Розгорнути попередні цитати...да. кроме того, что спизжены данные, я больше ничего не знаю.
но и все оппоненты не знают ни на грамм больше.
ответственность минцифры 100%. и этого никто не отрицает.
не-не. по стилю общению Зеbил тут как раз ты.Розгорнути попередні цитати...То есть ты берешься утверждать, что никто не знает больше чем ты ?
Ну почему за прихильники певної політсили постоянно лишь дебилы тянут мазу ?
давайте попробуем порассуждать.Розгорнути попередні цитати...так, сука, если админ продал дампы за 50 тыщ каких-то денег, какое отношение это к софту имеет?
База справжня. Знайшов у семплі себе та знайомих.У мене донька попала в цей семпл.База справді з Дії, бо я реєструвався в ній на номер телефону та email, які не використовую для реєстрації в інших установах
А десь цей семпл є доступний, щоб глянути ?Хакер видалив свій пост наступного дня. Я встиг завантажити першу частину, ті великі не вантажив.
может и такРозгорнути попередні цитати...давайте попробуем порассуждать.
До появления минцифры у многих было желание получить доступ ко всем реестрам, но не было возможности, т.к. к реестрам имели доступ только те кто их администрировал, и соответственно отвечал за безопасность. Утечки были, но там сразу можно было понять у кого утекло.
С появлением минцыфры под "портал Дия" нагнули фактически все реестры, апликуха "лишь клиентская часть", которая дает пользователю доступ к информации через "запросы" к серверу "портал Дия". Так это заявляется минцифрой. Но при этом "портал Дия" фактически является той мечтой каждого министра - иметь доступ ко всем реестрам, т.к. никому кроме разработчиков не известно, по какой процедуре отдаются данные из реестров, как обрабатываются и как хранятся такие данные. То что "ДП Дия" хранит данные, которые проходят через их портал, нет сомнений, т.к. они сами платят за такую услугу, что легко проверяется в прозоро. Что нужно для злоумышленников для доступа к реестрам на сегодняшний момент? Ломать каждый реестр, или использовать единый портал через который можно получить доступ сразу ко всем реестрам? По сливу похоже, что выбрали самый, как оказалось, простой способ - ломануть единую точку входа и похоже это удалось. Опосредствованно мобильная апликуха причастна к дыре в защите самим своим существованием, т.к. до нее никто не мог придумать причину для предоставления доступа ко всем реестрам через одну точку доступа.
"диевскими таблицами-связями" - могут появится только при передаче данных из реестра диевым, сами реестры ради такой херни никто бы не переделывал, т.к. держателям реестров эти данные не передаются и лишены смысла. реестры потекли одновременно, но вы "думаете", что ломали каждый отдельно и прилепили таблицы дии, что бы что, очернить минцифры? Ну ок, а "таблицы дии" тогда откуда у взломщиков взялись?
может и так
но как по мне, основная роль дии - она обеспечила связи между несвязанными ранее сущностями, без которых прежние реестры представляют гораздо меньший интерес
И крали, думаю, не через "единую точку входа", а просто слили реестры с этими диевскими таблицами-связями
та не. не ломали отдельно. я так точно не думаюРозгорнути попередні цитати..."диевскими таблицами-связями" - могут появится только при передаче данных из реестра диевым, сами реестры ради такой херни никто бы не переделывал, т.к. держателям реестров эти данные не передаются и лишены смысла. реестры потекли одновременно, но вы "думаете", что ломали каждый отдельно и прилепили таблицы дии, что бы что, очернить минцифры? Ну ок, а "таблицы дии" тогда откуда у взломщиков взялись?
Вот они как раз девопса со знанием Redis ищут
https://company.diia.gov.ua/vacancies/devops
Точно дамп редиса утянули. там как раз все в куче
Идет заяц и читает книгу по логике. Тут навстречу волк:
— Слышь, заяц, а что читаешь?
— Книгу по логике
— А что это?
— Ну смотри. У тебя спички есть?
— Есть
— Если есть спички, то ты куришь.
— Ну, курю
— Если ты куришь, то деньги есть.
— Ну, есть.
— Если есть деньги, значит работаешь.
— Ну, работаю.
— Если работаешь, то много денег зарабатываешь.
— Ну.
— Если много денег, то и телки есть.
— Ну есть.
— Если телки есть, то ты с ними спишь.
— Допустим, сплю.
— Если ты спишь с телками, то ты не импотент.
Волк:
— Ух ты, круто. Дай почитаю.
Идет по лесу , читает и встречает Медведя. Медведь:
— Волк, что читаешь?
— Книгу по логике.
— А что это?
— Ну смотри. У тебя спички есть??
— Не-а
— Значит ты импотент!
Розгорнути попередні цитати...У мене донька попала в цей семпл.
Сьогодні заставив її змінити фінномер і прив'язати сім-карти до паспорта. Зеленій камарільї довіри більше нема ніякої.
Злив данних в інтернет підштовхнув мене до цього. Фінномер поміняв теж. Бо злиті дані всіх, хто встановив Дію. А не лише тих, хто в семплі (100 тис).Розгорнути попередні цитати...Давно вже треба мати для банків окремий, не "розмовний" фінномер, прив'язаний до паспорта.
Розгорнути попередні цитати...С каких пор, Монобанк, стал МФО?...
Написано же, что с помощью мобильного приложения Монобанка...
Я так понимаю, на нее, дистанционно, завели карту...
Только что приходил мастер
спрашиваю: -можно я вам на карту оплачу?
тот: - нет проблем. на карту, я пойду пока руки мыть.
отдает карту мне в руки и уходит
Тут учить нужно все население
и начинать с азов безопасности
Розгорнути попередні цитати...Найди ще один найбільшій ІТішний форум з підтвердженими дописувачами, який пише обратне
Зелена роса очі залила, та не позорся вже
й да, забув. Є ще третє просто кричуще порушення безпеки з боку користувачів смартфону.
Це - один й то й же код для розблокування телефону та входу до Дії та/або банківських додатків (99,9%, бо я еплом не користуюся, тому може не знати нюансів. У випадку анлроїда це 100%)
Справа у тому, що, навіть якщо ти знаєш код для розблокування телефону, тобі все одно треба пройти авторизацію у додатку. З іншим пін кодом (ну, якщо власних не повний лох).
Зміна фейсу на faceid або відбитків автоматично анулює цей спосіб авторизації у банківських додатках та Дії (це перевірено), тож маєш заходить за піном
Алгоритм "відновити забутий пін-код" не спрацює - для банківського додатку тобі потрібно увести пін-код до існуючої картки, для Дії - переавторизуватися через банківський додаток
Тож навіть у випадку викрадення телефону, якщо притримуватися простих правил безпеки, увійти до Дії неможливо
Это не только базы реестров, это точно базы и дии точно - там есть ДияID и даты работы с Дией. Ни в каких данных других реестрах этих данных нет.Откуда вы знаете, что нет?
Розгорнути попередні цитати...Розгорнути попередні цитати...Розгорнути попередні цитати...Zebil отмазывает бубочку и федорова , но еще раз смысла спорить нет. Кто в теме, тем все понятно, тем далек от ИТ - хор таких прихильники певної політсили будет более убедителен ввиду их численного превосходства. Смысла каждому объяснять технические детали я не вижу. Там много чего разжевывать нужно неспециалисту.
Розгорнути попередні цитати...О, это называется подмена тезиса.
Классическая демагогия.
Оппоненту приписывается надуманная чушь, потом торжественно развенчивается и делается вывод "оппонент не прав во всём".
То есть спижжены все базы, но если само мобильное приложение Дия не при чем, то значит всё хорошо.
Да, правильно выше писали, прихильники певної політсили завалят массой
Розгорнути попередні цитати...я не знаю.
просто 80% увода баз данных - это человеческий фактор.
и пока только понятно, что увели какую-то часть данных.
ЭТО ВСЕ.
Остальное - спекуляции
У федорова деньги на ботов закончились,что амид в одиночку строчит? Не верю.
Те кто в дие указал телефон и этот телефон используется для входа в банк,очень рекомендую завести новый номер для банка,желательно контрактный и не светить его больше нигде и никогда. Zebbilov , это не касается. Вам убедительно объяснили что никакого взлома не было , вы оставляйте все как было. Для вас ничего страшного не произошло.
Розгорнути попередні цитати...Откуда вы знаете, что нет?
Як підтвердження злому дії і електронного кабінету водія, хакери виклали вихідні файли сайту, і дають можливість всім бажаючим закачати їх.
— Партизан Ґрутенко 🇺🇦 (@YaYeGrud) January 24, 2022
Я завантажую, і згодом відпишусь, що дав аналіз.
Не переключайтесь)))) pic.twitter.com/gcDJWKpviI
Пояснення до скріна. Клірнет - це звичний всім нам інтернет, де можливо ідентифікувати як власника сайту, так і користувача.
— Партизан Ґрутенко 🇺🇦 (@YaYeGrud) January 24, 2022
А даркнет - це повністю анонімна мережа, де неможливо навіть визначити, на якому сервері перебуває сайт і користувачі зберігають повну анонімність. pic.twitter.com/qtymAQGztN
Маємо ситацію, що в прямій сфері відповідальності мінцифри твориться лютий пиздець, але ці довбні роблять вигляд, що нічого не сталося.
— Партизан Ґрутенко 🇺🇦 (@YaYeGrud) January 24, 2022
Точно як їх найвеличніший лідор, який у відповідь на російську загрозу засовує голову в асфальт запорізького півмосту.
Разом з тим, сайти держзакладів хакери показово поклали лише в середині січня.
— Партизан Ґрутенко 🇺🇦 (@YaYeGrud) January 24, 2022
Тобто:
МІНІМУМ 2 ТИЖНІ сервери перебували під контролем хакерів
І лише коли вони злили всю інфу, то поклали сайти, просто для того, щоб поглумитися над нашими зеленими діджиталізаторами.
Прекрасно.
Сертифікати, ключі доступу, паролі.
— Партизан Ґрутенко 🇺🇦 (@YaYeGrud) January 24, 2022
Бекенд це зберігає у незашифрованому вигляді, тому за правилами безпеки цей самий бекенд захищають максимально.
Але це не з нашою мінцифрою, тож, я боюсь навіть уявити, до чого могли дістатися хакери і які дані тепер скомпрометовано.
Ви розумієте глибину дна?
— Партизан Ґрутенко 🇺🇦 (@YaYeGrud) January 24, 2022
Два тижні вся IT-спільнота стоїть на вухах, охуївши від зламу державних серверів, а мінцифри робить рівно ніхуя.
Ну, окрім армії ботів, натравлених на своїх же.
Відізвати скомпрометований сертифікат - це пару хвилин.
Але ж де Фьодоров, а де кібербезпека pic.twitter.com/geDpe8THv7
Наразі, чекаємо на ще один анонсований злив.
— Партизан Ґрутенко 🇺🇦 (@YaYeGrud) January 24, 2022
Цього разу нас обіцяли ощасливити даними з системи e-health.
Є-здоров'я, якщо по-зеленськи.
Це буде дужжже цікавий шматок зливу для аналізу.
если то , что пишет партизан правда , то такого трэша я даже не помню.
Розгорнути попередні цитати...А если вдруг окажется, что не правда?
