Суть инцидента
Исследователи кибербезопасности из компании Cybernews обнаружили беспрецедентную утечку данных, в результате которой в открытый доступ попали почти 16 миллиардов логинов и паролей от учетных записей популярных онлайн-сервисов, включая Apple, Google, Facebook (Meta)*, GitHub, Telegram, различные VPN-платформы и даже государственные ресурсы. По оценкам экспертов, это крупнейший подобный инцидент в истории.
Характеристики утечки
- Объем данных: 16 миллиардов записей, организованных в 30 отдельных массивов, каждый из которых содержит от десятков миллионов до 3,5 миллиарда записей.
- Источник утечки: данные предположительно собирались с помощью вредоносных программ-инфостилеров, которые тайно похищали пароли и сессии пользователей с зараженных устройств.
- Свежесть данных: подавляющее большинство информации ранее не публиковалось и не встречалось в предыдущих утечках, что делает эти данные особенно ценными для злоумышленников.
- Формат данных: каждая запись содержит URL сервиса, логин и пароль, что позволяет автоматизировать взлом аккаунтов.
Какие сервисы затронуты
Утечка затронула практически все крупные онлайн-платформы:
- Технологические компании: Apple, Google, Microsoft
- Социальные сети: Facebook (Meta), Instagram (Meta*), Telegram
- Разработческие платформы: GitHub
- VPN-сервисы: различные провайдеры
- Государственные ресурсы: порталы госуслуг
*Примечание: Meta и ее сервисы признаны экстремистскими и запрещены в России.
Последствия и риски
Эксперты предупреждают о серьезных угрозах, связанных с этой утечкой:
- Массовые фишинговые атаки: злоумышленники могут использовать данные для целевых атак.
- Взлом аккаунтов: компрометация личных и рабочих учетных записей.
- Доступ к конфиденциальной информации: риск утечки персональных данных, финансовой информации и корпоративных секретов.
- Цепочка взломов: компрометация одного аккаунта может привести к потере доступа ко многим связанным сервисам.
Рекомендации по защите
1. Немедленная смена паролей на всех важных онлайн-аккаунтах.
2. Использование менеджеров паролей для генерации и хранения уникальных сложных комбинаций.
3. Активация многофакторной аутентификации (MFA) везде, где это возможно.
4. Осторожность с сообщениями - не переходить по ссылкам в подозрительных SMS и email.
5. Мониторинг утечек с помощью специализированных сервисов.
6. Переход на Passkeys (ключи доступа) как более безопасную альтернативу паролям.
Реакция компаний и органов власти
Крупные технологические компании, включая Google и Apple, уже начали предупреждать пользователей о необходимости усилить защиту аккаунтов. FBI также выпустило предупреждение о потенциальных последствиях этой утечки.
Вывод: текущая ситуация требует немедленных действий от всех пользователей интернета. Откладывать меры по защите своих аккаунтов более нельзя - скомпрометированные данные уже могут использоваться злоумышленниками.
Please open Telegram to view this post
VIEW IN TELEGRAM
Cybernews
16 billion passwords exposed in record-breaking data breach: what does it mean for you?
This is a colossal breach involving 16 billion exposed credentials (Google, Apple, Facebook) — possibly the G.O.A.T. of all data breaches.
- Минэк, просыпайся!
У вас сертификат истёк, авторизация через ЕСИА на regulation неделю не работает.
- Не спите? На ПМЭФе все...
- Мы ещё подождём, до 7 июля ещё не забудьте заменить RSA-сертификатот Национального УЦ Global Sign
У вас сертификат истёк, авторизация через ЕСИА на regulation неделю не работает.
- Не спите? На ПМЭФе все...
- Мы ещё подождём, до 7 июля ещё не забудьте заменить RSA-сертификат
Об ЭП и УЦ
🚀 Изменение требований к машиночитаемым доверенностям Минцифры России разработан проект приказа, который уточняет требования к формату доверенностей при использовании квалифицированной электронной подписи. Что меняется? 🔹 Паспортные данные теперь будут…
Please open Telegram to view this post
VIEW IN TELEGRAM
Гидротехнические сооружения версия 2.0
Нельзя просто так взять и вытравить дух гидротехнических сооружений. Он более 5 лет назад появился в нашей сфере и с тех пор живёт в 63-ФЗ, каждом разрабатываемом НПА и ответе Минцифры.
Постановлением Правительства от 18.06.2025 № 912 утверждены требования к проверке простой электронной подписи, которой в АО, ООО подписаны бюллетени для голосования...". О разработке проекта данного документа был отдельный пост.
Постановление вступает в силу с 01.09.2027.
🔹287-ФЗ ввёл требования к проверке ПЭП ЕСИА, но механизм реализации до конца не проработан.
🔹Ключевые моменты:
- Проверка проводится через сервис ЕСИА (п. 23 Правил использования ПЭП).
- Даже если ключ ПЭП был заменён после подписания бюллетеня, проверка возможна (ключ хранится в ЕСИА 5 лет).
- Проверка инициируется АО/ООО через личный кабинет ЕПГУ участника.
- Оператор ЕСИА предоставляет доступ к сервису проверки.
- Результат содержит дату и время проверки, но детального протокола (как у КЭП) нет.
🔹Прототип регуляторики:
- Проект основан на аналоге — Постановлении Правительства №1754 (о ГТС), где схожая логика проверки электронных документов.
🔹Практическая часть:
Сервис проверки ПЭП:
- Доступен на https://www.gosuslugi.ru/pep.
- Требует загрузки ZIP-архива, сформированного в ЕПГУ (например, архив с ПЭП, включая случаи "самозапрета").
Ограничения:
- Нет отдельного протокола проверки (в отличие от КЭП, где выдаётся подробный отчёт).
- Результат проверки — это лишь факт подтверждения/отклонения подписи без детализации.
❌Проблемы:
- Отсутствие механизма для массовой проверки бюллетеней (например, для корпоративного голосования).
- Нет чёткого API или интеграционного решения для АО/ООО.
- Неясность с хранением ключей: хотя закон требует 5 лет, технически сервис может не поддерживать все сценарии.
🔹Закон 287-ФЗ формально требует проверки ПЭП, но реализация сервиса пока не соответствует всем заявленным нуждам, особенно для корпоративных процессов.
Нельзя просто так взять и вытравить дух гидротехнических сооружений. Он более 5 лет назад появился в нашей сфере и с тех пор живёт в 63-ФЗ, каждом разрабатываемом НПА и ответе Минцифры.
Постановлением Правительства от 18.06.2025 № 912 утверждены требования к проверке простой электронной подписи, которой в АО, ООО подписаны бюллетени для голосования...". О разработке проекта данного документа был отдельный пост.
Постановление вступает в силу с 01.09.2027.
🔹287-ФЗ ввёл требования к проверке ПЭП ЕСИА, но механизм реализации до конца не проработан.
🔹Ключевые моменты:
- Проверка проводится через сервис ЕСИА (п. 23 Правил использования ПЭП).
- Даже если ключ ПЭП был заменён после подписания бюллетеня, проверка возможна (ключ хранится в ЕСИА 5 лет).
- Проверка инициируется АО/ООО через личный кабинет ЕПГУ участника.
- Оператор ЕСИА предоставляет доступ к сервису проверки.
- Результат содержит дату и время проверки, но детального протокола (как у КЭП) нет.
🔹Прототип регуляторики:
- Проект основан на аналоге — Постановлении Правительства №1754 (о ГТС), где схожая логика проверки электронных документов.
🔹Практическая часть:
Сервис проверки ПЭП:
- Доступен на https://www.gosuslugi.ru/pep.
- Требует загрузки ZIP-архива, сформированного в ЕПГУ (например, архив с ПЭП, включая случаи "самозапрета").
Ограничения:
- Нет отдельного протокола проверки (в отличие от КЭП, где выдаётся подробный отчёт).
- Результат проверки — это лишь факт подтверждения/отклонения подписи без детализации.
❌Проблемы:
- Отсутствие механизма для массовой проверки бюллетеней (например, для корпоративного голосования).
- Нет чёткого API или интеграционного решения для АО/ООО.
- Неясность с хранением ключей: хотя закон требует 5 лет, технически сервис может не поддерживать все сценарии.
🔹Закон 287-ФЗ формально требует проверки ПЭП, но реализация сервиса пока не соответствует всем заявленным нуждам, особенно для корпоративных процессов.
Планирует ли Госключ опубликовать формуляр, а также какое отношение ФГБУ ЦЭКИ имеет отношение к данному проекту в статье не сообщается.
Что касается инфографики (спасибо, что сертификат, а не ЭЦП - есть прогресс у журналистов), то не понятно, а какие это сертификаты: все выданные сертификаты НЭП/КЭП Госключа, только КЭП по всем АУЦ? В общем журналисты РГ по-прежнему не умеют писать про электронную подпись.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
РБК
Трамп счел скандал с автопером Байдена одним из крупнейших в истории США
Трамп считает скандал с использованием автоподписи при Байдене одним из крупнейших в истории. Он и ранее критиковал использование автопера для подписания официальных документов, в том числе указов о
❌На фоне продолжающихся взломов компаний в общем и удостоверяющих центров в частности подобные кейсы с публикацией ключей для удаленного доступа отдельным УЦ выглядит полным пренебрежением к информационной безопасности
Откуда на автономном сервере оказалось вредоносное ПО - спрашивает Алексей Лукацкий?
⁉️ В сфере электронной подписи тоже есть загадки:
🔹Как в Госключе создать подпись формата CAdES-X Long, если УЦ ИИТ в сертификаты вписывает нерабочий адрес OCSP-службы
🔹Как разработчикам средств электронной подписи вести разработку, если Минцифры в 472 приказе о Формате электронной подписи вписало нерабочие oid
🔹Как УЦ должны были первый раз проводить ознакомление заявителей с их сертификатами, если форма на бумаге не была предусмотрена законом. Перечень можно продолжать...
⁉️ В сфере электронной подписи тоже есть загадки:
🔹Как в Госключе создать подпись формата CAdES-X Long, если УЦ ИИТ в сертификаты вписывает нерабочий адрес OCSP-службы
🔹Как разработчикам средств электронной подписи вести разработку, если Минцифры в 472 приказе о Формате электронной подписи вписало нерабочие oid
🔹Как УЦ должны были первый раз проводить ознакомление заявителей с их сертификатами, если форма на бумаге не была предусмотрена законом. Перечень можно продолжать...
Согласно пункта 6 приказа Минцифры от 13 ноября 2020 N 584 "Об утверждении Требований к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей" прописана необходимость выполнения требований, установленных постановлением Правительства Российской Федерации от 3 февраля 2012 N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" в отношении автоматизированного рабочего места Удостоверяющего центра, используемого для создания ключа электронной подписи и ключа проверки электронной подписи для заявителя.
Положение о лицензировании определяет порядок лицензирования деятельности по технической защите конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями. Лицензирование осуществляет ФСТЭК России (появление в приказе Минцифры ссылки на постановление о лицензировании со ФСТЭК России не согласовывалось). Положение о лицензировании не предъявляет и не может предъявлять никаких требований к автоматизированному рабочему месту Удостоверяющего центра, используемого для создания ключа ЭП и ключа проверки ЭП для заявителя.
Каким же требованиям АРМ УЦ должен соответствовать, что имел в виду регулятор? А непонятно, какие требования имело в виду Минцифры т.к. запрос по итогу перенаправлен во ФСТЭК и ответ был получен. ФСТЭК считает целесообразным проводить аттестацию АРМ УЦ.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣Мем в действии - сколько должно пройти веков, чтобы Мосводоканал начал принимать электронные документы с электронной подписью?
Об ЭП и УЦ
Please open Telegram to view this post
VIEW IN TELEGRAM
publication.pravo.gov.ru
Федеральный закон от 24.06.2025 № 156-ФЗ ∙ Официальное опубликование правовых актов
Федеральный закон от 24.06.2025 № 156-ФЗ
"О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации"
"О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации"
46 аккредитованных УЦ
В соответствии с решением Правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров (протокол от 19.06.2025 № 4пр) аккредитацию вновь получило АО НИИАС.
Ранее аккредитация данного удостоверяющего центра была прекращена 02.10.2024.
В соответствии с решением Правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров (протокол от 19.06.2025 № 4пр) аккредитацию вновь получило АО НИИАС.
Ранее аккредитация данного удостоверяющего центра была прекращена 02.10.2024.
Электронные договоры можно подписать на сайте ФНС России
ФНС России расширен функционал сервиса создания машиночитаемых документов – теперь в нём можно не только формировать договоры в формате PDF/A-3, но и подписывать их мобильной подписью.
Что изменилось?
✔ Раньше документы нужно было скачивать и подписывать в сторонних сервисах.
✔ Теперь всё в одном месте: создали → подписали → отправили контрагенту.
✔ Приложение «Моя подпись» полностью бесплатное.
Как это работает?
📲 Установите «Моя подпись» (доступно для Android).
🔐 Получите квалифицированный сертификат для мобильной подписи в Удостоверяющем центре ФНС России (для ИП и руководителей юрлиц).
📑 Подписывайте договоры в сервисе.
Что будет дальше?
В III квартале 2025 года добавят подписание:
• счетов-фактур,
• универсальных передаточных документов (УПД).
‼️УЦ ФНС России не выдает второй сертификат без отзыва первого, если только заявитель не получает второй сертификат с использованием иного типа носителя.
Итого, можно получить первый сертификат с использованием сертифицированного токена, второй - "обезличенный" для информационной системы, третий для мобильного приложения ФНС, четвертый - для Госключа.
🚀 Об ЭП и УЦ
ФНС России расширен функционал сервиса создания машиночитаемых документов – теперь в нём можно не только формировать договоры в формате PDF/A-3, но и подписывать их мобильной подписью.
Что изменилось?
✔ Раньше документы нужно было скачивать и подписывать в сторонних сервисах.
✔ Теперь всё в одном месте: создали → подписали → отправили контрагенту.
✔ Приложение «Моя подпись» полностью бесплатное.
Как это работает?
📲 Установите «Моя подпись» (доступно для Android).
🔐 Получите квалифицированный сертификат для мобильной подписи в Удостоверяющем центре ФНС России (для ИП и руководителей юрлиц).
📑 Подписывайте договоры в сервисе.
Что будет дальше?
В III квартале 2025 года добавят подписание:
• счетов-фактур,
• универсальных передаточных документов (УПД).
‼️УЦ ФНС России не выдает второй сертификат без отзыва первого, если только заявитель не получает второй сертификат с использованием иного типа носителя.
Итого, можно получить первый сертификат с использованием сертифицированного токена, второй - "обезличенный" для информационной системы, третий для мобильного приложения ФНС, четвертый - для Госключа.
Please open Telegram to view this post
VIEW IN TELEGRAM