Документы госорганов «для служебного пользования» попали в сеть. Сериал с утечками конфиденциальной информации в интернет, начавшийся с появления в Сети SMS-абонентов «МегаФона» и МТС, пополнился новой историей. На этот раз в открытом доступе оказались документы российских госорганов с грифом ДСП — для служебного пользования. Оказалось, что они могут быть найдены с помощью популярного поисковика Google. Как и во время предыдущих утечек, чтобы найти эти файлы, нужно было просто воспользоваться специальными поисковыми командами. В данном случае запрос выглядел так — allintitle: для служебного пользования site: gov.ru.
Среди файлов, которые попали в выдачу Google, оказались документы Федеральной антимонопольной службы, Счетной палаты, Минэкономразвития, Федеральной миграционной службы и других ведомств. Документы охватывают период с 2004 по 2010 год. Например, желающие могли прочитать отчет об использовании бюджетных средств на социально-экономические проекты в Татарстане в 2007 году. Другой документ — отчет о торгово-экономическом сотрудничестве России и Марокко с 2006 по 2010 год. Там же есть сводный план проведения плановых проверок юридических лиц и индивидуальных предпринимателей подразделениями ФАС и аналогичный план Ямало-Ненецкого управления ФАС.
В ФАС поспешили заявить, что доступные в Сети документы не раскрывают тайн и более того уже не должны носить грифа ДСП. «С принятием федерального закона РФ от 26 декабря 2008 г. N294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля и муниципального контроля» ФАС России и ее территориальные органы обязаны размещать планы проверок хозяйствующих субъектов на своем сайте», — говорится в размещенном на сайте ФАС сообщении для прессы.
В Федеральной миграционной службе и Счетной палате РФ «Известия» также заверили, что никаких секретов Google не раскрыл. Спокойно на произошедшее отреагировали и в пресс-службе российского представительства Google. «Скорее всего эти дыры существовали и раньше, просто люди нечасто задают поисковику запросы, сформулированные определенным образом», — сказала «Известиям» пресс-секретарь Google Алла Забровская.
Эксперты подтверждают, что возможность доступа к конфиденциальной информации посредством Google существовала и прежде — есть даже термин Google Hacking, то есть взлом с помощью Google.
— Google — самая популярная в мире поисковая система, с ее помощью проще всего находить уязвимости на сайтах, — объяснил Андрей Созыкин, директор IT-компании «Коринф», — У Google более сложный функционал, который дает хакерам информацию о других ресурсах.
Утечка документов с грифом ДСП стала уже четвертой по счету за последние несколько дней. Сначала в поисковую выдачу «Яндекса» попали тексты SMS с сайта «МегаФона», затем — информация о заказах пользователей в интернет-магазинах и электронные железнодорожные билеты пассажиров. Всю эту информацию «Яндекс» почистил, однако специалисты по интернет-разведке говорят, что если знать, как задавать запрос и собственно фамилии нужных людей, то до сих пор можно эти билеты найти.
Эксперты в сфере информбезопасности полагают, что вскрытие нескольких подряд утечек — своего рода цепная реакция: вскрытие «дыр» в информационной защите стало модным занятием.
— Широкая огласка инцидентов с утечками привела к популяризации техник конкурентной разведки и взлома через поисковые системы, раньше это происходило редко, — объясняет ситуацию технический директор компании Positive Technologies Сергей Гордейчик, — Уязвимости, приводящие к утечке информации, содержатся более чем в 50% всех сайтов. Теперь многие пользователи пытаются найти что-то интересное, и это дает результат. По мнению специалистов, в скором времени неминуемы очередные вскрытия.
— Существуют команды, которые позволяют получить несколько тысяч папок с документами на сайте Пентагона. Если покопаться там, можно найти и секретные документы, — рассказал «Известиям» ветеран ФАПСИ Андрей Масалович.
— Подозреваю, что поисковые роботы порой не смотрят на запреты, прописанные в специальных файлах robots.txt., — говорит Масалович, — Все думают, что роботы этичны, а это сказочка — даже если на сайте они находят запрет, но его можно преодолеть, то скорее всего они туда полезут. Защитить от роботов данные на сервере, который смотрит в интернет, очень сложно, поэтому их не надо там хранить. Сериал с утечками конфиденциальных данных может закончиться ужесточением законодательства, регулирующего обращение с информацией. Глава комитета по информационной политике Госдумы РФ Сергей Железняк сообщил вчера журналистам, что комитет намерен рассмотреть возможность законодательного ужесточения ответственности за утечку личной информации.