Форум ''Интернет и Право''

Основной раздел => Общие обсуждения => Тема начата: Dimon от 16 Октября 2004, 07:56:52



Название: Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Dimon от 16 Октября 2004, 07:56:52
Судя по идущей инфе, реально был взломан крупный российский хостинг-провайдер. В интернете выкладывается описание взлома, есть публикации с предложениями о продаже БД пользователей компании.

Valuehost разослал клиентам информацию о необходимости сменить пароли, то есть войти под старыми сейчас на сайты невозможно.  Вот такая интересная картина.


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: zas_exp от 16 Октября 2004, 17:46:27
Valuehost разослал клиентам информацию о необходимости сменить пароли, то есть войти под старыми сейчас на сайты невозможно.  Вот такая интересная картина.


для тех кто хочет знать, как это происходило можете прочитать:

Ваши сайты под прицелом и не только для хакеров, ValueHost замалчивает об
утечке базы данных.
Подробности:  http://www.xakep.ru/post/24136/default.asp

http://www.yandex.ru/yandsearch?text=%ef%f0%ee%e4%e0%fe+valuehost+%e1%e4&stype=www&rpt=rad


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: zas_exp от 16 Октября 2004, 17:55:18
У меня самого два сайта на  Valuehost.

Я получил сообщение от компании Valuehost
Уважаемый(ая) абонент, *******@yandex.ru

C целью обеспечения безопасности вашего вэб-сайта будeт изменен пароль:
- доступа к вэб-сайтам по FTP
- доступа к Контрольной Панели на http://www.hostmanager.ru
- доступа к Системному Почтовому Ящику

Данное изменение будет произведено 14 Октября 2004 в 02:00 часа ночи по
Московскому времени.

Вы сможете получить новый пароль к Контрольной Панели, воспользовавшись функцией Вспомнить
Пароль на http://hostmanager.ru/paro/

Просим обратить внимание на необходимость периодической замены Ваших
паролей как минимум один раз в месяц. Вы можете делать это самостоятельно
через Менеджер Паролей Контрольной Панели.

Просим обратить Ваше внимание на то, что в связи с новыми требованиями
безопасности длина пароля должна составлять не менее 8 символов.

Если у Вас возникли вопросы в связи с процедурой усиления мер
безопасности хостинга, пожалуйста, обращайтесь в службу поддержки по
телефонам указанным ниже или по адресу электронной почты support@valuehost.ru.

Приносим извинения за доставленные неудобства.

Пароли были заменены самой компанией на вход по FTP, а остальной сменил сам. Правда пришлось закачать не плохой генератор паролей.

То, что они "лохи" это точно, а другие что лучше?  ???  


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Igor Michailov от 17 Октября 2004, 07:02:50
Обычное противостояние брони с снаряда.

Одни пробили оборону хостинга (это было ожидаемо), другие залатали.

Понравилось письмо из обсуждения статьи по взлому Valuehost на www.xakep.ru.

Привожу дословно:
Ну ребята, я просто "торчу" с вас. С одной стороны конечно этот ValueHost - мерзкая контора, я хостился у них, ничего хорошего не видел там - отписки отговорки на твои проблемы. Но... Вот недавно мой сайт, там тоже есть форум, специалисты (!) взламывали.. - Ну там вставляли какие-то коды в базу или чёрт знает еще что (я -то не специалист! но сам видел) И, Ура!!! о победа!! матерились на страницах, правили их.. Ну просто крутые хакеры, бойцы невидимого фронта.. Ну в один прекрасный момент всё пришлось сносить и ставить заново. Сайт был выведен из строя примерно на месяц, поскольку нет времени им заниматься. Так о чём это я... Всё это было в аккурат в канун захвата Беслана. И вот что я подумал.. Ребятки "большую пользу" приносят своему народу. Мало того, что вся страна в жопе сидит, никак не выберится.. Так они сами загоняют всех обратно в дерьмо. Типа вынырнул из дерьма - взмах топором по голове - хочешь жить - назад в говно. Я свой сайт не за деньги делаю, а тематика его очень нужна, ну как мне представляется конечно. Что-то там пытаюсь для людей собрать обработать.. И нет у меня времени да и сил и возможностей самому писать какие-то сервисы для него. Поэтому само-собой использую готовые, с теми самыми дырами о которых здесь говориться. Так что ж? Разве нашёлся хотя бы один (!) который сказал бы, вот брат, дыра у тебя тут, могут враги залезть, тебе нужно так и тут исправить... Да.. даже звучит смешно - невозможно это у нас.. Мне эти люди напоминают шпану которая гадит по подъездам, ругается с особенным шиком матом в общественных местах. Ну конечно! кайф по чистой стене написать Х#Й. Ну каждому ж нормальному человеку хочется написать (а ?). Но ты кайф словишь в течении 5 минут, а потом годы(!) этот самый Х#Й будет пялится на всех со стены пока наконец не найдутся средства и совесть у других чтобы его убрать. Не понимают, что однажды и они тоже вырастут у них будут дети, которым хотелось бы жить в нормальной стране а не на помойке, не пялится на их застарелый Х#Й не стене. Не понимают, что им, таким "крутым", придут другие еще более молодые и еще более "крутые" которые загадят и их дом тоже. Ура все всех победили. Мы в говне! Ну что мало у нас врагов на свете? Проблем? Ну конечно не хотелось бы тут морали читать, в общем это просто крик души не специалиста. Разве в наше время о морали и об отвественности кто вспоминает.. Сперва поубиват наоруду, а потом в Храм идут типа замаливать грехи, потом всё опять, по-новой. Или вот новый пример, вы думаете почему вчера наши продули 1:7, да потому, что каждый за себя у нас и мало кто думает о других или о последствиях своих действий. И впредь нас бить будут кому не лень. Я вот даже свой адрес не оставляю потому что знаю придут и нагадят


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Антон Серго от 18 Октября 2004, 00:42:49
У меня самого два сайта на  Valuehost.

Я получил сообщение от компании Valuehost
Уважаемый(ая) абонент, *******@yandex.ru

C целью обеспечения безопасности вашего вэб-сайта будeт изменен пароль:
- доступа к вэб-сайтам по FTP
- доступа к Контрольной Панели на http://www.hostmanager.ru
- доступа к Системному Почтовому Ящику
Рад за Вас...
Этот сайт тоже на ВвалуеХосте (но на днях меняет провайдера).
Так вот я получил только одно сообщение и то... цитирую ПОЛНЫЙ ТЕКСТ ПИСЬМА:
"Password from email ***@valuehost.ru is now '*****' " - и все...  >:(
+ письмо (такого же объема, что пароль успешно изменен) и такую же пару писем для системного акаунта и FTP.


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Igor Michailov от 18 Октября 2004, 11:20:35
Антон, агаву.ру тоже сломали. Где собиратесь хостится?


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Антон Серго от 18 Октября 2004, 17:49:53
Антон, агаву.ру тоже сломали. Где собиратесь хостится?
Собираюсь у МастерХоста, есть человеческие договоренности. В дальнейшем, возможно, в РуЦентре.
P.S. Ухожу от ВалуеХоста не потому, что его сломали (это может быть с каждым, Internet-law тоже "ломали"), а потому, что последние время отвратно работает MySQL (думаю, каждый замечал, что порой вместо форума вываливается "служебная информация"). Вот это и надоело. А переговоры о переезде шли с лета....


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: AlexSan от 19 Октября 2004, 00:41:02
Говорят, у МастерХоста проблемы с крупными провайдерами: РОЛ, МТУ...


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Антон Серго от 19 Октября 2004, 01:09:13
Говорят, у МастерХоста проблемы с крупными провайдерами: РОЛ, МТУ...
Нет ли более подробной информации (можно приватом)?


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: zas_exp от 19 Октября 2004, 06:35:53
а другие что лучше?  ???  




Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Dimon от 20 Октября 2004, 08:40:07
Честно говоря, отрывая топик в правовом форуме, я думал тут увидеть правовые обсуждения типа разборок клиентов с хостером, ловли наглых, злобных хакеров и проч., но ничего этого не вижу.

Михайлов Игорь Юрьевич, я думаю, что "пробить оборону хостинга" можно только из-за некомпетентности или злого умысла админов. Я может не суперспециалист в области безопасности, но тем не менее, мне представляется, что происходящее со своими ресурсами можно отслеживать, а взломщики пишут, что свободно лазили по закрытым данным полгода.
У меня лично на хостинге несколько проектов, но я ежедневно нахожу время, чтобы изучить логи и посмотреть, что там происходит. Кроме этого, я дополнительно еще проверял "защищенность" сайта, чтобы его не поломали. И мне за это никто не платит, могу заметить. Это не говоря уж о мониторинге в режиме реального времени, который осуществлять обычному веб-мастеру нет возможности, в отличие от...
Частично соглашусь с "оратором", что успешных у нас не любят...
Но не соглашусь с тем, что "хотя бы один". Я самолично отправлял одному админу инфу о дыре во всех проектах, которые он создавал для клиентов и поддерживал, где он делал одну и ту же "свою" ошибку. Причем с первого раза он исправил не саму ошибку, а пароль, поэтому пришлось ему писать еще раз и еще раз объяснять :-)
Но я не хакер и никогда взломом не занимался, у меня чисто технологические знания, у меня не было желания чего-то поломать или накапать руководству, может поэтому так получилось.

zas_exp,
Антон Серго, судя по инфе, internet-law и другие проекты могли ломать не из-за того, что ты и другие люди что-то у себя неправильно настроили, а именно из-за некачественной работы админов самого хостера. В этом-то и проблема, что в таком случае, они могли сообщать клиенту, что типа "это вы там у себя что-то напортачили". Человек может биться о заклад, где же у него дырка, а на самом деле - это не у него вовсе... Можно добавить еще, что, помимо чисто личных данных, в клиентской БД содержатся их e-mail-адреса. Так что люди уже могут приготивиться к тому, что на их электронные ящики начнется валиться спам, причем спам может быть адресный, привязанный к определенному домену (о чем может быть указано, например, в заголовке письма, чтобы владелец "e-ящика" прочитал его по-любому). MySQL у тебя действительно часто валится...

Формально, я тоже бы хотел получить инфу по перечиленным хостерам, если уж на то пошло. Можно приватом, можно не приватом.


Сам лично сижу на Value, но пока планирую там остаться из-за того, что для решения своих задач он наиболее мне подходит. Кроме того, в моем случае, переезд связан с очень большими затратами времени и прочих ресурсов. Так что скорее в будущем придется брать у них co-location, чем переезжать куда-то. Или договариваться о специфических условиях с новым хостером, пока такого опыта у меня не было. Буду рад советам на эту тему.

При изучении вариантов, я останавливался на западном Valuehost (судя по их форуму, у них там не все идеально тоже), уже давно мониторю Aletia, но перспектив ее использования пока не очень много из-за сложившейся у меня ситуации, только если бы изначально хостинг у них был бы куплен. Из наших останавливался на masterhost и majordomo, к которым, в случае переезда, я и планирую обратиться. У masterhost специальная программа на этот счет есть типа "исправь ошибку".


Но для поддержки серьезных официальных проектов, судя по всему, буду дополнительно рекомендовать клиентам RBChosting и для корпоративных проектов он, после падения Валюхоста, видится мне первым. Начиная от репутации самой компании "РБК" и заканчивая вообще своим имиджем, заботе о своей же репутации. Цены там несколько выше, объем сервисов несколько ниже. У меня есть РБК-шный е-ящик и не могу сказать, что в восторге от его работы. Тем не менее, сейчас чего-то другого на рынке я не вижу по совокупности характеристик... Если будут какие-то отзывы о них, хотелось бы почитать...


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: zas_exp от 20 Октября 2004, 19:17:59
...правовые обсуждения типа разборок клиентов с хостером, ловли наглых, злобных хакеров и проч., но ничего этого не вижу.

Жажда крови замучила? ;D. Не получится. Внимательно читайте договор, все ответы там.
Кто за что отвечает и т.д.
http://www.valuehost.ru/dogovor/ofertam.php

Лучше разобрать правовую сторону договора, чем "лови...".


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Dimon от 20 Октября 2004, 20:45:52
Жажда крови тут вовсе не причем. С договором я ознакомлен внимательно, даже скажу по секрету, он у меня на "винте" хранится, также как и полное описание рекламируемых/предоставляемых услуг, оплаченные квитанции и другая важная информация.

Помимо вышеуказанного договора, есть законы в области прав потребителя, личных данных, связи и т.д.
Люди вправе требовать предоставление качественных услуг за свои деньги. Потребитель всегда прав-это не я сказал.

По поводу "лови". Взлом и незаконное использование БД компании Reuters окончилось соответствующим судебным разбирательством и сроками (условными или нет - не важно, важен принцип).

Компания, которая печется о своей репутации, на мой взгляд, должна поступать так, чтобы было понятно, что: клиентам компании принесены извинения, некомпетентные люди уволены, обнаружившиеся дырки залатаны, сама компания обратилась в правоохранительные органы.

Иначе ни один _серьезный_ человек (компания) не будет пользоваться их услугами и не будет их рекомендовать другим пользователям. Это в мягком случае. Если нет проблем "глобального" характера.
А кто-то ведь из-за неработы или некачественной работы сервисов, отсутствия доступа к своему серверу реально несет убытки, как финансовые, так и репутационные.


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: zas_exp от 20 Октября 2004, 22:20:47
Компания, которая печется о своей репутации, на мой взгляд, должна поступать так, чтобы было понятно, что: клиентам компании принесены извинения, некомпетентные люди уволены, обнаружившиеся дырки залатаны, сама компания обратилась в правоохранительные органы.

Иначе ни один _серьезный_ человек (компания) не будет пользоваться их услугами и не будет их рекомендовать другим пользователям. Это в мягком случае. Если нет проблем "глобального" характера.
А кто-то ведь из-за неработы или некачественной работы сервисов, отсутствия доступа к своему серверу реально несет убытки, как финансовые, так и репутационные.


Давайте разберемся, от куда пришла инфа о взломе - из Сети? Какие есть не зависимые источники потверждающие это сообщение? Замену паролей можно истолковать как надлежащие выполнение своих обязоностей СБ с учетом опубликованых бюлетней безопасности. Как Вы пострадали?
А не происки ли это недобросовестных конкурентов? Кто видел эту базу? и т.д.

Узнать обращался ли V. в органы не очень сложно, но даже если и обращался .то ничего ровным счетом не значит. Уг. дело не покажут.

О качественной или не качественной работе хостера, вопрос спорный. А услуги связи где? Мой провайдер бывает лишает меня часто на сути выхода в сеть.  


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Dimon от 21 Октября 2004, 12:25:52
zas_exp, весьма возможно, что это происки конкурентов, никто и не спорит.
Есть косвенные признаки, подтверждающие факт взлома: перевод форума на новый движок (при этом старый длительное время не работал); появляющиеся сообщения о том, что чей-то веб-сайт был взломан; замена паролей - просто так менять их нет смысла, так как это связано с дополнительной нагрузкой на саму компанию(и ее сотрудников) и конфликтами с клиентами, потому что компания слишком большая, огромное количество клиентов - это не десяток паролей для десятка клиентов поменять. Мне лично пришел спам по описанному выше сценарию. Могу процитировать это письмо при необходимости. С базой ничего сказать не могу, но и не я должен этим заниматься. Мне кажется, что все-таки она есть (и из-за спама тоже), мне не хочется, чтобы посторонние люди собирали обо мне информацию,  так как непонятно, как и в каких целях она может быть использована.

Законы в области связи - имеется ввиду, что для деятельности в сети, предоставления услуг требуется получение соответствующих лицензий и соблюдение законов. На сайте Valuehost есть информация о том, какими лицензиями они обладают. И по поводу вашего провайдера и по поводу хостинг-компаний, операторов мобильной и прочей связи рано или поздно может найтись/находится человек/компания, которому все это надоест и он подаст в суд. И будет абсолютно прав, выйграет процесс.

По поводу качественной или некачественной работы вопрос, конечно, спорный. Мой знакомый работает в одной хостинг-компании и говорит, что все время от времени висят и т.д., у всех примерно одинаковые проблемы. С другой стороны, в течение суток я полагаю, что мне не составит труда узнать системное имя (логин) Антона, который используется им как клиентом хостинга, пути к его директориям. И все дело в соответствующей работе MySQL, а не в том, что Антон мне когда-то сказал об этом и т.д.

При всем при этом, повторюсь, что у меня личный хостинг у Value до конца года и, скорее всего, я его продлю. Иски к компании и проблемы или прекращение ее работы принесут лично мне только дополнительные проблемы.
Но вот насчет поддержки/рекомендаций для серьезных корпоративных проектов я сильно не уверен, потому что проблемы компании напрямую начнут сказываться на моей репутации, продажах и т.д.


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Dimon от 21 Октября 2004, 13:16:08
Можно добавить. Что если взлома не было, у компании всегда есть право официально заявить о том, что распространяемая информация не соответствует действительности. И начать разборки с ресурсами, которые
недостоверную информацию опубликовали. Впрочем, мне кажется, что в данной ситуации начать разборки
можно даже если опубликованная информация достоверна.


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Dmitry от 22 Октября 2004, 09:40:11

Взлом и незаконное использование БД компании Reuters окончилось соответствующим судебным разбирательством и сроками (условными или нет - не важно, важен принцип).


Хотя и не совсем в тему, но раз уж ссылка на данное дело прозвучала, то просто ради уточнения деталей скажу.

Про взлом БД Reuters писали  слабо разбирающиеся в теме журналисты, для которых компьютер и его внутренности, как для меня китайская грамота. С технической стороны (да и с юридической) для обывателя, дабы уж не лезть совсем вглубь, суть дела наиболее близка к пиратскому приему закрытых спутниковых ТВ каналов и их дальнейшей трансляции на коммерческой основе, к примеру, в кабельных сетях.

Судебным разбирательством закончилось только одно из дел, где-то компания сумела надавить на клиентов пиратов и побудить их самостоятельно подписаться официальным образом, где-то пираты оказались вразумляемыми, где-то, к сожалению, дело кончилось маски-шоу с изъятием оборудования, но до суда так и не дошло (в силу разных причин, не последней из которых является то, что супостаты, похоже, после этаких потрясений от дел все-таки отошли, а крови "из принципа" ни следственные органы, ни компания не жаждали и резких телодвижений поэтому не делали).
Интересно, что на самом деле, так или иначе, все известные эпизоды являлись фактически продолжением одного и того же первого дела, которое было доведено до суда. Часть лиц, которые были известны следствию уже тогда, но в силу разных обстоятельств оказались на переферии основной линии, связанной с действиями бывших сотрудников агентства (без помощи которого, как представляется, пиратам пришлось бы безуспешно трудиться над взломом еще довольно долго, не смотря на то, что сама система, использовавшаяся Reuters, разрабатывалась в 80-х годах прошлого века с соответствовавшими тому времени представлениями о достаточной защите коммерческих систем). В отношении этих лиц следствие практически не велось и в суд их не потащили. Чужой пример, как известно, не для всех является уроком - обделенные тогда  вниманием, видимо, решили, что раз их не тронули, то это только благодаря их особому уму, конспиративным способностям и слабости законодательнолй базы. И ошиблись, по крайней мере, в плане собственной самооценки...

По тому делу, что рассматривалось в суде, срока были назначены самые что ни на есть реальные, а не условные. На цугундер, правда, никого не поволокли, так как подвернулась амнистия.

Кстати, если кому интересно, могу поискать у себя постановление суда по тому делу и прислать Антону, для выкладывания на всеобщее обозрение.

PS. В том постановлении, кстати, упоминается еще одна компания, имя которой вы также помянули чуть выше. Так вот, к вопросу о деловой репутации, решение об использовании ворованных данных принимались и одобрялись не на уровне разгильдяя-инженера, а на уровне руководства компании... :(


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Николай Николаевич Федотов от 22 Октября 2004, 10:10:23
Хостинг как бизнес у нас находится на грани рентабельности. Нанять лишнего специалиста для защиты своих систем, как правило, нет возможности. Так что ломали и ломать будут.


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: zas_exp от 22 Октября 2004, 11:01:15
Можно добавить. Что если взлома не было, у компании всегда есть право официально заявить о том, что...
Есть право  -  это не обязанность  ;)

Хочу воспользуюсь им, хочу нет.
Кто меня (или других) может обязать пользоваться моими правами?  ???


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Dimon от 22 Октября 2004, 15:28:11
Dmitry, все правильно и интересны подробности. Информация лично мне поступала через ТВ (так получилось, что я тогда на это наткнулся, показали и "чуваков" за компьютерами, к которым "пришли"), через новости в сети (в т.ч. на cnews, наверняка "на винте" до сих пор хранится), через сотрудника из правоохранительных органов, который занимается компьютерными преступлениями (лекцию у нас читал), через каких-то знакомых. Информация носила, прямо скажем, неоднородный характер.

Что касается сути дела, тот как я понимаю, суть дела в поставке финансово-экономической и т.п. информации. Чем эта вышеупомянутая компания изначально и занималась, потом начала разрастаться и вести другие бизнесы. Но в то же самое время, до меня доходила информация о том, что "ворованные данные" как раз поставлялись по более низкой цене, чем официальная, конкурентами и возможно было организовать конкурента этой самой упомянутой компании, чтобы оттяпать у нее какую-то долю рынка. Причем в покупку ворованных данных или даже в "создание хакерского проекта" замешаны и те компании, которые сами работают на финансовых рынках и этой информацией пользуются.
В принципе, мне интересно, замешана ли вышеупомянутая компания в этом деле? И если да, то как же все-таки "чуваки" хотели создать ей конкурента, если они уже вышеупомянутой компании информацию и продавали?


zas_exp, я пишу, что хотел бы видеть нормальный клиент в моем представлении. У кого-то наверняка есть и другие представления даже со стороны клиента. Компания, понятно, делает то, что хочет.


Николай Николаевич Федотов, а "не у нас", в смысле на Западе, как дела обстоят?


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: zas_exp от 22 Октября 2004, 17:28:07
zas_exp, я пишу, что хотел бы видеть нормальный клиент в моем представлении. У кого-то наверняка есть и другие представления даже со стороны клиента. Компания, понятно, делает то, что хочет.
Наши представления не всегда совпадают с юридическими нормами. Чаще эмоции выходят на первый план, потом здравый смысл. Этот топик наглядное тому потверждение.
 


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Антон Серго от 22 Октября 2004, 23:32:53
Кстати, если кому интересно, могу поискать у себя постановление суда по тому делу и прислать Антону, для выкладывания на всеобщее обозрение.

С удовольствие приму в дар для общего блага.


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Dimon от 23 Октября 2004, 08:02:18
zas_exp, странная все-таки у вас логика. В таком случае, каждый открытый топик, где обсуждаются новости и теория подпадает под ваш критерий "эмоций далеких от здравого смысла и юридических норм".


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: zas_exp от 23 Октября 2004, 16:03:48
zas_exp, странная все-таки у вас логика. В таком случае, каждый открытый топик, где обсуждаются новости и теория подпадает под ваш критерий "эмоций далеких от здравого смысла и юридических норм".
типа разборок клиентов с хостером, ловли наглых, злобных хакеров и проч., но ничего этого не вижу.
А это как теперь называется? ;D


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Dmitry от 25 Октября 2004, 08:31:48
Цитировать
С удовольствие приму в дар для общего блага.

В бумажном виде нашел, в электронном пока нет. Если сегодня в течение дня не найду файл, то вечером отсканю 20 страниц мелкого текста и пришлю.


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Dimon от 30 Октября 2004, 08:20:29
zas_exp, странная все-таки у вас логика. В таком случае, каждый открытый топик, где обсуждаются новости и теория подпадает под ваш критерий "эмоций далеких от здравого смысла и юридических норм".
типа разборок клиентов с хостером, ловли наглых, злобных хакеров и проч., но ничего этого не вижу.
А это как теперь называется? ;D

Ладно. Изначально топик куда-то не туда полез, я и написал.
Добавлю, пожалуй, следующее: на самом деле, у меня на сервере хранится база данных e-mail подписчиков рассылки, e-mail'ы практически все "чистые", "приватные", люди заполняли подробные анкеты о себе (сами анкеты я вроде давно убрал с сервера - но если бы нет, то пострадали бы уже люди, которые их заполняли; там было и место работы и телефоны, включая домашние и т.д.)- я не в курсе, заходил ли кто-то постронний по FTP на мой сайт или нет, и не заныкал ли себе эту базу e-mail; кроме этого, у меня там лежат в приватном доступе два деловых бизнес-предложения; к каждому предложению имеют доступ только по одному человеку (мои близкие знакомые), и то имеют они доступ по паролю и я сделал все, чтобы эту информацию им или скорее тем, кто окажется в этот момент за их компьютером, нельзя было скопировать, сохранить и т.д. - эти предложения тоже могли попасть в чужие руки.

Что касается практических примеров ущерба для фирм, то об этом есть на форуме компании. Один человек пригрозил судом, если все не наладят, одна девушка указала на то, что ее могли и уволить за неработу сайта.


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Dmitry от 30 Октября 2004, 15:18:35
Получил от Антона сообщение, что материалы по делу Reuters против пиратов выложены на http://www.internet-law.ru/intlaw/crime/reuters.htm .


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Николай Николаевич Федотов от 01 Ноября 2004, 11:42:58
... на самом деле, у меня на сервере хранится база данных e-mail подписчиков рассылки, e-mail'ы практически все "чистые", "приватные", люди заполняли подробные анкеты о себе (сами анкеты я вроде давно убрал с сервера - но если бы нет, то пострадали бы уже люди, которые их заполняли; там было и место работы и телефоны, включая домашние и т.д.)

Если кто хранил на взломанном хостинге персональные данные или иную конфиденциальную информацию, подлежащую обязательной защите, он должен задуматься, а имело ли ПО этого хостинга надлежащие сертификаты? Если нет, то стоит перечитать статью 13.12 КоАП.


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Dmitry от 01 Ноября 2004, 13:21:11
Если кто хранил на взломанном хостинге персональные данные или иную конфиденциальную информацию, подлежащую обязательной защите, он должен задуматься, а имело ли ПО этого хостинга надлежащие сертификаты? Если нет, то стоит перечитать статью 13.12 КоАП.

Указанную статью прочитал. К кому ее применять предполагаете? К хостеру? Так он услуги по защите данных клиенту в соответствии с договором не предоставляет. А с лицензиями и сертификатами у него как раз может быть все в порядке, только это разве от чего-нубудь гарантирует? Или хозяина собранных данных Dimon'а по этой статье вздрючить попытаемся? В этом случае за отсутствием лицензий и гос.тайны, в нашем распоряжении, очевидно, остается только часть 2 этой статьи.  Остается только понять, являются ли применительно к персональным данным фразы "обязательная защита" (о которой говорится в законе) и "обязательная сертификация" (о которой говорится в КОАП) синонимами. Мне представляется, что нет, по крайней мере пока. Возможно я ошибаюсь, но в таком случае был бы благодарен, если бы Вы пояснили, какие сертификаты следует признавать надлежащими и в соответствии с какими нормативными актами.
А вот на кого бы мне в суд подать, что базы данных, содержащие сведения в том числе и о моем заработке или некоторых моих банковских операциях, или о некотрых видах движимого и недвижимого имущества, продаются на каждом углу, причем, полагаю, что с наличием лицензий и сертификатов на компьютерные системы что у ГНИ, что у Пенсионного фонда, что у РКЦ Госбанка, что у ГИБДД, что у регистрирующих органов юстиции - все нормально. А хотя бы и не все в порядке, об заклад бьюсь, причина утечки с этим никак не связана.


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Михаил Шабрашин от 04 Ноября 2004, 04:47:31
Всех приветствую!

Заранее извиняюсь за то, что может моя мысля опоздала, но все же ИМХО:

учитывая то, что законодательства о сети Интернет в России нет как такового, приходится пользоваться аналогией права...

отсюда - некая компания производит и устанавливает в квартиры металлические двери...

негодяи, в отсутствие хозяина квартиры открыли (взломали) дверь, и вынесли ценности... кто виноват?

предприятие, изготовляющее двери, хозяин, или воры?

ответ очевиден...

стоит ли сваливать вину на компанию только потому, что она не учла профессионализма взломщика...

я понимаю, что в сети чуть другие критерии защиты, но все же, с чем в суд идти исходя из названия топика?

С уважением,
Шабрашин Михаил.


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: CyberCop от 04 Ноября 2004, 18:32:25
Электронные носители - наиболее уязвимый канал незаконного изъятия конфиденциальной информации
Дата: 04.11.2004
Источник: crime-research.ru
Автор: Виктор Сабадаш

70-80% информации об объекте можно получить вполне законным способом, используя открытые источники: газеты, журналы и Интернет. Остаются востребованными и другие методы сбора информации, попадающие под определение «промышленный шпионаж», за который предусмотрена уголовная ответственность. В частности те, что предполагают несанкционированное вторжение в тайну переговоров, переписки, а также сбор охраняемой законом информации, отнюдь не в рамках оперативно-розыскной деятельности.

Наиболее уязвимый канал незаконного изъятия конфиденциальной информации – электронные носители. По мнению экспертов, 90% пользователей не имеют защиты от несанкционированного доступа в систему. В свою очередь, 90% пытающихся защититься от виртуального взлома, не могут определить, кто, сколько раз и с какой целью пытался получить доступ к их информации.

Особо опасна кража идентификационных данных, так как большинство преступников делают это либо из корыстных побуждений, либо для последующего сбора информации об организации. Материальный ущерб от преступности в сфере информационных технологий измеряется миллиардами долларов США и увеличивается из года в год. При этом ожидаемый рост финансовых потерь от преступных посягательств обусловлен не только и не столько увеличением количества электронных атак, сколько растущим масштабом использования сетевых информационных технологий в бизнесе. В условиях жесткой конкуренции компании вынуждены переводить большую часть своих бизнес-коммуникаций в Интернет, что без должного отношения к вопросам защиты информации делает их более уязвимыми для преступников.

В сложившихся условиях эффективное противодействие преступности в сфере информационных технологий возможно только при тесном взаимодействии правоохранительных органов, государственных, общественных и коммерческих структур. Не секрет, что значительная часть преступлений успешно пресекается сотрудниками милиции только благодаря сотрудничеству с компаниями-провайдерами, операторами радиотелефонной связи общего пользования, другими организациями и предприятия, действующими на информационном рынке. Однако многие организации, даже при установлении факта преступного посягательства предпочитают ограничиваться разрешением конфликта своими силами, поскольку их руководители опасаются подрыва своего авторитета в деловых кругах и, в результате, потери большого числа клиентов, раскрытия в ходе судебного разбирательства системы безопасности организации либо выявления собственной незаконной деятельности.


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Николай Николаевич Федотов от 05 Ноября 2004, 11:06:38
учитывая то, что законодательства о сети Интернет в России нет как такового, приходится пользоваться аналогией права...

отсюда - некая компания производит и устанавливает в квартиры металлические двери...

Есть существенная разница между защитой своей собственной и защитой чужой информации. Тем более, не просто чужой, а персональных данных, которые предписано защищать в обязательном порядке. И только сертифицированными средствами.

Если провайдер предлагает своим клиентам лишь несертифицированные средства защиты, при этом подразумевается, что хранить под ними чужие персональные данные нельзя. А клиент об этом знает и всё равно хранит? Значит, он тоже виноват.


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Dmitry от 05 Ноября 2004, 11:38:25
И только сертифицированными средствами.

Повторюсь, боюсь Вы выдаете желаемое за действительное. Возможно я ошибаюсь, но положения об обязательной сертификации средств и систем для обработки персональных данных ни в одном нормативном акте мне не встречалось, за исключением проекта закона "Об информации персонального характера", который пребывает в недрах Думы в зависшем состоянии лет уж, кажется, 6 или 7, если не больше.
Кстати, кто и как будет сертифицировать шкаф металлический несгораемый (сейф), в котором хранится бумажная картотека?


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Igor Michailov от 05 Ноября 2004, 13:17:52
...В сложившихся условиях эффективное противодействие преступности в сфере информационных технологий возможно только при тесном взаимодействии правоохранительных органов, государственных, общественных и коммерческих структур...
 
Уважаемый CyberCop, по-моему упушена еще одна немаловажная структура - законотворческая,  ;D , а без нее усилия практически всех других структур равны нулю.


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Igor Michailov от 06 Ноября 2004, 16:19:56
Николай Николаевич, а кто , по вашему, проволит эту сертификацию и как называется этот сертификат?


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Dimon от 08 Ноября 2004, 10:07:12
Николай Николаевич Федотов, я думаю, что "хранением" персональных данных и конфиденциальной информации "приходится" заниматься если не всем, то почти всем интернет-магазинам. Кроме того, интересно, можно ли сюда отнести еще и самые обычные форумы, включая этот? На некоторых таких форумах, кстати, принятым является то, что участники регистрируются под своими реальными именами.


Dmitry,
Не, Dimon'a "дрючить" не стоит.
Кстати, он данные собирал не втихоря от юзеров или даже знакомых. Анкета вывешивалась в открытом виде по открытому адресу, при заполнении анкеты, пользователю указывалось, что произойдет после нажатия соответствующих кнопок сайта, как будет использоваться предоставленная им информация и т.д.. Большую часть пунктов анкеты (включая телефоны) заполнять было не обязательно, только по желанию пользователя. Могу сказать, что многие из этих людей заполняли и другие анкеты, гораздо более подробная личная информация о них висит открыто в сети с их согласия, но этим уже не я занимался. Просто сложился определенный клуб, где люди друг другу доверяют и часто общаются в реале.

Более интересная тема - это сбор информации о юзере, которым занимаются компании, услугами которых он пользуется явно. У меня такое предупреждение "висит" на e-mail'е от Yahoo! И могу сказать, что если они сканируют электронную почту, которой я пользуюсь, то знают обо мне просто неприлично много. И не могу сказать, что я в восторге от этого. Только у Yahoo инфа об этом висит открыто. Боюсь, что если у нас занимаются тем же самым, то втихомолку и без каких-либо предупреждений.


Михаил Шабрашин, мне кажется, что аналогия не совсем корректная. Я предлагаю более красивую и романтичную (так когда-то начиналась моя "жизнь" в интернете, первые странички в смысле). Есть некий дом. Так как компания большая, есть скорее даже целый квартал домов, квартирами в которых владеет компания. Компания сдает эти квартиры различной планировки и комфорта своим клиентам (жителям), сдает за разную плату, исходя из уровня предоставляемых сервисов. После определенного срока, по желанию, клиент может продлить срок аренды или съехать. В последнем случае жилище освобождается и его/его ресурсы может использовать другой клиент. Квартиры изначально благоустроены и обладают определенными заданными характеристиками. Компания обеспечивает свет, воду, электричество, другие удобства и следит за тем, чтобы все это качественно работало. При всем при этом происходит примерно следующее, в квартиру к клиенту каким-то образом забираются посторонние люди (воры, провораторы, не важно). И выясняется, что эти люди попали туда не по той причине, что арендатор забыл запереть дверь, где-то потерял свой ключ или отдал его какому-то знакомому, не потому что он забыл закрыть окно или форточку перед уходом из дома. А потому, что ключ к его замку по халатности или злому умыслу компании-владельца квартала/домов получили третьи лица, причем вместе с этим ключом получили всю информацию об арендаторе, включая информацию о владении тем или иным имуществом (доменами), сроки аренды, информацию о платежах и паспортные данные. И пока речь даже не зашла о самом контенте (содержимом его квартиры) и хранившихся там "вещах" (включая "вещи" жены, детей, друзей, партнеров по бизнесу и т.п. - для интернета - это сответственно, могут также быть приватные данные о регистрации в интернет-магазине, на форуме и т.д.).


Название: Re:Потеря личных данных по вине второй стороны и другие аспекты.
Отправлено: Игорь Собецкий от 08 Ноября 2004, 18:36:06
Повторюсь, боюсь Вы выдаете желаемое за действительное. Возможно я ошибаюсь, но положения об обязательной сертификации средств и систем для обработки персональных данных ни в одном нормативном акте мне не встречалось, за исключением проекта закона "Об информации персонального характера", который пребывает в недрах Думы в зависшем состоянии лет уж, кажется, 6 или 7, если не больше.

   К сожалению, Вы ошибаетесь. Рекомендую почитать федеральный Закон РФ "О лицензировании отдельных видов деятельности", а также ст. 13.11, 13.12 и 13.13 Кодекса РФ об административных правонарушениях. Там все достаточно подробно описано.
 
Цитировать
Кстати, кто и как будет сертифицировать шкаф металлический несгораемый (сейф), в котором хранится бумажная картотека?

   Как и всех остальных средств защиты информации - Федеральная служба по техническому и экспортному контролю, бывшая Гостехкомиссия при Президенте РФ. Для интересующихся - сайт этой достойной конторы - http://www.gostexkom.ru (http://www.gostexkom.ru). Там подробно изложен порядок сертификации средств защиты от НСД.