Мэрия опровергает очевидную утечку данных из московских школ

Мэрия опровергает очевидную утечку данных из московских школ

Мэрия опровергает очевидную утечку данных из московских школ

В Департаменте информационных технологий Москвы заявили, что проверили данные об утечке из столичных школ и не нашли подтверждений. По информации журналистов, накануне в Сеть выложили базу МЭШ на 17 млн строк. Многие нашли в ней себя.

О крупной утечке написало несколько профильных Telegram-каналов. По данным "Утечек информации", в свободном доступе оказался архив Московской электронной школы (МЭШ) на 17 млн строк.

База содержит персональные данные столичных учителей, школьников и их родителей, в том числе ФИО, мобильные телефоны, даты рождения, адреса электронной почты, СНИЛС и другую информацию.

Канал Data1eaks добавляет, что в архиве — 3,3 млн уникальных номеров сотовых телефонов пользователей. База актуальна на август 2021 года.

Департамент информационных технологий Москвы поспешил выпустить опровержение.

“Анализ показал, что опубликованные материалы не имеют отношения к реальным данным пользователей Московской электронной школы. Сервисы МЭШ работают в штатном режиме, данные пользователей находятся под защитой", — сообщили в пресс-службе ДИТ.

Это заявление уже возмутило профильных журналистов.

“В опубликованном в открытом доступе файле находятся реальные данные наших детей (то есть детей сотрудников нашей компании) и их учителей из разных московских школ. Как минимум, это говорит о том, что опубликованы настоящие данные, а не подделка (или тестовые записи)”, — подтверждает “слив” канал “Утечки информации”.

Помимо этого, в файле находится 25 тыс. записей с информацией о тех пользователях, чьи адреса расположены в домене edu.mos.ru (Департамент образования и науки города Москвы).

Первые записи дампа датируются 2015 годом, они содержат адреса электронной почты, расположенные в домене edu.mos.ru. Обычно первыми всегда идут записи внутренних пользователей (сотрудников), уточняют эксперты.

Корреспондент Anti-Malware.ru также обнаружила свои данные, привязанные к московскому номеру телефона на school.mos.ru.

“Московская электронная школа” (МЭШ) — цифровая экосистема, объединяющая школьные образовательные учреждения Москвы. В МЭШ можно посмотреть расписание, узнать домашнее задание и оценки.

“В рассматриваемом случае, вероятно, речь идет не только об утечке персональных данных, но и о невыполнении обязанности по обезличиванию персональных данных согласно приказу Роскомнадзора”, — комментирует новость для “Ъ” руководитель направления “Разрешение IT & IP-споров” юридической фирмы “Рустам Курмаев и партнеры” Ярослав Шицле.

В соответствии с действующей редакцией закона о защите персональных данных мэрия должна уведомить Роскомнадзор о произошедшей утечке. Сейчас за нарушение порядка обработки и хранения персональных данных грозит штраф до 100 тыс. руб.

В Роскомнадзоре сообщили, что проверяют информацию о возможной утечке.

Последний раз МЭШ подвергался хакерской атаке в сентябре. Тогда часть сервисов системы была недоступна больше недели.

Официально мэрия связывала сбои с техническими работами, но источники на рынке кибербезопасности утверждали, что сервис подвергся DDoS-атаке и атаке программ-вымогателей, из-за чего было зашифровано два сервера.

Это не первый случай крупной утечки данных из инфраструктуры мэрии.

В декабре 2020 года в свободном доступе оказались данные 100 тыс. пациентов московских больниц, переболевших коронавирусом. А в июле того же года писали о продаже доступа ко всем видеокамерам сети наблюдения Москвы.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Атака Mice-E-Mouse: прослушка через геймерскую мышь

Исследователи из Калифорнийского университета в Ирвайне доказали, что высокопроизводительная оптическая мышь вроде Razer Viper может слить на сторону секреты, озвученные пользователем во время работы на компьютере.

Разработанная ими атака Mic-E-Mouse полагается на высокую частоту опроса и чувствительность датчиков мыши, способных улавливать вибрации рабочей поверхности, создаваемые акустическими волнами.

Для сбора таких данных в сыром виде использовался опенсорсный софт, для их очистки — цифровая обработка сигналов, для анализа и воссоздания речи — ИИ-модель Whisper разработки OpenAI, обученная на готовых наборах аудиозаписей (англоязычных).

 

Тестирование показало точность распознавания от 42 до 62%; этого достаточно для скрытной прослушки, и микрофон в этом случае не понадобится.

Наиболее уязвимы к Mice-E-Mouse оптические мыши 1-8 кГц, оборудованные датчиками с разрешением 20 000 DPI (точек на дюйм) и выше.

В качестве сборщика сырых данных годятся видеоигры, приложения для творчества и прочий высокопроизводительный софт. Злоумышленнику придется лишь получить к нему доступ, а обработку и реконструкцию можно выполнять удаленно и в удобное время.

 

Издавна известно, что беспроводные мыши также уязвимы к Mousejacking — подмене пользовательского ввода с целью развития атаки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru