В Telegram-канале «IT уголовные дела СОРМ россиюшка» описали интересный факт. Пользователь делился информацией о том, как оператор Акадо-телеком выкладывает персональные данные своих клиентов прямо в БД RIPE, которая доступна с помощью whois.
«История началась около 11 лет назад, когда я изучал устройство сетей крупных операторов с помощью инструмента whois. И в одном российском сегменте интернета набрёл на такое, от чего потерял дар речи», — пишет автор.
Акадо-телеком, бывший Комкор
Пользователь сдампил результаты whois по сетям Акадо-телеком (ранее — «Комкор») десятки тысяч адресов.
Интересно, что спустя 11 лет так ничего не изменилось. Кроме названия фирмы.
Среди клиентов московского оператора — физические и юридические лица. В том числе банки и объекты инфраструктуры, города в московской области, а также жители элитных посёлков Рублёвского шоссе.
Тем не менее, Акадо-телеком выкладывает персональные данные своих клиентов прямо в БД RIPE. Она доступна с помощью whois.
«Там всё: ФИО клиента (или название компании), адрес подключения, телефон клиента.
Вот их сети:
212.100.128.0/19
212.45.0.0/19
178.208.128.0/19Вот клиенты (https://imgur.com/a/KblshTZ) элитного посёлка «Жуковка».
Вот клиенты (https://imgur.com/a/FowhJb5) в Барвихе, включая местный Альфа-Банк.
А что это за Никита Сергеевич в посёлке Николина Гора пользуется услугами горе-провайдера, не известный ли кинорежиссёр? Ага, он (https://imgur.com/a/ROpBJje)», — негодует автор.
«Как такое вообще может быть?» — удивитесь вы.
Давайте разберем защиту персональных данных компаний-клиентов оператора и объектов инфраструктуры Москвы.
«Вот IP-адреса (https://imgur.com/a/8iVlNQ7) объектов ДИТ Москвы — Департамента информационных технологий. К Акадо подключены сотни таких объектов. Это интернет для камер, телеметрии и других служебных устройств», — отмечает пользователь.
По ключевому слову «Bank» мы увидим сотни банков (https://imgur.com/a/w4WQG9W), которые подключены к Комкору. Выходит, что абсолютно любой человек может узнать IP-адрес конкретного филиала, контакт технического специалиста, его ФИО и так далее.
Акадо-телеком не спешит исправлять ошибку
Собрав все доказательства, автор обратился напрямую в Комкор (https://imgur.com/a/SUC8tKX).
Через 1 рабочий день он получил ответ от начальника ИБ, что информацию получили и проверят (https://imgur.com/a/mk9Rfjx).
Спустя 5 дней автор спросил о результатах проведенной проверки информации (https://imgur.com/a/VAKXhSa). На что представитель оператора ответил, что все исправили.
«Я проверил. Убрали персональные данные только из блока «person» и только из двух моих примеров в первом письме. Но в блоке «inetnum» персданные остались даже в моих примерах. О чём я написал (https://imgur.com/a/qiIHlWW) и получил очень странный ответ (https://imgur.com/a/rBtCJTB). Что «принято решение» убрать персданные пользователей белых сетей (когда убрать?!), но поле «inetnum» они обязаны заполнять», — сообщает пользователь.
Стойте! В этом поле провайдеры записывают информацию о назначении сети. Или, если это фирма, — её название и юр адрес (и то редко). Но никак не ФИО клиента-физлица!
На следующее письмо автора от 24 октября с просьбой уточнений уже никто не ответил.
«Никаких действий, по факту, предпринято не было, сроки их тоже озвучены не были. Поэтому следующим шагом я должен перейти к информированию об этой опасной уязвимости общественность. Чтобы они вывели себя из-под угрозы и перестали пользоваться оператором, который так относится к персональным данным своих клиентов», — негодует пользователь.
Что такое Whois
Whois — это публичный инструмент, которым может воспользоваться каждый человек, чтобы получить информацию об IP-адресе или домене. В нём хранится служебная информация о владельце домена или IP-адреса.
Но, конечно, там не указывают ФИО, адрес подключения и контакт физического лица, которому выдан IP-адрес. То же самое — с юридическими лицами. Максимум — указывается юр лицо, его контакт и юридический адрес.
Что же сделали технические специалисты Акадо-телеком? Они просто настроили автоматическую трансляцию информации из своей внутренней CRM-базы клиентов в базу данных RIPE. Тем самым открыли персональные данные клиентов для всех желающих.
Персональные данные пользователей в публичном доступе — это огромный минус для оператора. О каком доверии к такому провайдеру может идти речь? Своей ошибкой Акадо-телеком открывает дверь другим операторам, которые запросто могут переманить клиентов, используя данные из базы.
Неужели руководство оператора не понимает, насколько большой масштаб у катастрофы? Такое поведение, конечно, абсолютно неприемлемо в 2018 году.
Также возникает вопрос, а куда, собственно, смотрит наш главный регулятор — Роскомнадзор? Он должен заниматься как раз пресечением таких вот историй.
Фото: Twitter.