Pull to refresh

Половина сайтов силовых структур России использует публичные почтовые серверы

Reading time 4 min
Views 53K
В связи с недавним массовым сливом логинов и паролей от популярных в России почтовых сервисов (Yandex, Mail, Gmail), пришла идея провести небольшой анализ использования подобных публичных почтовых серверов в работе наших государственных структур. Решено было остановиться на трех основных силовых структурах — следственном комитете, прокуратуре и МВД, которые, казалось бы, должны блюсти закон пуще других. О результатах же не трудно догадаться по заголовку топика…

Под катом подробная аналитика и опросы.


Пролог


Господин Жаров (глава Роскомнадзора) так прокомментировал утечки идентификационных данных пользователей популярных почтовых сервисов:
«К сожалению, взломы публичных почтовых или облачных сервисов — явление сегодня довольно распространенное. Как показывает практика, эффективной защитой своих сервисов от хакеров не может похвастаться ни один интернет-гигант – будь то Яндекс, Mail.ru или Google. Роскомнадзор как уполномоченный орган по защите персональных данных россиян внимательно следит, чтобы личная информация граждан не оказывалась в открытом доступе. По факту последних «громких» утечек почтовых паролей в интернет в Роскомнадзор поступило около двух десятков обращений граждан.
Надо сказать, что в терминологии действующего законодательства логины и пароли электронной почты или аккаунтов в социальных сетях не являются персональными данными. Поэтому у нас нет законных оснований для проведения каких-либо проверок в отношении интернет-компаний, допустивших утечки. Другой вопрос, что получив доступ к почтовым идентификаторам, злоумышленники получают в свое распоряжение содержание вашей переписки – где, конечно, могут быть и ваши персональные данные: изображения, контактная информация, пересылаемые документы и т.д. Наша задача – оперативно выявить, когда такая информация появится в Сети, и прекратить ее распространение.
Сейчас мы активно используем практику прекращения распространения персональных данных россиян в судебном порядке. За последние месяцы суды вынесли соответствующие решения об ограничении доступа к 12 сайтам-нарушителям законодательства о персональных данных, исковые заявления Роскомнадзора в отношении более 60 сайтов находятся в стадии судебных разбирательств. Отрадно, что в двух случаях суды вынесли определения о предварительных обеспечительных мерах – такая практика позволяет нам добиваться от интернет-ресурсов удаления персональных данных до того, как длительное судебное разбирательство будет завершено, и в течение месяца решение суда вступит в законную силу. В случае с персональными данными скорость нашей реакции критична, ведь всегда существует риск, что ваша личная информация будет использована преступниками, и возникнет угроза вашей физической безопасности, здоровью, жизни или репутации».

Методика подсчета


Хотелось проанализировать, что реально видит гражданин при обращении к сайту ведомства, поэтому адреса собирались вручную (спасибо контент-менеджерам, которые умудряются креативить не только с версткой отдельных страниц, но и тасовать разделы меню в рандомном порядке), без использования каких-либо справочников.

1. Следственный комитет


Электронный адрес был указан только у 39 подразделений, остальные 55 легко обходятся без оного:

Следственный комитет оказался самым патриотичным — они используют только отечественные сервисы (в категорию «другие» вошли vologda.ru и nm.ru). Ребята даже помнят Rambler! Молодцы, чо.


2. Прокуратура


У данного ведомства какой-то адский ад с сайтами территориальных подразделений. Единого портала нет, каждый наворотил самостоятельно, что хотел. Квест под названием «найди раздел Контакты на 80+ сайтах» занял довольно много времени. Искренне жаль людей, которым приходится ориентироваться в этих дебрях.

У 31 сайта email в контактах не обнаружился, другие 52 распределились следующим образом:

Тут работают уже более продвинутые сотрудники — Rambler отправлен на свалку и появляется Gmail! В многочисленную категорию «Другие» попали различные городские порталы и серверы провайдеров, что, очевидно, связано с самобытностью каждого отдельного сайта.


3. МВД


Наилучшая ситуация у нас в полиции. Только у 7 подсайтов не обнаружилось ящика вообще, 51 расположен на ведомственном сервере mvd.gov.ru, 26 на публичных:

В то время, как вокруг страны сжимается кольцо врагов, целых 3 структурных подразделения держат почтовые ящики на серверах все более вероятного противника. Стыдно, товарищи!

Бывает, что полиция, как ни в чем не бывало, предлагает слать обращения на Yandex и Mail.ru:





Иногда внешний адрес указывается совместно с ведомственным, но данный случай я также считал залетом, так как обычный гражданин не понимает разницы и способен отослать конфиденциальную информацию на любой из адресов:



Итог




Примерно оценить масштабы использования подобных адресов для МВД и СК можно с помощью нехитрых поисковых запросов.

К чему я это всё


Граждане обращаются по данным адресам с сообщениями о преступлениях, нередко хотят сохранить анонимность, поэтому нарушение конфиденциальности такого рода информации может реально угрожать их жизни и здоровью. Это уже не какие-то фотографии обнаженных девочек и даже не персональные данные.

В центральных аппаратах данных ведомств есть люди, которые отвечают за контент сайтов, есть люди и целые отделы, отвечающие за связи с общественностью, имеются отделы по защите информации и гостайны. Почему они не работают?
Only registered users can participate in poll. Log in, please.
Беспокоит ли Вас данное положение дел?
65.62% Да 1233
34.38% Нет 646
1879 users voted. 300 users abstained.
Only registered users can participate in poll. Log in, please.
Приходилось ли Вам передавать конфиденциальную информация для госструктур через публичные почтовые серверы?
19.08% Да 353
80.92% Нет 1497
1850 users voted. 320 users abstained.
Tags:
Hubs:
+46
Comments 45
Comments Comments 45

Articles