Telegram отказался выполнять требования из «пакета Яровой»

> А кто это?

Не знаю даже с чего начать..

> Чтоб был понятен масштаб....

[censored]

Спихнули? Кто заказчик этой базы?

> С начала.

[censored]

"Из всех живых существ в мире один только Двейн Гувер мог думать, и чувствовать, и волноваться, и размышлять, и так далее. Никто, кроме него, не ведал, что такое боль. Ни у кого не было свободного выбора. Все остальные были полностью автоматизированными машинами и служили для того, чтобы стимулировать Двейна Гувера. Сам Двейн Гувер был новым видом живого существа — подопытным экземпляром, который испытывал Создатель вселенной."

> Спихнули? Кто заказчик этой базы?

Заказчик - Минздрав. Обеспечение безопасности конфиденциальных данных и сертификацией систем хранения данных ведает ОАЦ. Таким образом, в стране работает под эгидой Минздрава несертифицированная ОАЦ и КГБ дырявая база данных, откуда стекается интимная информация о гражданах из госучреждений и к ней имеют доступ мудаки из частной конторы. Но всем похер.

> Ну, ради справедливости, спецслужбы должны сами разобраться, кто и что нарушил. Это конечно пиздец.

Не известно даже, в районную или областную редакцию "Спортлото" был составлен сигнал. И кроме того, при вольном составлении "сигналов" от граждан многое зависит от доброй воли редакции "Спортлото". Особенно когда этим заниматься не очень хочется. "Сигналы" рассматриваются по существу, потому как контроль за их рассмотрением выполняется точно так же. Т.е. надо предельно конкретно излагать в чём суть и чего ты хочешь.

> Напиши второе письмо, укажи на уязвимости, попроси привлечь виновных к ответственности. Больше ничего посоветовать не могу.

А это и был ответ на второе письмо :) На первое мне ответили "специалисты компании сказали, что всё починили". Да ещё ответ прислали за подписью зам.директора ОАЦ.

> Заблуждение. В "сигнале" ты можешь указывать всё, что считаешь уместным.

Так точно.

> Смотрю ты спец по спецслужбам РБ. где можно почитать твои мемуары, или книги на эту тему?

Переходи сразу к чтению некролога!!

> Офицером ФСБ без Академии ФСБ стать невозможно, если не ошибаюсь.

Очень даже возможно, я помню еще когда в универе учился (кафедра Систем и Сетей Радиосвязи и Телерадиовещания, специальность средства связи с подвижными объектами), приходили люди из ФСБ и нормально учащихся студентов приглашали попробовать устроиться. Поначалу загорелся идеей, но когда услышал что в случаи успешного трудоустройства, придется выучить один из редких языков скорее всего чеченский, идею отмел сразу. Правда было это все в 2008, как оно сейчас не знаю.

> Так что общий расклад дополняется и картиной "фиг поймёшь кому принадлежит продукт, который уже содержит реальные данные"

Насколько я понимаю, с точки зрения закона не имеет значения, кому принадлежит продукт, внедрён ли он, сдан ли он в эксплуатацию или нет, на тестовой или на боевой системе он развёрнут. Значение имеет установленный факт нарушения правил эксплуатации компьютерной (автоматизированной информационной) системы. Если в организации, развернувшей любую автоматизированную информационную систему (АИС) на базе не важно какого программного продукта, приняты для её эксплуатации некие правила, ты их нарушил и это удалось доказать - твои действия подпадают под действие упомянутого тобой закона. Доказательную базу ты собрал на себя сам, поскольку доступ к данным посредством SQL-инъекции явно не может быть разрешён никакими разумными правилами эксплуатации. Вот если бы ты получил анонимный доступ к записи этого гр. Ма****ина без идентификации, аутентификации и авторизации ещё и из сети общего пользования (интернет), не применяя разных ухищрений вроде SQL-инъекции, доказать факт нарушения тобой каких бы то ни было правил эксплуатации было бы гораздо сложнее.

Проблема, с которой ты столкнулся - общемировая. Мало кто из владельцев поблагодарит благородного хакера (White Hat), из лучших побуждений нашедшего уязвимость в его АИС. А если этот благородный хакер, видя, что владелец не собирается затыкать найденную дыру, сообщает о ней почтеннейшей публике, владелец не преминет прищемить тому яйца любым доступным способом, что в России, что в Америке. Воем этих благородных хакеров полнится весь интернет. Так что бди и следи за собой ;)

> Если в организации, развернувшей любую автоматизированную информационную систему (АИС) на базе не важно какого программного продукта, приняты для её эксплуатации некие правила

Совершенно верно, если установлены и регламентированы правила её эксплуатации. Правила эксплуатации, насколько я понимаю, должны быть представлены в виде некого официального документа. То есть хотя бы просто существовать. Причём наверняка быть утверждены не Васей Пупкиным, а неким регулятором. В Белоруссии таким регулятором является ОАЦ. А если такого документа нет и регулятором он не утверждён, то...

> "ну что же вы к нам не обратились, а сразу в АП!"

А я и написал в аппарат Президента. ОАЦ - это оперативно-аналитический центр при Администрации президента. Нечто вроде белорусского АНБ.

> Причём наверняка быть утверждены не Васей Пупкиным, а неким регулятором.

Сомневаюсь я, что эти правила нужно где-то утверждать, если АИС, например, корпоративная. Но вообще нужно внимательно читать правоприменительную практику по соответствующему закону.

> В Белоруссии таким регулятором является ОАЦ. А если такого документа нет и регулятором он не утверждён, то...

... то его утверждают задним числом. А про свои сомнения в обязательности утверждения правил использования корпоративной АИС государственным регулятором я уже написал выше.

> А ещё выпускников институтов с хорошим дипломом. Во второй половине 90х было ещё так.

Можно, да

> Куда именно ты ходил и с кем именно ты общался?

А почему вы спрашиваете? (с)