Половина сайтов силовых структур России использует публичные почтовые серверы15.09.2014 10:18

197b2a2db6a545faa7a8f0dddeed7433.pngВ связи с недавним массовым сливом логинов и паролей от популярных в России почтовых сервисов (Yandex, Mail, Gmail), пришла идея провести небольшой анализ использования подобных публичных почтовых серверов в работе наших государственных структур. Решено было остановиться на трех основных силовых структурах — следственном комитете, прокуратуре и МВД, которые, казалось бы, должны блюсти закон пуще других. О результатах же не трудно догадаться по заголовку топика…Под катом подробная аналитика и опросы.ПрологГосподин Жаров (глава Роскомнадзора) так прокомментировал утечки идентификационных данных пользователей популярных почтовых сервисов: «К сожалению, взломы публичных почтовых или облачных сервисов — явление сегодня довольно распространенное. Как показывает практика, эффективной защитой своих сервисов от хакеров не может похвастаться ни один интернет-гигант — будь то Яндекс, Mail.ru или Google. Роскомнадзор как уполномоченный орган по защите персональных данных россиян внимательно следит, чтобы личная информация граждан не оказывалась в открытом доступе. По факту последних «громких» утечек почтовых паролей в интернет в Роскомнадзор поступило около двух десятков обращений граждан.Надо сказать, что в терминологии действующего законодательства логины и пароли электронной почты или аккаунтов в социальных сетях не являются персональными данными. Поэтому у нас нет законных оснований для проведения каких-либо проверок в отношении интернет-компаний, допустивших утечки. Другой вопрос, что получив доступ к почтовым идентификаторам, злоумышленники получают в свое распоряжение содержание вашей переписки — где, конечно, могут быть и ваши персональные данные: изображения, контактная информация, пересылаемые документы и т.д. Наша задача — оперативно выявить, когда такая информация появится в Сети, и прекратить ее распространение.Сейчас мы активно используем практику прекращения распространения персональных данных россиян в судебном порядке. За последние месяцы суды вынесли соответствующие решения об ограничении доступа к 12 сайтам-нарушителям законодательства о персональных данных, исковые заявления Роскомнадзора в отношении более 60 сайтов находятся в стадии судебных разбирательств. Отрадно, что в двух случаях суды вынесли определения о предварительных обеспечительных мерах — такая практика позволяет нам добиваться от интернет-ресурсов удаления персональных данных до того, как длительное судебное разбирательство будет завершено, и в течение месяца решение суда вступит в законную силу. В случае с персональными данными скорость нашей реакции критична, ведь всегда существует риск, что ваша личная информация будет использована преступниками, и возникнет угроза вашей физической безопасности, здоровью, жизни или репутации».

Методика подсчета Хотелось проанализировать, что реально видит гражданин при обращении к сайту ведомства, поэтому адреса собирались вручную (спасибо контент-менеджерам, которые умудряются креативить не только с версткой отдельных страниц, но и тасовать разделы меню в рандомном порядке), без использования каких-либо справочников. 1. Следственный комитет Электронный адрес был указан только у 39 подразделений, остальные 55 легко обходятся без оного: d7648a4970ee47c7a4daaffe5a278133.png Следственный комитет оказался самым патриотичным — они используют только отечественные сервисы (в категорию «другие» вошли vologda.ru и nm.ru). Ребята даже помнят Rambler! Молодцы, чо.2b3fd38d9c824571ab92bc061697b14a.png 2. Прокуратура У данного ведомства какой-то адский ад с сайтами территориальных подразделений. Единого портала нет, каждый наворотил самостоятельно, что хотел. Квест под названием «найди раздел Контакты на 80+ сайтах» занял довольно много времени. Искренне жаль людей, которым приходится ориентироваться в этих дебрях.У 31 сайта email в контактах не обнаружился, другие 52 распределились следующим образом:

acb909ae4546491086e99376a0f6295c.png Тут работают уже более продвинутые сотрудники — Rambler отправлен на свалку и появляется Gmail! В многочисленную категорию «Другие» попали различные городские порталы и серверы провайдеров, что, очевидно, связано с самобытностью каждого отдельного сайта.1ee12effd72148b5852ab661b5b58151.png 3. МВД Наилучшая ситуация у нас в полиции. Только у 7 подсайтов не обнаружилось ящика вообще, 51 расположен на ведомственном сервере mvd.gov.ru, 26 на публичных: acd34761e739437b9e3a2f0cb9a56f63.png В то время, как вокруг страны сжимается кольцо врагов, целых 3 структурных подразделения держат почтовые ящики на серверах все более вероятного противника. Стыдно, товарищи! Бывает, что полиция, как ни в чем не бывало, предлагает слать обращения на Yandex и Mail.ru:

07e054e012a443bdb85f7d8cb67c9b0b.png 948e44955cb84bcbbf07d416399e061a.png Иногда внешний адрес указывается совместно с ведомственным, но данный случай я также считал залетом, так как обычный гражданин не понимает разницы и способен отослать конфиденциальную информацию на любой из адресов:

d82f4d72fab14a909dcc7ee180c76dee.png Итог cff490ef80964e169388e45848cb6a8f.png Примерно оценить масштабы использования подобных адресов для МВД и СК можно с помощью нехитрых поисковых запросов.

К чему я это всё Граждане обращаются по данным адресам с сообщениями о преступлениях, нередко хотят сохранить анонимность, поэтому нарушение конфиденциальности такого рода информации может реально угрожать их жизни и здоровью. Это уже не какие-то фотографии обнаженных девочек и даже не персональные данные.В центральных аппаратах данных ведомств есть люди, которые отвечают за контент сайтов, есть люди и целые отделы, отвечающие за связи с общественностью, имеются отделы по защите информации и гостайны. Почему они не работают?

© Habrahabr.ru