечно многофункциональная компания, но чем конкретно из этого они занимались?
> но чем конкретно из этого они занимались?Пользовались авто, авиа, жд. транспортом. А что? ;)
Зачем компаниям занимающимся обработкой "больших обезличенных данных" базы с персональными данными людей?
Rому они обезличенные то нужны? Им цена рупь пучек. Вот связанные меду собой Иваном Ивановичем Ивановым - совсем другое дело. :)
> Зачем компаниям занимающимся обработкой "больших обезличенных данных" базы с персональными
> данными людей?Чтобы подсматривать в ответ же. Наука!
Печально раньше хорошая компания была.
Была. Как и были когда-то IBM Thinkpad. А теперь надо продавать Apple.
Что такое, твои данные утекли, американский гражданин? :DМесяц назад купил топовый XPs, уже 3й по счету за последние 9 лет. Качество/производительность на высоте, как и всегда. Не знаю от чего хомячков так бомбит.
Нормальная компания. Всю жизнь покупаю их мониторы, что для работы, что для игр. Не дерьмо же от Benq/Asus/Samsung/LG покупать.
https://otvet.mail.ru/question/189387888
Хороший человек на мейлсру не зайдет. ;)
Твари никак не могу додуматься сделать анонимные данные. Просто фпилите перебор и алиасы/метки/ключи/айди, они же краткие сведения для идентификации.
Какая разница, будешь все-равно глотать гoвно. От асус или айсера, не одно так другое проглотишь и не подавишься.
Так и надо всем кто доверил данные этой шарашке.
назовите же имя этой компании, которой нужно доверить данные?
мелкософт же, ну. ;)
слушай, ну у них уже вошло в традицию, что аж подписанные образы винды тырят за пол-дня до релиза, неужели ж при этом не тырят и данные лошков, сдавших их live login'у?просто образы потом на халяву раздают, а там - за денешку небольшую, и только проверенным покупателям, чтоб не вышло вот как с делом.
А я то думаю, чего ценник "классических" инфраструктурных администраторов так подрастает. По ходу надевопсились.
При чем вообще операции разработки к сетевой безопасности?Специалист операций разработки необходим если проект настолько большой, что своими силами поддерживать автоматизацию у разработчиков отнимало бы слишком много времени / сил.
Под автоматизацией так же может подразумеваться разворачивание приложения на промышленном сервере, но в таком случае или сетевой инженер подготавливает точку входа для деплоймента либо же, если какие-то сетевые конфиги описаны как IaaC, то они сами эту часть и пишут/рецензируют.
Если проект настолько большой (как те из новости, где были эти утечки), то обычно еще есть специалист (отдел) по безопасности.
Усли у вас в конторе нанимают девопсов _вместо_ сисадминов, сетевых инжеренеров или безопасников, то это просто ЛОЛ, типа как нанимать специалиста по обивке салона заодно и отлаживать системы впрыска.
малыш, признайся честно - тебя на работу-то уже взяли, или ты все еще на пятом курсе бьешь баклуши как практикант?потому что словей где-то понахватался, но как оно на самом деле работает - явно не представляешь совсем.
раз у тебя так подгорело, что в твоём обращении зафигурировали малыши, то моё предположение выше было в точкупо делу есть что сказать?
> Усли у вас в конторе нанимают девопсов _вместо_ сисадминов, сетевых инжеренеров или
> безопасников, то это просто ЛОЛ, типа как нанимать специалиста по обивке
> салона заодно и отлаживать системы впрыска.Так именно этим специалисты по обивке салона с попутной отладкой инжектора и недовольны - их либо увольняют, либо платят как жамшуту тянущему витуху, т.е. 20 тыр/мес.
>> Усли у вас в конторе нанимают девопсов _вместо_ сисадминов, сетевых инжеренеров или
>> безопасников, то это просто ЛОЛ, типа как нанимать специалиста по обивке
>> салона заодно и отлаживать системы впрыска.
> Так именно этим специалисты по обивке салона с попутной отладкой инжектора и
> недовольны - их либо увольняют, либо платят как жамшуту тянущему витуху,
> т.е. 20 тыр/мес.так недовольный гражданин выше недоволен обивщиками салона и результатами их инжекторной работы. не могу понять его (её?) логику
Частично переведённое меню (LiveCD) выглядит не очень ряшливо. Как и чужеродные значки. С комплектным переводом хотя бы программ без помощи лучше всех у Windows навсегда?