Forwarded from Ivan Begtin (Ivan Begtin)
Публикую обещанную открытую часть материалов. По ссылке можно прочитать обзор 16 удостоверяющих центров из которых 9 государственные и во всех из них можно получить персональные данные в виде ФИО, места работы, email, ИНН и СНИЛС по физ. лицам через общедоступные реестры сертификатов. В общей сложности это около 63 тысяч записей о физ. лицах.
Ссылка на исследование: https://begtin.tech/pdleaks-p1-uc/
Это очень длинный лонгрид, с документированными примерами и скриншотами по каждому случаю, а также последовательностью воспроизведения.
Обратите внимание на то что:
- исследование проводилось в августе-сентябре 2018 года и в некоторых случаях проблема уже исправлена, но в это меньшая часть УЦ в которых вскрылась подобная ситуация;
- никаких несанкционированных действий в отношении УЦ не проводилось, был анализ только общедоступной информации;
В данном конкретном случае с удостоверяющими центрами проблема в регулировании и в применении этого регулирования УЦ. Подробнее об этом в тексте.
И, я ещё раз оговорюсь, публикуемое - это меньшая часть общего исследования по ситуации с персональными данными в созданных или регулируемых государством информационных системах. Во многих других случаях ситуация значительно хуже.
#data #privacy #personaldata
Ссылка на исследование: https://begtin.tech/pdleaks-p1-uc/
Это очень длинный лонгрид, с документированными примерами и скриншотами по каждому случаю, а также последовательностью воспроизведения.
Обратите внимание на то что:
- исследование проводилось в августе-сентябре 2018 года и в некоторых случаях проблема уже исправлена, но в это меньшая часть УЦ в которых вскрылась подобная ситуация;
- никаких несанкционированных действий в отношении УЦ не проводилось, был анализ только общедоступной информации;
В данном конкретном случае с удостоверяющими центрами проблема в регулировании и в применении этого регулирования УЦ. Подробнее об этом в тексте.
И, я ещё раз оговорюсь, публикуемое - это меньшая часть общего исследования по ситуации с персональными данными в созданных или регулируемых государством информационных системах. Во многих других случаях ситуация значительно хуже.
#data #privacy #personaldata
Ivan Begtin blog
Утечки персональных данных из удостоверяющих центров
В данном исследовании были проанализированы утечки таких видов персональных данных как СНИЛС, паспортные данные, сведения о трудоустройстве, сведения о ситуации с работодателем.
April 21, 2019
⚡️ Иван всегда был моим героем, но сегодня он герой на всю страну. И дело тут не в хайпе. А потому что нормальные деловые вопросы с государством (или связанными структурами) почему-то решаются зачастую только хайпом. С другой стороны - это ведь и есть одна из задач СМИ и рычаг общественного контроля. Итак:
ПЕРСОНАЛЬНЫЕ ДАННЫЕ В РФ И ИХ СОХРАННОСТЬ
https://yangx.top/begtin/1385
ПЕРСОНАЛЬНЫЕ ДАННЫЕ В РФ И ИХ СОХРАННОСТЬ
https://yangx.top/begtin/1385
Telegram
Ivan Begtin
В РБК вышла статья по доступности персональных данных на электронных торговых площадках [1]. Более 2,2 миллиона записей и это продолжение результатов моего исследования о персональных данных в удостоверяющих центрах [2].
В этот раз я, вместо того чтобы самому…
В этот раз я, вместо того чтобы самому…
April 29, 2019
Forwarded from Ivan Begtin (Ivan Begtin)
3-ю часть исследования про персональные данные из государственных информационных систем я не публиковал сам, а передал РБК. Почему? Вы поймёте это прочитав только что вышедшую статью https://www.rbc.ru/politics/15/05/2019/5cdac8469a79479a27bd4eca о том чьи паспортные данные оказались в открытом доступе. И не только паспортные данные.
В открытом доступе я на днях опубликую открытую часть, без методик воспроизведения.
После прошлой публикации мне "оборвали телефон" журналисты так что сразу ответы на несколько вопросов:
1. Всё это было передано журналистам через 8(!) месяцев после того как материалы передавались Роскомнадзору и они даже отвечали в форме "с чем-то мы согласны, с чем-то несогласны". Роскомнадзору это передавалось после того как значительно ранее часть госорганов я предупреждал что такая проблема в их информационных системах есть, не прореагировал _никто_.
2. По наиболее серьёзным утечкам перс-данных органы власти, операторы систем были предупреждены ещё 8 месяцев назад, а то и раньше. Некоторые по нескольку раз. Лично я понял что механизм предупреждения любыми неформальными способами - не работает.
3. В этот раз проблема не в объёме, а в том чьи данные раскрываются.
4. Особо про Минюст. Я скажу максимально вежливо - очень много вопросов по профессионализму тех кто ведёт их реестры. Утечки перс данных - это лишь один из примеров крайне низкого качества данных в целом.
И да, конечно же, это не все государственные информационные ресурсы на которых публикуют персональные данные. Это та их часть до которой у меня дошли руки полгода назад всё задокументировать.
Самый быстрый способ со мной связаться это почта ivan@begtin.tech или телеграм https://yangx.top/ibegtin
Я обычно, почти никогда не беру звонки с городских телефонов, и могу не взять звонок с неизвестного телефона если сижу на совещании. Поэтому лучше писать чем звонить.
Но в принципе в статье в РБК всё понятно изложено.
#privacy #security #personaldata
В открытом доступе я на днях опубликую открытую часть, без методик воспроизведения.
После прошлой публикации мне "оборвали телефон" журналисты так что сразу ответы на несколько вопросов:
1. Всё это было передано журналистам через 8(!) месяцев после того как материалы передавались Роскомнадзору и они даже отвечали в форме "с чем-то мы согласны, с чем-то несогласны". Роскомнадзору это передавалось после того как значительно ранее часть госорганов я предупреждал что такая проблема в их информационных системах есть, не прореагировал _никто_.
2. По наиболее серьёзным утечкам перс-данных органы власти, операторы систем были предупреждены ещё 8 месяцев назад, а то и раньше. Некоторые по нескольку раз. Лично я понял что механизм предупреждения любыми неформальными способами - не работает.
3. В этот раз проблема не в объёме, а в том чьи данные раскрываются.
4. Особо про Минюст. Я скажу максимально вежливо - очень много вопросов по профессионализму тех кто ведёт их реестры. Утечки перс данных - это лишь один из примеров крайне низкого качества данных в целом.
И да, конечно же, это не все государственные информационные ресурсы на которых публикуют персональные данные. Это та их часть до которой у меня дошли руки полгода назад всё задокументировать.
Самый быстрый способ со мной связаться это почта ivan@begtin.tech или телеграм https://yangx.top/ibegtin
Я обычно, почти никогда не беру звонки с городских телефонов, и могу не взять звонок с неизвестного телефона если сижу на совещании. Поэтому лучше писать чем звонить.
Но в принципе в статье в РБК всё понятно изложено.
#privacy #security #personaldata
РБК
Паспортные данные Дворковича и Чубайса попали в открытый доступ
В информационных системах госорганов — от реестра НКО Минюста до московского портала госзакупок — в открытом доступе размещены 360 тыс. записей с личными данными, в том числе сведения о бывших
May 15, 2019
Forwarded from Ivan Begtin (Ivan Begtin)
CNews пишет о том что сайт с законопроектами Госдумы скоро будет недоступен во многих браузерах поскольку использует TLS 1.0, а скоро этот стандарт передачи данных не будет поддерживаться в Firefox и других браузерах [1]
Долго думая что добавить к этой новости, не могу не вспомнить о том что, например, сайт обращений к Президенту РФ letters.kremlin.ru до сих пор не имеет своего сертификата [2]. Там только относительно недавно стал отзываться https с сертификатом от другого домена [3].
Раньше, для того чтобы, например, губернатору знать о том на что жалуются граждане Президенту, достаточно было договориться с крупнейшими местными провайдерами чтобы перехватывать все отправленные сообщение от граждан направляемые через незащищённый http протокол.
Да и сейчас, пока своего сертификата у домена нет, тоже можно, лишь чуть сложнее, но ничего нереального. Тем более что по умолчанию letters.kremlin.ru только http и поддерживает.
Но это всё, разумеется, исключительно умозрительная, нереалистичная ситуация. Конечно же, ни один губернатор, по причине высоких моральных качеств и этических принципов, не мог даже задуматься о подобном.
Ссылки:
[1] https://www.cnews.ru/news/top/2020-07-16_sajt_s_zakonoproektami_gosdumy
[2] http://letters.kremlin.ru
[3] https://letters.kremlin.ru
#tls #ssl #https #privacy
Долго думая что добавить к этой новости, не могу не вспомнить о том что, например, сайт обращений к Президенту РФ letters.kremlin.ru до сих пор не имеет своего сертификата [2]. Там только относительно недавно стал отзываться https с сертификатом от другого домена [3].
Раньше, для того чтобы, например, губернатору знать о том на что жалуются граждане Президенту, достаточно было договориться с крупнейшими местными провайдерами чтобы перехватывать все отправленные сообщение от граждан направляемые через незащищённый http протокол.
Да и сейчас, пока своего сертификата у домена нет, тоже можно, лишь чуть сложнее, но ничего нереального. Тем более что по умолчанию letters.kremlin.ru только http и поддерживает.
Но это всё, разумеется, исключительно умозрительная, нереалистичная ситуация. Конечно же, ни один губернатор, по причине высоких моральных качеств и этических принципов, не мог даже задуматься о подобном.
Ссылки:
[1] https://www.cnews.ru/news/top/2020-07-16_sajt_s_zakonoproektami_gosdumy
[2] http://letters.kremlin.ru
[3] https://letters.kremlin.ru
#tls #ssl #https #privacy
CNews.ru
Сайт с законопроектами Госдумы больше недоступен для пользователей Firefox. На очереди Chrome, Safari, MS Edge
Сайт ГАС «Законодательство», на котором размещены рассматриваемые Госдумой законопроекты, перестал быть доступен...
July 16, 2020
Forwarded from Ivan Begtin (Ivan Begtin)
Итак, парам-пам-пам, о том почему бессмысленно обращаться в Роскомнадзор по поводу трекинга пользователей в госприложениях.
В свежее приложение Роскомнадзора [1] включён код передачи данных в сервис Google Firebase и в сервис AppMetrica (Яндекс).
На скриншоте результат анализа через инструменты Exodus Privacy. На всякий случай перепроверка через MobSF это подтверждает. Там и с точки зрения безопасности приложение неидеально, но пусть это анализируют другие.
Не только "гос госу глаз не выклюет", но и "Роскомнадзор сам себя не выпорет".
А пора бы Роскомнадзору быть не только дуботолками и чертями веревочными, а заканчивать это божедурье и начать работать.
Ссылки:
[1] https://play.google.com/store/apps/details?id=org.rkn.ermp
#privacy
В свежее приложение Роскомнадзора [1] включён код передачи данных в сервис Google Firebase и в сервис AppMetrica (Яндекс).
На скриншоте результат анализа через инструменты Exodus Privacy. На всякий случай перепроверка через MobSF это подтверждает. Там и с точки зрения безопасности приложение неидеально, но пусть это анализируют другие.
Не только "гос госу глаз не выклюет", но и "Роскомнадзор сам себя не выпорет".
А пора бы Роскомнадзору быть не только дуботолками и чертями веревочными, а заканчивать это божедурье и начать работать.
Ссылки:
[1] https://play.google.com/store/apps/details?id=org.rkn.ermp
#privacy
February 10, 2021
Forwarded from Ivan Begtin (Ivan Begtin)
Ну что друзья, я таки удостоился отдельного пресс релиза от Минцифры РФ [1], правда без упоминания меня лично или Инфокультуры, но я и на такое не рассчитывал. А из пресс-релиза мы можем узнать две мысли:
- ПО можно удалить (а как же Самсунг;))
- "Вам никто ничего не навязывает, Вы со всем можете ознакомиться при установке" (с)
На это я повторяю ещё раз ещё один ключевой тезис. С момента обязательности предустановки ПО на телефоны граждан России ответственность за передачу данных из приложений в рамках этой предустановки лежит полностью на регуляторе и законодателях - Минцифре и Правительстве РФ. Лезть в регулирование рынка AdTech не разобравшись в нём было глупо, а если разобравшись то совсем цинично.
Ссылки:
[1] https://digital.gov.ru/ru/events/40734/
#privacy #digital
- ПО можно удалить (а как же Самсунг;))
- "Вам никто ничего не навязывает, Вы со всем можете ознакомиться при установке" (с)
На это я повторяю ещё раз ещё один ключевой тезис. С момента обязательности предустановки ПО на телефоны граждан России ответственность за передачу данных из приложений в рамках этой предустановки лежит полностью на регуляторе и законодателях - Минцифре и Правительстве РФ. Лезть в регулирование рынка AdTech не разобравшись в нём было глупо, а если разобравшись то совсем цинично.
Ссылки:
[1] https://digital.gov.ru/ru/events/40734/
#privacy #digital
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации
Минцифры России исключает возможность передачи предустановленными приложениями персданных россиян в том числе иностранным компаниям
April 3, 2021
Forwarded from Ivan Begtin (Ivan Begtin)
Поскольку с сегодняшнего утра невероятный бум публикаций, вначале со ссылкой на исследование о трекерах, потом с опровержениями со стороны Яндекса, Mail.ru и Минцифры и все пишут и комментируют что никаких данных не передаётся, всё это техническая информация просто для удобства разработчиков. Ребята, я не понимаю зачем Вы это делаете и вот так подставляетесь, честно. Я ведь всегда пишу по простому сценарию:
- вбрось достаточно информации, чтобы все обсуждали, но не всё
- подожди пока не начнут оправдываться
- предъяви дополнительные доказательства
- подожди пока не начнут оправдываться
- предъяви дополнительные доказательства
Я могу, безусловно, указать на конкретные условия использования конкретных сервисов, могу показать записи трафика со структурой передаваемых данных, могу показать на вполне конкретные результаты находок европейских и других регуляторов которые проводили анализ приложений включающих эти или аналогичные трекеры в рамках регулирования AdTech рынка.
Конечно же всё это есть и конечно же я не буду сразу это предъявлять, для всего нужен хороший момент. Вот к 1 апреля был хороший повод, я о нём предупреждал за 2 месяца. Я вообще веду себя даже черезчур предупредительно, не делаю ничего неожиданного, предупреждаю обо всё очень заранее. Даже непривычно как-то;)
Вот и тут ситуация такая же, будет свежий повод в течение ближайших месяцев, а я думаю он появится к июлю августа, то и будет продолжение темы.
Только журналисты уже будут писать об этом в риторике: "Ранее Яндекс и Mail.ru отрицали передачу персональных данных" или "Ранее Минцифры отрицали передачу персональных данных россиян предустановленным ПО".
И снова я повторю одну и ту же мысль. Пока рынок AdTech существовал сам по себе - каждый гражданин сам нёс ответственность. Когда туда пришёл регулятор в лице Минцифры, то не надо увиливать, несите ответственность за то что вы требуете ставить на телефоны граждан. Не к Яндексу и не к Mail.ru и к другим претензии, а к тем кто обязал ставить их ПО на смартфоны в обязательном порядке.
#privacy #mobileapps
- вбрось достаточно информации, чтобы все обсуждали, но не всё
- подожди пока не начнут оправдываться
- предъяви дополнительные доказательства
- подожди пока не начнут оправдываться
- предъяви дополнительные доказательства
Я могу, безусловно, указать на конкретные условия использования конкретных сервисов, могу показать записи трафика со структурой передаваемых данных, могу показать на вполне конкретные результаты находок европейских и других регуляторов которые проводили анализ приложений включающих эти или аналогичные трекеры в рамках регулирования AdTech рынка.
Конечно же всё это есть и конечно же я не буду сразу это предъявлять, для всего нужен хороший момент. Вот к 1 апреля был хороший повод, я о нём предупреждал за 2 месяца. Я вообще веду себя даже черезчур предупредительно, не делаю ничего неожиданного, предупреждаю обо всё очень заранее. Даже непривычно как-то;)
Вот и тут ситуация такая же, будет свежий повод в течение ближайших месяцев, а я думаю он появится к июлю августа, то и будет продолжение темы.
Только журналисты уже будут писать об этом в риторике: "Ранее Яндекс и Mail.ru отрицали передачу персональных данных" или "Ранее Минцифры отрицали передачу персональных данных россиян предустановленным ПО".
И снова я повторю одну и ту же мысль. Пока рынок AdTech существовал сам по себе - каждый гражданин сам нёс ответственность. Когда туда пришёл регулятор в лице Минцифры, то не надо увиливать, несите ответственность за то что вы требуете ставить на телефоны граждан. Не к Яндексу и не к Mail.ru и к другим претензии, а к тем кто обязал ставить их ПО на смартфоны в обязательном порядке.
#privacy #mobileapps
April 3, 2021
Forwarded from Ivan Begtin (Ivan Begtin)
Главный радиочастотный центр (ФГУП при Роскомнадзоре) объявил закупку на "Выполнение работ по созданию автоматизированной системы мониторинга нарушений прав субъектов персональных данных в сети «Интернет» " [1] (АС МПДн)
Закупают они по 223-ФЗ, поэтому победителя торгов мы не узнаем, а вот на что точно можно и нужно обратить внимание так это на чрезвычайно детальное техническое задание с тщательным перечислением всех технических средств предполагаемых к использованию, что, чаще, бывает когда ТЗ пишет поставщик предопределенный госзаказчиком. Но, опять же, с сайта ЕИС мы о поставщике не узнаем.
Зато можно обратить внимание по каким ключевым словам Роскомнадзор собирается искать сайты распространяющие ПДн.
Как бы сказать помягче, система в будет совершенно бессмысленна. Её заказчики явно не понимают как устроено распространение персональных данных.
Ссылки:
[1] https://zakupki.gov.ru/223/purchase/public/purchase/info/common-info.html?regNumber=32110590564
#privacy #rkn #procurement
Закупают они по 223-ФЗ, поэтому победителя торгов мы не узнаем, а вот на что точно можно и нужно обратить внимание так это на чрезвычайно детальное техническое задание с тщательным перечислением всех технических средств предполагаемых к использованию, что, чаще, бывает когда ТЗ пишет поставщик предопределенный госзаказчиком. Но, опять же, с сайта ЕИС мы о поставщике не узнаем.
Зато можно обратить внимание по каким ключевым словам Роскомнадзор собирается искать сайты распространяющие ПДн.
Как бы сказать помягче, система в будет совершенно бессмысленна. Её заказчики явно не понимают как устроено распространение персональных данных.
Ссылки:
[1] https://zakupki.gov.ru/223/purchase/public/purchase/info/common-info.html?regNumber=32110590564
#privacy #rkn #procurement
August 28, 2021
Forwarded from Ivan Begtin (Ivan Begtin)
Я вот уже несколько дней отказываюсь комментировать журналистам всё что связано с мобилизацией, войной, информатизацией военкоматов. Сейчас предостаточно политологов которые комментируют происходящее чуть ли не ежеминутно.
Я лично нахожусь в России, и надеюсь находится так долго как только смогу, как бы власти не усложняли жизнь мне и многим другим.
Но есть то я могу точно сказать и о чём говорить важно. Вся эта история с "отечественными сертификатами" у Сбербанка и корневыми сертификатами НУЦ Минцифры очень плохая.
Смысл сертификата в том чтобы обеспечивать защищённый канал связи между пользователем и сервером. Корневой сертификат необходим для того чтобы браузеры и другое ПО не выдавало ошибки при попытках связи с серверами использующими сертификаты выпущенные удостоверяющими центрами (УЦ).
УЦ, в свою очередь проходят определенную сертификацию для того чтобы обеспечить это доверие. Число таких корневых сертификатов в ОС Windows, MacOS, IOS, Android ограничено и то что там за все эти годы не появилось российского корневого УЦ должно только настораживать.
Добавив корневой сертификат в доверенные, сделает доверенными не только сертификат Сбербанка, но и может быть выпущен сертификат с помощью которого можно перехватывать трафик к HTTPS сайтам, например, органами правоохраны. Власти Казахстана пытались навязать госсертификат в декабре 2020 года (легко гуглится), но всё это провалилось в итоге. А здесь даже принуждения нет, вернее оно через принуждение сервисом: хочешь Сбербанк - ставь сертификат.
Поэтому, если всё таки, жизнь так распорядилась что доступ к сайту Сбербанка необходим или на другие сайты его распространят я рекомендую:
- либо устанавливать сертификат на отдельное, редко используемое устройство;
- либо устанавливать его на виртуальную операционную систему; используемую редко и не устанавливать его на основное устройство(-а)
- либо перестать использовать Сбербанк и любой иной сервис который такие сертификаты будет навязывать
#security #privacy
Я лично нахожусь в России, и надеюсь находится так долго как только смогу, как бы власти не усложняли жизнь мне и многим другим.
Но есть то я могу точно сказать и о чём говорить важно. Вся эта история с "отечественными сертификатами" у Сбербанка и корневыми сертификатами НУЦ Минцифры очень плохая.
Смысл сертификата в том чтобы обеспечивать защищённый канал связи между пользователем и сервером. Корневой сертификат необходим для того чтобы браузеры и другое ПО не выдавало ошибки при попытках связи с серверами использующими сертификаты выпущенные удостоверяющими центрами (УЦ).
УЦ, в свою очередь проходят определенную сертификацию для того чтобы обеспечить это доверие. Число таких корневых сертификатов в ОС Windows, MacOS, IOS, Android ограничено и то что там за все эти годы не появилось российского корневого УЦ должно только настораживать.
Добавив корневой сертификат в доверенные, сделает доверенными не только сертификат Сбербанка, но и может быть выпущен сертификат с помощью которого можно перехватывать трафик к HTTPS сайтам, например, органами правоохраны. Власти Казахстана пытались навязать госсертификат в декабре 2020 года (легко гуглится), но всё это провалилось в итоге. А здесь даже принуждения нет, вернее оно через принуждение сервисом: хочешь Сбербанк - ставь сертификат.
Поэтому, если всё таки, жизнь так распорядилась что доступ к сайту Сбербанка необходим или на другие сайты его распространят я рекомендую:
- либо устанавливать сертификат на отдельное, редко используемое устройство;
- либо устанавливать его на виртуальную операционную систему; используемую редко и не устанавливать его на основное устройство(-а)
- либо перестать использовать Сбербанк и любой иной сервис который такие сертификаты будет навязывать
#security #privacy
September 26, 2022