История эта длится уже полгода и связана с раскрытием персональной информации одним из московских банков. Поскольку до конца ошибка не ликвидирована, я не буду указывать, какой именно банк имеется в виду. По этой же причине сканы документов здесь не выкладываю, но «у меня их есть».
Рубрика «персональные данные» - 46
Как я банку на баги указывал или Об утечке данных
2014-08-28 в 10:33, admin, рубрики: банки, информационная безопасность, персональные данныеТеперь любой сайт может узнать адрес вашей страницы в VK?
2014-08-20 в 17:29, admin, рубрики: javascript, security, xss, безопасность, безопасность в сети, Вконтакте, персональные данные, уязвимостиНаткнулся на сервис позволяющий разместить на своём сайте js-код, который определяет ID посетителя без авторизации. Пользователь об этом совершенно не догадывается, т.к. определение ID происходит при загрузке любой страницы сайта без всяких вопросов об авторизации.
Для маркетинга это открывает широкие возможности, но никак не вписывается в мои представления о безопасной передаче персональных данных.
Т.е. например, допустим, занесло вас на какой-то порно-сайт, а через полминуты в контакте бот пишет вам в ЛС или на стене предложение приобрести рекомендуемый именно вам товар или услугу в соответствии с разделами, которые вы посещали на сайте, или в соответствии с поисковыми запросами, через которые вы попали на этот сайт.
Любой сайт после установки этого шпионского скрипта, будет знать о своих посетителях почти всё, в плоть до номера телефона, если он указан. Понятно что пользователи сами несут ответственность за то, какие данные они выкладывают в публичный доступ, но заходя на сторонний сайт я не даю согласия на обработку моих персональных данных.
Создатели сервиса утверждают: «Никакого взлома или иных противоправных действий сервис не осуществляет. Мы идентифицируем заходящего человека и накапливаем открытую информацию.». Но я считаю незаконным сам факт идентифицикации. Поправьте меня если я не прав.
Ретаргетинг вконтакте работает похожим образом, но он не даёт доступ к профилям попавшим в группу ретаргетинга.
Может найдётся кто-то среди хабра-специалистов по вэб-безопасности кто сможет осветить эту тему в деталях?
Дело Microsoft: как избежать противоречий, работая с персональными данными в Европе и США?
2014-08-12 в 9:43, admin, рубрики: Блог компании Celecom, персональные данныеМы уже писали ранее о понятии «суверенность данных» или вопросе о том, законами какой страны должны регулироваться дела, касающиеся данных: той, где они находятся? Или законами страны, к которой принадлежит компания, что владеет данными? Может быть, нужно руководствоваться законами страны происхождения той компании, которая размещает их у себя? Эти вопросы приобрели новое значение в свете разоблачений Эдварда Сноудена (Edward Snowden) и раскрытии факта, что АНБ (Агентство национальной безопасности США) вело наблюдение, которое привело к тому, что компании некоторых стран теперь избегают хранить данные в Соединенных Штатах.Читать полностью »
Авто в кредит: Give me your personal data
2014-08-07 в 13:28, admin, рубрики: информационная безопасность, персональные данные
Приветствую всех!
На этот пост меня вдохновил доклад Дейва Кронистера, выступавшего на конференции PHDays в этом году. Его доклад назывался "Give me your data", в котором он рассказал, как без особых навыков и знаний в области ИБ можно получить сегодня в сети множество информации о некоторых их нас.
В этом посте, на примере одной истории о компании по продаже авто в кредит, я расскажу Вам как можно с легкостью получить сведения о человеке.
Сказка про белого бычка или как оставаться невидимым за стеклом
2014-07-28 в 6:29, admin, рубрики: traffic inspector, Блог компании Smart-Soft, персональные данные, смарт-софтЧеловечество в своем развитии идет все дальше — многое из того, что казалось фантастикой ещё 100 лет назад, уже стало реальностью. Если при Иване Грозном достаточно было спросить: «Кто вы родом, сколь вам лет, вы женаты али нет?» — то современные бояре на подобные вопросы уже не отвечают каждому встречному, подобные сведения о себе назвали «персональными данными», а за разглашение если на кол и не посадят, то в острог упечь могут.
Подписан закон о хранении персональных данных российских интернет-пользователей
2014-07-22 в 13:17, admin, рубрики: информационная безопасность, персональные данные, социальные сетиГде? Ну, да, только на российских серверах. Данный закон, как уже обсуждалось ранее, обязывает почтовые сервисы, а также социальные сети размещать персональные данные данные российских пользователях исключительно на серверах, расположенных на территории России. Требования, изложении в данном законе, вступят в силу 1 сентября 2016 года. Цитата: «при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан России с использованием баз данных, находящихся на Читать полностью »
Личные данные: продать нельзя отдать?
2014-07-21 в 10:56, admin, рубрики: безопасность личных данных, Блог компании Yota Devices, личные данные, персональные данные, Поисковые машины и технологии, сбор данных, Социальные сети и сообщества
Привет. Сегодня мы хотим предложить вашему вниманию перевод одной очень интересной статьи, в которой поднимается весьма неоднозначная тема. Ни для кого не секрет, что всевозможные корпорации и социальные сети постоянно собирают различную информацию о своих пользователях и посетителях, включая логи их поведения в сети.
Неустанно протоколируется каждое наше действие, как онлайн, так и, зачастую, оффлайн. Впоследствии эти данные анализируются и используются всеми заинтересованными лицами, в том числе с получением прибыли. На нас зарабатывают социальные сети и рекламные агентства, но мы не имеем ни малейшей выгоды от этого.
Читать полностью »
АНБ покончит со сбором телефонных метаданных американцев
2014-07-10 в 6:50, admin, рубрики: Блог компании Celecom, персональные данныеПалата представителей конгресса США одобрила законопроект, который покончит со сбором АНБ телефонных метаданных американцев
Председатель юридического комитета палаты представителей США Боб Гудлат выступает на пресс-конференции, посвященной закону о свободе США, в четверг [22 мая – прим. перев.].
В четверг [22 мая – прим. перев.] палата представителей конгресса США со значительным перевесом в голосовании одобрила законопроект, который положит конец массовому прослушиванию Агентством национальной безопасности (АНБ) телефонных разговоров граждан Америки. Прослушивание велось в рамках контртеррористической программы, которая вызвала у американцев беспокойство по поводу своей частной жизни после того, как ее существование было раскрыто в прошлом году.
Закон о свободе (The USA Freedom Act), который в самом начале выглядел как внушительный пакет реформ наблюдения, предложенный борцами за гражданские права и республиканской партией либертарианцев, был пересмотрен на этой неделе с целью удовлетворить интересы разведывательных и правоохранительных органов.Читать полностью »
Легальный Clickjacking ВКонтакте
2014-07-03 в 18:36, admin, рубрики: Clickjacking, Вконтакте, Вконтакте API, информационная безопасность, кликджекинг, персональные данныеПоговорим о виджете для авторизации.
Нам говорят, что:
С помощью виджета для авторизации Вы можете максимально просто предоставить пользователям возможность авторизовываться на Вашем ресурсе.
Также, нам говорят, что:
В результате авторизации виджет возвращает следующие поля: uid, first_name, last_name, photo, photo_rec, hash.
Эти чертовы инкрементальные айдишники
2014-07-01 в 9:22, admin, рубрики: безопасность, информационная безопасность, персональные данные, уязвимости, метки: безопасность, персональные данные, уязвимостиКак программисту, принимавшему участие в разработке платежных систем, мне неоднократно приходилось анализировать на наличие уязвимостей различные платежные сервисы, хранящие персональные данные клиентов и я постоянно сталкиваюсь с одной очень распространенной проблемой. Имя этой проблеме — инкрементальные айдишники.
Пример №1.
Сайт крупнейшего агрегатора платежных методов в России, обслуживает лидера онлайн-игр. После оплаты заказа переадресовывает клиента на урл вида http://aggregator-domain/ok.php?payment_id=123456
, который в свою очередь переадресовывает на сайт онлайн-игры с адресом вида (декодировал для читабельности) https://online-game-domain/shop/?...amount=32.86...¤cy=RUB...&user=user_email@gmail.com...&item_name=1 день премиум аккаунта...
Перебирая значения параметра payment_id
, мы можем видеть логины юзеров в онлайн-игре, покупки, которые они совершали, их сумму.
Читать полностью »