Точка зрения 27 июля 2011 г. 17:58

Сеть и ничего личного

Interfax-Russia.ru – Россию охватил вал "утечек" данных. Персональные данные пользователей "рассекретили" интернет-магазины, сервисы по продаже билетов. В сети появились секретные документы органов госвласти.

Спустя неделю после опубликованных "Мегафоном" в интернете sms выяснилось, что рассекречены личные данные не только клиентов сотового оператора.

Так 25 июля стали доступны для поисковых систем данные клиентов сразу нескольких интернет-магазинов. Среди магазинов были книжные, игровые, а также магазины, продающие интим-товары.

Согласно сообщению Роскомнадзора, вывешенному на сайте ведомства 26 июля, число таких "прозрачных" интернет-магазинов достигло 80. Ведомство пообещало собрать данные об их владельцах и передать в прокуратуру.

Роскомнадзор как и раньше счел подобное раскрытие персональных данных клиентов нарушением требований конфиденциальности.

Для разрешения ситуации он начал действовать сразу по нескольким направлениям. Во-первых, сотрудники ведомства направили приглашение в Роскомнадзор президенту Национальной ассоциации дистанционной торговли Александру Иванову, чтобы обсудить сложившуюся ситуацию и не допускать ее повторения. Во-вторых, решили обезопасить клиентов ресурсов от поисковых систем.

"В компанию "Яндекс" направлено письмо с просьбой рассмотреть техническую возможность предоставления пользователям отказа в обработке запросов, позволяющих получить доступ к персональным данным граждан", - сообщили в "Роскомнадзоре". По словам представителя Роскомнадзора Михаила Воробьева, помимо "Яндекса" аналогичные письма направлены в компании Mail.ru Group, Google и Microsoft.

Вечером 26 июля стало известно, что утечка произошла и в одной из самых массовых сфер интернет-покупок – заказах электронных билетов.

В поисковых системах оказались доступными данные покупателей электронных билетов на поезда, а также копии приобретенных ими билетов.

Пострадал ресурс RailwayTicket.ru, продававший железнодорожные билеты в режиме онлайн. Оказалось, что при введении определенного запроса любой пользователь мог ознакомиться с многостраничной поисковой выдачей ресурса. Там среди прочего можно было найти пользовательские данные, номера заказов и транзакций, а также паспортные данные (правда, следует отметить, что номера и серии паспортов приводились не целиком, а, как это уже стало традицией при продаже билетов через интернет, частично).

Позднее работа ресурса была парализована. Объявление на главной странице сайта извещало пользователей о том, что сервис онлайн-продажи временно не доступен по техническим причинам.

Наблюдая за "повальностью" таких утечек, самая популярная российская поисковая система "Яндекс" выпустила рекомендации веб-мастерам. По мнению представителей ресурса, следование этим рекомендациям позволило бы им избежать индексирования секретных страниц.

"Личную информацию посетителей сайта необходимо защитить, например, закрыть паролем. Если же такая информация никак не защищена, она запросто может стать доступна всем пользователям Сети. Для этого достаточно оставить где-нибудь в интернете ссылку на страницу пользователя - хоть на страницу заказа, хоть на страницу регистрации", - разъяснил представитель службы информационной безопасности "Яндекса" Владимир Иванов.

Также, по мнению "безопасников", важно запретить поисковым роботам индексировать страницы с информацией, не предназначенной для всеобщего пользования.

"Для этого существует файл robots.txt. Это текстовый файл, который предназначен для роботов поисковых систем. В этом файле вебмастер может указать параметры индексирования своего сайта как для всех роботов сразу, так и для каждой поисковой системы по отдельности", - пояснил представитель "Яндекса".

Пострадавшие от утечек ресурсы планируют более тесно работать с поисковыми системами, так как, оказывается, что порой не все рекомендации работают как надо.

"Мы будем консультироваться с поисковыми системами на предмет того, как лучше защитить данные, потому что, как показала практика, файл robot.txt не всегда работает так, как нужно", - заявил "Интерфаксу" руководитель и создатель RailwayTicket.ru Иван Самошин.

Он утверждает, что на сайте была установлена защита персонального контента от индексации.

"Данные на нашем ресурсе были защищены теми методами, которые, как мы предполагали, достаточны; но, очевидно, какой-то сбой позволил этой информации просочиться в поисковую выдачу "Яндекса". Сейчас мы делаем все, чтобы эта ситуация не повторилась", - признался Самошин.

Позднее об утечке в "Яндекс" признались в другом онлайн-сервисе tutu.ru. В компании выяснили, что в "Яндекс" попали данные 70 клиентов. Пострадавшим пассажирам предложено в течение августа посетить офис компании для решения вопросов компенсации.

На следующий день оказалось, что беззащитными перед утечками стали не только пользователи и бизнес, но и власть в стране.

Так Google проиндексировал конфиденциальные документы, размещенные на официальных сайтах органов государственной власти. В том числе и те, которые распространяются только лишь под грифом "для служебного пользования" и "секретно".

По данным SecurityLab, в результатах поиска Google можно обнаружить более сотни служебных документов в формате DOC и PDF, доступных для свободного скачивания и просмотра. Пострадавшими при этом ведомствами оказались ФАС, Счетная палата, портал госзакупок ФМС и даже Минэкономразвития. Дата создания "утекших" в интернет документов вирировалась от 2005 года до 2010 года.

Однако в самих ведомствах позже опровергли информацию о том, что опубликованные материалы являются секретными и неиндексируемыми. Сообщения об этом поступили не в виде официальных пресс-релизов, а с твиттер-аккаунтов государственных ведомств.

"На сайте Счетной палаты ach.gov.ru информация ограниченного распространения не публиковалась и не публикуется", - сообщил пользователь ach_gov_ru – официальный аккаунт счетного ведомства. Он также признался, что "рассекреченными" оказались официальные бюллетени ведомства.

"Развенчиваем утку: поисковики не индексировали наши секретные материалы. Все, что ими индексируется, - информация с открытым доступом", - отозвался официальный аккаунт антимонопольной службы rus_fas. "Найдете хоть один секретный документ - мы пожмем вам с чувством руку", - добавили позже ответ на реплику другого пользователя.

Между тем, ситуацией в Сети заинтересовалась уже Генпрокуратура РФ. Ведомство поручило руководству московской прокуратуры проверить факты распространения персональных данных в сети Интернет. Об этом "Интерфаксу" сообщила официальный представитель надзорного ведомства Марина Гриднева. По итогам проверки, возможно, будут приняты меры прокурорского реагирования.

В свою очередь, примерно через месяц можно будет узнать, какие судебные перспективы имеет иск пользователей интернет-сервиса по отправке смс-сообщений и Роскомнадзора к "Мегафону". Арбитражный суд назначил рассмотрение этого дела на 24 августа. Интересно, что сам "Мегафон" уже предложил пострадавшим клиентам специальные бонусные пакеты.

Что же касается причин случившегося, то некоторые эксперты выходят за рамки обсуждения темы неправильной работы "засекречивающих" файлов. Одной из самых популярных версий становится версия о том, что "рассекречивание" не является случайностью, и что это тщательно спланированная акция.

"С одной стороны, данные события говорят о том, что соответствующие ресурсы не уделяют должного внимания сохранности персональных данных и экономят на безопасности, - заявил глава комитета Госдумы РФ по информационной политике, информационным технологиям и связи Сергей Железняк. - С другой стороны, концентрация происшествий в период подписания президентом РФ поправок в закон о персональных данных дает основания предположить, что это может быть чьей-то спланированной акцией. Важно понять, кому это выгодно".

Глава комитета сообщил, что депутаты совместно с правоохранительными органами и Роскомнадзором анализируют причины случившегося. А по итогам этого анализа не исключено, что законодательно будет ужесточена ответственность за подобные действия. Только кто будет отвечать – владельцы сайта, поисковый ресурс или третья, тайная сторона – пока неясно.

Кому может быть выгодна такая дискредитация секретности – тоже одна из тем, обсуждаемых в Сети.

Эксперт Алексей Лукацкий, работающий менеджером по развитию бизнеса в области информационной безопасности, в своем блоге возлагает вину на людей, занимающихся "пропагандой, борьбой с инакомыслием и просто информационным противоборством последние десятилетия". Он предполагает, что именно они не дали "затухнуть" подобным скандальным утечкам, а, возможно, и явились их инициаторами.

Впрочем, мысль о том, что кто-то хотел помешать президенту подписать поправки в закон о персональных данных, опровергаются тем, что глава государства их все-таки подписал. Это произошло еще утром 26 июля, а 27 июля, как известно, утечки продолжились с новой силой.

Другие эксперты предполагают, что налицо показательная акция, цель которой показать уязвимость нынешних систем защиты. А все это якобы нужно для того, чтобы разрекламировать какого-нибудь конкретный продукт, который ее обеспечит, либо для очищения рынка создания сайтов. Впрочем, многие эксперты согласны с мнением парламентариев на том, что за такие "шалости" нужно наказывать по всей строгости УК.

Остается только поджать еще немного, чтобы понять, какая версия все же является наиболее близкой к действительности.

Обозреватель Алексей Дружников

Читайте нас в
  • ya-news
  • ya-dzen
  • google-news
Показать еще