В ответ на: ЕМ 972*** 2001-07-09 Кам'янобрідським РВ УМВС України в Луганській області
хм. Звідки у Дії паспорт-книжечка?
так в этом же вся фишка, типа дия сама ничего у себя не хранит, но через нее попадают куда хош ну и нафига такие ворота?
В том то и дело, что зелёным избирателям буду вешать лапшу на уши, что в Дии никаких данных нет, взламывать там нечего, но при этом скромно промолчат, что это просто портал-дырища ко всем остальным реестрам. И теперь для взломщиков очень удобно сделали, не нужно пытаться взламывать отдельные ресурсы. Взломали Дию - получили доступ к чему угодно. По слухам в продаже уже появились исходники сайта личного кабинета водителя, вместе с базой данных. И это только начало. Так как всё разрабатывала одна и та же контора.
так по ссылке ранее да, жирный рахив на овер 10 гиг, но.... я скачал все, поискал себя...
Другое интересно, 10ГБ - это кусок базы на 100тысяч. Выкачали больше 2млн. Администратор не видел, что у него выкачивают 250-300ГБ данных, нет никаких защит? Это ж сколько качали.
так по ссылке ранее да, жирный рахив на овер 10 гиг, но.... я скачал все, поискал себя...
Другое интересно, 10ГБ - это кусок базы на 100тысяч. Выкачали больше 2млн. Администратор не видел, что у него выкачивают 250-300ГБ данных, нет никаких защит? Это ж сколько качали.
каменты почитал, страшно как-то все звучит. а чем конкретно грозит обычному юзеру, который только из-за ковид сертификата влез в эту дию? Недвижимость, машину перепишут, кредит возьмут?
Alex2064 26.01.2022 08:51 пишет: каменты почитал, страшно как-то все звучит. а чем конкретно грозит обычному юзеру, который только из-за ковид сертификата влез в эту дию? Недвижимость, машину перепишут, кредит возьмут?
Ну вот по идее у злоумышленников могут быть все-все твои персональные данные - как минимум паспортные данные, адрес проживания, твой ИНН, ФИО. Если входил через банкайди - то еще и имейл+телефон (например, монобанк передает имейл+телефон которые я оставлял именно банку, и поменять их чисто для передачи внешнему источнику низзя). Помимо этих данных, люди загружали свои доп.доки через сайт Дию или через e-driver ресурс, там тоже туча доков. Я ознакомился с примером дампа e-driver на 2.7Гб - там туууча pdf файликов лежит (помимо самого сайта на пайтоне), которые сами люди загружали, там и свидетельства о браке, и договора лизингов, и куча мед.справок, и паспорта даже (загран и украинские). И да, есть git log вся история коммитов, кто (разработчик) что и когда закинул и т.д., который подделывать ну 100% нет смысла и тяжело. С точки зрения безопасности - дыр оччень много, и если банально .git дерево не отсеяли при деплое на продакшн - то что уже говорить про другие моменты. Код, логи, ключи, доступы и обмен с другими реестрами - все есть, да. Поэтому я охотно верю в теорию, что сломали еще до НГ, и через Дию качали инфу со всех реестров, к которым у Дии есть доступ (а таких хватает). И последним шагом (а не первым) была уже изменена визуально страница на нескольких сайтах. На тот момент можно было уже и не закрывать сайты - уже все что можно было стянуть - стянули. Что можно со всеми этими данными сделать - тут надо понимать законы. Я так понимаю, кредит через электронные каналы оформить - можно. Что еще? ХЗ. Как минимум для спам рассылок, когда есть не просто ЖИВОЙ имейл, а к нему еще и привязка адреса физического, ФИО да еще и телефон - уже много.
На данном этапе от государства я бы ожидал какого-то плана и шагов, хрен с ним, с признанием что они позволили спокойно качать террабайты(!) инфы на протяжении нескольких месяцев, но сейчас нужно что-то делать. Наверное, как минимум, сменить все ключи, поменять доступы (надеюсь это и так делают). Далее, нужно в срочном порядке хотя бы приостановить эту "быструю выдачу кредитов", и до слива данных были жалобы, что подделывают, (вспомните подписанную, например, украинскую петицию байденом ), то имея на руках ВСЕ персональные данные кредит оформить без ведома человека - легко. Ну да, Дия подсуетилась и запустила... "уведомления, что вам выдали кредит". Че, норм. Адекватный шаг? Что делать пользователю, если даже придет такой пуш? Куда звонить? Куда бежать? Саппорт Дии - мертвый. Я вот например, не знаю куда звонить если вдруг обнаружу кредит на себе. А вы? И таких примеров много, не токльо кредит. Но государство молчит, более того упорно со всех источников (сама Дия, кибер-полиция, гос.безопасность) кричат "слива не было". Угу.. Как и войск на границе.
Alex2064 26.01.2022 08:51 пишет: каменты почитал, страшно как-то все звучит. а чем конкретно грозит обычному юзеру, который только из-за ковид сертификата влез в эту дию? Недвижимость, машину перепишут, кредит возьмут?
Злочинці можуть на основі даних про ваше рухоме та нерухоме майно приблизно оцінити ваші фінансові статки і спробувати завітати " у гості" - адреса в них вже є і не потрібні т.з. "наводки"
ПиСи. Прохання до програмістів що вони пишуть в цій темі : ваші дописи дуже цікаві , але не все в них зрозуміло , за можливістю пишіть будь ласка доступними пересічним словами , бо важко зрозуміти специфічні терміни на кшталт "git log" , "деплой" тощо - для неспеціалістів це "темний ліс" і гуглити все те не завжди є можливість
Alex2064 26.01.2022 08:51 пишет: каменты почитал, страшно как-то все звучит. а чем конкретно грозит обычному юзеру, который только из-за ковид сертификата влез в эту дию? Недвижимость, машину перепишут, кредит возьмут?
Ну вот по идее у злоумышленников могут быть все-все твои персональные данные - как минимум паспортные данные, адрес проживания, твой ИНН, ФИО. Если входил через банкайди - то еще и имейл+телефон (например, монобанк передает имейл+телефон которые я оставлял именно банку, и поменять их чисто для передачи внешнему источнику низзя). Помимо этих данных, люди загружали свои доп.доки через сайт Дию или через e-driver ресурс, там тоже туча доков. Я ознакомился с примером дампа e-driver на 2.7Гб - там туууча pdf файликов лежит (помимо самого сайта на пайтоне), которые сами люди загружали, там и свидетельства о браке, и договора лизингов, и куча мед.справок, и паспорта даже (загран и украинские). И да, есть git log вся история коммитов, кто (разработчик) что и когда закинул и т.д., который подделывать ну 100% нет смысла и тяжело. С точки зрения безопасности - дыр оччень много, и если банально .git дерево не отсеяли при деплое на продакшн - то что уже говорить про другие моменты. Код, логи, ключи, доступы и обмен с другими реестрами - все есть, да. Поэтому я охотно верю в теорию, что сломали еще до НГ, и через Дию качали инфу со всех реестров, к которым у Дии есть доступ (а таких хватает). И последним шагом (а не первым) была уже изменена визуально страница на нескольких сайтах. На тот момент можно было уже и не закрывать сайты - уже все что можно было стянуть - стянули. Что можно со всеми этими данными сделать - тут надо понимать законы. Я так понимаю, кредит через электронные каналы оформить - можно. Что еще? ХЗ. Как минимум для спам рассылок, когда есть не просто ЖИВОЙ имейл, а к нему еще и привязка адреса физического, ФИО да еще и телефон - уже много.
На данном этапе от государства я бы ожидал какого-то плана и шагов, хрен с ним, с признанием что они позволили спокойно качать террабайты(!) инфы на протяжении нескольких месяцев, но сейчас нужно что-то делать. Наверное, как минимум, сменить все ключи, поменять доступы (надеюсь это и так делают). Далее, нужно в срочном порядке хотя бы приостановить эту "быструю выдачу кредитов", и до слива данных были жалобы, что подделывают, (вспомните подписанную, например, украинскую петицию байденом ), то имея на руках ВСЕ персональные данные кредит оформить без ведома человека - легко. Ну да, Дия подсуетилась и запустила... "уведомления, что вам выдали кредит". Че, норм. Адекватный шаг? Что делать пользователю, если даже придет такой пуш? Куда звонить? Куда бежать? Саппорт Дии - мертвый. Я вот например, не знаю куда звонить если вдруг обнаружу кредит на себе. А вы? И таких примеров много, не токльо кредит. Но государство молчит, более того упорно со всех источников (сама Дия, кибер-полиция, гос.безопасность) кричат "слива не было". Угу.. Как и войск на границе.
по кредитам как вариант поставить запрет черз бюро на выдачу. Стоит вроде 500 грн.
barguzin 26.01.2022 10:25 пишет: специфічні терміни на кшталт "git log" , "деплой" тощо - для неспеціалістів це "темний ліс" і гуглити все те не завжди є можливість
смотри, если простыми словами - когда пишут объемный проект - код дописывают небольшими кусочками, и добавляют его в общий код порционно, по завершении какой-то одной задачи, или по реализации какой-то функции приложения. Такое событие называется "коммит". Место, где хранится код - называется гит репозиторий. Так вот, гит репозиторий хранит всю историю коммитов (добавлений кода, исправлений кода), и можно проследить кто, и когда что в том самом коде менял. Там куча информации, начиная от автора этого куска кода, заканчивая временными метками. Хорошим тоном считается, когда код выпускается в боевое продакшн окружение - вот эту всю историю вычистить. И до пользовательского окружения доходит только приложение собранное из чистого, финального кода. "деплой" - это когда вот этот весь код отправляется на рабочее окружение, которое уже обслуживает пользователей. Вот в этот момент не хило бы почистить историю из соображений гигиены и безопасности. Это если на пальцах.
Если Дия-деятели даже таким пренебрегли - у меня нет слов.. честно...
sashkaa 26.01.2022 11:06 пишет: по кредитам как вариант поставить запрет черз бюро на выдачу. Стоит вроде 500 грн.
Очень напоминает "если ты не лох, то срочно отправь смс "я не лох" на короткий номер 886".
я не сильно в теме, но вроде как в это "бюро" могут обращаться банки за инфой (больше информацией по клиенту, чем можно или нет), но не обязаны вообще. Так что это не панацея. Это должно регулироваться на стороне государства, которое допустило утечку, а не каких-то контор.
НБУ зобов'язує банки користуватися послугами бюро. Але таких бюро далеко не одне, тому дійсно це не панацея. бтв, як раз відкрив собі на початку січня кредитний ліміт. Дія повідомила про це аж в ці вихідні . Купку цеглинок на будівництво 3-х поверхової дачі я відклав.
barguzin 26.01.2022 10:25 пишет: специфічні терміни на кшталт "git log" , "деплой" тощо - для неспеціалістів це "темний ліс" і гуглити все те не завжди є можливість
смотри, если простыми словами - когда пишут объемный проект - код дописывают небольшими кусочками, и добавляют его в общий код порционно, по завершении какой-то одной задачи, или по реализации какой-то функции приложения. Такое событие называется "коммит". Место, где хранится код - называется гит репозиторий. Так вот, гит репозиторий хранит всю историю коммитов (добавлений кода, исправлений кода), и можно проследить кто, и когда что в том самом коде менял. Там куча информации, начиная от автора этого куска кода, заканчивая временными метками. Хорошим тоном считается, когда код выпускается в боевое продакшн окружение - вот эту всю историю вычистить. И до пользовательского окружения доходит только приложение собранное из чистого, финального кода. "деплой" - это когда вот этот весь код отправляется на рабочее окружение, которое уже обслуживает пользователей. Вот в этот момент не хило бы почистить историю из соображений гигиены и безопасности. Это если на пальцах.
Если Дия-деятели даже таким пренебрегли - у меня нет слов.. честно...
Дуже дякую, тепер принцип та основні терміни зрозумілі
Daugava 26.01.2022 15:11 пишет: НБУ зобов'язує банки користуватися послугами бюро. Але таких бюро далеко не одне, тому дійсно це не панацея. бтв, як раз відкрив собі на початку січня кредитний ліміт. Дія повідомила про це аж в ці вихідні . Купку цеглинок на будівництво 3-х поверхової дачі я відклав.
Подскажите, в Дии надо что-то сделать, чтобы получать такие уведомления? Или "оно само"?
Daugava 26.01.2022 15:11 пишет: НБУ зобов'язує банки користуватися послугами бюро. Але таких бюро далеко не одне, тому дійсно це не панацея. бтв, як раз відкрив собі на початку січня кредитний ліміт. Дія повідомила про це аж в ці вихідні . Купку цеглинок на будівництво 3-х поверхової дачі я відклав.
Подскажите, в Дии надо что-то сделать, чтобы получать такие уведомления? Или "оно само"?
в Андроиде эта галочка про умолчанию включена. Но если вдруг проверить, то внизу выбрать "уведомления" и затем вверху справа будет шестерёнка, раздел, где можно настраивать какие именно уведомления получать, пока там только одна опция )
Апд: ещё можно проверить, что в принципе Дия шлёт уведомления. Снизу справа "меню", затем найти "настройки" и там "разрешить уведомления"
Alex2064 26.01.2022 08:51 пишет: каменты почитал, страшно как-то все звучит. а чем конкретно грозит обычному юзеру, который только из-за ковид сертификата влез в эту дию? Недвижимость, машину перепишут, кредит возьмут?
Ну вот по идее у злоумышленников могут быть все-все твои персональные данные - как минимум паспортные данные, адрес проживания, твой ИНН, ФИО. Если входил через банкайди - то еще и имейл+телефон (например, монобанк передает имейл+телефон которые я оставлял именно банку, и поменять их чисто для передачи внешнему источнику низзя). Помимо этих данных, люди загружали свои доп.доки через сайт Дию или через e-driver ресурс, там тоже туча доков. Я ознакомился с примером дампа e-driver на 2.7Гб - там туууча pdf файликов лежит (помимо самого сайта на пайтоне), которые сами люди загружали, там и свидетельства о браке, и договора лизингов, и куча мед.справок, и паспорта даже (загран и украинские). И да, есть git log вся история коммитов, кто (разработчик) что и когда закинул и т.д., который подделывать ну 100% нет смысла и тяжело. С точки зрения безопасности - дыр оччень много, и если банально .git дерево не отсеяли при деплое на продакшн - то что уже говорить про другие моменты. Код, логи, ключи, доступы и обмен с другими реестрами - все есть, да. Поэтому я охотно верю в теорию, что сломали еще до НГ, и через Дию качали инфу со всех реестров, к которым у Дии есть доступ (а таких хватает). И последним шагом (а не первым) была уже изменена визуально страница на нескольких сайтах. На тот момент можно было уже и не закрывать сайты - уже все что можно было стянуть - стянули. Что можно со всеми этими данными сделать - тут надо понимать законы. Я так понимаю, кредит через электронные каналы оформить - можно. Что еще? ХЗ. Как минимум для спам рассылок, когда есть не просто ЖИВОЙ имейл, а к нему еще и привязка адреса физического, ФИО да еще и телефон - уже много.
Дыр много говориш? Может проще найти что там без дырок. Я не дев, но как ПМ немного шарю. Я не знаю как, кто и сколько далотката что-бы ЭТО внедрять на гос.уровне принудительно практически. Сам заходил в ВЕБ-дию только два раза. Раз за сертификатом, второй посмотреть "пенсионную историю", которая тоже кусками ( более ранние данные есть, более поздних нет, потом опять есть, опять нет....).
Что кроме эл.кредитов можно замутить? Да пожалуйста - кадастровые махинации (рынок земли ,актуальненько), махинации с недвижимостью, махинации с автотранспортом ( двойники, фейковые доверки и т.п.) Это первое что вспомнил.
Вай нот? Я уже наверное месяца 4 не могу через личный кабинет водителя сделать належного. Ошибка и всё. В СЦ нет желания ехать. Попробуем ещё через Дию.
Alex2064 26.01.2022 08:51 пишет: каменты почитал, страшно как-то все звучит. а чем конкретно грозит обычному юзеру, который только из-за ковид сертификата влез в эту дию? Недвижимость, машину перепишут, кредит возьмут?
Ну вот по идее у злоумышленников могут быть все-все твои персональные данные - как минимум паспортные данные, адрес проживания, твой ИНН, ФИО. Если входил через банкайди - то еще и имейл+телефон (например, монобанк передает имейл+телефон которые я оставлял именно банку, и поменять их чисто для передачи внешнему источнику низзя). Помимо этих данных, люди загружали свои доп.доки через сайт Дию или через e-driver ресурс, там тоже туча доков. Я ознакомился с примером дампа e-driver на 2.7Гб - там туууча pdf файликов лежит (помимо самого сайта на пайтоне), которые сами люди загружали, там и свидетельства о браке, и договора лизингов, и куча мед.справок, и паспорта даже (загран и украинские). И да, есть git log вся история коммитов, кто (разработчик) что и когда закинул и т.д., который подделывать ну 100% нет смысла и тяжело. С точки зрения безопасности - дыр оччень много, и если банально .git дерево не отсеяли при деплое на продакшн - то что уже говорить про другие моменты. Код, логи, ключи, доступы и обмен с другими реестрами - все есть, да. Поэтому я охотно верю в теорию, что сломали еще до НГ, и через Дию качали инфу со всех реестров, к которым у Дии есть доступ (а таких хватает). И последним шагом (а не первым) была уже изменена визуально страница на нескольких сайтах. На тот момент можно было уже и не закрывать сайты - уже все что можно было стянуть - стянули. Что можно со всеми этими данными сделать - тут надо понимать законы. Я так понимаю, кредит через электронные каналы оформить - можно. Что еще? ХЗ. Как минимум для спам рассылок, когда есть не просто ЖИВОЙ имейл, а к нему еще и привязка адреса физического, ФИО да еще и телефон - уже много.
На данном этапе от государства я бы ожидал какого-то плана и шагов, хрен с ним, с признанием что они позволили спокойно качать террабайты(!) инфы на протяжении нескольких месяцев, но сейчас нужно что-то делать. Наверное, как минимум, сменить все ключи, поменять доступы (надеюсь это и так делают). Далее, нужно в срочном порядке хотя бы приостановить эту "быструю выдачу кредитов", и до слива данных были жалобы, что подделывают, (вспомните подписанную, например, украинскую петицию байденом ), то имея на руках ВСЕ персональные данные кредит оформить без ведома человека - легко. Ну да, Дия подсуетилась и запустила... "уведомления, что вам выдали кредит". Че, норм. Адекватный шаг? Что делать пользователю, если даже придет такой пуш? Куда звонить? Куда бежать? Саппорт Дии - мертвый. Я вот например, не знаю куда звонить если вдруг обнаружу кредит на себе. А вы? И таких примеров много, не токльо кредит. Но государство молчит, более того упорно со всех источников (сама Дия, кибер-полиция, гос.безопасность) кричат "слива не было". Угу.. Как и войск на границе.
Для тех кто ещё сомневался - в открытом доступе и нашарик выставили 900гб базу писем с министерств Украины. Некоторые уже качнул и смогли проверить - реальные данные, не фейк. За эти данные даже денег не просят, все бесплатно в инете..