В связи с недавним массовым сливом логинов и паролей от популярных в России почтовых сервисов (Yandex, Mail, Gmail), пришла идея провести небольшой анализ использования подобных публичных почтовых серверов в работе наших государственных структур. Решено было остановиться на трех основных силовых структурах — следственном комитете, прокуратуре и МВД, которые, казалось бы, должны блюсти закон пуще других. О результатах же не трудно догадаться по заголовку топика…
Под катом подробная аналитика и опросы.
Пролог
Господин Жаров (глава Роскомнадзора) так прокомментировал утечки идентификационных данных пользователей популярных почтовых сервисов:
«К сожалению, взломы публичных почтовых или облачных сервисов — явление сегодня довольно распространенное. Как показывает практика, эффективной защитой своих сервисов от хакеров не может похвастаться ни один интернет-гигант – будь то Яндекс, Mail.ru или Google. Роскомнадзор как уполномоченный орган по защите персональных данных россиян внимательно следит, чтобы личная информация граждан не оказывалась в открытом доступе. По факту последних «громких» утечек почтовых паролей в интернет в Роскомнадзор поступило около двух десятков обращений граждан.
Надо сказать, что в терминологии действующего законодательства логины и пароли электронной почты или аккаунтов в социальных сетях не являются персональными данными. Поэтому у нас нет законных оснований для проведения каких-либо проверок в отношении интернет-компаний, допустивших утечки. Другой вопрос, что получив доступ к почтовым идентификаторам, злоумышленники получают в свое распоряжение содержание вашей переписки – где, конечно, могут быть и ваши персональные данные: изображения, контактная информация, пересылаемые документы и т.д. Наша задача – оперативно выявить, когда такая информация появится в Сети, и прекратить ее распространение.
Сейчас мы активно используем практику прекращения распространения персональных данных россиян в судебном порядке. За последние месяцы суды вынесли соответствующие решения об ограничении доступа к 12 сайтам-нарушителям законодательства о персональных данных, исковые заявления Роскомнадзора в отношении более 60 сайтов находятся в стадии судебных разбирательств. Отрадно, что в двух случаях суды вынесли определения о предварительных обеспечительных мерах – такая практика позволяет нам добиваться от интернет-ресурсов удаления персональных данных до того, как длительное судебное разбирательство будет завершено, и в течение месяца решение суда вступит в законную силу. В случае с персональными данными скорость нашей реакции критична, ведь всегда существует риск, что ваша личная информация будет использована преступниками, и возникнет угроза вашей физической безопасности, здоровью, жизни или репутации».
Методика подсчета
Хотелось проанализировать, что реально видит гражданин при обращении к сайту ведомства, поэтому адреса собирались вручную (спасибо контент-менеджерам, которые умудряются креативить не только с версткой отдельных страниц, но и тасовать разделы меню в рандомном порядке), без использования каких-либо справочников.
1. Следственный комитет
Электронный адрес был указан только у 39 подразделений, остальные 55 легко обходятся без оного:
Следственный комитет оказался самым патриотичным — они используют только отечественные сервисы (в категорию «другие» вошли vologda.ru и nm.ru). Ребята даже помнят Rambler! Молодцы, чо.
2. Прокуратура
У данного ведомства какой-то адский ад с сайтами территориальных подразделений. Единого портала нет, каждый наворотил самостоятельно, что хотел. Квест под названием «найди раздел Контакты на 80+ сайтах» занял довольно много времени. Искренне жаль людей, которым приходится ориентироваться в этих дебрях.
У 31 сайта email в контактах не обнаружился, другие 52 распределились следующим образом:
Тут работают уже более продвинутые сотрудники — Rambler отправлен на свалку и появляется Gmail! В многочисленную категорию «Другие» попали различные городские порталы и серверы провайдеров, что, очевидно, связано с самобытностью каждого отдельного сайта.
3. МВД
Наилучшая ситуация у нас в полиции. Только у 7 подсайтов не обнаружилось ящика вообще, 51 расположен на ведомственном сервере mvd.gov.ru, 26 на публичных:
В то время, как вокруг страны сжимается кольцо врагов, целых 3 структурных подразделения держат почтовые ящики на серверах все более вероятного противника. Стыдно, товарищи!
Бывает, что полиция, как ни в чем не бывало, предлагает слать обращения на Yandex и Mail.ru:
Иногда внешний адрес указывается совместно с ведомственным, но данный случай я также считал залетом, так как обычный гражданин не понимает разницы и способен отослать конфиденциальную информацию на любой из адресов:
Итог
Примерно оценить масштабы использования подобных адресов для МВД и СК можно с помощью нехитрых поисковых запросов.
К чему я это всё
Граждане обращаются по данным адресам с сообщениями о преступлениях, нередко хотят сохранить анонимность, поэтому нарушение конфиденциальности такого рода информации может реально угрожать их жизни и здоровью. Это уже не какие-то фотографии обнаженных девочек и даже не персональные данные.
В центральных аппаратах данных ведомств есть люди, которые отвечают за контент сайтов, есть люди и целые отделы, отвечающие за связи с общественностью, имеются отделы по защите информации и гостайны. Почему они не работают?
Автор: Akr0n
