Ату их, ату!

[gb0]

https://www.usatoday.com/story/money/2017/09/08/massive-equifax-cyberattack-triggers-class-action-lawsuit/645632001/

Давить жадных гондурасов в судах – только так (может быть) и поймут, как нельзя экономить на инфосеке :) Да, для конкретного физлица – толку в этом иске немного. Выдадаут, если дело выгорит (что под ооочень большим вопросом) –  бесплатный доступ к мониторилке на год-другой, и компенсации там, 100 лямов (хотелки называют космические – до 70 миллиардов, потенциально – самый дорогой class-action иск в истории США) на 143М народу – по 70 центов на брата. Но ондурасов надо как-то наказывать, раз государство не хочет поинтересоваться законностью, эм, например – продажи акций компании руководством перед публикацией отчета о взломе.

Comments

[juan_gandhi]

Да, и нельзя ли кого-нибудь расстрелять.

[1master]

Для начала надо SSA приложить (или кто там технической частью должен заниматься), поскольку вся эта схема с SSN это безопасность модели "двое трое десятеро знают, а свинья, почему-то, нет"

[gb0]

Пропорция-то –  останется (C).

[leo_sosnine]

CEI сообщает, что существует регуляция, а конкретно FCRA, которая замещает собой common law, и согласно которой возможности судить эти агентсва ограничены. Решение стандартное для любых случаев советуемое FCRA -- дерегуляция, а дальше рыночек порешает

Вот ведь провидцы

[malobukov]

Fair Credit Reporting Act был принят в 1970 году. Его авторы уже тогда предвидели возможность захакать кредитные агенства через интернет и прикрыли их от этого?

А ещё можно конкретный параграф, где это написано? Интересует точная формулировка.

Re: Вот ведь провидцы

[leo_sosnine]

я не лойер, просто написал тут что думает ЦЕИ, т.к. имхо не хватает альтернативы в дискурсе, все хором в ленте требуют ужесточения регуляций и государственных кар

пройдите на их сайт и задайте вопрос

[malobukov]

Это я к тому что засудить эквифакс почти наверняка можно, с FCRA или без. На что намекает хотя бы падение курса акций.

По этой же причине важно не ломиться в панике за бесплатным сыром мониторингом в тот же эквифакс. Особенно потому что там в T&C пишут, что используя этот сервис, пользователь отказывается от претензий к эквифаксу. Подозреваю, что через class action можно будет получить больше.

[leo_sosnine]

надеюсь что так

видел их уэйвер, его легальность имхо сомнительна, но я в этом ничё не понимаю, думаю его оспорят

[gb0]

NYшный прокурор говорит, что вейвер ихний в NY (и скорее всего – в других юрисдикциях тоже) юридически ничтожен.

[merig00]

Вчера кажется читал что Equifax сам подтвердили что дисклемер на сайте только для платных сервисов. Вэйвер на пострадавших не распространяется.

Не рановато?

[malobukov]

Пока не ясно, как данные утекли и мог ли инфосек эту утечку предотвратить. Не факт, что дополнительные вложения в инфосек предотвратили бы конкретно эту утечку.

Re: Не рановато?

[gb0]

Чего-то мне думается, что там –– что-то простое. Из серии иньекции или чего-то навроде. Например, QA с достаточно свежей копией базы и паролями навроде blowme123. Id est, как раз из серии того, что пентестеры нашли бы.

Конечно, может быть там было что-то очень сложное и включало эксплуатацию пары zero-day уязвимостей уровня "знали токо M$ и NSA". Go figure :(

Начинают проявляться детали

[malobukov]

Кивают на Apache Struts, скорее всего CVE-2017-9805.

Если так, то действительно zero day и тогда музыкальное образование не при чём.

Re: Начинают проявляться детали

[gb0]

Да, CVE-2017-9805 – это круто. Данное обстоятельство не извиняет Equifax – даже если там 0day RCE в приложеннии на основном сайте. Комуниздили данные пойди пару месяцев. Кто-то должен был (but failed) пояснить кому-то, что well, em...onions have layers, ogres have layers, ну и secure IS – тоже.

[qvb]

Там вообще феерическая история - главная по security у них оказывается - по образованию музыкант-композитор (!).

leo-sosnine.dreamwidth. org/657095.html?view=7390663

Ну и что

[malobukov]

Дональд Кнут сочиняет музыку для органа, у него он даже дома стоит. Пол Грем — художник. Я лично знаю неплохого программиста, который по образованию дирижёр.

Re: Ну и что

[qvb]

Просто посмотрите на ее карьеру в скриншоте по ссылке. Это явно не карьера профессионала в системах безопасности.

И насчет профессионального образования в хайтеке - бывают любители без проф образования которые чего-то достигают, но их крайне мало, да и поднимаются они не высоко. Я говорю об основной профессии а не о хобби естественно.

Получить позицию чиф секюрити для человека без проф образования - практически нереально, а с ее трэк рекорд - это просто насмешка над здравым смыслом.

Вот вам другая ссылка

[malobukov]

Куча народа успешно занимается информационной безопасностью без профессионального образования в этой сфере. С того же LinkedIn: Egor Homakov,
бросил ВУЗ на первом курсе.

Re: Вот вам другая ссылка

[qvb]

Я работаю в хайтеке, и близко знаком с этой областью (в том числе с безопасностью систем). Любители тут далеко не продвигаются. Стать рядовым инженером любитель может, а вот продвинуться вверх по карьерной лестнице может только на несколько шагов - чем выше тем больше на это смотрят.

Профессиональное техническое образование (электроника и т.п.) еще туда-сюда, но вот с образованием музыканта у человека будут проблемы с карьерой в IT.

Бывают конечно исключения (например один из моих давних коллег не имеет проф образования но поднялся до уровня рулить тимами в десятки человек), но это редкие исключения, да и карьера у таких людей идет гораздо медленней.

А уж послужной список у этой музыкально-секьюрити дамы вообще насмешка для здравого смысла.

[rampitec]

Вот кстати, эти белые, и меня угнетают.

[brmail]

какой то у них смешной класс акшен кейс вышел. Сходу не нашел, так даже не поленился поискать гуглом - Я НЕ ВИЖУ способа к этому иску присоединиться.
Советы обратиться к своим городским прокурорам, и на этом все.
Я что-то пропускаю?