«Ренессанс Страхование» допустило утечку 737,7 тыс. строк с данными клиентов 14 / 134

Универсальная страховая компания, занимающаяся в том числе страхованием недвижимости
«Ренессанс Страхование» допустило утечку 737,7 тыс. строк с данными клиентов
внешняя ссылка

В интернет попал файл, включающий в себя содержимое памяти компьютера или базы данных предположительно «Ренессанс Страхование», сообщает DLBI. Файл датируется 31 мая 2023 года, в нем содержатся сведения начиная с февраля 2015 года, таблица зарегистрированных пользователей состоит из 737,7 тыс. строк.
DLBI занимается созданием аналитических отчетов и анализом активности мошеннических группировок на теневых ресурсах.
«В открытый доступ был выложен полный SQL-дамп предположительно сайта renins.ru (работает под управлением CMS "Bitrix"), принадлежащего "Ренессанс Страхование"»,— пишет DLBI в своем Telegram-канале.
Среди выложенных данных: ФИО, адреса электронной почты, телефоны, хешированные пароли. Некоторые адреса электронной почты из списка, по данным DLBI, действительные.

дебильная контора, с дебильным руководством и наплевательским отношением к сотрудникам.

И дамп украсть - особого труда не составит. Каждый программист работает с локальной базой, установленной на его рабочий комп. Миллион клиентов, разве это база? Настольный комп вполне справляется. И слямзить там - как два байта переслать.

02.06.23, 21:41
bhr писал(а):
И дамп украсть - особого труда не составит. Каждый программист работает с локальной базой, установленной на его рабочий комп. Миллион клиентов, разве это база? Настольный комп вполне справляется. И слямзить там - как два байта переслать.

Не должны дамп с прода выдавать кому-попало. Если для локальной работы нужно: в последнее время тенденция, его резать по размеру и хранимыми процедурами подменять ФИО, паспортные данные и все, что можно подтянуть под персональные данные. Хотя охотно верю, что никто этим не заморачивался годами.

Проблема настолько важна, что Путин я январе поручил доработать свежепринятый закон о наказаниях за утечки персональных данных

13 января, 18:53 / Технологии
Отрасль сопротивляется принятию этого законопроекта с весны 2022 года

Президент Владимир Путин поручил правительству до 1 июля 2023 г. рассмотреть вопрос о введении оборотных штрафов для компаний, которые допустили утечку персональных данных (ПД) россиян. Поручение было дано по итогам заседания Совета по развитию гражданского общества и правам человека, состоявшегося 7 декабря 2022 г. Перечень поручений опубликован 13 января 2023 г. на сайте Кремля.
«Правительству РФ рассмотреть вопросы об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных, усилении ответственности за их незаконный оборот и иные нарушения законодательства в области персональных данных и представить предложения по внесению соответствующих изменений в законодательство», — говорится в документе.

Поручение должно быть исполнено к 1 июля 2023 г., ответственным за него назначен премьер-министр Михаил Мишустин.

Поскольку поручение президента обязывает лишь «рассмотреть вопросы» о введении оборотных штрафов и «представить предложения» по внесению изменений в законодательство, это совершенно не означает, что закон должен быть принят к этому сроку, отмечает директор Института исследований интернета Карен Казарян внешняя ссылка

Во исполнение этого

Минцифры передало на рассмотрение Комитета госдумы по информполитике, IT и связи два законопроекта, которые ужесточают порядок работы с персональными данными россиян, рассказали “Ъ” собеседники в правительстве. Первый документ вводит оборотные штрафы для компаний, допустивших утечку информации. Второй вносит изменения в Уголовный кодекс РФ и распространяется на граждан, совершивших противоправные действия с использованием персональных данных: кражу, продажу, а также создание теневых форумов, где незаконно распространяются личные данные граждан.

О том, что законопроект об усилении административной ответственности за утечки данных должен поступить на рассмотрение в Госдуму уже в апреле, 15 марта сообщил глава Минцифры Максут Шадаев:

«Законопроект, предусматривающий административную ответственность за утечку, в частности, оборотные штрафы, уже готов в финальной версии».

В документе оговорены ответственность за утечки баз данных, фиксированный штраф при первичном инциденте и оборотный штраф — при повторном, смягчающие и отягчающие обстоятельства, уточнили в министерстве. Законопроект должен предусматривать оборотный штраф для компаний в размере 5–500 млн руб., при этом максимальный штраф компания получит, если допустила утечку данных повторно с момента вступления закона в силу (см. “Ъ” от 26 декабря 2022 года).

В апреле Госдума также рассмотрит законопроект об «уголовной ответственности за кражу персональных данных и создание сайтов и других каналов для их распространения», следует из презентации к выступлению министра. По словам собеседника “Ъ” в правительстве, речь идет о внесении изменений в статьи 272, 273 и 274 УК РФ, которые касаются неправомерного доступа к компьютерной информации, распространения вредоносных программ и нарушения правил эксплуатации средств хранения, обработки или передачи компьютерной информации.внешняя ссылка

03.06.23, 07:44
cheops писал(а):
Не должны дамп с прода выдавать кому-попало. Если для локальной работы нужно: в последнее время тенденция, его резать по размеру и хранимыми процедурами подменять ФИО, паспортные данные и все, что можно подтянуть под персональные данные. Хотя охотно верю, что никто этим не заморачивался годами.

во времена СВО порядок наведут быстро

03.06.23, 13:04
TrintyFlo писал(а):
во времена СВО порядок наведут быстро

С сентября вроде вводят оборотные штрафы за утечку персональных данных. Кстати, с этими пандемиями и СВО, когда народ сначала из офисов на удаленку ушел, а потом и вовсе за границу свинтил, получилось очень любопытно. Если имеешь доступ к персональным данным, то сидя за границей и работая с ними ты занимаешься их трансграничной передачей. В том числе поэтому банки и яндексы стали выгонять народ в офис, чтобы в контуре сидели. Работа в банковских и страховых компаниях неожиданно приобрела минус. Кое-кто из тех кто работает с персональными данными - не чешутся, но видимо заставят чесаться всех.

PS Чтобы представить масштаб, трое коллег на зиму свалили на Бали, один во Вьетнам, а половина вообще с кипров и турций не вылазят, раз в год в РФ заезжают. Это не первый и не второй год, иногда ощущение на встречах, что я один в РФ, у всех какие-то пальмы за спиной - не фон ))) На прошлой работе задело, всех пробуют вытащить в офис, но народ активно против, особенно те, кто успел на постоянку поселиться в 2.5 часах езды от офиса. На МРН не понятно как отразится и отразится ли, но мы явно находимся в неравновесной ситуации.

cheops,
Дык, как их выдернешь, если в трудовом договоре указана удалёнка?

03.06.23, 14:08
bhr писал(а):
cheops,
Дык, как их выдернешь, если в трудовом договоре указана удалёнка?

Не у всех, кое-кто ушел на удаленку в марте 2020, да так с тех пор в офис и не вышел. Не удобно было: большая часть команды удаленная, т.е. все о чем договорились в офисе нужно транслировать в zoom. Проще уж сразу в zoom/google meet и проводить встречи, чтобы все были в курсе. Офисы оборудованные в допандемийную эпоху не имеют достаточного количества переговорок и кабин для созвонов. В результате стоит гул и все друг другу мешают. В таких условиях проще жить в удаленном формате. Используя эти доводы удавалось убеждать руководство, что тем, кому не нужно участвовать в очных переговорах с заказчиками, в офисе делать нечего - только риск разобщения команды. Но времена меняются. Судя по всему, все недовольные уйдут, наймут новых, которые об удаленке не будут подозревать. В принципе я так приходил, при этом было немного избранных, которые по историческим причинам работали удаленно. Так как это были старожилы, их привилегию все воспринимали без вопросов.

03.06.23, 14:18
cheops писал(а):

03.06.23, 14:08
bhr писал(а):
cheops,
Дык, как их выдернешь, если в трудовом договоре указана удалёнка?
Не у всех, кое-кто ушел на удаленку в марте 2020, да так с тех пор в офис и не вышел. Не удобно было: большая часть команды удаленная, т.е. все о чем договорились в офисе нужно транслировать в zoom. Проще уж сразу в zoom/google meet и проводить встречи, чтобы все были в курсе. Офисы оборудованные в допандемийную эпоху не имеют достаточного количества переговорок и кабин для созвонов. В результате стоит гул и все друг другу мешают. В таких условиях проще жить в удаленном формате. Используя эти доводы удавалось убеждать руководство, что тем, кому не нужно участвовать в очных переговорах с заказчиками, в офисе делать нечего - только риск разобщения команды. Но времена меняются. Судя по всему, все недовольные уйдут, наймут новых, которые об удаленке не будут подозревать. В принципе я так приходил, при этом было немного избранных, которые по историческим причинам работали удаленно. Так как это были старожилы, их привилегию все воспринимали без вопросов.

Не знаю. Мне удобно удаленно. Не вижу никаких неудобств. Даже в общении, когда нужно тыкать пальцем в монитор и объяснять. Просто расшариваем экран и человек мышкой тыкает, окна открывает, объясняет, что ему нужно. Голос есть, общий рабочий экран есть. Да и работа в основном - один на один с компьютером. Задачу дали, делаешь. Никакого командного духа и прочей байды. Я больше половины нащего отдела - толком не знаю и особо не интересуюсь.