Года три назад работала моя контора со СДЭКом, заключили договор и нужно было отправить 20 ноутбуков из одного филиала в другой. Оформили заказ, через пару часов приехал курьер, подписал документы, забрал ноуты и уехал. А через час приехал НАСТОЯЩИЙ курьер СДЕКа.

У мошенников, очевидно, был, либо наводчик, либо прямой доступ в систему. Сработали оперативно буквально за несколько часов. Фальшивый курьер был в форме сдека и имел при себе фирменные бланки для отправок. Разве что машины не было, "курьер" сказал что припарковался далеко и унес все в руках, по камерам куда-то за угол, а дальше его след потерялся. Девочку с рецепшена, отдавшую технику на 30к долларов мошеннику, потом еще неделю откачивали от стресса.

А может и не было никаких хакеров. Я в силу определенных обстоятельств в конце 2018 устроился в колл- центр СДЭК. Конец сентября - начало октября не работало ничего. Объяснялось это якобы переходом на новую ЭК-5 (программа "Экспресс-курьер"). Продолжалось это дней 10. Я сидел на линии и отвечал: - "Перезвоните по вашему отправлению через 1-2 часа, или с вами свяжется оператор.", прекрасно понимая, что никто ни с кем не свяжется, ни старая ни новая ЭК просто не работала, ситуация один в один. Списать собственные ошибки на хакеров, да это святое, прикрыть свою жопу (может своим айтишникам зарплату не выдали, обидели чем, вот они вам и устроили). Да, тогда в 2018 примерно через 10 дней все восстановили.

Что касается ПД и безопасности. Я уволился в марте. Почти через год заказал смартфон через СДЭК. Ради интереса из дома попробовал войти в ЭК-5 и свободно зашел и отследил свой заказ. За год они не закрыли доступ уволившемуся сотруднику. А ведь там: ФИО, адреса, телефоны, стоимость и содержание заказа и т. д. Надо будет попробовать еще раз зайти, после устранения сбоя.

Как стало известно, уже третий день СДЭК лежит (не работают приложение и заморожены выдача/прием) посылок, включая пункты ПВЗ.

Сегодня тема немного прояснилась: поработала проукраинская хакерская группа, пошифровав все данные, а заодно и бэкапы компании. Пишут про возвращение в строй через 5 дней, думаю, руками восстанавливают базу.

Это полный кабздец, товарищи.

Ладно сбой, ладно шифровальщик (никто не застрахован, как говорится), но отсутствие бэкапов (либо подключение с админ правами раздела, куда кладут бэкапы?). Это уже за гранью для такой компании.

Тем более, БД клиентов уже несколько лет гуляет по сети в свободном доступе.
Тем более, знающие люди (по слухам) также обладают учетками администраторов и могут извне подключаться к их серверам….
Как говорится, доигрались….

А какую сумму им предложили за расшифровку их же данных (если предложили вообще): думать страшно…

Upd: пруф https://www.vedomosti.ru/business/news/2024/05/28/1039942-sd...
И еще куча сми

И пофиг. Голова у банка должна болеть, как обеспечить защиту и соблюдение всех правил обращения с ПД. Для того и штрафы.

Как эти риски минимизировать всем расписали и донесли. Если не применяют, пусть платят штрафы.

Больше скажу - вот эта вот волна постов в защиту банков, да ещё от анонима, явно попытка банков пропихнуть в инфополе свою повесточку.

Для ЛЛ:

подготавливаемый закон предусматривает оборотный штраф до 500 миллионов рублей за утечки персональных данных. НСФР (Национальный совет финансового рынка, по сути, представляющий интересы банков) выступает против нововведений. В связи с этим в ЦБ, Минцифры и председателю комитета Госдумы по государственному строительству и законодательству Павлу Крашенинникову было направлено соответствующее письмо.

А теперь чуть подробнее...

Текущее состояние законопроекта выглядит логичным, но несколько драконовским - т.е. некоторые замечания банков имеют под собой основания. С другой стороны, закон еще не принят - в нем точно еще будут корректировки и смягчения.

Основные замечания НСФР выглядят следующим образом (с моими комментариями):

>1. Высокие оборотные штрафы не заставят компании усиливать информационную безопасность (ИБ). Штрафы будут просто минусоваться из статьи ИБ бюджета компаний, "отъедая" средства у реальных мероприятий по улучшению безопасности. Говорится о том, что нет алгоритма предотвращения уплаты большого штрафа с помощью реализации добросовестных действий. Кроме того, поднимается тема, что оборотные штрафы как правило накладываются на часть нечестно заработанных нарушением законодательства денег - а в данном случае, банки - жертвы - они наоборот теряют репутацию и деньги.

Если отвлечься от постулата, что штраф - это наказание а-ля "совершил преступление - сядь в тюрьму", то логика в таких рассуждениях есть, но она уводит вопрос в какую-то детскую, инфантильную плоскость: "Вот ты раскидал вещи в своей комнате - если соберешь, то получить мороженое". А для банков было бы, видимо, неплохо не только штраф не получить, но и из федерального бюджета какую-нибудь субсидию урвать "на улучшение ИБ"... В общем, я не против взвешенного подхода, но очень не хочу, чтобы банки полностью избегали наказания за "добросовестные действия", которые они и так обязаны были сделать еще до косяка. А еще вызывают сомнения правильность определения этих "добросовестных действий": замена накосячившего Иванова на Петрова - это добросовестное действие? А вот добавление такого абзаца в договор с сотрудником/контрагентом (который никто не собирается выполнять) - может быть это "добросовестное действие"?

А теперь про размеры штрафа. Говорится о 500 миллионах рублей за утечку 100 тысяч учетных данных (физических лиц). Большая, красивая цифра, но на 1 человека это 5000р. Во сколько вы оцениваете свои персональные данные? Вот банки говорят о том, что 5000р это много. Еще, своим сопротивлением, они показывают о том, что они их 99% "потеряют".

>2. Считают, что будет лучше в качестве базы использовать не оборот финансовой организации, а размер уставного капитала

Так как я не кручусь в финансовых кругах - точно не скажу в чем тут фикус - помню только с университета, что у банков есть зависимость между капиталом и оборотом. Скорее всего банкам штрафы так получатся "дешевле".

>3. Хотят максимально сузить понятие нарушения

Это вообще адвокатский прием - придраться к каждой запятой, чтобы уйти от ответственности.

>4. Просят наказывать только за утечки, связанные с нарушением требований в области ИБ.

Подавляющее большинство утечек происходит из-за того или иного нарушения ИБ. Зачем исключать и, главное, как определять редкие исключения?

Скорее всего, под этим пытаются провести отсутствие ответственности за косяки/противоправные действия сотрудников и контрагентов-партнеров, но это неправильно.

>5. Просят отсрочить вступление в действие закона на 1 год.

Зачем? Чтобы включить в бюджет на будущий год потенциальные штрафы? А начать работы по улучшению ИБ хотя бы в прошлом году, когда пошли разговоры об изменениях в законодательстве было не судьба? Кроме того, большинство методико-ИТ проектов вполне укладываются в полгода-год - примерно как раз к запуску закона в действие.

Короче, у меня сложилось впечатление, что письмо в ЦБ писал опытный, ушлый корпоративный юрист, цель которого не улучшить ситуацию с утечками, а максимально затянуть вопрос или, хотя бы, "скостить срок"...

Оригинал статьи: на РБК (кстати, очень толковой)

Тиньков же - отказаться от передачи биометрии вы можете при вводе пина в банкомате, между 3 и 4 цифрой. Во всех остальных случаях вы согласны на передачу нам биометрии. И если в сторис посмотрите, тоже согласны. И если приложение на телефоне откроете, тоже пиздец как согласились.

А вот штрафы за утечку данных нам нельзя, у нас лапки. Но вы данные нам давайте. Но без штрафов за их утечку. БИОМЕТРИЮ ПЕРЕДАЛИ СЮДА СУКИ !!!11 И БЕЗ ШТРАФОВ БЛ!!

Всё так, @Tinkoff.ru,  ? 

Все банки и сотовые операторы заверяют нас о конфиденциальности, но, блин, тогда почему мошенники с характерным акцентом звонят мне на мой сотовый с российской симкарты и при этом уверенно называют мои ФИО? С этими утечками вообще кто-нибудь планирует разбираться, не с мошенниками, а именно утечками? Как по мне от них гораздо больше вреда, чем от фотографий с известных вечеринок

В сеть утекли данные о военной машине M2A2 Bradley и китайском танке VT-4

На форуме War Thunder произошла новая утечка закрытых документов о военной технике. Информация об этом появилась на портале Niche Gamer.

Один из пользователей, доказывая свою правоту, опубликовал данные об американском ударном вертолёте AH-64D Apache Longbow. Несмотря на то что документы были добыты законным путём, они предназначены только для служебного пользования, и их запрещено распространять за пределами стран НАТО. Как и ранее, администрация форума быстро отреагировала и удалила закрытые данные из публичного доступа.

Эта третья утечка закрытых документов о военной технике на форуме War Thunder за месяц. До этого там разместили информацию об истребителе Eurofighter Typhoon DA7 и бомбардировщике F-117 Nighthawk.

И двенадцатый подобный эпизод за последние несколько лет. Аналогичным образом достоянием общественности ранее стала документация по американскими и европейским самолетам, британском и французским танкам, а также китайским секретным снарядам.