Сотрудники ФСБ России 29 июля пришли в офис компании RailwayTicket.Ru, занимающейся сетевой продажей железнодорожных билетов, рассказывает руководитель проекта Алексей Рыбьяков. По его словам, оперативники хотели узнать, как в открытый интернет-доступ попали бланки электронных билетов пассажиров РЖД.
На страницах с бланками электронных билетов 117 человек были указаны их фамилии, имена, отчества, часть номера паспорта, станции отправления и назначения, номер поезда и номер места в вагоне. Эти данные появились в результатах поисковой выдачи «Яндекс» и Google 26 июля.
Утечка билетов сервиса RailwayTicket стала пиком скандала с обнаружением в общем доступе в интернете килобайтов персональных данных обывателей — переписки нескольких тысяч абонентов «Мегафона», личных сведений покупателей секс-шопов, служебных документов правительственных учреждений и скрытых фотоальбомов участников социальных сетей.
По любопытному совпадению, скандал разгорелся накануне подписания Дмитрием Медведевым поправок в закон «О персональных данных», меняющих порядок соблюдения режима секретности личных данных в России.
Сотрудники ФСБ, говорит Рыбьяков, дали понять, что могут завести уголовное дело, но никаких документов не запрашивали: «Мы просто поговорили, это был неофициальный визит».
Тайные sms
«Пусть его жизнь пройдет в мучениях и отсохнут его руки которые он распускает. суд на нем будет дьявольский а не людской. будут его мучать всю жизнь». Так (с сохранением орфографии и пунктуации) выглядит одно из трех тысяч sms абонентам «Мегафона», которые нашлись в поисковой выдаче «Яндекса» 18 июля. Сообщения были отправлены с сайта «Мегафона». В поисковую выдачу попали страницы статусов сообщений с номерами телефонов получателей, временем отправления и текстом послания. Большинство текстов были личными, хватало интимностей. В других блогеры находили данные кредитных карт, автомобильные номера, пароли к социальным сетям. Через два часа «Яндекс» удалил сообщения из результатов поиска.
Как только в «Яндексе» появилась первая эсэмэска «Мегафона», все бросились смотреть, что еще можно там найти, вспоминает основатель сервиса статистики Liveinternet Герман Клименко. В блогосфере случился взрыв: «Яндекс» и «Мегафон» попали в мировой обзор самых популярных тем в Twitter. В один день обнаружилась утечки сообщений абонентов «Мегафона», МТС и «Билайна» с пермского сайта sms.prm.ru. Кроме того, в поисковики попали данные клиентов «дочки» «Почты России», фамилии, имена, отчества получателей и индекс места назначения посылок EMS Russian Post.
25 июля случился новый скандал. В «Яндекс», Google, Mail.ru и Bing попали персональные данные клиентов более 80 интернет-магазинов, в том числе секс-шопов. Интернет-пользователи узнали, какое нижнее белье покупала Ольга из Саратовской области, какой e-mail и номер сотового у покупателя черных латексных трусов из Москвы, а также сколько стоит кожаная плетка для Ольги из Санкт-Петербурга.
Тогда же пользователи обнаружили закрытые фотоальбомы на сайте Qip.Ru. 27 июля поисковики проиндексировали материалы «для служебного пользования» — документы ФАС, Минэкономразвития, Счетной палаты, Минобороны. В «Яндексе» и Google также всплыли «мошеннические» сайты с базами данных абонентов «Мегафона» 10-летней давности. 30 июля в Google обнаружились страницы с фотографиями из социальной сети «ВКонтакте», которые удалили пользователи.
По оценке Лаборатории Касперского, таких масштабных утечек персональных данных в российском сегменте интернета еще не случалось.
Робот следит за тобой
Утечка sms «Мегафона» случилась по ошибке администратора сайта сотового оператора, заявили в «Яндексе»: вебмастер «по какой-то причине не запретил индексацию страниц отправки sms в специальном файле robots.txt». Этот файл — устаревший стандарт 1994 года, его соблюдение — вопрос доброй воли людей, настраивающих поискового робота «Яндекса».
«Мегафон», в свою очередь, обвинил в утечке «Яндекс». «Несанкционированный доступ к sms мог возникнуть через некоторые интернет-сервисы «Яндекса», занимающиеся сбором и хранением информации о действиях пользователей интернета», — заявили в сотовой компании. Этими сервисами являются бесплатные панель инструментов «Яндекс.Бар» и счетчик статистики «Яндекс.Метрика», панели инструментов Google и «тулбары» других производителей. Если пользователь не запретит, «Яндекс.Бар» собирает и передает в «Яндекс» информацию о посещаемых сайтах, страницах, загруженных файлах, тексты, введенные в адресную строку браузера, IP-адреса, данные о доступных WiFi-сетях. О том, что данные «попали в паблик» по вине «Яндекс.Бара», говорят и в RailwayTicket. Эту версию они высказали сотрудникам ФСБ. Использование «Яндекс.Бара» не приводит к индексации страниц интернет-сайтов, отметили в «Яндексе».
Раньше поисковики получали данные (адреса в интернете, URL) только с помощью роботов, которые ходили по сайтам. Но сейчас поисковые системы стали покупать данные, что существенно увеличило проникновение поисковиков, объясняет Клименко. По его словам, «Яндекс» тоже, скорее всего, покупает ссылки на сайты в интернете, на которые заходили люди и которые были собраны бесплатными счетчиками статистики и панелями для браузеров.
«Если бы на сайте «Мегафона» была страничка со специальными ссылками на sms, не было бы вопросов: это был бы прокол «Мегафона». Но «Яндекс» [с помощью счетчика] получил уникальную ссылку [на страницу с sms] и сразу отправил ее роботу-поисковику, хотя предварительно должен был проверить, существует ли такая ссылка на самом сайте. Так были проиндексированы заказы в магазинах, билеты и sms», — трактует Клименко.
Через две недели «Яндекс» объявил, что исправил настройки «Метрики». Заодно компания могла отрегулировать и «Яндекс.Бар», предполагает технический директор Positive Technologies Сергей Гордейчик.
Как найти секрет
В офисе Positive Technologies гости обязательно увидят буденовку, висящую на стене. Она напоминает, что на рынке информационной безопасности как на войне — каждый день приходится атаковать или отражать атаки. Positive Technologies была в числе экспертов, консультировавших «Мегафон» во время инцидента.
«Утечка началась 1 июля, когда на сайт «Мегафона» установили «Яндекс.Метрику». «Дыру» обнаружили только через 18 дней», — объясняет свою позицию Гордейчик.
Эксперты по информационной безопасности сходятся во мнении, что при поиске этих данных в поисковиках использовались стандартные приемы под общим названием Google Hacking, существующие уже 15 лет.
Это набор стандартных приемов, позволяющих с помощью интернет-поисковиков быстро обнаруживать явные ляпы администраторов и создателей ресурсов. Чтобы их применять, не нужно быть «семи пядей во лбу» — достаточно прочитать одноименную книгу или зайти на «Википедию». Как говорит президент «Инфорус» Андрей Масалович, метод Google Hacking не используется профессионалами конкурентной разведки: «Это просто демонстрация всеобщего бардака. Ты закинул сеть, а что в нее попадет, неизвестно».
Пришедшие в RailwayTicket эфэсбэшники спрашивали: а нельзя ли найти в интернете личные данные пассажиров простым подбором адресов. Это займет много времени и вряд ли это нужно конкурентам, ответили органам.
Правоохранительные органы уже начали поиск людей, которые нашли и обнародовали персональные данные и другую закрытую информацию в сети, знает источник в Минкомсвязи.
Защита за 2,6 трлн рублей
Поправки в закон «О персональных данных» два года пылились в Госдуме. В апреле на встрече с интернет-общественностью президент России обещал в законе «что-то подправить», после чего документ быстро приняла Госдума и одобрил Совфед. Первые утечки данных случились за неделю до подписания поправок главой государства.
По новому закону компании, которые нанимают более 10 человек, становятся операторами персональных данных, отмечает директор компании InfoWatch Наталья Касперская. Организации, которые оперируют базами данных объемом свыше 100 тысяч записей, должны будут приобретать дополнительное сертифицированное оборудование. Сертификаты выдает Федеральная служба по техническому и экспортному контролю (ФСТЭК) и ФСБ.
Только у ФСТЭК есть прямой коммерческий интерес от принятия нового закона, отмечает президент Национальной ассоциации дистанционной торговли (НАДТ) Александр Иванов. В этом плане интересы государственных регуляторов и игроков рынка информационной безопасности совпадают, добавил Гордейчик.
Теперь сертификация одного рабочего места, где будут обрабатываться персональные данные, будет стоить до 60 тысяч рублей, оценил владелец интернет-магазина Boutique.ru Денис Белов. Операторы персональных данных должны будут потратить сумму, составляющую примерно 6% ВВП России, на приведение своей деятельности в соответствие новому закону, подсчитали в Российской ассоциации электронных коммуникаций. По данным за 2010 год, эта сумма составляет 2,6 трлн рублей.
Утечки связаны исключительно с принятием нового закона, уверен генеральный директор компании «Медиамир» (Qip.ru) Михаил Гуревич. Скандалы должны были раскачать тему, согласна Касперская.
«Это внутренние схватки чиновников, насколько эти поправки (в закон «О персональных данных») должны быть жесткие», — считает Гуревич. Утечка sms абонентов «Мегафона» и «нескольких тысяч» служебных документов госорганов, безусловно, были частью этой схватки, уверен он.
«Знаем ли мы, что интернет-магазины индексируют все и вся и платят деньги оптимизаторам, чтобы увеличить себе трафик? Да, знаем. Знаем ли мы, что у них нет никакой регуляции по персональным данным клиентов? Да, знаем. Ищем ли мы все, что они выкладывают [в интернет] по клиентам? Нет, не ищем. Обычно это не интересно, пока это не укладывается в общую канву информационного потока», — рассуждает Гуревич.
За утечками стоят «конторы, стоящие за силовыми структурами», уверен также депутат Госдумы Илья Пономарев. «Изначально поправки в закон лоббировались ими, чтобы создать себе новый рынок», — отмечает парламентарий.
«У вас утечка»
Следственный комитет предварительно определил виновных в обнародовании sms — это «Яндекс» и «Мегафон» вместе. Дополнительных комментариев представители СК и ФСБ «Газете.Ru» не предоставили. В компании Google не получали запросы от ФСБ, в «Яндексе» это не прокомментировали.
Рассматривать вопрос об ужесточении ответственности за сливы личных данных возможно, если действующие нормы не дадут результата, допускает зампред думского комитета безопасности Михаил Гришанков.
«Говорить об ужесточении регуляции спешно. Разберитесь сначала с базами ГИБДД [продающимися на рынках]», — парирует Александр Иванов из Национальной ассоциации дистанционной торговли.
В любом случае крупные компании, такие как «Яндекс», справятся со скандалом и смогут работать в условиях нового законодательства, считает Пономарев. Но в целом поправки в закон приведут к оттоку инвестиций из России. «Появится дополнительная необходимость платить дань. Компании помельче будут вынуждены уйти в другие юрисдикции», — заключает парламентарий.
Пока скандал заставил «Мегафон» сделать новый сервис отправки sms, а «Яндекс» — задуматься о новых методах защиты информации. Гендиректор поисковика Аркадий Волож заявил о возможности создания системы оповещения вебмастеров в случае обнаружения поисковым роботом на их сайте данных, похожих на персональные. Но поисковик не может на 100% распознать персональные данные, отметил он. Кроме того, «Яндекс» планирует быстрее реагировать на заявки веб-мастеров по удалению конфиденциальных страниц сайтов из результатов поисковой выдачи.
Тем не менее новые утечки в «Яндекс» и Google не исключены, считает Гордейчик: ссылки, которые собрал поисковик, могут быть использованы в поиске уже завтра. Он напомнил, что девиз Google — «Don't be evil» — «Не будь злом». «Но и абсолютным добром поисковые машины быть не могут», — заключил он.