ИсВКлючить нельзя исВКлючать, или пролетая над гнездом VK…
История о том, как социальная сеть ВКонтакте, без суда и следствия, по велению алгоритмов, фактически уничтожила аккаунт с 20-летней историей, обнулила многолетний авторский контент и заблокировала владельцу вход, удерживая у себя в заложниках его персональные данные в течение уже пары лет. Читать...
Найдем любого — бесплатно, какой у него оператор связи?
Полтора года назад я писал статью “Я тебя найду и позвоню”, которая начиналась с кейса угона клиентов, но затрагивала возможность пробива любого абонента. Статья вызвала резонанс, и благодаря этому сервис, показанный в статье, закрыл дыру! И вот прошло 1,5 года, а что теперь? А теперь мы посмотрим...
Как получить реальные данные с прода для тестирования, не сесть в тюрьму и не получить по шапке от службы безопасности
Меня зовут Семён Ремезов, я Senior QA в компании «Гринатом» (мы пишем софт для «Росатома»). Про такие вещи обычно говорят шёпотом в курилках либо громко обсуждают, только когда уже «прилетело». Можно, конечно, наклепать синтетических моков, но в сложных системах это мало что даст. У нас в...
[Перевод] Разработчик нашёл уязвимость у страховщика и оказался на грани юридического разбирательства
Разработчик и инструктор по дайвингу, который предпочёл скрыть своё имя, пожаловался, что он обнаружил уязвимость в личном кабинете крупной страховой компании, но вместо признания получил иск. Приводим перевод этой истории. Читать далее...
Персональные данные: сколько стоит нарушение в 2026 году
Некоторое время назад штрафы за нарушения в области персональных данных могли вызвать скорее улыбку у собственников бизнеса, чем страх. Зачастую было выгоднее нарушать, чем внедрять средства защиты. Но в последние годы все изменилось. В 2026 году регулирование в области персональных данных в России...
Совместный вебинар двух компаний: как правильно собирать ПДн участников
Недавно получил хороший вопрос от подписчика моего телеграмм-канала. Решил поделиться разбором и тут. Ситуация следующая: две организации (назовём их А и Б) решили провести совместный вебинар. Регистрацию делают на сайте компании А. Собирают ФИО, телефон, email, должность, компанию. А после...
Как персональные данные утекают из non-prod: четыре реальных сценария
Сегодня на связи Дмитрий Ларин, руководитель продуктового направления по защите баз данных, и Анастасия Комарова, менеджер по продуктовому маркетингу компании «Гарда». Мы регулярно общаемся с ИТ- и ИБ-командами, в том числе на пилотах и в ходе интервью на профильных мероприятиях. Возможно, кто-то...
Единая политика ПДн — удобный документ или потенциальный штраф?
Недавно разбирали с заказчиком вопрос, который показалось важным разобрать в подробной статье так как в рамках телеграмм-канала формат подробности не допускает: «Можно ли написать одну политику обработки персональных данных, которая закроет сразу всех - и сотрудников, и клиентов, и контрагентов?»...
Персональные данные: что было в 2025 и что делать в 2026
Привет! С 26 по 30 января проходит ежегодная неделя защиты конфиденциальности данных (Data Privacy Week), поэтому мы решили подготовить для вас полезный материал по персональным данным. Меня зовут Илья Башкиров, я юрист по ИБ InfoWatch, и сегодня хочу поделиться статьёй в двух актах. Акт 1 — обзор...
Чат-боты на базе LLM и приватность: что происходит с нашими данными
Привет! Недавно мне довелось прочесть интересное американское исследование о том, как крупнейшие разработчики чат‑ботов на базе LLM обращаются с пользовательскими данными. Захотелось поделиться с вами, потому что в России чат‑боты практически во всех интернет-сервисах, и даже в Госуслугах. Так что...
Ловись, лид, большой и маленький
Привет, Хабр! Меня зовут Максим Ломаев, и, перед тем как начать, хочу предупредить, что эта статья — отчасти эксперимент. Честно говоря, даже не уверен, насколько он удачный, и могу предположить, что подобный формат не всем придётся по вкусу. Но всё же я решился на публикацию, потому что хочу...
Какие компании попадут под проверку Роскомнадзора в 2026 году?
С 5 сентября 2025 года проверки Роскомнадзора по персональным данным (ПДн) “переехали” на обновлённую риск-ориентированную модель: Кабмин поправил ПП № 1046 через постановление № 1286 и расширил критерии, по которым деятельность оператора относят к группам тяжести А/Б/В/Г. В 2026 году это напрямую...
Когда бизнесу нужно заключать соглашения о поручении обработки персональных данных
ПД — персональные данные. Одни бизнесы пользуются услугами других бизнесов или частных исполнителей. Это база. Пример: обучающий центр хранит данные работников и учащихся в CRM. Другой пример: флористическая студия пользуется услугами курьерской компании (или самозанятого курьера) для доставки...
Shadow Data в облаке: найти и обезвредить
Shadow Data — данные, которые существуют вне поля зрения ИБ и compliance-команд. Хорошая новость в том, что такие теневые данные легко найти даже в очень крупной облачной инфраструктуре. В этой статье разберем, как сделать все без ручного перебора и буквально за час найти и геолоцировать данные....
Нужно ли брать согласие на обработку ПД, когда клиент записывается по телефону или в мессенджере
ПД — персональные данные. Пока в одних компаниях заставляют подписать согласие на обработку ПД даже «мимопроходил», другие не имеют точного представления, что это за документ и для чего он нужен. Давайте прямо сейчас поставим жирную точку в этом вопросе. Разобраться — дело пяти минут. Засекайте....
152-ФЗ для детсада. Как не упасть в обморок, если вы — заведующий
В последние годы вопросы защиты персональных данных в образовании вышли на первый план из-за участившихся инцидентов. Регулятор требует, чтобы детские сады оформляли все документы по новым правилам и не допускали утечек данных воспитанников. К тому же родители стали более осведомлены о своих...
ПДн в нашем доме или 152-ФЗ в практике ЖКХ
В последнее время так совпало, что я много общался с ЖКХ не как юрист и ИБ-специалист, а как обычный собственник жилья. Споры с управляющей компании, перерасчёты, общие собрания, домовые чаты, запросы в ГИС ЖКХ — в общем полный набор «бытового» взаимодействия. И почти в каждом эпизоде, где...
Bug bounty в РФ: когда вендор молчит, а платформа подыгрывает
Кейс новичка о «пробах» в роли бахгхантера на примере MAX + Bug bounty платформы Standoff365 Статья о личном опыте и выявленных системных проблемах взаимодействия исследователя с вендором и арбитражем в российской bug bounty‑экосистеме: как игнорируются критические уязвимости в «национальном...
Назад