В Минкомсвязи назвали «закодированной» попавшую в сеть базу данных участников онлайн-голосования по поправкам Материал редакции

Информация в базе представляет собой «случайный набор символов», и потому «не может навредить гражданам», уверены в ведомстве.

В закладки
Слушать

Минкомсвязи прокомментировало публикацию «Медузы» о том, что в сети появились персональные данные участников онлайн-голосования по поправкам к Конституции. Ведомство исключило возможность утечки данных и заявило, что вся информация закодирована.

В Минкомсвязи объяснили, что избирательные комиссии использовали автоматизированный сервис, чтобы проверить на участке, не проголосовал ли пользователь дистанционно. Это позволяло исключить возможность двойного голосования.

В ведомстве утверждают, что в приложение действительно загружали серию и номер паспорта, но они «были закодированы и представляли собой полученную случайным образом последовательность знаков (хеш-сумма), не позволяющую идентифицировать гражданина».

Хеш-суммы не являются персональными данными. Публикация такого случайного набора символов не может навредить гражданам.

Минкомсвязи

Также в ведомстве подчеркнули, что приложение можно было скачать только по закрытым ссылкам, а находилось оно в запароленном архиве. Пароли же передавали «через защищенные каналы передачи данных только лицам, уполномоченным использовать сервис». В Минкомсвязи отметили, что распространять такую информацию противоправно и считают, что нужно провести расследование.

  • 9 июля «Медуза» сообщила, что в открытом доступе появились данные избирателей, которые проголосовали по поправкам в Конституцию онлайн;
  • Позже об этой же базе рассказал Telegram-канал «Утечки информации. Однако в сообщении канала говорится, что «серия/номер паспорта без каких-либо других данных (ФИО, год рождения, адрес, телефон и т.п.) не представляет из себя ничего, кроме простого набора цифр».
{ "author_name": "Алексей Боржонов", "author_type": "editor", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u043a\u043e\u043d\u0441\u0442\u0438\u0442\u0443\u0446\u0438\u044f"], "comments": 99, "likes": 30, "favorites": 4, "is_advertisement": false, "subsite_label": "news", "id": 186496, "is_wide": false, "is_ugc": false, "date": "Fri, 10 Jul 2020 08:46:43 +0300", "is_special": false }
Объявление на TJ
0
99 комментариев
Популярные
По порядку
Написать комментарий...

Ничтожный микроскоп

55

Понабирают дебилов на государственные должности...

В данном случае был использован алгоритм SHA-256, была известна маска исходных данных, по ней простым перебором достать исходные данные как нехер делать, любой школьник справится

Ответить
3

Если быть объективным, то сами по себе данные не насколько полезные, как про это пишут журналисты. Если нет других баз, то толку крайне мало.

Это примерно как база всех карт — её простой генерацией можно сделать.

Если нету базы паспортов, то с реальными людьми её не связать и максимум что можно получить это расклад по регионам.

Ответить

Ничтожный микроскоп

Alex
6

Тогда какого хера они угрожают, что это незаконно?

Ответить
12

потому что у нас модно играть в силовиков в последнее время. мне кажется, это от нервов.

Вспомните хотя бы этого "эксперта" из ЦИК, который недавно сказал, что вынос бюллетеней с участка обладает квалифицирующим признаком "группой лиц по предварительному сговору") и такое на каждом углу сегодня

Ответить
0

Может потому что это позволяет контролировать тех кто проголосовал электронно? Чтобы например наказать кого-то на работе, если номера паспорта не оказалось в базе

Ответить
0

Ну на самом деле всегда можно вытянуть что-то. Данные с реестров и тд. Например если бы там было мыло то реверсом можно вытянуть много всего интересно через и подобные тулы

Ответить
0

на самом деле "полезно", например, работодатель (другое заинтересованное лицо), может проверить проголосовал ли сотрудник

Ответить

Тихий фонарь

Ничтожный
2

Понабирают дебилов на государственные должности

А какого еще уровня интеллекта программист может пойти на 5/2 в засранном офисе за 25к рублей?

Ответить
0

Ссылку на вакансию

Ответить
–2

У тебя какой-то скомканный маневр.
Это не минкомсвязи.

Ответить

Тихий фонарь

Владимир
0

К сожалению, нет - у них активных вакансий я не нашел, но не хотел оставаться совсем без пруфов, поэтому взял иную вакансию в госсистеме.
Я не отрицаю, что нормально оплачиваемые вакансии тоже есть, но не везде там все хорошо.

Ответить
–3

А зачем приводить в пример медучреждения, если речь идёт о профильной структуре.

Ответить
3

SHA-256 - очевидно же, что виноваты сша, Госдеп о5 создаёт провокацию, срочно выделить деньги на борьбу за независимый устойчивый рунет.

Ответить

Логический татарин

Вова
0

Именно. Надо срочно провести расследование, кто провел шифрование не по православному госту и посадить минкомсвязевского заказчика, и подрядчика :3

Ответить
1

Такое ощущение что им перед тем как давать интервью быстро рассказывают в чем дело. Что запомнил то и спизданул.
Да, и действительно мало кто понимает что это никак не защищает данные

Ответить

Грузовой Артем

42

представляли собой полученную случайным образом последовательность знаков (хеш-сумма)

Давно ли хеш-сумма - это случайная последовательность?

Ответить
8

Я смотрю на apd82jd73dk13x28h5aqe6 и не вижу тут никаких паспортных данных, просто какие то случайные символы. Мне кажется вы дурачок и не разбираетесь в теме. Послушали бы умных людей из правительства, может быть поумнели бы. Вот если бы тут были номера какие-нибудь - вот тогда это другое дело!

Ответить
0

С 3 июля, вы что, не читали новую версию конституции? Это статья 354.1. Внимательнее надо быть с поправками же! 

Ответить
13

Интересно когда создадут ведомство по тупым отмазкам? Песков был бы не против

Ответить

Ничтожный микроскоп

Кисель
7

Не понял. У нас все государство в этом ведомстве

Ответить
1

А оно и не спит

Ответить

Ничтожный микроскоп

Venya
3

Произошёл контролируемый обсер штанов

Ответить

Управляющий меч

Ничтожный
3

контролируемая утечка данных 

Ответить
0

биоматериала тогда уж

Ответить
13

Теперь все люди из списка излечены от алкоголизма, я правильно понял?

Ответить

Грузовой Артем

6

Сначала говорят, что ничего страшного
не позволяющую идентифицировать гражданина

Но потом всё же
распространять такую информацию противоправно

Биполяр очка?

Ответить

Ничтожный микроскоп

Грузовой
9

НОВАЯ КОНСТИТУЦИЯ
можно делать что угодно. Даже гусей ебать

Ответить

Генеральный корабль

Ничтожный
17
Ответить

Ничтожный микроскоп

Генеральный
1

Одна здесь гогочешь?

Ответить

Генеральный корабль

Ничтожный
1

Это одиночный пикет

Ответить

Грузовой Артем

6

Ну да, ну да... Медуза за пару дней на Intel Core i3 пароль подобрали. Охуенно закодировали!

Ответить

Алый татарин

Грузовой
6

Не читал статью, но видел, что там пароль 2020og. К zip-архиву пароли брутятся с огромной скоростью, ещё лет 15-20 назад на одноядерном за несколько минут такие простые подбирал. Что у них там пару дней заняло?

Ответить
4

2020og это не простой пароль. Простой это 202020

Ответить

Грузовой Артем

alexferman
1

Ну лучше бы чтобы буквы были в разных регистрах с криллицей и с пробелом (пробел в пароле часто забывают при брутфорсе)

Ответить
5

с пробелом

Это вообще законно?)

Ответить

Ничтожный

alexfer…
10

Я тут недавно узнал, со мной сисадмин-безопасник поделился по большому секрету, что можно использовать РАЗНЫЕ пароли для разных сайтов.

Ответить

Грузовой Артем

Ничтожн…
5

Фига он хакер!

Ответить

Грузовой Артем

alexfer…
3

Не везде: в учётных записях microsoft нельзя использовать пробел, но больше с таким нигде не встречался

Ответить
2

да мы поняли уже что твой пароль от всех сервисов с пробелом и одной большой буквой

Ответить

Грузовой Артем

Pavel
1

Ещё можно использовать emoji и непечатаемые символы

Ответить

Личный Мика

Грузовой
0

Во многих сервисах же разрешено использование только латиницы, цифр и «_-.», а про эмодзи и прочее я вообще впервые слышу

Ответить

Солдатский томагавк_два

alexferman
2

 Простой это 202020

Как простой? Как минимум на 2 и 5 делится.

Ответить
0

Моя маленькая ферма за пол часа подобрала его. А что говорить о полноценных вычислительных системах?

Ответить

Грузовой Артем

Никита
0

Так какой пароль?

Ответить
0

У этих паролей одинаковая стойкость

Ответить

Грузовой Артем

Алый
0

Ну, я пароль не видел. Что в статье прочитал - то говорю, там особо технические данные не рассказывали

Ответить
0

Пароль наверное был "78procentov"

Ответить
5

От создателей:
Роскомнадзор не нашел у Ozon утечки персональных данных
Роскомнадзор не нашел утечки данных клиентов «ОТП банка», «Альфа-банка» и «ХКФ банка»
РКН не стал проверять канал «Товарищ майор», в котором появились личные данные людей, которых автор публикации назвал «сторонниками Навального»

LinkedIn направлена на блокировку операторам связи из-за нарушений закона о персональных данных (из-за того что РКН признал cookies перс данными)
https://rkn.gov.ru/press/publications/news41531.htm

Ответить
4

Когда российское правительство перестанет обсираться на ровном месте, или хотя бы придумывать тупые отмазки?

Ответить
0

Когда колонисты на Марсе объявят независимость от Земли🤣

Ответить

Пустой холод

3

а всего-то навсего надо было посолить хеши или сразу какой-нибудь scrypt или хотя бы bcrypt использовать

Ответить

Ничтожный микроскоп

Пустой
1

Это слишком сложно, для этого нужен мозг

Ответить
2

Конечно, ведь вам всем в голову не пришло, что соль здесь не спасает вообще никак, даже сложная

Ответить

Пустой холод

Pavel
0

с какой стати? обоснуй

Ответить

Логический татарин

Пустой
0

Программа оффлайн. База там же где и обработчик. Соль это средство отражения угрозы, когда похищена база но не похищен серверный код. 

Ответить

Пустой холод

Логичес…
0

Я не про статическую соль в коде, это тупо.
Я про отдельную рандомную для каждой отдельной записи, там же и хранить

Ответить
0

И чо? Если я знаю, что подбираю номер паспорта, вот и перебираю варианты сборки соли с ним, всё

Ответить

Пустой холод

Pavel
0

С простой рандомной солью для каждой записи да, это просто исключит возможность заюзать радужные таблицы. И это уже будет просто лучше, чем сейчас. Перебор станет дольше и не будет распространяться на все записи, а только на одну.
А с bcrypt/scrypt это станет еще и необоснованно долго.
Дискас.

Ответить

Логический

Пустой
0

Что блядь такое рандомная соль. Чтооооо. Жонглирование услышанным звоном какое-то.
Как ты сверять собрался, у тебя клиент оффлайновый, тебе все хранить в одном месте.

Ответить
0

И смысл в таком лучше, чем сейчас? Чтоб мамкиным хацкерам из медузы жизнь осложнить?
Но вы же тут во главе со здольниковым вайните, что солить-солить. И бкрипт тут тоже подберется, если задастся такой целью, хотя вычислительно дольше конечно.

Ну и ничто не мешает просто прогнать все подбираемые данные через клиент, как заметили выше.

Ответить

Пустой холод

Pavel
0

Вообще я тут подумал и реально я неправ, тут же номер как идентификатор юзера наверное. Ничего с этим особо и не поделать тогда, да.

Ответить

Логический

Пустой
0

Бляяяя. Срочно устраивайся в минкомсвязи

Ответить

Пустой холод

Логичес…
0

У вас там слишком мало платят

Ответить
0

А что мешает эту соль добавлять к паролю и перебором сверяться с хешами?

Ответить

Пустой холод

xeroxx
0

если мы говорим про проблему в посте – я уже выше признал, что я не прав, потому что номер паспорта тут как айдишник.
а если говорить про пароли в целом – ничего не мешает, просто ты будешь долго перебирать пароли для одной записи, не для всех

Ответить

Пустой холод

Ничтожный
–1

да ну одну функцию на другую заменить, какой тут мозг

Ответить

Последовательный холод

3

Мне кажется, даже дуршлаг проиграет в конкурсе за самую дырявость любому гос. ведомоству.

Ответить

Святой самолет

0

10 значные номера паспортов перебрать через rainbow tables как два пальца.

Ответить

Ничтожный микроскоп

Святой
4

Тут даже пидорские радужные неправославные таблицы не нужны.
Зная маску можно можно просто перебором перебрать. Учиытвая что там только цифры

Ответить

Святой самолет

Ничтожный
0

Можно, если памяти хватит. RT как раз решают проблему памяти.

Ответить
0

Задать пароль к архиву это не закодировать

Ответить

Ничтожный микроскоп

Stanley
3

Они в архиве держали паспортные данные не в открытом виде. а в виде непосоленных хэшей.
Что позволило их подобрать за очень короткое время

Ответить

Логический татарин

Ничтожный
0

Как будто их можно было тут как-то посолить. Обфусцировать код лезущий в базу упахались бы )

Ответить

Ничтожный микроскоп

Логический
1

В данном случае да, в комплекте с архивом шла программа. Из неё можно было бы достать соль,

Но в случае если бы утек только архив, данные уже бы не получилось расшифровать.

Безопасность должна быть многоуровневой

Ответить

Пустой холод

Ничтожный
0

Соль не хранят в программе, соль хранят в базе рядом с паролем

Ответить

Ничтожный

Пустой
1

Можно подробнее алгоритм, где при наличии доступа к базе и к коду программы, работающей с ней, можно сохранить секурность?

Ответить

Пустой холод

Ничтожн…
0

Почитай как работает bcrypt, он хранит соль рядышком с паролем.

Если соль одна в приложении (не делайте так) — взломщик хеширует номера подряд с этой солью и уже смотрит, есть ли хеш в базе. Это *ничем не лучше* текущей реализации.

А если соль у каждой записи своя и алгоритм шифрования жрет много ресурсов и почти не параллелится — взломщик будет долго возиться над каждой записью в отдельности.

Ответить

Пустой холод

Пустой
0

В общем, я не прав. Будь это какой-то дополнительной информацией - было бы ок, а когда это просто айдишник юзера — ну сорян :(

Ответить
0

Хм, а в этом есть смысл.

Ответить
0

А какая разница своя соль для каждого пароля или нет, считать то надо ее в любом случае

Ответить

Пустой холод

xeroxx
0

большая, если это один пароль для всех паролей - ты взял пароль "хуйпизда", получил хеш "wefwe23r23r23io" и дальше смотришь в базе, есть ли у кого такой хеш. и найдешь всех, у кого такой пароль.

если соль у всех разная - ты будешь брутфорсить каждую запись в отдельности

Ответить
0

Подожди, при чем тут пароль от паролей, речь про соль шла

Ответить

Пустой холод

xeroxx
0

Не знаю при чем тут пароль от паролей. Если у тебя соль одна, то вместо «хуйпизда» ты считаешь хеш от «хуйпиздасоль» и дальше все происходит так же, как и без соли

Ответить

Логический татарин

Ничтожный
0

Нет модели угроз — нет никаких уровней.

Ответить
1

Вообще-то это именно оно

Ответить
1

Схуяль? При пароле шифруется весь архив.

Ответить
1

Это не баг, а реализация федеральной целевой программы по популяризации использования OpenData органами исполнительной власти

Ответить

Средний паук например

1

Мария Захарова получается криптоменеджер?

Ответить

Грузовой Артем

1

TJ в телевизоре
https://t.me/itsorm/1878

Какой позор.
Минкомсвязи опять ест говно в прямом эфире и вместо того, чтобы строем отправиться под статью, называет хеши номеров паспортов без соли — шифрованием.

Прошли сутки с выхода статьи о базе паспортов всех электронных избирателей, которую выложило в открытый доступ само...
Какой позор.
Минкомсвязи опять ест говно в прямом эфире и вместо того, чтобы строем отправиться под статью, называет хеши номеров паспортов без соли — шифрованием.

Прошли сутки с выхода статьи о базе паспортов всех электронных избирателей, которую выложило в открытый доступ само Минкомсвязи с описанием перевода хешей в номера паспортов.
Перевели уже все, кому было интересно.
Обезьяны из Минкомсвязи коллективно сделали классическое 🙈🙉🙊 и делают вид, что не замечают, как обосрались.
Ответить
1

Когда говорят о блокировке торрентов, тогда всякие вскукареки пишут, что хэшу - идентификатор ресурса и нужно запретить хэши. А когда минсвязи обсирается, то хэш внезапно превращается в случайный набор символов.

Ответить
0

Смотрю на  комменты в которых присутствует слово "шифрование", а оно тут не причем, хеширование и шифрование абсолютно разные вещи) мамкины хацкеры.

Ответить

Грузовой Артем

KeeF3ar
2

Номера паспортов были захешированы, а потом заархивированы с паролем (шифрованием)
Так что ты это... Не выпендривайся.

Ответить
0

В таком случае, зашифрованы не номера паспортов а хеши номеров.

Ответить
0

Минкомсвязи прокомментировало публикацию «Медузы» о том, что в сети появились персональные данные участников онлайн-голосования по поправкам к Конституции

Номер паспорта это же не персональные данные, не?

Ответить
0

Как суд решает, так и есть. Сейчас вроде уже принято относить к ним, но если кому надо будет надо, то будут просто номером бланка документа

Ответить
0

Хорошо что не "заколдованной"

Ответить
Обсуждаемое
Новости
Телеграм-канал Nexta опубликовал ещё тысячу имён силовиков — на этот раз из Бреста и Брестской области
Так администраторы канала отреагировали на распыление газа в лица протестующих.
Интернет
Владельцы айфонов научились менять внешний вид иконок и стали создавать темы — помогли новые функции iOS 14
Когда-то пользователи iOS иронизировали над «безвкусными дизайнерами» с Android. Теперь настало их время.
Технологии
Студия Лебедева запустила подписку на нейросеть «Николай Иронов». Её год выдавали за реального дизайнера
Она анализирует пожелания клиента и предлагает сотни вариантов.
Популярное за три дня
Новости
«Никто не останется анонимным»: телеграм-канал Nexta Live опубликовал данные тысячи сотрудников белорусского МВД
Это стало реакцией на действия милиции в Минске.
Новости
«Вы забыли эти вещи»: парк в Таиланде будет возвращать туристам мусор по почте
Так власти хотят бороться с загрязнением старейшего национального парка страны.
Новости
В возрасте 18 лет умер Нобико — «длиннокот», ставший героем мемов
Нобико стал популярным в 2006 году — его сравнивали с самыми высокими зданиями и отправляли бороться с Годзиллой.

Комментарии