хрен мне, а не безопасность

[brumka]

Будучи немного безопасником и премного параноиком, я очень аккуратно отношусь к учётным записям.  Новая страховка?  Ок, включаем MFA (в идеале, не по СМС'ке или почте), и обязательно пытаемся удалить старую учётку.  Или хотя-бы отрубить к ней онлайн доступ.  Так вот, последнего практически никогда невозможно добиться. 

Поддержка мне, как правило, регулярно обещает "через две недели/ через месяц / через два месяца само отключится" и ничего.  Я аккуратно ставлю себе напоминалки перепроверить позже и принципиально звоню - результат всегда один и тот-же:  "неа, не можем этого сделать, извините".  Только что, вот AT&T пообещал, что всё окончательно самоубьётся через 180 дней (!) после отключения от сервиса.  Они явно работают по-принципу "а через N лет или падишах сдохнет, или ишак".

P.S. Вот, для неленивых отрезвляющая ссылочка

https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf

Comments

[paserbyp]

Один рубль вход и десять рублей выход?

[brumka]

типа того, да. им совершенно пофиг что там со мной приключится после того, как я перестаю быть их клиентом.

на самом деле, размер нашего т.н. digital trace просто безумен. особенно, когда речь идёт о мед офисах, которые собирают сумасшедшее количество весьма приватной информации и всяческие страховые компании. о безопасности данных в таких конторах мало кто серьёзно задумывается

[paserbyp]

согласен с вами полностью и попробуйте набрать свое имя в гуглах и посмотрите сколько о вас информации в открытом доступе? Я думаю, что это хорошая идея для стартапа, найти возможность и убирать данные по запросу с публичного доступа… особенно меня раздражает, когда ты ищешь работу и они очень легко могут определить твой год рождения только всего лишь набрав в поиске с гуглами мое имя и фамилию…

[brumka]

да я-то как раз очень даже в курсе как работают такие конторы по (кстати, законной) покупке и консолидации данных у автомобильных дилеров, мед офисов, страховых компаний, телекомов, магазинов и т.п.

это чуток другая тема, но тоже чувствительная

[gingema]

Я не разбираюсь в технических аспектах безопасности, а только концептуально про аудит. В принципе, люди делают только то, чего требует compliance. Все остальное воспринимается как паранойя ответственных за это людей и ненужная трата ресурсов. Если ничего не случилось, то понятно, что затраты были зря; если случилось, но система защиты все поймала, люди не понимают, насколько серьезной могла бы быть проблема, им кажется, что это была ерунда, и все равно можно было не тратить столько на защиту. А если случилась проблема, и к ней не были готовы, то с удовольствием повесим все как раз на тех людей, которые отвечали за защиту, а им не выделили ресурсов.

[brumka]

Все верно. Мне пофиг кого в этом обвинят. Я па́рюсь на тему кражи моих данных и прайвеси.
Посмотрите на список взломанных контор за последние 24 месяца... и это только те, кто обнаружил взлом.

[tima]

Ну, в AT&T ваши данные совершенно не так важны, если их взломают. Максимум там будет ваша кредитка, которой вы им честно платили. Можете "заранее" эту кредитку сейчас убить, это один телефонный звонок.

Вот госпитальные базы данных - это да. Там практически все имеется. Беда еще в том, что ваш допуск в систему и удаление из нее ваших данных - две совершенно несвязанные друг с другом вещи. При переходах из страховки в страховку мои допуски честно деактивировались - я не могу залогироваться ни в одну из своих старых страховок. Но значит ли это, что данные удалены - отнюдь. Скорее даже наоборот - все в системах остается, знаю это еще по самой первой своей работе в BBN Planet.

Одно из доказательств: на dashboard моего эккаунта в финансовой компании уже много лет висит subaccount с нулевым балансом. Это результат продажи мной акций выданных нам фирмой, которая впоследствие обанкротилась и перестала существовать. Акции те я продал еще до этого момента. Все мои звонки в финансовую компанию с требованием УДАЛИТЬ этот сабэккаунт ничего не дали, зато мне бессчетное количество раз объясняли как этот раздел сделать невидимым (ну вот, сделаете его невидимым, он и не будет мозолить вам глаза). А то, что ни акций тех давно нет, ни самой компании никто даже за аргумент не воспринимает.

[brumka]

Эт как посмотреть. Если кто-то сможет реактивировать мой номер телефона или добавить дополнительную линию, то у любого члена семьи появляется опасность залететь на так называемый SIM swapping. Ведь слишком часто двухфакторная аутентификация использует эсэмэски. Вот их то и сможет получить злоумышленник получивший доступ к телефону даже на пару минут.