Криптобеспомощность

Сегодня в новостные источники, к которым я припадаю, чтобы утолить неиссякаемую жажду, попала неожиданная и пугающе неправдоподобная история, которая всё-таки имеет место быть.

В сеть утекли чуть менее пятидесяти миллионов записей с персональной информацией граждан Турции (Sic!). Если точно, то пострадали 49.611.709 турецких граждан. Все, кто родился до 1990-го года включительно. В слитой базе оказались:

  • Полное имя и пол
  • Имена отца и матери (правда, без фамилий)
  • Город и дата рождения
  • ID Города и района регистрации
  • Полный адрес
  • Некий идентификатор, который обозначен как National Identifier (TC Kimlik No)

В несжатом виде это чуть более 6Гб данных в виде текста.

4 апреля ссылки на базу со сливом появились на Hacker News (YCombinator) и понеслось...

https://twitter.com/gregsonar/status/717069245373366272

На страничке, куда всё это попало, содержится достаточно язвительный комментарий к современному правительству Турции и довольно уязвимой технической инфраструктуре страны.

Честно говоря, во всей этой истории со сливом, меня озадачило не то, что кто-то выложил личные сведения о людях, пусть даже и в таком объёме, а, скорее то, что эти данные хранились в просто-напросто заXORеном виде. Неудивительно, что данные из такой базы были обречены.

На волне этой новости, многие вспоминают про Panama Paper Leak и прочие сливы, а я в очередной раз удивляюсь тому, как бывают беспомощны специалисты, которые призваны отвечать за, казалось бы, важные сведения.

Нет, конечно, если один человек сделал, то другой завсегда сломать сумеет ©, и нельзя сделать целиком безопасную систему, будь то сейф, Пентагон или база данных о турецких гражданах. Но ведь простейшее шифрование должно быть, верно?

Буду надеяться, что у в ваших проектах всё защищено лучше, чем просто XOR-ом, а сам пойду, пожалуй, проверю свои "поделки".

Ссылка на YCombinator

Статья на Хабрахабр

Telegram и Twitter @bobuk в котором я, собственно, это и увидел.