Паспортные данные нарушителей режима самоизоляции попали в открытый доступ

Георгий

Самоизоляция

Паспортные данные москвичей, которых оштрафовали за нарушение самоизоляции оказались в открытом доступе на сайтах для оплаты штрафов по номеру начисления, а его можно подобрать методом простого перебора. Таких штрафов было выписано около 35 000. Мэрия порекомендовала не выкладывать в интернет скриншоты штрафов и не передавать их номера третьим лицам.

С помощью уникального идентификатора начислений (УИН) штрафа за нарушение самоизоляции в Москве можно найти персональные данные оштрафованного через сервисы оплаты. Эту информацию уже подтвердили компании из сферы кибербезопасности. По их словам, вручную собрать персональные данные почти невозможно, но в автоматизированном режиме это сможет сделать специализированная программа.

Для того, чтобы избежать утечек, система безопасности должна блокировать многократные попытки введения УИН, а данные должны публиковаться в частично обезличенном виде. Эксперты отмечают, что зачастую сайты для оплаты штрафов не имеют защиты от таких действий.

Штрафы в размере 4 000 рублей выписывают москвичам с подтвержденным диагнозом коронавируса за нарушение режима самоизоляции. За его соблюдением по геолокации следит приложение мэрии «Социальный мониторинг». 

Номер УИН в постановлении о назначении штрафа предназначается только для лица, привлеченного к административной ответственности. В департаменте информационных технологий (ДИТ) Москвы подчеркнули, что в случае, когда гражданин передает третьим лицам или выкладывает в интернет скриншоты постановления с УИН штрафа, это не означает нарушения законодательства о персональных данных контролирующим органом.

Председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Журавлев уверен, что доступность паспортных данных по УИН нарушает закон «О персональных данных». По его словам, пострадавшие могут обратиться в Роскомнадзор с просьбой проверить факт утечки и принять меры, но, если регулятор и назначит штраф, то он будет отправлен в доход бюджета, а не на компенсацию пострадавшим.

-14
iGuides в Яндекс.Дзен —  zen.yandex.ru/iguides
iGuides в Telegram — t.me/iguides
iGuides в VK —  vk.com/iguides
iGuides в Ok.ru — ok.ru/iguides

Будь в курсе последних новостей из мира гаджетов и технологий

Мы в соцсетях

Комментарии

+4775
Да и не удивительно, чинуши за бабки всё что угодно сольют, не хакеры, так свои деятели и законодатели подсобят. А ещё про полную цифровизацию базарят, хотя сами дубы дубами, страшно представить, когда на цифру всё переведут, какая фигня начнётся. Покуда сами продвигающие это бестолочи и абсолютно безграмотны в этих вопросах, то и качество с сервисом и защитой информации быть нормальной не может. Ростелеком, Мейл и иже с ними, абсолютно не годятся для этих целей, потому что хоть они и блатные, но этот факт не делает их профессионалами и конечный продукт у них дорог и ничем не лучше а в большинстве случаев хуже конкурентов. За примером далеко идти не надо, взять хотя бы тот же Wink, цена в два раза выше, чем у конкурентов, а контент тот же самый. Только вот и оптимизация и скорость приложения на том же Smart TV оставляет желать лучшего
18 мая 2020 в 11:59
#
Вася Вотафаков
+5820
Интересно. Когда начнут рублём наказывать за подобные сливы?
18 мая 2020 в 12:15
#
tellurian
+1455
Собянин оштрафует вас за то, что вы не прислали селфи в Германию.

Помните позорное приложение «Социальный мониторинг», которое мы все вместе расковыряли? Там еще на следующий день глава ДИТа Эдуард Лысенко оправдывался: мол, это приложение только для слежки за больными, и мы будем выдавать им специальный смартфон для того, чтобы контролировать, как они соблюдают домашнюю изоляцию.

Удивительно (нет), но факт: Лысенко солгал во всём.
«Важные истории» выпустили классный материал, из которого вы можете узнать прекрасное:

1. Вопреки вранью Лысенко, приложение чаще всего приходится скачивать больным на свой собственный смартфон и дать ему кучу разрешений, среди которых:
— Доступ к локации, включая фоновый режим;
— Доступ к информации о Wi-Fi-подключении (зачем?);
— Обход оптимизации потребления батареи;
— И другие

2. Вы не скачали приложение? Возможно, про вас забудут и вам повезло. А если нет — штраф.
3. Пуши приложения приходят «втихую», вы можете их не заметить. Не заметили? Штраф.
4. Приложение адски жрёт батарейку. Но если телефон сел, а вы не заметили? Штраф.
5. Вы обязаны делать какое-то гигантское количество селфи. Даже ночью. Если вы спите — оно попытается управлять вашим будильником и разбудить вас. Пропустили хоть одно? Штраф. Пять раз пропустили? Пять штрафов. И плевать, что требование сделать селфи может поступить в полпятого утра.
6. Если приложение само не дало сделать вам фото, что будет? Штраф.
7. Если предписанный врачами период самоизоляции кончился, но приложение требует делать селфи, вас ждет что? Штраф.
8. Приложение может требовать от вас делать селфи, даже если вы еще не прошли идентификацию, которая может идти и сутки, и двое. Не смогли сделать селфи? Штраф.

И разумеется, данные оштрафованных были слиты в интернет.

Это всё не имеет никакого отношения к контролю над «самоизоляцией», к лечению и борьбе с эпидемией.

Собянин ненавидит жителей Москвы и использует любую возможность для того, чтобы просто издеваться, унижать и грабить москвичей.

Такой садизм гитлеровского пошиба. Чисто гауляйтерская фишка — требовать от узников концлагеря вещи, которые прямо противоречат друг другу и здравому смыслу. При этом внушать чувство полной подконтрольности и вечной формальной вины.

Они выписали уже 30 тысяч таких штрафов. Еще раз: Собянин и Лысенко 30 тысяч раз оштрафовали людей за собственную криворукость. На 140 миллионов рублей или даже больше.

Что надо сделать, если вам пришёл штраф:

Помнить, что всё это абсолютно незаконно и КАТЕГОРИЧЕСКИ, НИ ПРИ КАКИХ УСЛОВИЯХ НЕ ПЛАТИТЬ. Только обжалование через суд. Вот инструкция. Важно понимать, что ваш штраф касается не вас, а всего общества. Даже если вам «проще» оплатить штраф, помните простую вещь: если такие штрафы в будущем станет удобно выдумывать, все следующие штрафы будет платить ни разу не «проще». Не потакайте беззаконию за свой счет. Только обжалование.

Что нужно сделать всем остальным.

1. Требуйте в соцсетях отмены пропусков и прочих технических средств унижения людей, включая «Социальный мониторинг». Рассказывайте, какая дичь происходит — постите ссылки на этот текст, на текст «Важных историй», требуйте отставки Собянина и пишите, что никогда-никогда больше не будете за него голосовать.

2. Обваливайте рейтинг приложений в Google Play и в App Store, пишите комментарии, пишите в любые средства обратной связи сторов о том, что это приложение используется для незаконных штрафов и просите его удалить.

Собянин и Лысенко должны стать самыми презираемыми людьми в городе, на уровне нацистских комендантов.
18 мая 2020 в 12:36
#
tellurian
+1455
А ещё с такси такая же история.
Из телеграмм


​​Ахахахахахахахахаха. То есть, нет, не так.
АХАХАХАХАХАХАХАХАХАХАХА.

Вчера я выкладывал протокол взаимодействия такси с системой слежки мэрии ЕРНИС, из которого мы узнали, что агрегаторы такси передают данные о поездках в незашифрованном виде, что является нарушением статьи 11 22-ФЗ 2009 года «Защита информации о средствах навигации и об объектах навигационной деятельности».

Так вот, чучундрики из Дептранса срочно поменяли все слова «http» на «https» в документе, описывающем передачу данных от сервисов такси.

А в приказах (2) об утверждении регламента взаимодействия — не поменяли.

То есть, чучундрики задним числом отредактировали документ, описывающий взаимодействие, и теперь он не соответствует нормативным приказам.

То есть, если бы в России были независимые суды и следственные органы, то Ликсутову и его подчинённым светила бы статья 292 УК РФ — Служебный подлог. Это помимо 293 — Халатность, за отсутствие шифрования.

Теперь про шифрование — тут всё тоже очень позорно.
Согласно липовому (теперь уже) документу взаимодействия, передача должна происходить по https с обращением по IP-адресу, а не домену!
Просто ЧТОА?!

Коротко объясню, почему это провал и позорище.
Правильное использование протокола https (так, как это делают все сайты и приложения, которыми вы пользуетесь) подразумевает ещё и проверку подмены сервера.
Для этого сервис получает SSL-сертификат у авторизованного центра, который устанавливается на серверах и с помощью которого клиент проверяет, действительно ли он передаёт данные туда, куда нужно, а не каким-нибудь злоумышленникам, которые устраивают атаку MITM.

Сертификат выдаётся на домен, а не на IP-адрес.
Да, теоретически можно получить сертификат и на IP-адрес, но это очень геморная и ненужная процедура, так никто не делает.

Что фактически происходит:

1. Никакого шифрования не будет до тех пор, пока они не заставят все-все клиенты использовать https. Если ДИТ сейчас выключит приём информации без шифрования, то у них сломается вся слежка от Яндекс.Такси, Ситимобил, Гетт и т.д.

2. Если на серверах действительно сделали опциональную поддержку https (но это не означает автоматическое шифрование всех существующих подключений), то 100% с т.н. самоподписанным сертификатом — это означает, что нет никакой валидации сервера, о которой написано выше. То есть, данные всё равно могут быть перехвачены злоумышленниками.
И агрегаторам такси на своём оборудовании нужно будет включать игнорирование ошибки о недействительном сертификате.
То есть, толку от этого всё равно никакого.

Мэрия, их Дептранспорты, ДИТ'ы с Ликсутовыми, Раковыми и Собяниными — просто сборище ворья и некомпетентных дебилов, которые не должны управлять Москвой.
Которые в своём маниакальном желании ущемлять свободу и усиливать слежку творят полнейшую дичь. Настоящие обезьяны с гранатой.
Мы должны не позволять им портить нашу жизнь.

Пожалуйста, требуйте в социальных сетях:

1. Немедленного прекращения слежки: пропусков, социальных мониторингов, слежки через такси;
2. Отставки Собянина. Собянин грабит и унижает москвичей, потому что ненавидит их.
18 мая 2020 в 12:37
#
+528
Да уж собянин обклался так же как и беглов в Питере. Но надо понимать, что все что они делали, они делали по указке сверху. Вспомните, как уволилось несколько губернаторов в один день. Видимо некоторые все таки не потеряли человеческий облик и не захотели участвовать в этом фарсе и издеваться над народом
18 мая 2020 в 14:17
#
XuliGAN
+152
Чиновников не наказывают, пока те делятся, увы такова реальность!
18 мая 2020 в 13:34
#
Sorry
–20
8 июня 2020 в 02:03
#
melissa
–21
25 июня 2020 в 17:33
#