Вот доступ к вашим SMS, а вот — к заказу в интернет-магазине и заполненному бланку билета на поезд. Плюс попавшие в сеть госдокументы, скорее секретные, чем интересные. Легко предположить, что громкий шум вокруг последних утечек в интернет персональных данных кому-то нужен больше, чем сама обнародованная информация.
Персональные сданные
Всего месяц действует новая редакция Закона о персональных данных, согласно которому организации, имеющие дело с личной информацией о гражданах, обязаны привести средства ее защиты в соответствие с установленными стандартами.
И надо же такому случиться: именно сейчас рунет и захлестнула небывалая волна скандалов, связанных с раскрытием личных данных пользователей. Едва утих шум с попаданием в общий доступ SMS, отправленных с сайта мобильного оператора "МегаФон", как 25 июля на IT-форуме habrahabr.ru стали обсуждать аналогичную новость: поисковые системы выдают страницы с персональными данными покупателей интернет-магазинов. Один из пользователей рассказал, какую нехитрую комбинацию слов нужно забить в строке поиска, чтобы найти ссылки на страницы отслеживания статуса заказов одного из онлайн-шопов. Оказалось, что для этого не надо быть компьютерным "гиком": запрос "site:адрес_сайта.ru Статус заказа Получатель" возвращал ссылки на страницы заказов людей, отоварившихся на указанном сайте. В ходе завязавшейся дискуссии выяснилось, что вариантов поиска множество, а по комбинации "inurl:0 inurl:b inurl:1 inurl:c статус заказа" находится 52 тыс. страниц различных интернет-магазинов с персональными данными покупателей. В открытом доступе оказались имя, фамилия и отчество покупателя, его электронный, почтовый и ip-адрес, способ оплаты и список заказанных товаров. И если корзина покупок, состоявшая из набора парфюмерии, мало кому интересна, то комплекты эротического белья и прочих интимных аксессуаров, равно как и дорогая мебель, стали предметом обсуждения на форумах и в блогах. "Имея такой набор данных, легко найти человека в социальных сетях и даже взломать его анкету через ответ на секретный вопрос при восстановлении пароля",— говорит специалист компании "Информзащита" Олег Глебов. Полученные данные мошенники могут использовать и в офлайне: если в статусе заказа указано, что клиент ожидает доставки дорогого оборудования и будет расплачиваться наличными, это свидетельствует о том, что определенная сумма денег у него на руках и он ждет курьера. Чем не наводка для преступника?
Уже на следующий день было обнаружено, что поисковики находят заполненные бланки электронных билетов на поезда с сайтов railwayticket.ru и tutu.ru. Кроме фамилии, имени и отчества можно было увидеть номера паспортов или его последние четыре цифры, а также информацию о пунктах и времени отправления и прибытия. На этом сенсации не закончились. В результатах поиска в сети нашлись документы российских Минэкономразвития, Федеральной антимонопольной службы, Счетной палаты, специальных программ президента России, портала госзакупок и местных органов власти под грифами "для внутреннего пользования" или "секретно". Генпрокуратура отреагировала, поручив прокурору Москвы совместно с контролирующими органами проверить факты утечек данных и принять меры прокурорского реагирования.
Война с роботами
Ответ на вопрос, почему поисковые машины находят страницы, которые должны быть закрыты для всеобщего доступа, оказался прост. "Поисковые роботы индексируют открытые веб-страницы,— рассказала директор по связям с общественностью Google в России Алла Забровская.— Защитить страницу от индексации веб-мастер может при помощи файла robots.txt или метатега noindex". Аналогичное объяснение дали и в "Яндексе", посоветовав разработчикам сайтов внимательно читать рекомендации по составлению файла robots.txt. "Предприниматели экономят на создании сайта и нанимают программистов-фрилансеров,— добавляет Олег Глебов.— Они и допускают подобные ошибки". При раскрутке сайтов веб-мастера стремятся к тому, чтобы поисковики выдавали как можно больше ссылок на его разделы. При этом они должны следить, чтобы те данные, которые не должны стать достоянием общественности, оставались защищенными от индексации. Но, по словам Глебова, не все добросовестно выполняют свою работу, и поисковым роботам оказываются доступны все страницы.
Вскоре выяснилось, что виновные в утечке данных магазины использовали как платформу один и тот же продукт — Shop-Script российской компании WebAsyst. На сайте компании оперативно появилась статья, излагающая версию компании (вина возлагалась на инструмент для веб-мастеров "Яндекс.Метрика") и содержащая подробную инструкцию о решении этой проблемы (в том числе путем добавления определенных правил в файл robots.txt). "Компания, разрабатывающая шаблон онлайн-магазина, не обязательно прописывает правила доступа к страницам сайта. Это обязанность веб-мастера,— поясняет Олег Глебов.— Возможно, другие разработчики скриптов для магазинов заранее прописали все в файле robots.txt, и такой проблемы не возникло". В самой компании WebAsyst не нашли возможность прокомментрировать "Деньгам" сложившуюся ситуацию.
Утечка в нужном направлении
По первому эпизоду в сериале об утечках — индексация "Яндексом" SMS абонентов "МегаФона" — Союз потребителей России уже подал иск к оператору связи, обвинив его в нарушении Конституции РФ (тайна переписки), закона "О связи" (тайна связи), а также закона о персональных данных. Это, похоже, только начало.
"Если в ситуации с "МегаФоном" еще можно рассуждать, попадают ли тексты сообщения и номера телефонов под понятие "персональные данные", то информация, раскрытая интернет-магазинами, бесспорно, является таковой",— отмечает член совета Союза потребителей РФ Илья Чернышев. По его словам, налицо грубое нарушения закона о персональных данных: "Мы готовим иск к интернет-магазинам, виновным в утечке. В качестве третьих лиц мы привлечем команию WebAsyst и поисковики Google и "Яндекс"". В процессе подготовки искового заявления возникает ряд проблем: Чернышев отмечает, что из-за широты географии магазинов нет уверенности, что удастся вовлечь их в один судебный процесс. К тому же на многих сайтах магазинов не указаны контакты фирм, владеющих ими, что является грубым нарушением закона о защите прав потребителей. По словам Ильи Чернышева, если дела магазинов будут объединены и суд признает вину этих магазинов, то пострадавшим будет проще судиться с ними, так как основное решение будет принято, а далее речь пойдет о размерах компенсации. В свою очередь, Роскомнадзор опубликовал заявление о том, что ведется работа по установлению личностей владельцев более чем 80 магазинов, после чего материалы будут переданы в прокуратуру. Правда, размер штрафа, возлагаемого за нарушение порядка хранения и использования персональной информации, составляет 500-1000 руб. для индивидуальных предпринимателей и 5-10 тыс. руб. для юридических лиц, вряд ли это серьезный удар по бизнесу.
"Утечки персональной информации в интернете не редкость как у нас, так и за рубежом. Скандалы в связи с раскрытием личных данных вспыхивают с завидной периодичностью. Чаще всего виновники — социальные сети и мобильные приложения,— рассказывает Алексей Айларов, гендиректор компании Zingaya, занимающейся веб-телефонией.— Как правило, в качестве меры наказания на них возлагаются крупные штрафы". На Западе почти на каждом сайте, оперирующем личной информацией, можно найти документ о политике конфиденциальности, в котором подробно описаны обязанности по неразглашению. У нас подобные документы можно найти на сайтах разве что публичных компаний. В России обязанности субъектов, имеющих доступ к частной информации граждан, определяет закон о персональных данных, который окончательно вступил в силу 1 июля. Источник в одной из IT-компаний утверждает, что технические требования к операторам персональных данных завышены. Операторы обязаны устанавливать дорогостоящее оборудование, а для малого и среднего бизнеса это неподъемно. Если на Западе каждая компания сама решает, как организовать защиту данных, лишь бы она соответствовала предъявленным требованиям, то в России есть перечень технических средств, которые должны быть установлены. Регуляторам так проще осуществлять проверки, а компаниям, занимающимся установкой этих средств, это выгодно. Олег Глебов из "Информзащиты" называет порядок цен: "Услуга может стоить около 1,5 млн руб.". Очевидно, что мелким предпринимателям такую сумму не потянуть. "Порталы государственных органов тоже не оснащены необходимыми техническими средствами,— замечает Олег.— Существует проект перевода всех электронных сервисов здравоохранения в "облако". Тогда данные будут храниться не на серверах отдельных поликлиник, которые не могут обеспечить должную безопасность". Банковский сектор, для которого защита информации стоит особенно остро, также рассматривает "облачный" тип хранения и обработки данных как следующий шаг развития. "Но им свойствен консерватизм. Психологически сложно передать массив своих данных сторонним серверам. Хотя компании, предоставляющие подобные услуги, поддерживают должный уровень безопасности, это их специализация",— говорит Алексей Айларов из Zingaya.
В случае обнаружения своих персональных данных на открытых страницах поисковики советуют обратиться к веб-мастеру сайта. Причем в случае отсутствия ответа они готовы помочь в решении проблемы. На странице Google можно даже найти специальную анкету, а "Яндекс" рассматривает обращения в службу поддержки.
Но нельзя не заметить странностей, связанных с последними российскими утечками. Все они не похожи на продуманные действия мошенников. "Утекшие" SMS, как и статусы заказов в интернет-магазинах и заполненные бланки билетов, не обладают такой же ценностью для криминала, как, скажем, данные банковских карт. Во всех случаях с обнародованной личной информацией риск для ее владельцев существует лишь гипотетический, да и в государственных бумагах, похоже, мало что интересного, кроме их грифов.
Может, кому-то нужна не сама информация, а шум, вызванный ее утечкой? Основываясь на таком предположении, комментаторы в соцсетях быстро нашли, кому это выгодно — компаниям, занимающимся разработкой и установкой решений в сфере информационной безопасности. Крупные игроки, такие как "Информзащита", LETA IT-Company, R-Style, РНТ, доминируют на российском рынке. Мелкие интернет-магазины вряд ли могут позволить себе прибегнуть к их услугам, но есть ведь и компании побогаче. Скандалы с утечками данных могут спровоцировать (и уже спровоцировали) проверки со стороны госорганов. А это, в свою очередь, увеличит число клиентов компаний, занимающихся техзащитой. Приходится признать, что если все утечки — пиар айтишников, то удался он на славу. Впрочем, масштабность общественной реакции позволяет выдвинуть и менее конспирологическую версию: увидев, какой шум вызвали утечки SMS, компьютерные умельцы затеяли поиск "щелей" во всех сферах — на общественных, как раньше говорили, началах. Чем не хобби для продвинутого любителя скандальных флешмобов — искать все новые данные, доступ к которым должен быть закрыт.