На картинке один из тех пидоров, кто настучал на реактор. Чтобы понятнее было: http://joyreactor.cc/post/1667565
его адрес: https://vk.com/rpgrpg
Мессенджер "Telegram" обновил свою рекламную платформу и начал собирать IP-адреса пользователей, не оформивших премиум-подписку, для таргетинга рекламы.
С помощью сбора IP-адресов рекламодатели смогут показывать рекламу в определённых странах и городах. В "Telegram" уверяют, что никакие другие геолокационные данные для этих целей не собираются и не используются.
В пресс-релизе "Telegram" объяснил, что это позволит избежать показа объявлений в определённых странах или на определённых территориях – например, если рекламодатели хотят дать русскоязычное объявление, но требуют, чтобы оно не отображалось на территории России.
Также рекламодатели смогут передавать в "Telegram" обезличенный список зашифрованных идентификаторов, основанных на номерах телефонов без использования самих номеров. Это позволит им показывать рекламу только для определённой аудитории. Так, например, магазин сможет передавать "Telegram" свою зашифрованную базу номеров телефонов, чтобы показывать своим клиентам спецпредложения.
Изменения касаются только пользователей без подписки "Premium". В мессенджере утверждают, что не будут собирать указанные данные с премиум-пользователей.
Сейчас я расскажу вам прекрасную историю, в которой выражение «я вычислю тебя по IP» приобретает реальный смысл, про бессмысленный и беспощадный российский bugbounty, отношение к персональным данным своих клиентов и бессмысленного регулятора, который вместо контроля за предыдущим, занимается ухудшением жизни жителей РФ (и которого в Прекрасной России Будущего не будет).
История началась около 11 лет назад, когда я изучал устройство сетей крупных операторов с помощью инструмента whois — смотрел распределение адресов для клиентов т.д.), и в одном российском сегменте интернета набрёл на такое, от чего потерял дар речи.
Аккуратно сдампил результаты whois по сетям этого оператора (десятки тысяч адресов), и это настолько меня шокировало, что я предпочёл об этом поскорее забыть.
Месяц назад мне написал один из читателей: смотри, что происходит. И тут я всё вспомнил, и охренел ещё сильнее — от того, что за ~11 лет ничего не поменялось.
Есть такой московский оператор — «Комкор», сейчас работает под торговой маркой Акадо-Телеком.
Среди их клиентов — физические лица, фирмы (много банков, объекты инфраструктуры города) в московской области — жители элитных посёлков (Рублёвка, Барвиха, Жуковка и т.д.).
Многие уже догадываются, о чём будет дальше, но всё равно не могут поверить.
Да, Комкор (Акадо) выкладывает персональные данные своих клиентов прямо в БД RIPE, которая доступна с помощью whois.
Там всё:
ФИО клиента (или название компании), адрес подключения, телефон клиента.
Вот их сети:
212.100.128.0/19
212.45.0.0/19
178.208.128.0/19
Вот элитного посёлка «Жуковка»:
Вот клиенты в Барвихе, включая местный Альфа-Банк:
В таких посёлках много знакомых по расследованиям ФБК (и не только) фамилий — можете сами сграббить в базу и поискать.А что это за Никита Сергеевич в посёлке Николина Гора пользуется услугами горе-провайдера, не известный ли кинорежиссёр? Ага, он:
«Какая-то невероятная дичь», — воскликните вы, и будете совершенно правы.
Давайте теперь посмотрим, как обстоит дело с защитой персданных клиентов-фирм и объектов инфраструктуры Москвы.
Вот IP-адреса объектов ДИТ Москвы — Департамента инфромационных технологий — к Акадо подключены сотни таких объектов. Это интернет для камер, телеметрии и других служебных устройств и пользователей:
Давайте поищем по ключевому слову «Bank».
Что же мы видим? Сотни банков подключены к Комкору, и любой человек на свете может узнать IP-адрес конкретного филиала, контакт технического специалиста, его ФИО и так далее:
Что должен сделать приличный человек, который осознал что все эти ~11 лет персданные клиентов большого оператора лежали в паблике?
Правильно, написать об этом в Комкор. Ну не знали же они, что делают всё это время, в самом деле — надо им об этом рассказать!
Что я и сделал:
Через 1 рабочий день я получил ответ от начальника ИБ — мол информацию получили и проверят (странная задержка в сутки при такой-то страшной дыре, но ладно):
Ещё через 5 дней я решил поинтересоваться результатами проверки информации:
на что мне ответили, что всё исправили:
Ого, думаю я, наконец-то в России стала повышаться ответственность компаний и рост культуры реакции на сообщения о дырах. Но решил всё же проверить: убрали персданные только из блока person и только из двух моих примеров в первом письме, но в блоке inetnum персданные остались даже в моих примерах, о чём я написал:
и получил очень странный ответ, что «принято решение» убрать персданные пользователей белых сетей (когда убрать?!), но поле inetnum они обязаны заполнять:
Да никто не спорит, что обязаны — но провайдеры записывают туда информацию о назначении сети, или, если это фирма — максимум, её название и юр. адрес (и даже это далеко не всегда, точнее — почти никогда), но никак не ФИО клиента-физлица.
На моё письмо от 24 октября с уточняющим вопросом никто не ответил:
И тут мои силы закончились — я перестал понимать, почему я должен уговаривать большую компанию с огромной ответственностью заставлять устранить такую страшную дыру. Я перестал понимать, почему эта переписка вообще должна была длиться больше двух писем, ведь каждому здравомыслящему человеку абсолютно очевидно, насколько это дико — персданные твоих клиентов в паблике. И я уже не говорю об ответственных лицах в компании, которые должны только и заниматься тем, что устранять эту страшную дыру.
Я очень не хотел писать этот пост — мне ответили, со мной общались вежливо, даже в музей пригласили :). Но это попытка сделать хорошую мину при плохой игре. Никаких действий по факту предпринято не было, сроки их тоже озвучены не были. Поэтому следующим шагом я должен перейти к информированию об этой опасной уязвимости общественность, чтобы они вывели себя из-под угрозы и перестали пользоваться оператором, который так относится к персданным своих клиентов.
А теперь — простым языком для людей, которые не поняли, что всё это значит.
Whois — это публичный инструмент, которым может воспользоваться каждый человек, чтобы получить информацию об IP-адресе или домене.
В нём содержится служебная информация о владельце домена или IP-адреса (в данном случае — провайдере).
По правилам организации RIPE, которая выдаёт IP-адреса, провайдер обязан содержать в актуальном виде информацию о назначении подсети IP-адресов (например, служебная или клиентская), контакты для связи (почта и телефон провайдера), и если провайдер выдаёт в аренду крупный блок адресов — информацию об арендаторе.
Но никакому провайдеру не приходит в голову указывать ФИО, адрес подключения и контакт физического лица, которому выдан 1 IP-адрес. Тоже самое — с юридическими лицами. В случае выдачи большого блока, максимум — указывается юрлицо, его контакт и юридический адрес. И то, так делают далеко не все провайдеры, и никаких санкций, конечно же, за это нет.
Не очень умные технические специалисты Комкора (ныне Акадо) в какой-то момент просто настроили автоматическую трансляцию информации из своей служебной базы клиентов (CRM) в базу данных RIPE, и таким образом персданные клиентов стали доступны для всех желающих.
Для оператора такая дыра — катастрофа дважды, потому что:
1) Собственно, песональные данные клиентов — в публичном доступе. Какое доверие может быть к такому оператору?
2) Твоих клиентов могут просто переманивать другие операторы, за полчаса просканировав все IP-адреса и собрав базу данных.
3) Можно узнать IP-адреса определённого клиента или устройства, очень несложно забить канал трафиком и выключить, таким образом, интернет у клиента.
В случае с ведомственными объектами, большое количество которых подключено к Акадо — это же прямая угроза безопасности города.
Этот пост прочитает много клиентов Акадо — вы, конечно, решайте сами, но я бы никогда не стал пользоваться услугами оператора, который выкладывает ваши персональные данные в паблик, и не убирает их в срочном порядке после приватного сообщения об этом.
И даже через 3 недели всё еще не убирает.
Такое поведение, конечно, абсолютно неприемлемо в 2018 году.
И в завершение, я хочу отдельно написать о Роскомнадзоре.
Это регулятор, под надзором которого оператор связи оказывается дважды — как оператор связи, и как оператор персональных данных.
Эти никчёмные и бесполезные дармоеды вместо ухудшения жизни всех жителей России и ежедневной блокировки до 10–15 IP-адресов нашего прокси для Telegram (вы представляете, там сидят специальные люди на зарплате, которые почти круглосуточно резолвят домен и добавляют актуальные IP-адреса в выгрузку — что может быть бессмысленнее), должны заниматься как раз пресечением таких вот историй.
Дорогие журналисты, которые будут звонить в Акадо — сделайте, пожалуйста, следующий звонок в Роскомнадзор и спросите, почему они не выполняют свою работу, а вместо этого занимаются ухудшением жизни граждан России.
Источник: https://medium.com/@itsorm/бессмысленный-и-беспощадный-русский-bigbounty-или-отношение-к-персональным-данным-из-двухтысячных-d9e0e8a7601e
Сегодня утром я проснулся и на одной из электронных почт нашел новое письмо. Пишет незнакомый товарищ хакер следующее: "Здравствуйте!
Скорее всего Вам не понравится то, что вы сейчас прочтёте.
Благодаря вашей тяге к pornoсайтам , Я получил контроль над вашим девайсом и другими приборами, подключенными в сеть.
Собственно говоря, именно такие сайты и помогли мне - на одном из них был мой специальный код.
Это ознaчaет, что сейчас я могу видеть вcе что происходит нa Вaшем экрaне, включать и выключать кaмeру и Вы даже об этом не узнаете
Если не веришь, я приведу часть информации которую узнал о тебе - (дальше идёт ФИО,номер СНИЛС, данные паспорта, ИНН)
Также я сделал полную копию вашего диска (у меня есть вся ваша адресная книга, история просмотра сайтов, все файлы, номера телефонов и адреса всех ваших контактов).
Месяц назад я хотел заблокировать ваше устройтсво и попросить небольшую сумму в Bitcoin для разблокировки.
Но я посмотрел сайты, которые вы регулярно посещаете, и был шокирован увиденным !!! Это я про сайты со всякой непотребщиной .
Могу сказать только то, что вы большой извращенец. Ваши фантазии не имеют ничего общего с нормальным восприятием обычного человека.
Спустя какое то время у меня появилась идея
Я сделал скриншоты с таких сайтов, где Вы каратаете время в одиночестве (Вы понимаете, о чем это, да?).
После этого я сделал скриншоты как Вы весьма необычно себя удовелетворяете (используя камеру вашего устройтсва) и склеил их.
Получилось потрясающе! Это впечатлит любого, тем более ваших знакомых!
Я знаю, что Вы не хотели бы показывать эти скриншоты своим друзьям, родственникам или коллегам.
Поэтому, я хочу предложить вам сделку: Вы переводите мне 70 000 рублей, а я удаляю все материалы и мы забываем друг о друге.
Поверьте, это очень скромная сумма за мои труды.
Кроме того, я и так долго шпионил за вами, потратив много времени!
Платите ТОЛЬКО в Биткойн
Мой кошелек - bc1qz94usew9zrln5g3fymlujyllwdqk4ngcrx5kn7
Вы не знаете, как использовать Биткойн? Введите запрос в любой поисковой системе (google или яндекс): "Как пополнить Биткойн кошелек".Это очень легко.
На это я даю вам 50 часов с момента открытия этого письма.
Учтите, как только вы откроете это письмо, сработает таймер. И время пойдет.
После оплаты мой код и все скриншоты с вашими утехами будут автоматически уничтожены.
Если вы не сделаете перевод мне придётся разослать их всем вашим контаткам. Я надеюсь, Вы понимаете свою ситуацию.
- Не пытайся найти и уничтожить мой код! (Все ваши данные, файлы и скриншоты уже загружены на удаленный сервер).
- Не пытайтесь связаться со мной (это невозможно, так как адрес отправителя генерируется случайным образом).
- Различные службы безопасности вам не помогут; форматирование диска или уничтожение девайса не поможет, так как ваши данные уже находятся на удаленном сервере.
P.S. Вы не единственный, за кем я так наблюдаю. Поэтому даю вам гарантию, что после оплаты мы забудем друг о друге.
Это слово хакера.
Не держите на меня зла! У каждого своя работа.
Удачи"
Приятно, что кто-то так постарался над текстом, жаль, что грамматика хромает, но в целом не критично. Что я могу на это сказать? Спасибо, товарищ "хакер", у меня все руки не доходили организовать все данные документов в одном месте, а теперь вон как удобно, на мало используемой почте всегда в закладках.
P.s. сочувствую, что пришлось лицезреть все мои непотребства)
Последние пару дней кот вообще не отходил от меня, мяукал, в глаза заглядывал, не пускал одного в уборную.
За ним такого никогда не наблюдалось: независимая шерстяная гадина, которая может раз в неделю позволит себя пару раз погладить.
А тут прямо не отходит. Думаю, что тебе надо-то? Чего ты до меня доковырялся? Прямо на колени ставит лапки, смотрит в глаза и мяу-мяу-мяяя.
И вот сегодня с утра меня как типануло! На месте сердца камень, пульс зашкаливает, тошнит, пот льётся, херово очень.
Дома один, супруга уехала мать свою проведать.
Липкий, животный страх, что копыта отброшу вот прямо сейчас.
Звоню в скорую, объясняю ситуацию, почему-то извиняюсь, что отвлекаю их от важной работы.
Оператор, после уточнения возраста и адреса, порекомендовала открыть замки на входной двери, лечь на кровать и ждать бригаду.
Поздравьте. Гипертонический криз прилетел. Увезли с мигалками и крякалками.
Сейчас лежу в палате, вроде всё нормально, но отпускать не хотят, ждут понедельника и обхода врача.
Отличный комментарий!