+7-495-723-0119

«Фонтанка» нашла брешь в базе данных «Алушта»

    已發表 16 02, 2018 作者 CEO

    Почему личные данные российских военных оказались в открытом доступе

    Минобороны обвинило питерское издание «Фонтанка.ру» в публикации личных данных сбитого в Сирии пилота. В «Фонтанке» заявляют, что свободный доступ к этой информации — крупная ошибка самого ведомства. Причиной конфликта стала статья, в которой журналисты «Фонтанки» выявили уязвимость на сайте Минобороны. Зная личный номер и дату рождения военного, можно легко узнать информацию о его зарплате, должности и месте службы. Почему личные данные российских военных оказались в открытом доступе и кто несет за это ответственность, выяснял Александр Ляпин.

    Редакция «Фонтанки» продемонстрировала изъян в системе Минобороны на примере пилота штурмовика Су-25 Романа Филипова, который 3 февраля погиб в Сирии при выполнении боевого задания. С помощью всего лишь личного номера и даты рождения пилота они спокойно вошли в аккаунт Филипова и получили доступ к его личной, в том числе финансовой, информации. Из нее, в частности, следует, что майор Филипов получал чуть более 100 тысяч руб. в месяц, то есть меньше, чем рядовой боец частной военной кампании.

    В Министерстве обороны этот материал «Фонтанки» вызвал бурю негодования. В ведомстве заявили, что издание нарушает элементарные понятия журналистской этики и пригрозили ему «правоохранительными органами». Но, по мнению автора материала Дениса Короткова, министерство просто хочет отвлечь внимание от собственной серьезной ошибки: «Я не понимаю этого выпада Министерства обороны. Наш материал был не о майоре Филипове, который погиб, выполняя свой воинский долг, наш материал был о совершенно явной дыре на сайте Министерства обороны, которая при определенных условиях позволяет узнавать персональные данные военнослужащих. Абсолютно очевидно, что фамилию и имя погибшего пилота распространило Министерство обороны. Более того, еще перед выходом релиза Минобороны были распространены и другие его персональные данные, но это ведомство не волнует, их интересует только то, что им показали на дырку в сайте. И эта страница, насколько я понимаю, сейчас по-прежнему открыта».

    Личные кабинеты военных на сайте Минобороны являются частью централизованной базы данных «Алушта». Ее созданием ведомство начало заниматься около 10 лет назад, и с тех пор сменилось уже несколько разрабатывающих ее фирм-подрядчиков. По данным портала «Госзакупки», в 2017 году ведомство заключило контракт на ввод в эксплуатацию «Алушты» на сумму 173 млн руб.

    Эксперты отмечают, что база данных министерства удобна с пользовательской точки зрения, но очень уязвима в плане безопасности. По мнению генерального директора агентства разведывательных технологий «Р-Техно» Романа Ромачева, система авторизации на сайте ведомства безнадежно устарела: «Систему эту разрабатывали достаточно давно, и, возможно, на данный момент никто не занимается обновлением, никто не занимается усовершенствованием системы безопасности. Лет пять назад подобная аутентификация имела место быть, а исходя из нынешних реалий, из нынешних систем безопасности, из закона «О персональных данных», она достаточно слаба. Что касается журналистов «Фонтанки» — я уверен, что они не нарушали никаких законов, они вошли в открытую дверь, где для входа достаточно было ввести данные, которые можно получить в открытых источниках. Любая информационная система должна со временем совершенствоваться — как мы видим, здесь достаточно слабое место.

    В редакции «Фонтанки» подчеркивают, что слабая защита сайта Минобороны дает дополнительные бонусы потенциальному врагу. Ведь информацию, необходимую для попадания в базу данных ведомства, можно получить, например, из документов взятого в плен российского бойца. В случае с майором Филиповым так и вышло — его личный номер в интернете опубликовали убившие его боевики.

    В 2013 году в СМИ обсуждался другой скандал, связанный с проникновением в базу данных Министерства обороны «Алушта». Тогда один из сотрудников ведомства вносил изменения в хранящийся в базе реестр недвижимости. Он смог вывести из фондов Минобороны семь квартир и продал их через своих соучастников третьим лицам.

    "Коммерсантъ FM" от 06.02.2018, 20:57

     Авторы: Александр Ляпин

    https://www.kommersant.ru/doc/3541158

    No tags added.