ИТ-эксперт обвиняет Eesti Interneti SA в утечке личных данных владельцев сайтов
30.09.2011
Недавно проведенная в Эстонии кампания по реформе имен доменов сопровождалась критикой со стороны многих экспертов. Теперь, в дополнение ко всей этой критике еще и выясняется, что произошла утечка личных данных владельцев около 60 000 сайтов, сообщает передача "Очевидец".

Проживающий в Ряпина ИТ-эксперт Тыну Самуэл получил в августе этого года сообщение, что на интернет-сайте virtuaal.ee можно посмотреть личный код и другие данные лиц, являющихся владельцами сайтов.

Тыну Самуэл сам проверил эту информацию и обнаружил, что если в поле поиска задать имя какого-либо сайта для того, чтобы установить, является ли это имя свободным, то помимо информации о том, что такое имя уже используется, можно узнать еще и имя владельца сайта, его личной код, домашний адрес и номер телефона.

Администрированием всех доменных имен, заканчивающихся на .ее, занимается Целевое учреждение Eesti Interneti (Eesti Interneti Sihtasutus - EIS), которое в свою очередь, сотрудничает на договорной основе приблизительно с 40 частными фирмами. Virtuaal.com - одна из них и далеко не самая большая.

Процесс создания нового доменного имени или изменения старого на virtuaal.com очень простой - все можно сделать с помощью нескольких щелчкой мышки. И вполне нормально, когда система сообщает, что такое доменное имя уже занято и показывает имя его владельца. Но в этом конкретном случае дело этим не ограничилось.

По оценке EIS, в данном случае мы имеем дело не с утечкой данных, а с хакерством и воровством данных. Версия члена правления EIS Яака Липпмаа о случившемся диаметрально отличается от версии Самуэля и самое большое свинство, по словам Липпмаа состоит в том, что так называемый эксперт по безопасности Самуэль сделал дальше.

«Я начал проверять, существует ли какая-либо защита. Когда я стал просматривать информацию о сайтах kapo.ee, teabeamet.ee, politsei.ee, juhanparts.ee и т.д., то  должен был появиться какой-то сигнал о том, что кто-то интересуется информацией. Такая защита предусмотрена во многих организациях и когда я делаю такие вещи, то мне звонят и спрашивают : «Что ты делаешь?», - пояснил Самуэл.

EIS: Самуэл — хакер

По словам Липпмаа, не может быть речи о том, что Самуэл просто просматривал информацию и получив данные о паре сайтов, решил проверить, сможет ли он получить информацию о всех владельцах сайтов. "Он еще раньше получил список доменов, по которым он и задавал вопросы, и сделал это не вручную", - сказал Липпмаа. По его словам, это свидетельствует о том, что у Самуэла был план получить всю информацию.

Самуэл не согласен с этим и говорит, что это не было болезненным интересом получить данные людей, он лишь проверял, сработает ли какой-либо механизм защиты, но, этого по его словам, не произошло.

По словам Липпмаа, EIS помешал скачиванию данных Самуэлем в тот момент, когда он этим занимался.

Самуэл в течение двух дней скопировавал данные почти 60 000 владельцев сайтов, в большинстве случаев это были открытые данные как частных владельцев, так и юридических лиц. Но среди них есть и 16 000 частных лиц, которые бы не хотели, чтобы их номера мобильных телефонов и домашний адрес стали общеизвестны. По словам Самуэла, EIS  узнал о том, что происходит лишь после того, как он сам сообщил им о том, какая брешь есть в их защите.

По мнению Самуэла, администритующие фирмы должны отвечать за утечку данных.

Источник
Подпишитесь на полезные статьи. Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними.