Комментарии 31
Супер
С точки зрения безопасности хранение массива агрегированных данных - это серьезная угроза для утечек (ну и злоупотреблений путем изменением данных). Но складывается впечатление, что ни одна история утечки никого ничему не научила, все продолжают упорно собирать и агрегировать всё что можно, понятно что за это хакеры и другие "заинтересованные лица" только спасибо говорят.
у хакеров может быть
Как закон заголовков Беттериджа утверждает, что «если заголовок заканчивается вопросительным знаком, то на него можно ответить „нет“», так и другой закон утверждает, что если в заголовке есть фраза "может быть", то следует после неё добавить "а может и не быть".
Однако то, что Госуслуги утекли — это медицинский факт. И доказательства есть.
Однако то, что Госуслуги утекли — это медицинский факт. И доказательства есть.
Коммент на хабре от анонимуса из интернетов? Ну такое себе доказательство.
А какое Вас доказательство устроит, тащмаёр?
Ежели чё, то тот "коммент на хабре от анонимуса из интернетов" — это мой коммент. И то спам-письмо у меня в особой папочке лежит.
В идеале - подтверждение от ГУ, по закону вроде как обязаны сообщать.
На втором месте - база в продаже, и кусочек базы в открытом доступе, с однозначным подтверждением откуда она.
Ну и на третьем (не будет однозначным подтверждением, но уже заставит задуматься) - разбор от заслуживающих хоть какого-то доверия людей/компании.
А ваши слова - это слова анонимуса в интернете. Даже вообще без пруфов, хоть каких-то. Я тоже могу много всего написать ради лулзов. А учитывая, что у вас в профиле написано "Illinois, США" и риторику некоторых ваших комментов, я склоняюсь к тому, что это простой наброс.
Письмо с любым произвольным содержанием в особую папочку я тоже могу положить если что.
В идеале - подтверждение от ГУ, по закону вроде как обязаны сообщать.
У Вас там по закону много чего обязаны делать — да вот никак не срастается почему-то.
На втором месте - база в продаже, и кусочек базы в открытом доступе, с однозначным подтверждением откуда она.
Тащмаёр, я сейчас страшную вещь скажу, но преступники сейчас всё-таки не настолько тупые, чтобы сами против себя все доказательства на блюдечке с голубой каёмочкой приносить.
разбор от заслуживающих хоть какого-то доверия людей/компании.
Разбор ЧЕГО?
Даже вообще без пруфов, хоть каких-то.
Ну так повторяю: пришло (в разное время) несколько писем, на адрес, известный только госуслугам и мне, с данными, известными только ГУ и мне (емейл, ФИО, СНИЛС, телефон).
учитывая, что у вас в профиле написано "Illinois, США"
Учитывая, что я уезжал под аккорды мухожука, а американское гражданство получил через лет эдак много, нет ничего удивительного в том, что у родной стороны обо мне есть весьма немалое количество информации.
риторику некоторых ваших комментов
А я вот такой сам по себе мальчик, свой собственный. Так бывает, знаете ли. Риторика моих комментов вообще никому не нравится — ни западникам, ни славянофилам. Однако вне зависимости от подрыва их точек факс всё равно останется факсом.
У Вас там по закону много чего обязаны делать — да вот никак не срастается почему-то.
Ну вам то оттуда виднее, что и как происходит в РФ.
преступники сейчас всё-таки не настолько тупые, чтобы сами против себя все доказательства на блюдечке с голубой каёмочкой приносить.
Ага, вместо того чтобы рубить бабло на продаже такой вкусной базы на соотв. ресурсах (как делают обычно в таких случаях), они тупо рассылают спам. Очень умные люди, несомненно.
Разбор ЧЕГО?
Ситуации.
Ну так повторяю
Ага, джентльменам у нас принято верить на слово.
оттуда виднее
Прикиньте, пусть я и там — но родственники и друзья у меня в России остались. Они и рассказывают.
верить на слово
Так я же Вас спросил: что Вам такого предъявить, что могло бы Вас убедить? (И при этом я прекрасно понимаю, что ничего: что бы я Вам не предъявил — оно Вас не убедит: например, я предъявлю скан карточки со СНИЛС — а Вы скажете "ты её в фотошопе нарисовал", и т.д.)
Они и рассказывают
Т.е. что-то типа "Рабинович напел"? :) Или они работают непосредственно в тех местах, где "что-то не срастается"?
что Вам такого предъявить, что могло бы Вас убедить
Вот конкретно вам - я не думаю что вы сможете предоставить веские пруфы, все верно. А верить вам на слово не позволяет ваша репутация, уж извините. Я скорее предположу очередной наброс.
Т.е. что-то типа "Рабинович напел"? :) Или они работают непосредственно в тех местах, где "что-то не срастается"?
Почему сразу "работают"? Наблюдать происходящее недостаточно? Например, по закону на депутатские запросы положено отвечать в определённый срок — а по факту на этот закон кладут с большим пробором.
верить вам на слово не позволяет ваша репутация
Вах, а вот с этого момента, пожалуйста, поподробнее. И какая же у меня репутация? Только, пожалуйста, не из напевок Рабиновичей, а с конкретными ссылочками, вида "а вот тут он назвал Солнцеликого земляным червяком!".
Наблюдать происходящее недостаточно?
Вы знаете, у меня есть родственники, которые любят постоянно говорить что мол все плохо, везде взятки и коррупция. А когда спрашиваешь, а когда конкретно ты сталкивался с тем что пришлось дать взятку или тебе намекали на взятку - говорят что типа несколько лет назад дал ДПСнику, или пытался пропихнуть свой проект под откат, или подобное. Так что нет, такое не катит.
Например, по закону на депутатские запросы положено отвечать в определённый срок — а по факту на этот закон кладут с большим пробором.
Пруфы есть? Если есть - заявление в соотв. органы отправлено? Или опять "Рабинович напел"?
поподробнее
А вот нет. Мой личный рейтинг на основании ваших комментов. Тратить время на более подробное расписывание я не хочу.
Мой личный рейтинг
Восхитительно: значца, с меня доказательства требуете. а как таковые попросили от Вас — так взяли и какуратненько съехали — "ну не нравишься ты мне, мужик, ну вот не нравишься". Ну ок, слив заЩЩитан.
Допускаю, что с ГУ что-то могло утечь, но пока никаких признаков в моём случае не было. Да и проще другие сервисы пробовать взломать, кмк, чем ГУ -- там те же паспортные данные, ИНН, СНИЛС.
Подскажите пожалуйста, какие сейчас на 2024 год есть решения для безопасного хранения данных в реляционной СУБД?
А что конкретно интересует? Использовать при работе шифрование, при интерактивном входе двухфакторку, не хранить креды на диске в открытом виде и т.д. и т.п. Словом, выполнять требования соответствующих стандартов.
Забыл дописать в каких целях, верно. В целях защиты от утечек данных.
Ну тоесть есть сайт, работающий как на cmf или на rest-api, данные хранятся в базе. Вот что можно сделать, чтобы минимизировать риск утечки такой базы данных с данными пользователей.
Нет какого-то одного вундервафельного решения. Для начала настройте нормально доступа и к БД и к API. Проверьте что данные не дергают по чем зря и где не надо. А дальше у вас море всего что можно сделать и за что отдать денег, от шифрования носителя до поведенческого анализа тасков на бд.
Следовать стандартам безопасности. Там, собственно, большая часть правил - это не технические, а организационные требования, типа банальных: "уволился сотрудник - заблокируйте доступ/смените общие секреты (которых при этом надо максимально избегать)"...
Сами БД сейчас надёжные, если их вовремя обновлять. Основные риски - в неверной организации доступов к разным компонентам (сетям, серверам, сервисам). Если элементарно ревьюить код сайта с т.з. безопасности (в помощь "что искать" - сайт https://owasp.org/Top10/ ), и прежде всего смотреть, что он пишет в логи, то всё с большой вероятностью будет хорошо.
Меня вот всегда удивляет в подобных вопросах то, что люди почему-то думают, что какие-то технические "решения" способны спасти от дурошлепства кожмешков и обеспечить "безопасное хранение". Ну сделаете вы БД на зашифрованном диске или будете использовать зашифрованные поля или еще что-то. У кого будет доступ ключу/ключам? Это вы в последнюю очередь собираетесь обдумывать?
Давно пора понять что информационная безопасность это не "давайте реализуем или купим решение X, чтобы все было кошерно и безопасно", а непрерывный процесс по установлению правил информационной безопасности и неуклонному следованию им с использованием имеющихся в наличии тех. средств. А также непрерывный процесс по контролю и проверке этой самой безопасности.
Клевер дело говорит.
Ну утекли! Будем считать, что все личные и интимные документы уже в открытом доступе. Надо жить с этой мыслью - "фарш" обратно не прокрутить. И какие конкретные предложения будут? Вот я, например, чётко против биометрии, которая тоже "утечёт"!
Вообще как бы да. У меня телега id. Слит номер, а через него все сервисы когда госуслуги ломали. ИНН, СНИЛС, Паспорт, фио...
Во взломе сдека тоже я есть.
Увы, сливали вообще со всего и чтобы не быть слитым наверное надо быть цифровым анархистом и жить под чужими доками. Да и сложно уже представить человека, живущего в РФ, но не пользующегося Госуслугами...
Я даже знаю где эти "хакеры" сидят... /s
В ГК «Солар» предупредили, что у хакеров может быть база данных с информацией почти по каждому россиянину