Моему сайту исполнилось 27 лет
Endesa успокоила клиентов
14.01.2026 16:00
1059
Комментарии (96)
Испанские программисты - это что-то очень и очень особенное. Такого кошмара, который творится с программным обеспечением сайтов крупнейших государственных учреждений, крупных банков и так далее - я, по-моему, больше нигде не встречал. Рассказывать об этом можно часами. Ну а где проблемы с программированием - там проблемы и с безопасностью.
Endesa - крупнейшая испанская энергетическая компания, специализирующаяся на производстве, распределении и продаже электроэнергии, а также на услугах в сфере природного газа. У нее миллионы пользователей.
И вот недавно выяснилось, что в результате хакерской атаки из Endesa были похищены все данные - ID, домашние адреса и банковские реквизиты - 20 миллионов пользователей, то есть, насколько я понимаю, всей клиентской базы. То есть оно там все хранилось в таком виде, что это можно было похитить, ну и защита была реализована соответствующим образом.
Знаете, что на это сказали в Endesa? У-у-у-упс, сказали в Endesa. Но поспешили успокоить пользователей, цитирую:
Компания Endesa сообщила своим клиентам, что в результате несанкционированного доступа были затронуты личные данные, в том числе банковские, но заверила, что пароли не были скомпрометированы. Компания активировала свои протоколы безопасности, заблокировала уязвимые точки доступа и предоставила пользователям номер телефона службы поддержки (800 760 366) и канал связи по электронной почте.
Ну, слава богу, пароли к личным кабинетам пользователей Endesa не были похищены, теперь злоумышленники не смогут зайти и посмотреть, кто сколько заплатил за электричество и газ. Ура, ура!
Также меня умилила фраза "Компания активировала свои протоколы безопасности, заблокировала уязвимые точки доступа". То есть ранее протоколы безопасности не были активированы, и уязвимые точки доступа трогательно были открытыми в своей тотальной уязвимости?
Это, господа, пушной зверек какой-то, честное слово!
Войдите, чтобы оставить комментарий.
По поводу протоколов безопасности компаний. Я, когда переехал в Португалию в 2022 году, открыл счет в Сантандере. Просто потому что у них был какой-то договор с моим работодателем и они довольно быстро открыли счет (к тому времени моя заявка в Миллениум благополучно висела уже три месяца).
Так вот, такое революционное достижение, как двухфакторная аутентификация в личном кабинете у них появилось лишь в прошлом, 2025 году, во второй половине (хотя насчет половины не уверен на 100%), стали ОТП СМС рассылать. А до этого - юзер/пароль, все, заходи. Делай, что хочешь.
Так вот, такое революционное достижение, как двухфакторная аутентификация в личном кабинете у них появилось лишь в прошлом, 2025 году, во второй половине (хотя насчет половины не уверен на 100%), стали ОТП СМС рассылать. А до этого - юзер/пароль, все, заходи. Делай, что хочешь.
При этом eidas действует с 2016-го.
Прелестно.
Прелестно.
Так вот, такое революционное достижение, как двухфакторная аутентификация в личном кабинете у них появилось лишь в прошлом, 2025
Прелестно.
Компания активировала свои протоколы безопасности
- Хакер, стой - раз-два
Endesa - крупнейшая испанская энергетическая компания, специализирующаяся на производстве, распределении и продаже электроэнергии
похищены все данные - ID, домашние адреса и банковские реквизиты - 20 миллионов пользователей
Только я один здесь который не видел ни одной рекламы не на одном сайте последние лет 15
Из сегодняшней.
P.S. Только я один здесь который не видел ни одной рекламы не на одном сайте последние лет 15 когда у тебя одновременно работает adblock+, Adguard в броузере и pihole в сети?
Не совсем понял по фотке - что именно они рекламируют?
P.S. Только я один здесь который не видел ни одной рекламы не на одном сайте последние лет 15 когда у тебя одновременно работает adblock+, Adguard в броузере и pihole в сети?
P.S. Только я один здесь который не видел ни одной рекламы не на одном сайте последние лет 15 когда у тебя одновременно работает adblock+, Adguard в броузере и pihole в сети?
Офф: США прекратили выдачу иммиграционных виз россиянам и ещё 70 странам, чтобы те "не полагались на щедрость американского народа".
"А нас-то за что?"
"Произошла чудовищная ошибка".
"А нас-то за что?"
"Произошла чудовищная ошибка".
Я видел перепечатку из фокс ньюз. Но ничего удивительного в этом не было бы -- для трампа все иммигранты нежелательные, что сомалийцы, что рассияне, что мексиканцы. Россияне просто одни из большого списка "shit counteries".
Видел опровержение
низкое качество государственных ИТ систем бич универсальный. По моему ничего хуже чем американские госсайты я не видел. Ситуация чуть меняется, но все же.
В Европе хоть есть надежда на то что за утечку персональных данных DPO вздрючит Endesa согласно требованиям GDPR.
В Европе хоть есть надежда на то что за утечку персональных данных DPO вздрючит Endesa согласно требованиям GDPR.
Global Entry, SSA - вполне на уровне.
По моему ничего хуже чем американские госсайты я не видел.
Компания сообщила, что решение проблемы очень простое и клиентам не составит большого труда обезопасить себя: надо просто сменить имя и фамилию, заменить паспорт и переехать жить по другому адресу.
Девушка, скажите, а внешность мне не поменяли?
Опционально
Пол менять надо?
Ох, вы просто не видели, что происходит с ПО в Мексике. В госсекторе — полный аут. Например, некоторые службы работают только в Edge и иногда ещё и только в определённой версии. У многих запросы обрабатываются исключительно в дневное время — был случай, когда я не смог получить выписку на машину после 5 вечера, хотя это обычная выгрузка из SQL.
Некоторые «госуслуги» не работают месяцами, а просто прийти и отстоять очередь нельзя, потому что «электронная запись». При этом электронная система тоже может не работать.
Тот же кошмар и в банках, и вообще во всей коммерции. Например, у сотового оператора как-то две недели не работала онлайн-оплата. Местные «кулхацкеры» очень любят постоянно менять интерфейсы: в банковском приложении за три года его переделывали раз десять, и с каждым разом привычные функции находить всё сложнее и сложнее.
Некоторые «госуслуги» не работают месяцами, а просто прийти и отстоять очередь нельзя, потому что «электронная запись». При этом электронная система тоже может не работать.
Тот же кошмар и в банках, и вообще во всей коммерции. Например, у сотового оператора как-то две недели не работала онлайн-оплата. Местные «кулхацкеры» очень любят постоянно менять интерфейсы: в банковском приложении за три года его переделывали раз десять, и с каждым разом привычные функции находить всё сложнее и сложнее.
хотя это обычная выгрузка из SQL.
У многих запросы обрабатываются исключительно в дневное время
Endesa успокоила клиентов
Это проблема не только Испании. Гос сектор в любой стране всегда пограммистам копейки платил и нормальные специалисты туда не идут
Это в любой стране частная компания.
Я работаю на частную компанию и числюсь контрактником, а реальные федералы своими руками ничего собственно не делают. Хорошо если не мешают.
Я работаю на частную компанию и числюсь контрактником, а реальные федералы своими руками ничего собственно не делают. Хорошо если не мешают.
Это проблема не только Испании. Гос сектор в любой стране всегда пограммистам копейки платил и нормальные специалисты туда не идут
Такого кошмара, который творится с программным обеспечением сайтов крупнейших государственных учреждений, крупных банков и так далее - я, по-моему, больше нигде не встречал.
Интересует, однако, другое:
ID, домашние адреса и банковские реквизиты
выглядещие
банк проверяет разрешал ли я "выполнять" требования от данного мерчанта
юзер в банк разрешение дает
Практически на "бумажке". Заполняешь форму на сайте конторы, которая будет списывать. Потом через пару дней приходит уведомление из банка на телефон. Меня это всегда удивляло (как и многое в банковской системе в UK после Латвии). Возможно, есть какие-то требования со стороны банков к тем, кто имеет право списывать, что бы всякие однодневки-мясохладобойни не списывали, я не знаю. Ну и это не по IBAN делается, а по местным счету и sort code, то есть абыкакие "Рога и копыта" из Румынии не смогут оформить Direct Debit (я по карайней мере так надеюсь)Сейчас стало получше, ну примерно как в Латвии лет 15 назад, когда я уехала
Я регулярно так подключаю платежи, за телефон, электроэнергию...Указываешь номер счёта и фамилию.
Последующие списания средств со счета клиентов несложно себе представить.
Причём тут payment card? Там фотки двух документов и IBAN.
Prestia SMBC в Токио.
А не в Топ-50 банках?
Это да, но я имел в виду статистику и тенденции. Последняя попытка купить с моей карты что-то без моего участия или согласия было лет 10 тому назад. с тех пор - ноль.
Вытащить данные из системы сертифицированной по PCI DSS
А какой у вас банк? 😉
Но если хотите, попробуйте забрать мои деньги из моего банка, где нет двухфакторной авторизации:
Prestia SMBC в Токио.
Много лет назад, наверное каких 25 а то и все 30, я работала в одной конторе, и у бас был счет помимо латвийских банков в Швеции в SEB и в Барклайсе на Джерси. Нам постоянно надо было срочно оплачивать достаточно крупные сумми и мы часто запрашивали свифтовки у банков, что бы подтвердить отправку средств до того, как получтель их увидит на своем счету. Не было никаких проблем ни с латвийскими банками, ни с SEB. Они нам быстренько печатали свифтовки из системы и посылали нам по факсу (о времена!) и все было в порядке. А однажны нам понадобилась свифтовка из Барклайса. Мы сначала долго обясняли, что мы такое хотим и после долгих разговоров Барклайс прислал нам бумажку (простую, не бланк), где банковский клерк ОТ РУКИ написал что он подтверждает, ч то деньги ушли со счета.
На чужие документы можно и счёт открыть, у того же Революта.
Собственно PCI DSS говорит что все возможно, вопрос когда и в каких масштабах 😄
Identity Theft - который включает не только банковские реквизиты, но и остальные данные (SSN, адрес, телефон) - была и остается серьезной проблемой в Штатах, но чтобы воспользоваться, сейчас нужен весь набор. Банковские системы очень продвинулись и если у вас есть номер карты, expiration date, CVV - этого сейчас недостаточно для кражи. По крайней мере в топ-50 банках в Штатах это так.
Да какая разница, принцип один, хоть у Лебары, хоть у Оранжа, хоть у школьной столовой - номера счёта и фамилии достаточно для подключения оплаты
Банковские системы очень продвинулись и если у вас есть номер карты, expiration date, CVV - этого сейчас недостаточно для кражи.
Вытащить данные из системы сертифицированной по PCI DSS у вас просто так не получится.
Электронные - имеется в виду - "не физические?"
Подозреваю, что в Штатах и во многих странах ЕС действуют похожие схемы, которые могут использоваться мошенниками получившими доступ к персданным.
Была много лет назад презентация чего-то там, где на экране сзади выступавшего В. Ющенко (тогда ещё главы НБУ) гордо демонстрировалась его карточка Visa. С номером и трёхзначным кодом.
Во-первых это не всегда так, однако главное что верификация-то на них, по этому все эти данные у них теоретически есть.
Некоторая часть из них – электронные.
Похоже это какая-то ваша локальная системная фишка, статья не объясняет механику, но при ТАКИХ объёмах совершенно очевидно, что проблема где-то "в консерватории".
На ваш банковский счёт поступила значительная сумма,
На чужие документы можно и счёт открыть, у того же Революта.
А я пока посмотрю, чем для вас во франции обернется попытка активировать карту чужими документам.
подключаю оплату на чужой счёт
Практически на "бумажке". Заполняешь форму на сайте конторы, которая будет списывать. Потом через пару дней приходит уведомление из банка на телефон. Меня это всегда удивляло (как и многое в банковской системе в UK после Латвии). Возможно, есть какие-то требования со стороны банков к тем, кто имеет право списывать, что бы всякие однодневки-мясохладобойни не списывали, я не знаю. Ну и это не по IBAN делается, а по местным счету и sort code, то есть абыкакие "Рога и копыта" из Румынии не смогут оформить Direct Debit (я по карайней мере так надеюсь)
Сейчас стало получше, ну примерно как в Латвии лет 15 назад, когда я уехала
Сейчас стало получше, ну примерно как в Латвии лет 15 назад, когда я уехала
Захожу в Табак, беру симку Лебары, документы не нужны при этом.
Активирую её на чужие документы через интернет, подключаю оплату на чужой счёт.
Это навскидку что придумал, жулики явно больше ходов знают.
На чужие документы можно и счёт открыть, у того же Революта.
Активирую её на чужие документы через интернет, подключаю оплату на чужой счёт.
Это навскидку что придумал, жулики явно больше ходов знают.
На чужие документы можно и счёт открыть, у того же Революта.
Да какая разница
принцип один
Причём и номер жены со своего счёта оплачиваю
Ок, поехали. Кто сотовый провайдер? Франс простихосподи телеком?
Причём и номер жены со своего счёта оплачиваю и газ на неё записан, а оплата с моего счёта.
А так как во Франции девичью фамилию используют, то фамилии разные.
И если одну физическую "убить", то перевыпуск не нужен?
На соответствующих сайтах, энергокомпании, сотовой.
Где указываешь-то?
Газ и электричество онлайн подключал, никто не приходил.
У меня где то 6 карт в одном банке. Некоторая часть из них – электронные.
Я регулярно так подключаю платежи, за телефон, электроэнергию...
Указываешь номер счёта и фамилию.
Указываешь номер счёта и фамилию.
Для сравнения у одного из крупнейших в Чехии банков Райфа всего 2 миллиона клиентов. Всего.
Ну и блокировка карты не обязательно вызывает перевыпуск.
Га?
Ну и блокировка карты не обязательно вызывает перевыпуск.
Га?
Учитывая постоянную ротацию карт, а так же существование чисто электронных карт, я не уверен что подобные события как то повлияют на мгновенный спрос на чипы.
Ну и блокировка карты не обязательно вызывает перевыпуск.
можно с помощью недобросовестных или мошеннических организаций прокручивать различные аферы по типу (микро)кредитов
Итого пока неиллюзорных серьёзных опасностей две: а)совместить эту утечку с успешным закидыванием софта на телефоны жертв, б) крупная заранее подготовленная сеть мошеннеческих компаний, желательно в "серой", типа болгарий, юрисдикции.
Массовый перевыпуск карт?
Я в компании которая в том числе делает для них чипы, такой подброс незаметить невозможно.
Это же тупо ФИО, адрес, др и телефон, плюс опционально номера ID.
можно повесить direct debt обладая только реквизитами.
Указываешь номер счёта и фамилию.
Так уже.
Выделенные болдом это жопа, с моей точки зрения
Я так понимаю имея полную персональную информацию и ID можно много чего наворотить.
Кроме того сайты мельче, чем Etsy как правило используют аутсорсинг для банковских операций.
Можно оформить Direct Debit для оплаты сервисов
Случаев мошенничества с использованием Direct Debit на самом деле очень много: www.finextra.com
Тогда это массовый перевыпуск карт, про такой скандал вы бы прочитали в хедлайне CNN, а не тут.
The compromised information includes "basic identification data, contact information, [I]national identity card numbers, and data related to [customer] contract[s] with Endesa Energía, and possibly ... payment details." [/I]
Выделенные болдом это жопа, с моей точки зрения. Я так понимаю имея полную персональную информацию и ID можно много чего наворотить. А payment details могут включать card holder data. Слово possibly это тупо подпись в некомпетентности.
Я знаю как это называется, я спрашиваю - как могут использовать.
Можно оформить Direct Debit для оплаты сервисов - многие компании в UK не проверяют физический ID при небольших суммах. Можно также оформить Direct Debit на легального владельца счета, и потом использовать эту информацию (номер счета, сумма и дата списания) для обмана кредиторов.
Случаев мошенничества с использованием Direct Debit на самом деле очень много: https://www.finextra.com/
И вы,лично, может быть, и заметите, что с вашего счета начинают списываться лишние деньги - но многие не проверяют свой счет месяцами.
но если номер карты и, не дай Бог, все остальное: Card holder name, Expiry date – а с них станется – то тогда это больно
банковские реквизиты
Identity theft
Etsy не будет брать кредиты на ваше имя, или использовать эти данные для получения доступа к вашему банковскому счету, или оформлять на ваше имя юрлица.
Дальше-то что? Про доступ к счёту уже поговорили, кредит оформить... пусть попытаются, если выйдет, я их найму, это и "оригинальному" владельцу личности не так просто, а оформить юрлицо это вообще... хотя это местная специфика, конечно. Не знаю как в UK, у нас тут это весьма кучерявая процедура, я оформлял три, две полноценные и одно ИП, могу много смешного написать.
Наполовину. Переходите к сути, если есть желание конечно.Чем опасно владение такими данными? Вы кстати знали что такой набор есть до хрена у кого? Например у сайтов типа Etsy…
Банковские реквизиты с большой вероятностью включают SEPA-мандат на автоматическое взимание оплаты за газ/свет.
Причём там ещё и "вилка" на сумму.
Конечно, если этот механизм реализовать через индусскую жо... аутсорс, то может что угодно произойти. Но тут уже похищение ваших личных данных совсем не главный фактор.
Далеко не везде. Регулярно куда-то перевожу деньги без всякой двухфакторности.
Вы, скорее всего, просто не видите первый фактор.
Однажды Джереми Кларксон
Я вам напомню, что мы обсуждаем всё это буквально через пять часов после данного поста.
Вход в реальную морду двухфакторный, операции по счёту двухфакторные... Вам надо телефон у жертвы украсть или симку дублировать.
Какое зловещее преступление можно замыслить обладая этим набором данных? Таргетированный фишинг? Почтовую рассылку каталогов пылесосов кирби?
www.reddit.com
(к сожалению, нашел только ссылку на событие, в те времена интернет ещё не был настолько вездесущим).
В результате потерял 500 фунтов - ему наглядно продемонстрировали, чем опасна публикация банковских данных.
и не скачивайте файлы.
ID, домашние адреса и банковские реквизиты
Какое зловещее преступление можно замыслить обладая этим набором данных?
Какое зловещее преступление можно замыслить обладая этим набором данных?
И ФИО и адрес и номер ID и номер банковского счёта?
Нее, такой комплект - редкость и деликатес)
а оттуда - sky's the limit.
Собственно по ссылке в посте написано (гугл-транслейт):
1. Остерегайтесь звонков, электронных писем и SMS-сообщений.
Эчебаррия категорически заявила: Endesa не будет запрашивать личную или банковскую информацию по телефону, электронной почте или через ссылки. Любое сообщение с запросом подобной информации следует рассматривать как подозрительное и немедленно отклонять.
2. Не переходите по ссылкам и не скачивайте файлы.
Наибольший риск сейчас представляет фишинг, то есть когда третьи стороны выдают себя за Endesa, используя утекшие данные. Даже если сообщение выглядит правдоподобно, EKA рекомендует не переходить по ссылкам и не скачивать документы, если есть хоть малейшие сомнения в их подлинности.
1. Остерегайтесь звонков, электронных писем и SMS-сообщений.
Эчебаррия категорически заявила: Endesa не будет запрашивать личную или банковскую информацию по телефону, электронной почте или через ссылки. Любое сообщение с запросом подобной информации следует рассматривать как подозрительное и немедленно отклонять.
2. Не переходите по ссылкам и не скачивайте файлы.
Наибольший риск сейчас представляет фишинг, то есть когда третьи стороны выдают себя за Endesa, используя утекшие данные. Даже если сообщение выглядит правдоподобно, EKA рекомендует не переходить по ссылкам и не скачивать документы, если есть хоть малейшие сомнения в их подлинности.
И ФИО и адрес и номер ID и номер банковского счёта? Нее, такой комплект - редкость и деликатес)
Ну, в принципе, его достаточно, я щетаю. Причём фишинг не только напрямую из "банка", но и более навороченный какой-нибудь. Этого набора сворованных данных вполне достаточно для установления первичного уровня доверия, а оттуда - sky's the limit.
Я надеюсь это сарказм?
Чем опасно владение такими данными? Вы кстати знали что такой набор есть до хрена у кого? Например у сайтов типа Etsy, потому что именно так, через документы об оплате коммуналки, они подтверждают личность и адрес пользователя.
Кстати счёт с которого оплачивают коммуналку, и счёт на котором лежат серьезные средства это практически всегда разные счета.
Отлично. Нашли, за что зацепиться, в моём на коленке за минуту нарисованном гипотетическом примере. Браво, чо)
На это невозможно купится, потому что подобные сообщения приходят внутри банковского приложения. Успешной такая атака будет только против тех, кто крайне невнимателен.
Однако это тот самый таргетированный фишинг. Такой метод атаки я уже предположил. А ещё?
Однако это тот самый таргетированный фишинг. Такой метод атаки я уже предположил. А ещё?
На ваш банковский счёт поступила значительная сумма
Здравствуйте, Пафнутий Батькович,
На ваш банковский счёт поступила значительная сумма, размер которой превышает ограничения переводов, не облагаемых налогом. Точный размер суммы мы в данный момент указать не можем, согласно указу номер такой-то о тайне личных данных блаблабла.
Данные банковской операции:
Тут указывается:
- ваше ФИО
- номер и тип вашего банковского счёта
- ваш домашний адрес
- ваш номер паспорта
Для подтверждения легитимности перевода и уплаты налога на доход, пожалуйста, перейдите по этой ссылке (ссылка на страничку, являющуюся копией страницы вашего банка, где так же присутствуют ваши ФИО и адрес и пр. для увеличения уровня доверия, с просьбой авторизоваться, введя ваш логин и пароль и пр).
С уважением,
Логотип вашего банка || название вашего банка || и прочие прилично выглядещие реквизиты
------------
Может, вы лично не купитесь, но кто-то постарше и/или менее грамотный в этих всех делах - запросто.
Про возможные последствия писать не буду - думаю, и так всё понятно )
На ваш банковский счёт поступила значительная сумма, размер которой превышает ограничения переводов, не облагаемых налогом. Точный размер суммы мы в данный момент указать не можем, согласно указу номер такой-то о тайне личных данных блаблабла.
Данные банковской операции:
Тут указывается:
- ваше ФИО
- номер и тип вашего банковского счёта
- ваш домашний адрес
- ваш номер паспорта
Для подтверждения легитимности перевода и уплаты налога на доход, пожалуйста, перейдите по этой ссылке (ссылка на страничку, являющуюся копией страницы вашего банка, где так же присутствуют ваши ФИО и адрес и пр. для увеличения уровня доверия, с просьбой авторизоваться, введя ваш логин и пароль и пр).
С уважением,
Логотип вашего банка || название вашего банка || и прочие прилично выглядещие реквизиты
------------
Может, вы лично не купитесь, но кто-то постарше и/или менее грамотный в этих всех делах - запросто.
Про возможные последствия писать не буду - думаю, и так всё понятно )
Какое зловещее преступление можно замыслить обладая этим набором данных? Таргетированный фишинг? Почтовую рассылку каталогов пылесосов кирби?
Теги
Информация
Что ещё почитать
Декстер: Воскрешение
13.10.2025
50
Обзор смартфона iPhone 17 Pro Max
29.10.2025
124
