Не далее, как сегодня, авиакомпания прислала лично мне, с дикими извинениями сожалениями (We are very sorry), "благую весть" о том, что их компьютер был взломан поцами высокой квалификации ("highly sophisticated"), и некоторые персональные данные утекли в грязные руки оных:
"Dear Customer,
I wanted to write to you personally in regards to a recent cyber security incident at easyJet.
As you may have heard, we announced on 19th May 2020 that we were the target of an attack from a highly sophisticated source. As soon as we became aware of the attack, we took immediate steps to manage and respond to the incident, closing off the unauthorised access. We engaged leading forensic experts to investigate the issue and we also notified the National Cyber Security Centre and the Information Commissioner’s Office (ICO).
Our investigation found that your name, email address, and travel details were accessed for the easyJet flights or easyJet holidays you booked between [...] 2019 and [...] 2020. Your passport and credit card details were not accessed, however information including where you were travelling from and to, your departure date, booking reference number, the booking date and the value of the booking were accessed.
We are very sorry this has happened."
update. Оставляю ссылку на разборки с сайта The Independent, а то особо одаренные обвиняют в рассылке зеков.
Комментарии
не-а. ;-) там специально обученные юристы писали договор публичной оферты, и уж они по GDPR прошлись как сумели.
Договор публичной оферты и GDPR это, скорее, пенпердикулярные понятия.
Требования GDPR - это получить от клиента явное согласие (consent) на хранение и обработку его персональных данных. В тексте консента обязательно указать какие данные будут собираться и обрабатываться и с какой целью. Также в GDPR прописаны и действия в случае нескнкционированного доступа к данным - "письмо счастья", которое получил автор как раз и есть подтверждение того, что компания следует GDPR.
А вот уже в договоре публичной оферты прописывается, что "в случае чего мы вас, конечно, предупредим, но компенсации вам не положено".
я вообще не понял, к чему относятся твои возражения, если конечно "пенпердикулярные понятия" считать таковыми. сам же всё расписал, где, кому, за что и почему.
вот это "using appropriate technical or organisational measures" именно то, о чём я, и ты тоже, но почему-то ты не вспомнил вот этот принцип GDPR.
Пенпердикулярны в том смысле, что GDPR не регулирует финансовые отношения между citizen'ом и data controller'ом. Регулятор может финансово покарать компанию если та сознательно нарушает GDPR. Но если компания в целом следует практикам, кого надо проинформировала и приняла меры - то врядли. Разве что могут провести аудит соответствия.
Финансовые отношения гражданин - компания регулируются договором. В нём обычно и снимается ответственность с компании за подобные проколы, и это было еще до внедрения GDPR.
Вообщем GDPR тут просто не к месту помянут - извините, что прицепился. Профессиональная деформация личности, вызванная стрессом при внедрении ;)
письмо распечатайте, на память. вдруг пригодится. тогда и взыщите с них
Како смысл летать на пассажирских авиабомбах? Самолёты сс ЭДСУ компьютерным управляются теми кто зашёл в борт. В случае с самолётом летевшим над Синаем явно сработала РЭБ израильтян. Я видел пока не успели откорректировать скорость на высоте ниже скорости сваливания при данной нагрузке - специалисты по таким операциям плохо разбираются, и что так летел нескольоко минут - на следующих день уже были правдоподобные х-ки заменены.
Последняя надёжная хоть как-то магистральная машина это шумный Ил-18 и то для военных, а Як-42М на прикол поставили. Я работал в компании где совладелец фирмы имел отказ всех систем над Чёрным морем. Летели по солнцу - если бы это был современный самолёт все бы погибли.
Русские, как на канадщину да маямщину убегают, так такими пугливыми становятся. В России вон почти ежедневно какие-то утечки организуют и ничё, народу как-то пофигу. Как же вы, иностранцы, с Россией собираетесь воевать, если даже личными данными в сети вас можно испугать?
Народу не пофигу (у тестя счёт обчистили, да так, что он до сих пор боится сумму назвать), пофигу полиции, опсосам и банкам.
Это как можно снять всё бабло с карты? На оплату безналом без ввода пин-кода ограничение 1-3 тыщи в зависимости от ... Онлайн-операции проводятся только с смс-подтверждением. Так что очень ваши слова для меня удивительны.
Да эт крымчанка, дочь офицера.
Да стандарт - звонок от "службы безопасности банка" со знанием имени, фамилии и номера карты, далее давление "по вашему счёту непонятные операции проходят, надо срочно остановить" - много ли надо, чтобы человека в 90 лет напугать и давить чтобы не успел опомниться? Он же сам смс-подтверждения и диктовал.
Интересно стало дальше: в конце разговора его поймала дочь по скайпу и тут же (в течении минуты) после "операции" заставила перезвонить в банк, потом в МТС, потом в полицию. Никто даже не дёрнулся что-то сделать. Даже не пытались. Точнее, пытались - отбрыкаться от заявления, уговаривая. что всё уже с концами. Хотя банки могли проследить операции, куда ушло. Не хотели и не стали. Пообещали провести расследование и так ничего и не прислали, даже формальной отписки. Хотя если отслеживать переводы по таким схемам, то они обязательно начнут сходиться в те места, где происходит обналичка или отмывка. Этих групп бандюков не миллионы, их точно можно отследить по счетам. НЕ ХОТЕЛИ. МТС отказалась проследить звонок. Я понимаю, что это было скорее всего с какого нибудь анонимного скайпа-сипа, но ведь они отказались даже попытаться проследить.
кредитные карты всякие бывают, особенно раньше, особенно во всяких отсталых в этом смысле австриях с германиями. у меня лет 10 назад была немецкая кредитка, с неё в пиндосии кто-то снимал кэш малыми дозами таки до тех пор, пока снималось. никаких привязок к телефону или двухшаговых авторизаций тогда не было. банк мне бабло целый масяц возвращал.
сейчас со всякими изиджетами пользуюсь только виртуальными одноразовыми картами, чего и вам советую.
Вы владеете статистикой утечек по РФ? Не поделитесь? С чего вы решили что у нас каждый день что то утекает.
Последнее предложение тоже должно заканчиваться знаком вопроса.
С какого болта вы считаете себя русским больше, чем другие? Речь в статье про взлом и хищение данных. А уж кто и как к этому относится - дело личное.
Пример: вы живете на 1м этаже, народ мимо окон туда - сюда ходит. Будуте ли закрывать занавески (особенно - вечером, при вкюченном свете), дабы оградить частную жизнь, или станете вещать о своей смелости?
Про пример.
Да пофигу. Стыдно кому видно. Хочется им на мои труселя глядеть, да пусть глядят.
Пословицазвучит иначе: "Стыдно, у кого видно".
А если в доме ещё кто-то есть?
В общем - понятно.
Только у тупых стыдно у кого видно. В реальной жизни никогда и ни кто не знает за что их могут осуждать, по этому просто нереально убрать всё, что могут увидеть. А вот лезть нахально в чужую жизнь и осуждать то, до чего тебе не должно быть никакого дела должно быть стыдно. Но ведь это не про Вас? Для Вас не стыдно подглядывать, но стыдно когда за вами подглядывают...
Без стыда трясут яйцами на людях эксгибиционисты. Но ведь это не прол Вас? Что такое стыд, можно почитать в интернет.
Закрыть штору - это как раз и убрать всё с глаз. Это просто.
Не следует перекладывать свои детские воспоминания на других. И пытаться хамить - тоже. Я - не сторонник банов, но иногда их выписываю, когда теряют берега.
Видимо про тупых я был прав...
Дома я могу трясти яйцами когда захочу и сколько захочу по времени. Хочется за мораль задвигать, сначала нужно определиться, что более аморально, вести себя как хочется в своём личном пространстве, либо подглядывать за этим личным пространством.
Бан от извращенца? Да это как награда!
Бан тупому и больному извращенцу-эксгибиционисту. Нормальные люди на первом этаже занавески вешают. Чтобы ни придурки, ни прос то случайные прохожие свои рыла в личную жизнь не совали. Ну это же как гигиена - садиться за стол с чистыми руками. Но свинье это не понять.
Да ещё добавлю. Крайняя степень аналогичной с вашей шизой проявляется в некоторых мусульманских течениях. Женщина дабы не сподвигнуть на греховные мысли, обязана запутать себя в кокон. А иначе она сама виновата в том, что её захотели изнасиловать.
Это и есть то, что вам реально хочется, а всё остальное это просто много путаных слов.
В немецкоязычном письме стоит просто "атака хакеров" (Hackerangriff). Но бритам почему-то иначе написали.
Номера карт, конечно, тоже скорее всего спёрли. Я поэтому не разрешаю хранить ни паспортные данные, ни кредитку и каждый раз трачу время на вбивание номеров. Впрочем, это не избавляет от того, что они могут всё равно сохранить, а сука Амазон нагло сохраняет любую используемую кредитку не спрашивая. В идеале надо каждый раз генерить временную карту, например, через Яндекс деньги. Но у меня на постоянные карты капают мили-баллы и жадность пока побеждает осторожность :-)
Я у них ничего не сохранял - стало быть сами, без моего ведома. Ещё, спам всякий шлют периодически, а линка, чтобы отписаться, нет.
Непонятно только, зачем компания собирает данные о кредитных карточках пассажиров. Так же как и полные паспортные данные. Достаточно было бы собирать только номер паспорта и государство, его выдавшее. В таком объёме данные для любых хакеров стали бы бесполезными.
Понятно, что если каждая компания будет вести свою базу персональных даных, то утечки то ту, то там будут постоянно - воду решетом не наносишь.
Когда впервые стал подниматься вопрос о том, что персональные данные граждан должны храниться только на серверах внутри страны, предлагался вариант, когда компании своих нужд хранят только хеши от данных. А сами данные хранятся в специально выделенных местах. Ну примерно как пароли - на сервере должен храниться не сам пароль, а хеш от него.
Да, наше государство должно в итоге прийти к такому решению. Чтоб все персональные данные хранились в одном месте, и чтоб пользователь мог сам оперативно управлять и ограничивать доступ компаний к этим данным. И законодательно запретить всем не государственным организациям собирать и хранить персональные данные, а тем более передавать их третьим лицам.
Типа для удобства клиентов, мол другой раз вводить данные не надо, время экономится. Этим привлекают покупать билеты у себя.
"Но мой банк всегда требует авторизацию разовым пин-кодом по оплате картой."
Гы. Мечты, мечты. Авторизация вопрос не банка, а платежной системы. У меня тоже смс. Но есть банки, которые обходят сей вопрос и списывают просто по реквизитам. КАК?
Это - доверенные банки! У меня платёж по России как правило требует смс подтверждения. А вот Адоб за свой фотошоп деньги списывает просто так, только смс приходят, что деньги ушли.
(первый год был бесплатен - бонус к очередному никоновскому объективу. Но при регистрации потребовали ввести номер валидной карты, с которой списали, а потом вернули какую-то копеечную сумму. А через год автоматом пошли списания...)
И самое главное, даже в самом банке ничем не могут помочь в этом вопросе. Только советуют в таких случаях использовать виртуальную одноразовую карту.
А чё - гы? Ввожу номер карты на сайте авиакомпании, а запрос передают на страницу банка. Там - авторизация разовым паролем, а после банк возвращает на их страницу.
А того, что реквизиты карты вы вводите на странице НЕ банка. А на страницы компании. А дальше в зависимости от платежной системы, вас могут переслать на сайт банка, а могут и нет.
Например сайт лит-рес, не пересылает на страницу банка.
Я ж грю, что мой банк - пересылает.
Гы-Гы-Гы. Как выше отписали, есть компании, которые обходят этот механизм. Сам был очень сильно удивлён и огорчён этим фактом. Так, что даже обращался в банк с этим вопросом, почему от меня не потребовали подтверждения оплаты. В банке сказали, что это происходит с компаниями аффилированными с платёжными системами.
Надо было ещё карточку МИР проверить на эту "дыру".
В идеале, сайт компании при выборе оплаты картой должен перебрасывать (или открывать во фрейме) на payment gateway, где вы вводите номер карты и прочее, затем payment gateway общается с банком и в случае успешного платежа возвращает на сайт компании "payment success". Таким образом, компания вообще не должна работать с номерами карт.
Тем не менее да, некоторые компании сохраняют номера карт для "удобства" клиентов. Обычно, когда есть подписка на какие-либо услуги или же предполагается, что клиент еще что-то будет часто покупупать. Зачем это авиакомпании - не очень понимаю.
Взломать можно любого,вопрос ресурсов(времени,людских и тд)
Скажем так, создать абсолютно стойкую систему ... намного проще, чем систему с нужным уровнем стойкости. В любой реальной системе оставлют для собственного удобства, по забывчивости и других самых разных нужд те или иные черные ходы и т. п.
Фигня полная. Такие письма из тюрем пишут.
О-ть... Зачем?? Там линков что-то подтвердить или заплатить - нет.
The Independent тоже из тюрьмы об этом вещает?
Потрудитесь более не писать фигню в мои темы.
Я написал что думаю по поводу вашей проблемы. И написал имея опыт работы с тюремными айтишниками.
Ваше дело верить в инопланетян и честность авиакомпании. Но думаю уже все ваши данные откровенно спёрли. Так что примите меры безопасности. Меняйте все пароли, меняйте счета, меняйте данные доступа. Я бы и телефоны поменял (номера).
Но вы можете ничего не делать... я же фигню написал ))
Вы написали "пишут из тюрьмы". В моём случае письмо было не из тюрьмы.
А что касается авиакомпании, это - другой вопрос.
Данные доступа - разовый пароль при оплате. Счёт они не видели. Телефон - таки да. Но его заполнять надо везде - так задолбаешься менять после каждой поездки, покупки...
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Внутренние продажи[данных по даркнету] пошли вверх косяками. Если компания[и не одна такая] сокращает людей[высокой квалификации] пачками то что еще ожидать. Когда банковских служащих начнут сокращать и не такое всплывет.
+
Пожалуй, один из самых актуальных комменатриев по теме...