Все СМИ уже успели раструбить о страшной утечке персональных данных из московских многофункциональных центров предоставления государственных и муниципальных услуг (МФЦ) «Мои Документы».
Давайте попробуем разобраться в ситуации…
Издание Коммерсантъ, обнаружившее утечку пишет: Как выяснил “Ъ”, местом утечки персональных данных вполне могут стать многофункциональные центры (МФЦ). В каждом МФЦ есть компьютер общего пользования, подключенный к сканеру. И любой посетитель МФЦ может самостоятельно его использовать, например, для загрузки копий документов на портал госуслуг. Сотрудники “Ъ” проверили ряд МФЦ в Москве и выяснили, что на этих компьютерах в общем доступе хранятся сотни разных документов: копии паспортов, СНИЛС, анкет с указанием мобильных телефонов, реквизитов счетов в банках. Хозяева документов, воспользовавшись общим компьютером, забыли удалить файлы, сотрудники МФЦ также не озаботились этим. Скан-копии любой желающий может скачать на внешний носитель (флешку) или же отправить себе по почте.
Руководство МФЦ Москвы немедленно выступило с официальным опровержением: Компьютеры в зоне электронных услуг не имеют полного доступа к интернету, на них возможно использование только ограниченного числа сайтов: порталов для предоставления государственных услуг, официальных сайтов Правительства Москвы. Зона электронных услуг - это один из сервисов центров "Мои Документы" города Москвы, с помощью которого можно полнее ознакомиться с предоставляемыми государственными услугами. Зона электронных услуг организована в соответствии с Постановлением Правительства Российской Федерации от 22.12.2012 № 1376. Компьютеры находятся в общем пользовании, и ими может воспользоваться любой желающий. Однако некоторые заявители при использовании компьютеров оставляют на них скан-копии документов, личные данные. Мы в очередной раз настоятельно просим жителей внимательнее относиться к своим персональным данным и не оставлять важные документы на компьютерах общего пользования. Кроме того, администраторы центров госуслуг Москвы, согласно внутренним правилам, раз в день очищают рабочий стол и корзину компьютеров.
В общем, очевидно несколько вещей:
- Люди совершенно не задумываются о сохранности своих персональных данных вообще и документов в частности. Для нас, давно работающих в сфере безопасности данных, это прописная истина и на наш взгляд пытаться взывать к сознательности граждан в этих вопросах, дело безыдейное. Нужны технические меры.
- МФЦ следовало не ограничивать доступ к интернету, а озаботиться элементарной процедурой очистки дисков после завершения гостевой рабочей сессии. Для этого есть много способов – от самописных скриптов, очищающих определенные папки, до специализированного ПО класса Reboot to Restore (например, Deep Freeze)
- На рынке защиты данных полно псевдо-экспертов, немедленно вылезших и заявивших о том, что именно вот так персональные данные и сканы документов попадают на черный рынок. Это было бы слишком просто, будь это правдой. Ходить и копировать забытые пользователями сканы паспортов и СНИЛС с общих компьютеров по всем МФЦ, в бизнесе, где торгуют большими обьемами данных, никто не будет. Там совсем другие источники получения персональных данных.
Скоро у нас выйдет обзор текущей ситуации с персданными на черном рынке. Stay tuned как говорится. Будет жарко.
Комментарии (21)
DreamChild
17.11.2018 00:09+5Как же хорошо, что наши компетентные органы так доблестно защищают наши персональные данные от пронырливых ЦРУ и АНБ.
Ilyasyakubov
17.11.2018 10:21Представил себе картину, когда ЦРУ-шник ходит по МФЦ и с рабочего стола на флешку копирует данные наших граждан злобно хихикая.
DarkByte
17.11.2018 12:17Злобному ЦРУ-шнику достаточно будет один раз пройтись по всем компьютерам и установить вредоносное ПО, которое само будет сливать все документы ещё до того, как их удалят. И даже если там заклеены USB и закрыт доступ в большой Интернет, то он сможет принести и унести файлы через вложения на том же портале госуслуг, замаскировав их под документы.
Igor_Shumilov
17.11.2018 00:28Кроме того, администраторы центров госуслуг Москвы, согласно внутренним правилам, раз в день очищают рабочий стол и корзину компьютеров.
Т.е. каждый день некий администратор имеет неконтролируемый доступ к этим данным. Хорошая у него коллекция может собраться за месяц другой.slonpts
17.11.2018 02:08+1> неконтролируемый доступ к этим данным
Администратор такой же сотрудник МФЦ, как и оператор, принимающий документы. Причем операторы могут друг другу перенаправлять документы (как именно — не знаю, возможно, просто общий доступ на все). А еще куча людей в МФЦ, банках, и самых разных других учреждениях ходит мимо полок с бумажными документами, и любой может взять документ и копировать сколько угодно.
В общем, бояться именно администратора стоит разве что из-за того, что тут нечестный сотрудник может скопировать себе сразу много чужих документов.
andyudol
17.11.2018 01:32В школах с 1 класса учат компьютером пользоваться. Некоторых ещё потом в университетах. И вот результат. Не удивлюсь, если ещё и сессию никто не завершает. А если кому-то вздумается на заборе номер паспорта нацарапать — на этот случай у каждого забора должен полировщик стоять?
С другой стороны, действительно, ведь есть же спец. ПО, киоски там всякие. Ведь систему для МФЦ кто-то разрабатывал, какие-то эксперты проверяли, принимали работу. И вот результат. А ведь тоже учились в школе, в университетах.Digriz
17.11.2018 02:14+1А вот это очень интересный вопрос. У банкомата обычно никто не задумывается. Стоит солидная такая железка обычно в солидном месте. А кто, как и когда его программировал, какие там навешаны скиммеры-шиммеры — это простому обывателю в большинстве глубоко фиолетово. Карту автомат принял, деньги выдал — всё ж нормально!
Ну вот и к МФЦ такое же отношение — «солидная контора, наверняка ж всё продумано». У многих уже ПК/ноутбуков дома нет, только игровые приставки и планшеты/телефоны, какой там windows — всё в новинку…
Fandir
17.11.2018 15:04Ладно в школе, я студентам, которые учатся на специальности «Вычислительные машины системы и сети» периодически напоминаю, что бы они пользовались режимом инкогнито на учебных машинах… Некоторые вообще доходят до того, что хром свой авторизуют на этих машинах. И это вроде как будущие ИТишники, а тут от простых граждан хотят, что бы они следили за своими файлами. P.S. На компах раньше стояла SteadyState хорошо подходит для использования в таких проходных местах.
TimsTims
17.11.2018 17:06Так может вам заменить все ярлыки хрома на ярлыки запуска хрома изначально в режиме инкогнито? Тогда и проблем не будет изначально.
Fandir
17.11.2018 17:21В данном случае пусть учатся сами заботится о своих данных, как говорили великие: «Если хочешь помочь голодному, дай ему не рыбу, дай удочку»… А вот в каком-нибудь МФЦ это было бы актуально.
TimsTims
17.11.2018 21:19дай ему не рыбу, дай удочку
Не так. Скорее ситуация такая: голодные рыбаки идут по пояс в море, но они не знают, что каждые 24 часа в любой момент может возникнуть волна, которая унесёт их в море. И так регулярно гибнут рыбаки. И вот вместо того, чтобы ходить и каждому говорить «берегись волны», лучше построить им пирс, чтобы у них даже мысли не было заходить в воду.
ptica_filin
17.11.2018 17:41Изначальная проблема не в том, что настройки компа позволяют запустить хром в обычном режиме. А в том, что в головах будущих айтишников отсутствуют понятия о том, как нужно себя вести на публичном ПК. Ну позапретят там всё подряд. А проблема в головах всё равно останется.
GentooOM
17.11.2018 19:55Такие системы должны быть по принципу вкл-выкл. Надо воспользоваться нажал кнопочку -получил возможность работы, вышел из сеанса или длительное бездействие — всё очистилось. Нет ничего более проблемного чем регулярные работы по очистке поэтому такие работы сотрудники игнорируют, а значит всё должно быть автоматизировано. Стартаперы спят, а ведь это идеальная ниша и клиент уже озвучен — разрабатывай ОС ориентированную на одноразового гостя.
nberko Автор
17.11.2018 19:55в целом все так, но все уже изобретено. в статье дана ссылка на вики и даже пример софта приведен.
Sly_tom_cat
19.11.2018 11:59Просто надо было ставить Ubuntu и разрешать только гостевые сессии — они там из коробки с самоуничтожением всех пользовательских данных на выходе. За одно и гуи можно было бы на одном приложении залочить — на браузере.
Правда нужно признать — по железу (тем же сканерам и принтерам) совместимость может потребовать плясок с бубном…
… а также нужно признать что даже подчистка данных на выходе из гостевой сессии не гарантирует что люди будут выходить из своих сессий… и тут на ум приходит железное решение — детектор какой-то — если у компа никого нет то автоматом разлогиневаем. Т.е. если с умом к задаче таких публичных компов подойти, то все в принципе реализуемо… но нужне же с умом…
me21
Подтверждаю. Месяц назад был в подмосковном МФЦ, всё так и есть — сканы всевозможных документов на рабочем столе, в моих документах и где ещё хватит фантазии.
Правда, сегодня заходил ещё раз — всё чисто. Значит, периодически чистят. Или просто компьютер из образа восстанавливают.
Digriz
Ни разу не пользовался МФЦ и стало любопытно. Там просто рабочий стол с ярлыками или какое-то подобие kiosk-mode с выбором определённых действий, из которого можно сделать ctrl+shift+esc — run — cmd?
edejin
За МФЦ не скажу, но неоднократно пользовался общими компьютерами в налоговой, ну нету у меня сканера и принтера.
Там полный простор действий. Сайты не блокированы, делай что хочешь. Проверял заходом на домен своей почты.
При открытие хрома мне предложили около 10 аккаунтов, на выбор, беспечных пользователей, которые забыли выйти из gmail.
И весь компьютер был «завален» сканами документов и заполненными бланками, которые прямо в налоговой, можно заполнить под надзором консультанта.
me21
Рабочий стол с ярлыками. Учётка, правда, в правах зарезана, лишние пункты меню убраны. Но браузер открывается свободно. Сайты, по-моему, не блокируются. Очень похоже на то, как edejin рассказывает про налоговую.
dmitryredkin
Даже там, где ограничение на посещаемые сайты стоит, она обходится элементарно. Проверка идет на прокси простейший регуляркой. И пропускает всё, что начинается на pgu.mos.ru.
Включая pgu.mos.ru.webproxy.ru
TimsTims