Защита эконом-класса. По интернету гуляют личные данные пассажиров РЖД
Персональные данные пользователей сайтов таких крупных компаний как РЖД, ВТБ, «Сбербанк», а также мэрии Москвы, не защищены и могут в любую минуту оказаться в руках злоумышленников. К такому выводу пришёл специалист по поисковым системам компании Rush Agency Павел Медведев. О своих наблюдениях эксперт написал в репортаже, где подробно объяснил, каковы причины утечек данных и как себя обезопасить. Редакция vgudok.com выяснила, как могло получиться, что данные, по сути, любого пассажира и клиента ФПК (РЖД) оказались в открытом доступе.
Персональные данные пользователей различных порталов и могли попасть в чужие руки. Однако преимущественно речь шла о небольших интернет-магазинах. Оно и логично, их владельцам просто не хватало средств на хороших программистов, которые могли бы обеспечить сайту безопасность. Сегодня такой «болезнью» начали страдать крупные игроки: порталы ВТБ или «Сбербанка», онлайн-сервисы РЖД, а также многочисленные агрегаторы авиабилетов. Всему виной оказалось снижение уровня обслуживания порталов. Другими словами, пишет автор, на работу стали брать крайне некомпетентных или «слабых» экспертов IT-технологий.
«Я считаю, это связано с тем, что из-за кризиса многие хорошие специалисты и разработчики переориентировались на Запад, и качество кадров в ИТ снизилось», — пишет Павел Медведев.
С ним согласен управляющий партнёр коммуникационной компании B2Chain Денис Терехов.
«Причины кроются в очень простой вещи, все мы настолько сошли с ума в попытках экономить на всём подряд, что даже такие уважаемые организации как ВТБ, «Сбербанк» и РЖД обслуживаются айтишниками из какого-нибудь абстрактного Тьмутараканьска. Те промахи, на которые указывает автор статьи, говорят о том, что люди, которые обслуживают эти ресурсы, совершают ошибки на уровне средней школы. Если такие аналогии проводить. Они, к примеру, не прописывают ограничения для определенных страниц и так далее», — рассказал vgudok.com Денис Терехов. — Поисковым машинам всё равно, откуда собирать информацию.
То, что происходит, говорит о чудовищной некомпетентности.
Машина не может понять, секретная информация или же для общего доступа. Поэтому владельцы ресурсов, особенно если речь идет о таких сложных порталах, которые работают с персональными данными, финансовой информацией, должны чётко разграничивать, на какие станицы может заходить робот, а на какие нет. То, что происходит, говорит о чудовищной некомпетентности. А проистекает всё это из попыток сэкономить. Когда очень многие сотрудники отделов закупок смотрят в том же Яндексе, что сайты можно делать за 15 тысяч рублей, потом говорят, что давайте наймём человека, который за те же 15 тысяч рублей будет нам сайт банка делать. Вот утечки и получаем».
Причиной утечки данных могут быть, в том числе, системы аналитики, считает Павел Медведев. Это счётчики, которые устанавливают на сайтах для того, чтобы понимать, сколько людей их посещают, как долго находятся на той или иной странице. Самые популярные в России — «Яндекс.Метрика» и Google Analytics. Заходим в настройки любого счётчика «Метрики» и видим по умолчанию такое предложение: «Включите эту опцию, чтобы страница не отправлялась на индексацию Яндекса». Получается, что если эту отправку не отключить, то все просмотренные пользователем страницы по умолчанию отправляются на индексацию. Более того, даже если установить запрет, приватные страницы всё равно попадают в индекс. Потому что это один из множества источников данных поисковых систем.
Устанавливая браузеры, пользователи соглашаются с возможной обработкой, отправкой анонимных данных о просмотрах и так далее. То есть это вполне легальный способ собрать большую часть когда-либо просмотренных пользователями страниц. Помимо этого, поисковые системы могут покупать анонимизированные данные о трафике, просмотренных сайтах или страницах.
Мало найдётся людей, которые раздавали бы направо и налево свои паспортные данные незнакомцам.
Условно говоря, человек покупает билет на поезд с датой отправления через полгода. Ему приходит смс-сообщение со ссылкой для просмотра и редактирования информации в личный кабинет. В это же время «Яндекс.Браузер», Android или счётчик метрики сообщает поисковику, что появилась неизвестная ранее страница. Робот проверяет — страница работает, через какое-то время он страницу индексирует.
Получивший данные злоумышленник вбивает в поиск запрос об отмене бронирования, попадает в личный кабинет пользователя, переписывает документ на собственное имя и через шесть месяцев уезжает вместо настоящего владельца билета.
Но, по мнению Дениса Терехова, скорее речь идёт всё же об эмоциональной травме. Мало найдётся тех людей, которые раздавали бы направо и налево свои паспортные данные незнакомым людям.
«Как правило, все данные, которые утекают, безусловно, персональные, но ничего особенного не происходит. Если кто-то узнает данные вашего паспорта или водительского удостоверения, конечно, злоумышленник может попробовать подать куда-нибудь заявление о получении кредитов. Но в любом случае эти данные проверяют и перепроверяют. Здесь речь идет скорее о некой эмоциональной составляющей. Вряд ли эти данные могут кого-то побеспокоить или на что-то повлиять», — уверен эксперт.
Желательно с помощью авторизации скрывать данные и запрещать роботам индексировать любую информацию.
Павел Михайлов рекомендует представителям поисковых систем больше упоминать на своих профильных конференциях о том, что любая страница, доступная без авторизации, может рано или поздно попасть в индекс. «Ещё есть проблема в том, что разные поисковые системы по-разному используют директивы, их рекомендации по индексации иногда противоречат и взаимоисключаемы. То есть разработчики, сделав всё по инструкции Google, будут удивлены, когда в «Яндексе» директивы, наоборот, перестали работать, из-за чего в индекс попало множество документов, которые не должны были индексироваться», — пишет автор. Желательно с помощью авторизации скрывать любые данные и запрещать роботам индексировать любую, тем более конфиденциальную информацию.
«Также нужно выдавать предупреждение при открытии доступа по ссылке — что наличие ссылки только у вас не значит, что о ней никто не узнает — множество программ, браузеров, плагинов, счётчиков, скриптов собирают информацию и только их разработчикам известно, как они её хранят и куда дальше направляют», — уверен Михайлов.
Эксперт vgudok.com же считает, что все эти технические нюансы — разговоры в пользу бедных, тогда как корень зла в другом.
«Мне кажется, что в целом система плохо работает, потому что в её основе лежит желание экономить на всём подряд. Это касается в основном государственных компаний, или компаний с государственным участием. Они действуют в рамках федеральных законов. Согласно им, кто приходит более дешевый, того и нанимают, — не сомневается Денис Терехов. — Здесь проблему я вижу значительно глубже, чем просто какие-то отдельно взятые безрукие программисты. Проблема как раз в тотальной экономии, которая потом оказывается критическая. «Скупой платит дважды», и здесь мы видим подтверждение этой народной мудрости».
Для РЖД история с утечкой персональных данных не нова. В 2016 году группа хакеров обнаружила в открытом доступе базы данные 3500 пассажиров, в том числе клиентов железнодорожной монополии. Ещё раньше, в апреле 2014, вездесущие хакеры даже специально создали сайт «SOS! RZD», на который выложили данные кредитных карт более чем 10 тысяч клиентов монополии.
Тогда, впрочем, представители монополии опровергали утечки, заявляя, что РЖД не хранит данные пассажиров. Верится в это с трудом – где-то данные содержатся. Но вот на отечественных или зарубежных серверах – вопрос.
Последствия утечек, описанных Павлом Медведевым, судя по всему, были нивелированы достаточно оперативно. По крайней мере, найти в интернете данные штатных «пассажиров» редакции vgudok.com нам не удалось. Несмотря на то, что за последние пару-тройку месяцев мы вдоволь накатались по отечественным стальным магистралям, покупая билеты и в кассах, и в интернете и расплачиваясь картами совершенно разных банков. Правда, мы, что называется «ламеры». У сетевых профессионалов шансов гораздо больше. А значит расслабляться кибер-стражам РЖД не стоит – враг у ворот. Кстати, в монополии не первый год говорят о переводе всей инфраструктуры на российское программное обеспечение. Этот проект мы уже подробно рассматривали и разбирали в материале «Здесь русский софт, здесь Русью пахнет». Поможет ли «родное» ПО отражать атаки хакеров и защищать данные пассажиров компании, покажет время. Пока же следите сами, куда и как «ходите» по Сети. В данной ситуации, очевидно, нужно руководствоваться общеизвестным принципом про спасение утопающих.
Иван Афанасьев