Дию ломанули (опять)
Пока мы спали, на RaidForums віложили 20 ГБ архив данных, спизженных через Дию.
Например, потекли ЕЦП, ковид сертификаты, и бог знает что еще - архив выложили не полный, только демо часть. Обычно в таких случаях самое вкусное достается покупателю. Данные относительно свежие, и судя по всему актуальные.
Подробнее
Sean Brian Townsend 9h • 0 Мне кажется, или пора начинать беспокоиться? (Шесть часов назад неизвестные выложили на Яак^огитз данные из (предположительно) Дии, которая (предположительно) ничего не хранит. Около двадцати гигабайт архивов. В качестве ‘образца*) Хотелось бы услышать какой-нибудь утешительный комментарий на этот счет. Я действительно не знаю откуда данные, не могу проверить. Но их много. И они очень похожи на настоящие. Спасибо ЭС 8044 за ссылку. BACKEND_FORCE_SECURE=true LINK_POLICY=secu re APP_ENV=prod APP_URL=http://diia.gov.ua APP_THEME=diia DB_H0ST=192.168.3.48 DB_DATABASE=prod-diia DB_USERNAME=prod-diia DB_PASSW0RD=d5Re9rJ53C73ve5HAA0a3f29J QUEUE_DRIVER=database REDIS_H0ST=192.168.3.44 REDIS_PASSW0RD=VYA92bwmLE9APJfb
eds 2021-10-24 10:33:16.947596+00 2021-10-27 14:39:35.184+00 536+00 2021-10-03 17:42:03.209+00 2698614498 individual eds 2021-10-03 17:42:12.553517+00 2021-10-03 18:10:28.058+00 eds 2021-11-03 21:25:19.876908+00 2021-11-04 15 :44:54.296+00 \N ШВИоД|е|ЦД[о11ШШ01ЖДДИ0Д13:55:49.16+00 -04 15:44:59.232833+00 2021-11-04 15:52:44.662+00 2209907008
*.$......0..Mi. *.H.* .....MY. . .M0PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNvZGluZz0idXRmLTgiIHN0YW5kYWxvbmU9InllcyI/Pj xBU2lDTWFuaWZlc3Q+PFNpZlJlZmVyZW5j ZSBVUkk9IklFVEEtSU . .*.$.......O.nlkOi. .U. .ЬАКЦЮНЕРНЕ ТОВАРИСТВО КОМЕРЦ1ЙНИЙ БАНК «ПРИВАТБАНК»1.0...U______АЦСК1402..U...+АЦСК АТ КБ «ПРИВАТБАНК»1.О...U_________UA-14360570-20181.О ..U 201113091436Z. 211113215959Z0.Ü1"0 ..U. . . Ф13ИЧНА 0С0БА1907 . . U. . . ОВОНЦОВИЧ CBITJIAHA ЮРПВНА1.0. . .U_В0НЦ0ВИЧ1(0&. . U. * . . СВ1ТЛАНА ЮР11ВНА1.0. . .U_19234831.0 . .U_UA1.0. . .U. . . *.$..........@©ÖeEn<p. .Ё{#.л.0ХёаА7) .8ÜkÖ%£N.0er /E.':(._.Ä>d8pde#..B.>mjuÄy..$..!Ö[.NA . . yuÖß$INDiüS"CI |4iZ 8P.£. .60. .20) . .U. . .". ».te.^:hh0_eM# «\yQ. . äoClqÄÖNO+. . U .#. $0". «l}u£..jz 0. . *.$.....0. . .U_y. .0.0. . . +.......y. .0 0.. *.$.....0>..U...70503 1 /.-http://acsk.privatbank.ua/crl/PB-2018-S17.crl0I..U...B0@O> < :.8http://acsk.privatbank.ua/crldelta/PB-D 31638087800 . .*.$.......C..@.nu. .ä "Es+’ NZ3e2Ö. iAy.%7i! . f £P>2R. { ! «Ö8e. . A4q' ötö^Üf). . . 0. . . 81. r+0. r1 . . . 0. . O.nlkOi..U. .ЬАКЦЮНЕРНЕ ТОВАРИСТВО К0МЕРЦ1ЙНИЙ БАНК «ПРИВАТБАНК»1.0 . . . U__АЦСК1402 . . U. . .+АЦСК АТ КБ «ПРИВАТБАНК»1.0. . .11_UA-14360570-20181.0 . . U *.$..........Ü0.. *.Н.* .1.. *.Н.-г ...0.. *.Н.-г .1. . 201223135557Z0/. *.Н.^ .1". F] "ÜF-XS. . i .-CÖMal. üd".». MW. Mä"Ö0. .а..*.Н.-г . ./1..PO..LO..HO..DO.. *.$........ ä.§Ä.n-..}. %.uy..äüöiÄö[4.".Äy%0...O.^n.öO.nlkOi..U. .ЬАКЦЮНЕРНЕ ТОВАРИСТВО К0МЕРЦ1ЙНИЙ БАНК «ПРИВАТБАНК»1.О...U______АЦСК1402..U...+АЦСК АТ КБ «ПРИВАТБАНК»1.О...U_________UA-14360570-20181.О ..U ...1..Ö0..Ö. *.Н.-г .....äO..ß...1.0. . *.$......Ok. .*.Н.-г ... \.ZOX___ *.$......ООО. . *.$........ F]"ÜF~XS..¿.-CÖMal.üd”.».MW.Mä"Ö..<a±T..20201223135557Z1..[0..W...0...0.ul?0=..U. .6MiHicTepcTB0 юстицИ УкраЮиПО/. .U. . . (Адм1н1стратор ITC H301I0G. .U. . .(ЭЦентральний засв1дчувальний орган1.0. . .U. . . .UA-00015622-20171.0 .............Ü0.. *.H.-r
"Я думаю, що роль юбербезпеки трохи перебтьшена. Про не)' багато говорить, але по факту назвати яккь реальн) кейси юберзагроз мало хто може." МЫктр цифровоГ трансформацп Михайло Федоров М1жстерстоо цифровоТ трансформац(Т УкраТни
хакеры,взлом,Дія,Зеленский,Владимир Зеленский, Володимир Зеленський,Минцифры,Украина,страны
Еще на тему
Позоонаблюдаем...
понабирали дебилов и переводят доки в онлайн
идея хорошая, реализация - говно.
Грузится быстро, все документы подтягивает, функционал простой и удобный
Безопасность: видео идентификация, идентификация через BankID, вход через пин или биометрию.
Хоть немножко разберитесь в вопросе, прежде чем слушать адептов сывочолого гетьмана, которые уже предлагают вообще запретить BankID так как это не безопасно
А потом собирал команду для создания Дия, а итог все знают.
https://raidforums.com/Thread-SELLING-Ukrainian-Leaks-2022-diia-gov-ua-Users-2M?pid=4871426#pid4871426
А что данные бьются в реале - ну бля, это точно не дия. Нет-нет.
https://raidforums.com/Thread-SELLING-Ukrainian-Leaks-2022-diia-gov-ua-Users-2M?pid=4871426#pid4871426
https://raidforums.com/Thread-SELLING-Ukrainian-Leaks-2022-diia-gov-ua-Users-2M?pid=4871426#pid4871426
Но это даже не самое веселое: в прцоессе оправданий, почему это ТОЧНО не утечка из дии, разрабы косвенно признали, что лезут в БД других ведомст напрямую, и делают это максимально раковым способом. Боее того, у них таки есть какая-то БД, где они что-то хранят, и это - 100%:
https://guide.diia.gov.ua/api/v1/health/
Короче, лучшее, что они сейчас могли бы сделать - это перестать выебываться на тему security through obscurity, и выложить код и документацию на публику.
а вот букву "ё" - почти никогда. Только если возникает неоднозначность.
А что касается автора - у него скорее всего раскладка украинская - им бывает сложно переключаться - три раскладки - русская, украинская и английская. В украинской раскладке буква Э и Е путаются, потому что наша Е читается как Э
Отсюда все и проистекает.
Теперь право душнилы по праву переходит ко мне.
1. "Здраствуйте, не хотите кредит?"
2. "У вас кредит, позвоните сюда чтобы решить проблему"
3. И всякое такое связанное со спамом на телефон.
А вообще я не предлагал и не рекомендовал что-то использовать, просто написал что приложений много и у каждого разный функционал, поэтому вопрос "как это можно настроить" не совсем корректный.
Как ЕЦП поможет тебе в продаже квартиры ?
Через Дию можно в финансовой организации подтвердить личность.
У меня сейчас на работе коллега имеет такую проблему: на неё взяли кредиты, сейчас она пошла в полицию.
https://acsk.privatbank.ua/old-revoke
В самой Дії есть своя подпись, я ее активировал только когда ковид сертефикат делал, требовало именнно такую подпись, потом сразу отрубил
А в Привате через сайт, пишешь свой ИНН, и подписуешь ЕЦП и оно удаляет втом числе и подпись которой ты подтверждал удаление
З.Ы. ЧТобы получить Ковид сертификат тебе нужно регнутся, а чтобы регнуться тебе нужно заполить анкету с указанием КУЧИ личной инфы. Мол, нахера? А просто так.. так надо :D
И тут бац.. такая новость.
Только функционал, ничего лишнего, никаких перделок, интеграция с банкИд, фейсИд.
Всё остальное уже можно хаять.
Или супер-секьюрити, когда тебе таки понадобились документы, но ты в здании, интернет не ловит и "ой, нам надо вас повторно авторизовать с интернетом или прям щас все документы удалим".
Или что оно ковид сертификат может потерять.
Или.. а собственно что оно еще умеет.
мне повезло и я ниразу не попадал на какое либо подтверждение личности. Может потому, что у меня не андроид, может оно каким либо образом использует фейсИд, может потому, что почти не пользовался до недавнего времени.
Ну а по поводу умений - а что ему еще надо уметь? Я, лично, вижу только возможность оставить авторизованный запрос в какй либо из гос органов, используя подпись из дии + возможность в этот запрос привязать документы "из дии" с дополнительным запросом на их получение третьими лицами, а-ля "государственная пенетециарная служба запрашивает документ о вашей прописке, разрешить?"
Ну и токены на той стороне можно дропнуть и они станут бесполезными.
Все, что попадает в интернет, в конечном итоге будет украдено.
Учитываем ситуацию когда обычный нормальный водитель едет на нормальном легальном автомобили с нормальными номерами, а не евробляхами. Евробляхи - сразу в ад нахуй.
И так, едешь ты на автомобиле, ничего не нарушил, тебя останавливает сотрудник полиции. Остановиться ты обязан в любом случае. Подходит к тебе мусор, что-то требует у тебя. Первым делом - необходимо чтобы у тебя был видеорегистратор. Можно делать и на телефон, но на регистратор удобнее - повернул в сторону мусора, и дальше по схеме работаешь. Даёшь мусору понять своими действиями, что идёт видеофиксация вашего разговора (якобы поправляя видеорегистратор). Вторым делом - сразу требуешь его представиться и предъявить своё служебное удостоверение. Данные из удостоверение зачитываешь громко вслух, чтобы они были в виде разборчивого звука записаны на видео - зачитываешь ФИО, место службы, звание, срок действия. После рекомендую обратить внимание на наличие у мусора работающей боди-камеры. Если её нет, спросить о причинах её отсутствия. За это тоже можно написать дополнительно будет на мусора в бумаге. Третьим делом - чётко задаёшь мусору вопрос - причина остановки согласно 35 статьи закона Украины про национальную полицию - в ней перечислено 10 причин остановки транспортного средства, согласно которым полицейский имеет право останавливать транспортное средство (настоятельно рекомендую ознакомиться, и даже распечатать и возить с собой). Там в статье 35 нет таких пунктов как "проверка документов", "проверка самочувствия" и т.д. Если мусор начинает ворочить глину, плавая в законодательстве и его понятиях, додумывая несуществующие причины, спрашиваешь что предусмотрено если ты не будешь исполнять его требования, он в 90% случаев начинает петь про "ст. 185 - злісна непокора законним вимогам мусора", и ты если хочешь от него избавиться уже - то заявляешь что его требование незаконное, и ты не обязан его исполнять, но так как он угрожает тебе фабрикованием против тебя административного материала, что имеет признаки преступления, согласно статье 365 ККУ, а именно "Перевищення влади або службових повноважень працівником правоохоронного органу", и после его запугивания соглашаешься исполнить его незаконное требование, предъявляешь документ, он тебя отпускает, конец.
Дальнейшие действия - приезжаешь домой, грузишь видео на комп. Гуглишь согласно данных зачитанных из удостоверения мусора кто его начальник, составляешь жалобу на этого мусора его начальнику. Если не можешь нагуглить начальника - пишешь на главу НП, это будет дольше, но там разберутся в итоге. В жалобе описываешь то, что сотрудник без причины остановил транспортное средство, не озвучил законную причину остановке согласно статье 35 про НП, угрожал составлением незаконного материала, что имело в себе признаки преступления, согласно статье 365 ККУ, прошу принять меры взыскания относительно данного сотрудника в рамках действующего законодательства. Про принятые меры прошу меня уведомить письменно (либо же на электронный адрес). Теперь важно - дополнительно к этому заявлению очень желательно приложить видеозапись на ДИСКЕ вашего диалога с полицейским, что увеличит шансы на вынесения этому сотруднику ДОГАНЫ. В итоге мусору влепят скорее всего догану либо суворе попередження. Две доганы за аналогичные нарушения - и мусора увольяют. Так что словив первую, он уже будет стараться более согласно закону выполнять свои обязанности, а если ему работа не дорога - то выгонят его нахуй и делу конец.
Конечно описанные мною действия для человека, которому на всё похуй, он спешит слишком сложны, но только таким образом мы сможем выстроить общество, в котором правоохранители будет не кошмарить людей, и защищать их права и свободы.
В случае если это всё делать реально лень, после незаконной остановки и общения с мусором звоните на 102, оставляете официально жалобу, указывая ФИО мусора, беспричинную остановку, где это и когда произошло. Не так действенно, конечно, как письменная жалоба с диском с видеодоказательствами, на догану не наберётся, но при системе таких жалоб либо же после такой жалобы будут официальные письменные жалобы на такого сотрудника - то это увеличит шансы на вынесение доганы.
"Министр цифровой трансформации Михаил Федоров считает, что роль кибербезопасности в современном мире преувеличена. Такую точку зрения он высказал в недавнем интервью изданию LB.ua.
Ниже приводим точный комментарий министра:
«Я думаю, что роль кибербезопасности немного преувеличена. О ней много говорят, но по факту привести каких-то реальных кейсов киберугроз мало кто может. Приведу простой пример. Когда мы пришли в Офис президента, IT-команда показала дашборды с тысячью атак в день, перегрузкой сайтов и тд. Через две недели мы их уволили, и ничего не происходило на протяжении нескольких месяцев, пока мы собирали новую команду»."
Нет алертов - нет проблемы.
Это просто нагляднейший пример того, почему нельзя пренебрегать безопасностью в сфере ИТ.
для тех, кто в танке
1. Дію делали epam-Овцьі.
2. epam так же имеет офисьі на России.
не сложно представить ситуацию вербовки/подкупа/запугивания сотрудников epam-a (коих на России 6,3к+ тел в 13 городах) сотрудниками ФСБ с целью получения доступа к персональньім данньім граждан Украиньі.
про взлом? это не ко мне вопрос.
о том, что дію делали в epam? дык об этом и так уже весь мир в курсе
Конечно же этот продавец новорег и 0 репутации.
Но да тебе это сложно и нихуя не понятно.
Подлинность самого дампа никто внятно не опроверг, и данные людей там вполне актуальны.
Кроме того, Дия ТОЧНО что-то да хранит хотя бы потому, что у них в public api вывален статус базы данных: https://guide.diia.gov.ua/api/v1/health/
Но ты, конечно, и дальше можешь рассказывать сказки, что ничего не было, это все фейк.
Ну и как бы сам подумай на холоде, новорег на открытых обычного инета вываливает базу и еще на ряде других форумах и после цены 15, пытается за 80 продать но типо в одни руки(ага прям таки одни руки 100%). Что как бы уже красными буквами пишет тебе «это наеб».
Тем более если руками это 99% банки. Учитывая приписные и трудовые книги в этом архиве, сканы которых несут в банки при трудоустройстве, думаю дальше сам поймешь.
А загранов которые 100% есть в дии, почему то среди доков не нашлось.
Дию пидпис удалил. Как проверить или у меня есть ЕЦП вроде не делал, но все-же.
Это мы знаем, что 13-14 января был взлом гос.сайтов. Но всё ли ограничилось только лиш сайтами? И возможно, что окромя бага в движке сайтов. Так же нашли и баги ведущие к серверам реестра.