infowatch (infowatch) wrote in securityblogru,
infowatch
infowatch
securityblogru

Ненамеренные утечки персональных данных через Сеть

Таковых утечек происходит довольно много - до трети всех фиксируемых. (Кстати, централизованным учётом утечек занимаются специальные организации, у нас, в Infowatch тоже имеется собственная база данных.) Сценарий подобного типа утечки такой: беспечный работник организации кладёт конфиденциальный файл в расшаренную директорию сервера, да там и забывает. Гугл его индексирует, а кто-нибудь находит и, возможно, использует с недобрыми целями.

Поскольку персональные данные - наша специализация, ваш покорный слуга попытался поискать, много ли подобных ПД водится в Рунете.

К счастью, у россиян пока нет аналога американского social security number, зная который зломышленник может получить кредит от имени жертвы или совершить подобное мошенничество (identity theft - кража личности). Но зато у нас есть закон "О персональных данных", требования которого достаточно строги. Настолько строги, как будто social security number у нас есть. Как будто каждый банк готов оформить кредитную карточку заочно. Как будто для покупки в рассрочку даже паспорт не обязателен. Так вот, закон наш самый строгий, а работники наши самые беспечные. Много ли у нас сетевых утечек?

Технология поиска не так уж сложна. Я взял шесть самых распространённых фамилий, шесть имён, шесть отчеств и добавлял к ним по очереди ключевые слова "паспорт", "адрес", "ИНН". Искал типы файлов XLS (в таких чаще всего хранят списки), а также PDF и DOC.

Запросы, подобные этим [1, 2, 3] каждый может опробовать сам.

Результаты поиска получились довольно обильные. Тут и банки, и налоговые органы, и учебные заведения, и социальные службы. Практически все найденные списки противоречат требованиям закона, во всяком случае, их публикация противоречит.


В гневе начал он чудесить
И гонца хотел повесить...

По-хорошему, надо было бы известить соответствующих операторов о произошедших утечках. Но мешает одно обстоятельство. В российской практике с давних времён принесшего дурные вести, принято подвергать репрессиям. Особенно, в государственных ведомствах. Особенно, когда начальство не слишком хорошо разбирается во всех этих интернетах. По пути снизу вверх от сисадмина до министра сообщение "Федотов сообщает об утечке через наш сайт" вполне может преобразоваться в "Федотов взломал наш сайт". С соответствующим распоряжением, отправленным сверху вниз.

Так что если вздумаете помогать жертвам утечек, будьте осторожнее. Азиаты-с... Могут неверно понять-с.

Лучше всего ограничиться поиском расшаренных персональных данных в пределах собственного домена. В случае обнаружения - данные немедленно убрать и провести принудительную переиндексацию сайта.



Subscribe

  • Спамеры требуют денег

    За последние несколько недель пришло множество писем, якобы с наших взломанных почтовых адресов, на них же самих. Но на самом деле ничего не…

  • Рассылки от мошенников

    Уважаемые клиенты! Некоторые наши клиенты периодически получают письма якобы от имени RU-CENTER, призывающие: разместить в корневой директории…

  • Пришло письмо, якобы от RU-CENTER

    Уважаемый администратор домена! В соответствии с поправками, внесенными в ICANN RAA, Вы должны подтвердить, что фактическое управление доменным…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 10 comments

  • Спамеры требуют денег

    За последние несколько недель пришло множество писем, якобы с наших взломанных почтовых адресов, на них же самих. Но на самом деле ничего не…

  • Рассылки от мошенников

    Уважаемые клиенты! Некоторые наши клиенты периодически получают письма якобы от имени RU-CENTER, призывающие: разместить в корневой директории…

  • Пришло письмо, якобы от RU-CENTER

    Уважаемый администратор домена! В соответствии с поправками, внесенными в ICANN RAA, Вы должны подтвердить, что фактическое управление доменным…