Данные клиентов Сбербанка, ВТБ, РЖД утекают в сеть
Мечтатель о замене людей и коров на аватары, любитель йогов, Госдепа США, член международного совета Morgan Stanley и по совместительству глава крупнейшего банка России Герман Греф в очередной раз уронил свой авторитет ниже плинтуса. Желая взять под свой контроль продукты, фармацевтику, выдачу биометрических удостоверений водителя и паспортов, претендуя на контроль над огромными массивами информации, Сбербанк под его руководством почти десять лет не может решить задачу по защите персональных данных своих клиентов в интернете. Эксперт по поисковым системам Павел Медведев показал, как можно без труда получить доступ к паспортным данным, информации по покупкам, ж/д билетам и проч. российских граждан, используя при этом обычную поисковую систему. Сбербанк, конечно, пытается оправдываться и даже что-то опровергать-но выглядит это крайне неубедительно
«На фоне всеобщей истерии в ленте по GoogleDocs, PowerBi я ввел старый запрос 2011 года года, чтобы посмотреть, изменилась ли ситуация… и ужаснулся. Раньше проблемы были в основном у мелких интернет-магазинов, сейчас информацию сливают и такие гиганты как travel.vtb.ru, Сбербанк, департамент транспорта Москвы, агрегаторы авиабилетов и много других. Я считаю, это связано с тем, что из-за кризиса многие хорошие специалисты и разработчики переориентировались на Запад и качество кадров в IT снизилось», – комментирует ситуацию Медведев, иллюстрируя рассказ примерами ПД, оказавшихся в свободном доступе.
Как выяснилось, сайты многих популярных сервисов, в том числе и Сбера, пренебрегают элементарными требованиями защиты данных – для них не прописан файл robots.txt. Причиной массовой утечки информации стал баг в движке Webasyst ShopScript3, информация о котором появилась еще в 2011 году. Сотрудники интернет-безопасности не успели его вовремя закрыть, в результате чего «Яндекс» и, возможно, другие поисковые системы, автоматически проиндексировали ПД миллионов россиян. Обязанность по защите информации о клиентах полностью лежит на кредитных организациях, также их защищает российское законодательство. За соблюдением законов в интернете следит Роскомнадзор, пока не сделавший никаких заявлений по этому поводу. Что неудивительно – банкстеры, как и офшорные хозяева электронных дневников российских школьников, имеют достаточно лоббистов во всех эшелонах власти и, как правило, уходят от ответственности. Поэтому перспектива увидеть Германа Оскаровича и его менеджеров за решеткой, к сожалению, весьма и весьма призрачна
Эксперт Павел Медведев также информирует всех пользователей: многие сайты интернет-магазинов хранят данные о своих заказчиках в открытом виде. Популярные поисковики конкурируют между собой за качество поиска, а потому стараются собрать (проиндексировать) как можно больше страниц интернета, чтобы затем выбрать из них наиболее соответствующие запросу пользователя. Эту работу выполняют системы аналитики (счетчики, которые устанавливают на каждой странице сайта для исследования поведения посетителей на нем), самые популярные в России – Яндекс.Метрика и Google Analytics. И даже если вы установите запрет на отслеживании ими информации, у Google имеется собственный браузер «Хром», у Яндекса – «Яндекс.Браузер». Они отслеживают вашу активность в режиме онлайн и при их установке пользователь обязан согласиться с возможной обработкой, отправкой браузером анонимных данных о просмотрах страниц и т.п. Наконец, при скачивании какой-либо бесплатной программы часто агрессивно навязываются программы и плагины для браузера от поисковых систем, которые многие специалисты считают дополнительным каналом для анализа трафика и поведения людей в сети.
«Представьте ситуацию: вы купили авиабилет с вылетом через полгода, вам пришла СМС со ссылкой для просмотра и редактирования информации в личном кабинете. Вы перешли на нее в телефоне, проверили и забыли. Тем временем ваш мобильный Яндекс/Андроид-браузер или счетчик метрики сообщил поисковику, что появилась неизвестная ранее страница. Робот проверил – страница работает, проиндексировал ее через какое-то время. Потом злоумышленник вбивает в поиск запрос типа «билет на Бали октябрь изменить бронирование» – попадает в ваш личный кабинет, переписывает фамилию на свою и через полгода улетает вместо вас. Можно представить, что существуют и такие сайты, которые даже не предупредят об изменении и не запросят дополнительное подтверждение или авторизацию», – отмечает Медведев.
По мнению эксперта, 80% вины при таких масштабных утечках ПД лежит на владельцах сайтов – то есть в нашем случае на «мега-продвинутой» и «креативной» команде Грефа. Поисковому роботу совершенно все равно, какие данные содержатся в индексируемом им файле, есть ли в них семейная, медицинская или коммерческая тайна. Многие владельцы сервисов словно живут в параллельном мире без киберугроз, без поисковых систем, ботов и т.д. – словом, не собираются бороться за нашу с вами приватность. Как видим, это касается и ресурсов, которыми пользуются более 70% россиян (речь о Сбербанке, РЖД и т.д.).
Вот поэтому все адекватные граждане и общественные организации протестовали и продолжают протестовать против добровольно-принудительной сдачи биометрических данных на хранение банкстерам, против предоставления им полномочий по оказыванию госуслуг – фактического превращения ростовщиков в ветвь власти более мощную, чем государственные. Добиться полной защиты нашей информации при постоянных передачах через публичный интернет (в том числе – трансграничных) в принципе невозможно, а Правительство в команде с Центробанком на полном серьезе твердят, что создание единой огромной базы данных с единым личным идентификатором на каждого человека – приведет прямо-таки к раю на земле. И все это во имя нашего удобства и безопасности, разумеется… К чему подобный подход привел в «передовой и продвинутой» Индии, где гражданин не может шагу ступить без биометрической идентификации и все его взаимоотношения с государством, все покупки и т.д. контролируются глобальной системой «Аадхаар», «Катюша» уже подробно рассказывала. Теперь и России грозит распродажа самого ценного, что имеется в стране – «человеческого капитала», с предварительной трансформацией граждан из плоти и крови в «цифровые личности». Это железный аргумент против немедленной остановки безумной цифровой колонизации, проводимой ныне на всех уровнях власти жестко, безальтернативно, без озвучивания ее смыслов и конкретных задач, без оценки рисков и обсуждения с народом.
