В открытых всем желающим результатах поиска с помощью поисковых машин в интернете зафиксирована новая "утечка" конфиденциальной информации, на сей раз на Google. Там отыскались размещенные на портале Правительства РФ gov.ru документы различных государственных учреждений России с грифами "для служебного пользования" и "секретно"
Некоторые ведомства уже опровергли информацию о том, что документы, попавшие на страницы результатов поиска Google, являются конфиденциальными. Эксперты заявили, что все данные государственной важности необходимо шифровать, а прокуратура Москвы начала проверки по фактам утечек.
В кэше Google, как выяснилось утром в среду, если постараться и специальным образом ввести запрос, можно отыскать размещенные на сайте российского правительства gov.ru документы Федеральной антимонопольной службы (ФАС), Федеральной миграционной службы (ФМС), Счетной палаты, Минэкономразвития, Главного управления специальных программ президента России, Высшей аттестационной комиссии Минобрнауки России, портала Госзакупок, а также документы региональных отделений органов государственной власти. Об этом сообщает Русская служба новостей (РСН) со ссылкой на сайт supreme2.ru.
Кроме того, по данным сайта, при некотором изменении параметров запроса поисковик выдает несколько документов под грифом "Секретно".
Сами эти запросы пока еще работают, выдавая ссылки на документы с грифами "Для служебного пользования" и "Секретно" (Удобнее смотреть из кэша, по ссылке "Быстрый просмотр).
Аналогичным образом находятся и конфиденциальные документы с украинского правительственного сайта gov.ua.
Представители американского интернет-гиганта, как передает "Интерфакс", заявили, что ни одно ведомство к ним пока не обращалось, поэтому Google не намерен предпринимать никаких действий. Причиной же раскрытия в поисковике данных российских ведомств может являться отсутствие файла-"замка" на страницах исходных сайтов.
Поисковые системы индексируют только открытые страницы интернета, если владелец сайта хочет скрыть от поисковика какие-то страницы или сайт целиком, то это очень просто сделать, указав в специальном файле страницы, содержащие конфиденциальную информацию.
"Это можно сделать в любой момент, и, когда робот поисковой системы в
следующий раз будет обходить интернет, он уже не может зайти на эти
страницы, проиндексировать их, чтобы потом выдавать в результатах
поиска", - пояснили в пресс-центре Google в России.
Федеральная антимонопольная служба и Счетная палата РФ уже заявили, что поисковиками проиндексирована только информация, размещенная в общем доступе. В ФАС поясняют, что в свойствах "одного из документов" по технической причине не была убрана маркировка "для служебного пользования". Представители Счетной палаты отметили, что за "секретные документы" были приняты материалы официальных бюллетеней, которые выпускает ведомство.
Подобные утечки в последние дни в Рунете следуют буквально одна за одной. Сначала "Яндекс" стал индексировать sms, отправленные с сайта "МегаФона". Вслед за сообщениями абонентов "МегаФона" в интернете нашлись sms "Билайна", МТС и "Ростелекома".
Затем поисковики выдали данные о клиентах онлайн-магазинов, в том числе и секс-шопов.
Кроме того, в результаты поиска "Яндекса" попали фотографии, выложенные российскими пользователями QIP. Поисковик проиндексировал около 37 тыс. страниц с фотографиями пользователей популярного у россиян мессенджера. Фотографии людей, животных, зданий и прочего, сделанные пользователями на фотоаппараты, веб-камеры и телефоны, оказались доступны любому желающему без всякой регистрации.
Наконец, стали доступны электронные железнодорожные билеты с датами, номерами рейсов и именами пассажиров, воспользовавшихся услугами сайтов railwayticket.ru и tutu.ru.
СКР, МВД и ФСБ ищут злоумышленников
"Яндекс" рекомендовал администраторам сайтов закрывать личную информацию пользователей паролями и запрещать индексирование конфиденциальных страниц, чтобы избежать попадания персональных данных в открытый доступ, сообщила компания в опубликованных во вторник инструкциях.
Утечку персональных данных сейчас расследуют СКР, МВД и ФСБ. Как пишет в среду газета "Коммерсант" со ссылкой на свой источник, это могло быть сделано и намеренно - "кто-то же писал скрипты, чтобы достать эти данные из "Яндекса". С какой целью - пока не ясно, но вызывает подозрения тот факт, что это произошло в преддверии подписания президентом поправок к закону "О персональных данных".
Источник также сообщает, что сейчас обсуждается вопрос о возбуждении уголовного дела. Работа будет проводиться как с поисковыми системами, так и с компаниями, у которых произошли утечки.
Следователи уже ищут тех, кто непосредственно опубликовал персональные данные, рассказал газете другой источник в правоохранительных органах. По его словам, вопрос о возбуждении уголовного дела сейчас обсуждается. Пока речь идет как минимум о ст. 138 УК РФ "Нарушение тайны переписки...", но рассматриваются и другие статьи.
Роскомнадзор направил письма в Google, "Яндекс", Microsoft и Mail.ru Group, в которых фактически просит интернет-компании закрыть доступ к личной информации граждан. Также ведомство обещает наказать интернет-магазины, допустившие распространение индивидуальных данных своих покупателей в Сети. Таких онлайновых торговых точек ведомство насчитало около 80, пишет РБК Daily.
Союз потребителей России сообщил, что готовит общий иск против всех интернет-сервисов, данные с которых попали в открытый доступ. Иск будет касаться неопределенного круга потребителей, которые потом смогут предъявить иски по компенсации морального вреда.
Юристы считают, что нынешний иск имеет хорошие перспективы, так как речь идет о персональных данных. Однако если говорить об ответственности поисковиков, то по российскому законодательству это маловероятно - их вины в автоматической индексации нет.
Что делать? Предохраняться
Между тем, специалисты заявляют, что документы государственной важности, хранящиеся на интернет-сайтах ведомств, должны быть как минимум защищены шифрованием.
Специалист компании "Информзащита" Олега Глебова пояснил "Интерфаксу", что сам факт полной индексации содержащейся в документах информации говорит о том, что для защиты этих данных не использовались специализированные средства.
По мнению эксперта, ответственность за подобные утечки лежит на сотрудниках, которые отвечают за информационную безопасность в организации или госоргане, "поисковые сервисы виновны в этом минимально".
Одной лишь проверки сайта на уязвимость недостаточно, нужно учитывать все потенциальные угрозы, которые могут угрожать данным государственного значения извне, подчеркнул эксперт. По его словам, пострадавшим госорганам необходимо как минимум пройти аудит безопасности, чтобы специалисты смогли выявить возможные места утечек.