Мэрия опровергает очевидную утечку данных из московских школ

Мэрия опровергает очевидную утечку данных из московских школ

В Департаменте информационных технологий Москвы заявили, что проверили данные об утечке из столичных школ и не нашли подтверждений. По информации журналистов, накануне в Сеть выложили базу МЭШ на 17 млн строк. Многие нашли в ней себя.

О крупной утечке написало несколько профильных Telegram-каналов. По данным "Утечек информации", в свободном доступе оказался архив Московской электронной школы (МЭШ) на 17 млн строк.

База содержит персональные данные столичных учителей, школьников и их родителей, в том числе ФИО, мобильные телефоны, даты рождения, адреса электронной почты, СНИЛС и другую информацию.

Канал Data1eaks добавляет, что в архиве — 3,3 млн уникальных номеров сотовых телефонов пользователей. База актуальна на август 2021 года.

Департамент информационных технологий Москвы поспешил выпустить опровержение.

“Анализ показал, что опубликованные материалы не имеют отношения к реальным данным пользователей Московской электронной школы. Сервисы МЭШ работают в штатном режиме, данные пользователей находятся под защитой", — сообщили в пресс-службе ДИТ.

Это заявление уже возмутило профильных журналистов.

“В опубликованном в открытом доступе файле находятся реальные данные наших детей (то есть детей сотрудников нашей компании) и их учителей из разных московских школ. Как минимум, это говорит о том, что опубликованы настоящие данные, а не подделка (или тестовые записи)”, — подтверждает “слив” канал “Утечки информации”.

Помимо этого, в файле находится 25 тыс. записей с информацией о тех пользователях, чьи адреса расположены в домене edu.mos.ru (Департамент образования и науки города Москвы).

Первые записи дампа датируются 2015 годом, они содержат адреса электронной почты, расположенные в домене edu.mos.ru. Обычно первыми всегда идут записи внутренних пользователей (сотрудников), уточняют эксперты.

Корреспондент Anti-Malware.ru также обнаружила свои данные, привязанные к московскому номеру телефона на school.mos.ru.

“Московская электронная школа” (МЭШ) — цифровая экосистема, объединяющая школьные образовательные учреждения Москвы. В МЭШ можно посмотреть расписание, узнать домашнее задание и оценки.

“В рассматриваемом случае, вероятно, речь идет не только об утечке персональных данных, но и о невыполнении обязанности по обезличиванию персональных данных согласно приказу Роскомнадзора”, — комментирует новость для “Ъ” руководитель направления “Разрешение IT & IP-споров” юридической фирмы “Рустам Курмаев и партнеры” Ярослав Шицле.

В соответствии с действующей редакцией закона о защите персональных данных мэрия должна уведомить Роскомнадзор о произошедшей утечке. Сейчас за нарушение порядка обработки и хранения персональных данных грозит штраф до 100 тыс. руб.

В Роскомнадзоре сообщили, что проверяют информацию о возможной утечке.

Последний раз МЭШ подвергался хакерской атаке в сентябре. Тогда часть сервисов системы была недоступна больше недели.

Официально мэрия связывала сбои с техническими работами, но источники на рынке кибербезопасности утверждали, что сервис подвергся DDoS-атаке и атаке программ-вымогателей, из-за чего было зашифровано два сервера.

Это не первый случай крупной утечки данных из инфраструктуры мэрии.

В декабре 2020 года в свободном доступе оказались данные 100 тыс. пациентов московских больниц, переболевших коронавирусом. А в июле того же года писали о продаже доступа ко всем видеокамерам сети наблюдения Москвы.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимость Vision Pro позволяла наводнить виртуальную комнату пауками

В ОС Apple для очков Vision Pro была обнаружена уязвимость, позволяющая обойти все ограничения и напугать пользователя, наполнив его виртуальное пространство анимированными и озвученными летучими мышами, пауками, змеями.

Независимый исследователь Райан Пикрен (Ryan Pickren) сообщил разработчикам о своей забавной находке в феврале этого года. Две недели назад вышло обновление visionOS с патчем (1.2), а багхантер получил денежное вознаграждение.

 

Согласно описанию в блоге Пикрена, уязвимость CVE-2024-27812 возникла из-за упущения при реализации системы разрешений на вмешательство в персональное виртуальное пространство. Выход приложения за рамки разделяемого пространства возможен лишь с явно выраженного согласия юзера — в Safari всплывает диалоговое окно.

 

Для сайтов действует такая же схема, и соответствующие кнопки выводятся во всплывающем окне Safari. Как оказалось, разработчики забыли таким же образом ограничить просмотр веб-контента дополненной реальности с использованием AR Quick Look.

 

Между тем поддержка этой технологии до сих пор присутствует в движке WebKit, в том числе в сборке visionOS. Более того, с помощью AR Quick Look можно просматривать более современные файлы формата .reality, созданные спецкомпоновщиком Apple, а также добавлять пространственное звучание для еще большего правдоподобия 3D-объектов. 

Эксплойт взаимодействия с пользователем не требует. На специально созданный сайт добавляется нехитрый код — и в виртуальном пространстве жертвы оживут сотни отвратительных созданий, которые волей автора атаки будут издавать зловещие звуки.

Поскольку файлы вывода анимации в данном случае обрабатывает отдельное приложение (Quick Look), избавиться от этого кошмара, закрыв браузер, невозможно.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru