Исследование: российские государственные сайты свободно делятся информацией о посетителях с иностранцами
Официальные сайты российских федеральных органов власти слабо защищаются от XSS-уязвимостей: 59% из них передают данные о посетителях ресурсам, которые контролируются иностранными организациями. Об этом говорится в исследовании специалистов Общественного движения «Информация для всех», которые провели мониторинг интернет-ресурсов органов власти федерального уровня.
Исследователи составили отчёт «Российские госсайты: посторонним вход разрешен», в котором говорится, что государственные сайты в России беспечно относятся к защите данные и свободно делятся данными о своих посетителях с посторонними. В среднем каждый исследованный сайт загружает ресурсы с четырёх других сайтов.
При этом только восемь российских государственных ресурсов не использовал на своих страницах ничего постороннего —, а всего в исследовании их участвовало 82. 72 из них принадлежат федеральным органам законодательной, исполнительной и судебной власти, а четыре — государственным органов с особым статусом: Генеральной прокуратуре, Счетной палате, Центральной избирательной комиссии и Центральному банку.
Специалисты считали загрузкой ресурсов со сторонних сайтов все загрузки, которые происходят без дополнительных действий со стороны юзера — листания страниц, движения курсора, использования клавиатуры. Так, например, видеоролик на сайте Росаккредитации, интегрированный из YouTube, автоматически тянет с собой ресурсы рекламной сети Doubleclick.
По результатам исследования аналитики составили «Индекс XSS-безопасности госсайтов». Он рассчитывался по формуле: 100 — (Гс5 + Дс15), где Гс — количество государственных сайтов, а Дс — количество остальных сайтов, с которых загружаются сторонние ресурсы. Индекс не учитывал отрицательные значения — в таком случае его считали равным нулю.
Согласно рейтингу, в число наиболее защищённых государственных сайтов России с индексом 100 вошли ресурсы восьми ведомств Конституционного суда, Министерства науки и высшего образования, Правительства, Президента, Службы внешней разведки, Совета федерации, Федеральной пробирной палаты и Федеральной службы безопасности. В то же время сайты Министерства культуры, Министерства промышленности и торговли, ФАС, Федерального архивного агентства, Министерства природных ресурсов и экологии, Минпросвещения, Федеральной службы по аккредитации, Федерального агентства лесного хозяйства и Федерального агентства по делам СНГ оказались наименее защищёнными — все они получили нулевой индекс.
Чаще всего госсайты подгружают ресурсы «Яндекса» — в 55 случаях. На 43 сайтах используется код аналитической системы «Спутник», на 42 — ресурсы Google, на 15 — «Битрикс», на девяти — Mail.ru Group, на семи — Cloudflare. При этом исследователи отметили весьма скромное количество сайтов с виджетами существующих социальных сетей — всего три из них предлагают авторизацию через Facebook и по два — через «ВКонтакте» и Twitter. Зато госресурсы часто используют сервисы Google, причём самые разнообразные — коллекции шрифтов, CAPTCHA, YouTube, Google Analytics, Google Maps, Google Translate и т.д. Код же системы сбора данных о посетителях Google Analytics присутствует на 20 официальных сайтах органов власти, но вместе с кодом других сервисов Google — уже на 42.
Похожий мониторинг специалисты МОО «Информация для всех» проводили в 2015 году. Тогда оказалось, что 92% сайтов органов власти федерального уровня включали сторонний код изнеконтролируемых источников, а 64% загружали код из источников, подвластных зарубежным компаниям, чаще всего Google. Исследователи отмечают, что за пять лет ситуация почти не изменилось, лишь уменьшилось разнообразие различных счетчиков: администраторы госсайтов стали реже использовать виджеты соцсетей и информеры, зато им на смену пришли чат-боты, создающие видимость живого диалога специалистов службы поддержки с пользователями сайта.