Московский оператор связи «Акадо-Телеком» (ОАО «Комкор») настроил трансляцию персональных данных клиентов в базу данных RIPE, общедоступную для прочтения через инструмент Whois. Владислав Здольников выяснил, что через Whois любой желающий может узнать ФИО клиентов «Акадо-Телеком» (или название компании), адрес подключения, телефоны этих абонентов. Оператор обеспечивает связью москвичей и жителей элитных Рублёвки, Барвихи, Жуковки, и Николиной Горы, в частности Никиту Михалкова. Здольников рассказал о раскрытии персональных данных представителю «Комкор», через некоторое время сотрудник оператора поблагодарил и заверил, что информация в Whois отредактирована. Здольников перепроверил, снова удивился, но на его письмо с уточняющим вопросом больше никто не ответил:
… решил всё же проверить: убрали персданные только из блока person и только из двух моих примеров в первом письме, но в блоке inetnum персданные остались даже в моих примерах, о чём я написал.
Контакты абонентов «Акадо-Телеком» доступны для просмотра всем желающим через Whois:
Здольников объяснил:
По правилам организации RIPE, которая выдаёт IP-адреса, провайдер обязан содержать в актуальном виде информацию о назначении подсети IP-адресов (например, служебная или клиентская), контакты для связи (почта и телефон провайдера), и если провайдер выдаёт в аренду крупный блок адресов — информацию об арендаторе.
Но никакому провайдеру не приходит в голову указывать ФИО, адрес подключения и контакт физического лица, которому выдан 1 IP-адрес. Тоже самое — с юридическими лицами. В случае выдачи большого блока, максимум — указывается юрлицо, его контакт и юридический адрес. И то, так делают далеко не все провайдеры, и никаких санкций, конечно же, за это нет.
Не очень умные технические специалисты Комкора (ныне Акадо) в какой-то момент просто настроили автоматическую трансляцию информации из своей служебной базы клиентов (CRM) в базу данных RIPE, и таким образом персданные клиентов стали доступны для всех желающих.
Для оператора такая дыра — катастрофа дважды, потому что:
- Собственно, песональные данные клиентов — в публичном доступе. Какое доверие может быть к такому оператору?
- Твоих клиентов могут просто переманивать другие операторы, за полчаса просканировав все IP-адреса и собрав базу данных.
- Можно узнать IP-адреса определённого клиента или устройства, очень несложно забить канал трафиком и выключить, таким образом, интернет у клиента.
В случае с ведомственными объектами, большое количество которых подключено к Акадо — это же прямая угроза безопасности города.
По данным с официального сайта «Акадо-Телеком» (ОАО «Комкор») обеспечивает связю: Госнаркоконтроль РФ, Государственный таможенный комитет РФ, ГУВД Москвы и Московской области, Минюст, Мосводоканал, Мосгортранс, московские аэропорты Внуково и Домодедово, Московскую объединенную энергетическую компанию, Мосэнерго, МЧС, Пенсионный фонд РФ, Почту России, Правительство Москвы, Сбербанк, столичные управления Федерального казначейства и Федеральной налоговой службы и другие ведомства и ключевые российские корпорации.
Владислав Здольников — активист Фонда борьбы с коррупцией, руководитель прокси-сервиса для Telegram TgVPN. В 2017 Здольников с коллегами просили Следственный комитет наказать чиновников Минкомсвязи и Роскомнадзора по трём статьям УК, за дыры в системе интернет-блокировок. Летом 2018 года компания Private Networks, зарегистрированная в Шотландии, фактически владеющая TgVPN, снова попыталась выступить в суде против Роскомнадзора.
В России именно последнее ведомство защищает права субъектов персональных данных, в данном случае клиентов «Акадо-Телеком».