10 ноября 2011 г.

Э-Реалити. S01E04. «Э-Бардак». P01. «Утечка-1! Продувка! Утечка-2! Ключ на старт!..»

Открываю уже четвертый эпизод э-реалистического сериала – «Э-Бардак» (смысл названия, думаю, объяснять не нужно? :) ). И чтобы было понятно - это не я такой плодовитиый графоман, это жизнь непрерывно сюжет за сюжетом подбрасывает. Сегодня вот, например - новость про то, как в ПФР с утечкой данных в интернет налажали. Ну то есть, с утечкой-то у них как раз все и получилось, а вот с защитой от – не очень.

Как пишут в романах - ничто не предвещало. Я тихо-мирно сочинял очередной пасквиль про ГЭПС, периодически мониторя фейсбучную ленту. И вот примерно около 14:00 в ленте проскочило сообщение «Ведомостей» - «Данные Пенсионного фонда утекли в интернет». Естественно, я пошел читать. Я позволю себе процитировать здесь два абзаца заметки, потому что мне нужно будет откомментировать там кое-какие моменты.

Файл с данными о клиентах Пенсионного фонда России (ПФР) был опубликован на сайте фонда — фамилию, имя, отчество, ИНН, информацию о страховых и накопительных взносах можно найти через поиск «Яндекса», сообщила «Русская служба новостей» со ссылкой на одного из клиентов фонда. Сейчас доступ к файлу на сайте Пенсионного фонда закрыт, однако файл, содержащий более 1000 записей, сохранился в кэше «Яндекса».
А.Б.: Забегая несколько вперед, скажу, что «более 1000 записей» - это правда, но не вся правда (по моей собственной классификации – это наглая статистика). Поскольку я тоже успел найти и скачать данный файл (и об этом я тоже напишу), то смог увидеть, сколько там записей на самом деле – 8 799 по 40 подразделениям ПФР в Тверской области (включая г.Тверь).

Появление данной информации в открытом доступе — следствие технической ошибки, сообщила «Ведомостям» представитель ПФР Марита Нагога. По ее словам, общедоступной стала информация об индивидуальных предпринимателях, имеющих задолженность по страховым взносам. Утечка носит локальный характер — в интернете появилась информация примерно о 600 должниках в нескольких районах Тверской области, подчеркивает она. Доступ к файлу был закрыт примерно через час после обнаружения ошибки, но «Яндекс» успел проиндексировать его — сегодня к 15.00 поисковик обещает закрыть доступ к этой информации, говорит Нагога. Содержащаяся в файле информация не относится к персональным данным, подчеркивает она. Файл с данными ПФР проиндексировал не только «Яндекс» — ссылки на информацию из него присутствуют также в поиске Mail.ru и Bing.
А.Б.: Вот смотрите, какая фигня получается.
1.        Раньше всех об утечке сообщила «Русская Служба Новостей» (сообщение на их сайте вывешено в 10:11 – это важно!). Я еще буду цитировать и их тоже, но сразу хочу подчеркнуть, что в том сообщении не было уточнения о том, что именно представляют собой утекшие данные – ну да, ФИО, ИНН, какие-то суммы. Информация о том, что эти суммы являются задолженностями индивидуальных предпринимателей по страховым пенсионным взносам, была обнародована именно представителем ПФР М.Нагогой. И не просто представителем, а официальным спикером в должности директора департамента, т.е., вообще говоря, занимающей позицию, на которой неплохо бы отдавать себе отчет в том, что можно говорить публике и СМИ, а о чем лучше умолчать.

2.        В сообщении «Ведомостей» (которое было опубликовано примерно в 14:00) говорится, что из кэша «Яндекса» файл исчезнет после 15:00 (не знаю, как насчет 15:00, но в 15:20 его уже точно не было). Совесть «Ведомостей» чиста – они не дали ссылку на файл. Но зато эта ссылка была (и есть – только теперь уже бесполезная) в сообщении «РСН». Я, прочтя «Ведомости», уже через минуту был на сайте «РСН», нашел ссылку и спокойно скачал файл – это случилось примерно в 14:10. Сколько еще людей скачали файл-утечку именно благодаря СМИ, стремящимся сообщить «горячую» новость как можно раньше, - наверное, известно только «Яндексу».

3.        Теперь об откровенной лжи. «В интернете появилась информация примерно о 600 должниках в нескольких районах Тверской области» - слова Мариты Нагоги. Я уже выше писал – в файле 8 799 записей по 40 подразделениям ПФР в Тверской области. Это полный список ИП-должников по пенсионному страхованию в Тверской области. Зачем было врать? Не понимаю...

4.        Утверждать, что совокупность ФИО, ИНН и задолженностей не является персональными данными (по 152-ФЗ, «персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)», по-моему, явное проявление непрофессионализма. Я не буду сейчас приводить здесь варианты возможного использования утекшей информации, но они есть, и их не так уж и мало.

Кстати, не знаю, уж в чей огород этот камень бросить, но в первом абзаце говорится про «более 1000 записей», а во втором – «примерно о 600 должниках». Это-то хоть кто-то должен был сопоставить! Или – думать некогда, трясти надо?!

Посмотрим теперь на самое первое сообщение об утечке – на сайте «РСН».

Об этом «Русской службе новостей» сообщил генеральный директор ООО "Лавнард" Николай Игошев. По его словам, на сайте Пенсионного фонда России появились ссылки на конфиденциальную информацию клиентов по Твери и Тверской области.
«Этот файл доступен для скачивания для любого пользователя интернет. “Яндекс” выпускает конфиденциальные данные в поиск. Я стал проверять свои данные и случайно нашёл этот файл, в котором содержатся данные о плательщиках. Заходим на сайт и там находятся его фамилия, имя и отчество, ИНН, сумма платежа, страховой, накопительной части и ещё много всего», - сказал он.
А.Б.: Ну вот до чего же наш народ охоч даже не до 15-ти минут, а до 15-ти секунд славы! Вот этот самый Н.Игошев – он что, не мог сначала все-таки с ПФР связаться, а не с РСН? Я вот полагаю, что любой разумный человек, обнаружив утечку и понимая ее значение, все-таки должен сперва известить владельца данных или людей в «Яндексе», а потом трубить о своей заслуге во все сливные трубы. Я понимаю – сам-то Н.Игошев ничем не рисковал. Он, таки да, нашел этот файл по своей фамилии, но в файле – совсем другой Игошев, с другими именем и отчеством. Ну и чтоб еще важности нагнать, он перечисляет: «... там находятся его фамилия, имя и отчество ... и еще много всего». Ответственно заявляю – «много всего» там нет. Есть все перечисленное выше да плюс одна колонка – регистрационный номер ИП, выдаваемый ПФР. Больше ничего.
ЖурнализДы «РСН» тоже хороши – им обязательно нужно было своей информированностью покичиться, вот живые ссылки в текст заметки и вставили, аж два раза. Я не стал в цитате ссылки оставлять, только болдом отметил, где они были. Да и все равно они уже дохлые.

Ну и просто, чтобы читатели получили удовольствие, еще одна цитата из другой заметки «РСН». Без комментариев, sapienti, как говорится, sat:
«На сайте Пенсионного фонда действительно был размещён файл с данными пользователей, которые проиндексировали основные поисковые системы, в том числе Yandex, Google и Mail.ru. Указанный файл с данными не был защищен специальным роботом txt. Администраторы сайта удалили файл, и в скором времени он исчезнет из поиска», - сказал представитель Yandex.

Вообще, я не стал бы про все это писать – инцидент-то ерундовый по сути. Но первое, о чем я подумал, прочитав сообщение на Фейсбуке: «Это СМЭВ!» Моя гипотеза была такой – при отладке МВ-сервиса ПФР файл с результатами отработки запроса или положили не туда, или не закрыли, как надо, или просто перебрасывали кодеры какой-то рабочий материал через имевшиеся под руками веб ресурсы. Типа: «Мы файлик положим по тихому, вам ссылку бросим. Вы файл снимете, нам свистнете – мы ссылку удалим». А дальше – все как обычно. Одни не свистнули, другие отвлеклись – и вуаля. Теките данные, теките...

Я даже не поленился сходить и посмотреть, какие у ПФР сейчас МВ-сервисы должны работать, и какие данные они отдают потребителям. Прямого сходства с утекшими данными я не обнаружил, но определенные вопросы по архитектуре реализации веб-сервисов ведомств у меня появились. Пока покопаюсь во всем этом в фоновом режиме. Если ничего не нарою – это даже и неплохо будет. Ну а нарою – дам знать.

PS. Уже закончив писать этот пост (вот же – даже PS поставил, чтобы эти строчки дописать), я обнаружил, что на происшедшее сегодня днем с достойной оперативностью отреагировал Синус. Заметка «Пенсионный фонд слил в Сеть личные данные граждан» опубликована в 18:38 (ну да, я свой пост еще позже публикую, но у меня вообще-то и другие дела были – работа, в конце концов). Желая продемонстрировать свою информированность, Синус в заметке поместил скриншот кусочка таблицы, покоцав колонки с конфиденциальными данными. Но при этом начинается заметка все той же лажовой фразой про «данные о примерно 600 пользователей». Т.е., имея в руках файл, журнализДы больше доверяют пресс-службе ПФР, чем своим собственным мозгам. Или это просто корпоративная этика?

Комментариев нет:

Отправить комментарий