Половина сайтів силових структур Росії використовує публічні поштові сервери

У зв'язку з недавнім масовим зливом логінів і паролів від найпопулярніших в Росії поштових сервісів (Yandex, Листа, Gmail), прийшла ідея провести невеликий аналіз використання подібних публічних поштових серверів в роботі наших державних структур. Вирішено було зупинитися на трьох основних силових структурах — слідчому комітеті, прокуратурі та МВС, які, здавалося б, повинні дотримуватись закон пущі інших. Про результати ж не важко здогадатися з заголовка топіка…
Під катом детальна аналітика та опитування.


Пролог

Пан Жаров (глава Роскомнадзора) так прокоментував витоку ідентифікаційних даних користувачів популярних поштових сервісів:
«На жаль, зломи публічних поштових або хмарних сервісів — явище наразі доволі розповсюджене. Як показує практика, ефективним захистом своїх сервісів від хакерів не може похвалитися жоден інтернет-гігант — будь то Яндекс, Mail.ru або Google. Роскомнагляд як уповноважений орган щодо захисту персональних даних росіян уважно стежить, щоб особиста інформація громадян не виявлялася у відкритому доступі. За фактом останніх «гучних» витоків поштових паролів в інтернет в Роскомнадзор надійшло близько двох десятків звернень громадян.
Треба сказати, що в термінології чинного законодавства логіни і паролі електронної пошти або акаунтів в соціальних мережах не є персональними даними. Тому у нас немає законних підстав для проведення яких-небудь перевірок щодо інтернет-компаній, які допустили витоку. Інше питання, що отримавши доступ до поштових ідентифікаторів, зловмисники отримують у своє розпорядження зміст вашої листування — де, звичайно, можуть бути і ваші персональні дані: зображення, контактна інформація, що надсилаються документи і т.д. Наше завдання — оперативно виявити, коли така інформація з'явиться у Мережі, і припинити її розповсюдження.
Зараз ми активно використовуємо практику припинення поширення персональних даних росіян в судовому порядку. За останні місяці суди винесли відповідні рішення про обмеження доступу до 12 сайтів-порушників законодавства про персональних даних, позовні заяви Роскомнадзора щодо понад 60 сайтів знаходяться в стадії судових розглядів. Відрадно, що в двох випадках суди винесли ухвали про попередні забезпечувальні заходи — така практика дозволяє нам добиватися від інтернет-ресурсів видалення персональних даних до того, як тривалий судовий розгляд буде завершено, і протягом місяця рішення суду вступить в законну силу. У випадку з персональними даними швидкість реакції нашої критична, адже завжди існує ризик, що ваша особиста інформація буде використана злочинцями, і виникне загроза вашої фізичної безпеки, здоров'ю, життю або репутації».

Методика підрахунку

Хотілося проаналізувати, що реально бачить громадянин при зверненні до сайту відомства, тому адреси збиралися вручну (спасибі контент-менеджерам, які примудряються креативити не тільки з версткою окремих сторінок, але і тасувати розділи меню в рандомном порядку), без використання будь-яких довідників.

1. Слідчий комітет

Електронну адресу був вказаний тільки у 39 підрозділів, решта 55 легко обходяться без нього:

Слідчий комітет виявився найпатріотичнішим — вони використовують тільки вітчизняні сервіси (в категорію «інші» увійшли vologda.ru і nm.ru). Хлопці навіть пам'ятають Rambler! Молодці, чо.


2. Прокуратура

У даного відомства якийсь пекельний пекло з сайтами територіальних підрозділів. Єдиного порталу ні, кожен навернув самостійно, що хотів. Квест під назвою «знайди розділ Контакти на 80+ сайтах» зайняв досить багато часу. Щиро шкода людей, яким доводиться орієнтуватися в цих нетрях.

У 31 сайту email в контактах не виявився, інші 52 розподілилися наступним чином:

Тут працюють вже більш досвідчені співробітники — Rambler відправлений на смітник і з'являється Gmail! У численну категорію «Інші» потрапили різні міські портали і сервери провайдерів, що, очевидно, пов'язано з самобутністю кожного окремого сайту.


3. МВС

Найкраща ситуація у нас в поліції. Тільки у 7 підсайтів не виявилося скриньки взагалі, 51 розташований на відомчому сервері mvd.gov.ru, 26 на прилюдних:

В той час, як навколо країни стискається кільце ворогів, цілих 3 структурних підрозділи тримають поштові скриньки на серверах все більш ймовірного супротивника. Соромно, товариші!

Буває, що поліція, як ні в чому не бувало, пропонує надсилати звернення на Yandex і Mail.ru:





Іноді зовнішній адреса вказується спільно з відомчим, але даний випадок я також вважав залетом, так як звичайний громадянин не розуміє різниці і здатний відіслати конфіденційну інформацію на будь-який з адрес:



Підсумок



Приблизно оцінити масштаби використання подібних адрес для МВС і СК можна за допомогою нехитрих пошукових запитів.

До чого я це все

Громадяни звертаються за даними адресами з повідомленнями про злочини, нерідко хочуть зберегти анонімність, тому порушення конфіденційності такого роду інформації може реально загрожувати їх життю і здоров'ю. Це вже не якісь фотографії оголених дівчат і навіть не персональні дані.

У центральних апаратах даних відомств є люди, які відповідають за контент сайтів, є люди і цілі відділи, що відповідають за зв'язки з громадськістю, є відділи по захисту інформації та державної таємниці. Чому вони не працюють?

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.