Утечка персональных данных из московских МФЦ

    Все СМИ уже успели раструбить о страшной утечке персональных данных из московских многофункциональных центров предоставления государственных и муниципальных услуг (МФЦ) «Мои Документы».



    Давайте попробуем разобраться в ситуации…


    Издание Коммерсантъ, обнаружившее утечку пишет: Как выяснил “Ъ”, местом утечки персональных данных вполне могут стать многофункциональные центры (МФЦ). В каждом МФЦ есть компьютер общего пользования, подключенный к сканеру. И любой посетитель МФЦ может самостоятельно его использовать, например, для загрузки копий документов на портал госуслуг. Сотрудники “Ъ” проверили ряд МФЦ в Москве и выяснили, что на этих компьютерах в общем доступе хранятся сотни разных документов: копии паспортов, СНИЛС, анкет с указанием мобильных телефонов, реквизитов счетов в банках. Хозяева документов, воспользовавшись общим компьютером, забыли удалить файлы, сотрудники МФЦ также не озаботились этим. Скан-копии любой желающий может скачать на внешний носитель (флешку) или же отправить себе по почте.


    Руководство МФЦ Москвы немедленно выступило с официальным опровержением: Компьютеры в зоне электронных услуг не имеют полного доступа к интернету, на них возможно использование только ограниченного числа сайтов: порталов для предоставления государственных услуг, официальных сайтов Правительства Москвы. Зона электронных услуг - это один из сервисов центров "Мои Документы" города Москвы, с помощью которого можно полнее ознакомиться с предоставляемыми государственными услугами. Зона электронных услуг организована в соответствии с Постановлением Правительства Российской Федерации от 22.12.2012 № 1376. Компьютеры находятся в общем пользовании, и ими может воспользоваться любой желающий. Однако некоторые заявители при использовании компьютеров оставляют на них скан-копии документов, личные данные. Мы в очередной раз настоятельно просим жителей внимательнее относиться к своим персональным данным и не оставлять важные документы на компьютерах общего пользования. Кроме того, администраторы центров госуслуг Москвы, согласно внутренним правилам, раз в день очищают рабочий стол и корзину компьютеров.


    В общем, очевидно несколько вещей:


    • Люди совершенно не задумываются о сохранности своих персональных данных вообще и документов в частности. Для нас, давно работающих в сфере безопасности данных, это прописная истина и на наш взгляд пытаться взывать к сознательности граждан в этих вопросах, дело безыдейное. Нужны технические меры.
    • МФЦ следовало не ограничивать доступ к интернету, а озаботиться элементарной процедурой очистки дисков после завершения гостевой рабочей сессии. Для этого есть много способов – от самописных скриптов, очищающих определенные папки, до специализированного ПО класса Reboot to Restore (например, Deep Freeze)
    • На рынке защиты данных полно псевдо-экспертов, немедленно вылезших и заявивших о том, что именно вот так персональные данные и сканы документов попадают на черный рынок. Это было бы слишком просто, будь это правдой. Ходить и копировать забытые пользователями сканы паспортов и СНИЛС с общих компьютеров по всем МФЦ, в бизнесе, где торгуют большими обьемами данных, никто не будет. Там совсем другие источники получения персональных данных.

    Скоро у нас выйдет обзор текущей ситуации с персданными на черном рынке. Stay tuned как говорится. Будет жарко.

    Devicelock DLP

    330,00

    Российский производитель полноценных DLP-систем

    Поделиться публикацией
    Комментарии 25
      +2

      Подтверждаю. Месяц назад был в подмосковном МФЦ, всё так и есть — сканы всевозможных документов на рабочем столе, в моих документах и где ещё хватит фантазии.
      Правда, сегодня заходил ещё раз — всё чисто. Значит, периодически чистят. Или просто компьютер из образа восстанавливают.

        0
        Ни разу не пользовался МФЦ и стало любопытно. Там просто рабочий стол с ярлыками или какое-то подобие kiosk-mode с выбором определённых действий, из которого можно сделать ctrl+shift+esc — run — cmd?
          +1
          За МФЦ не скажу, но неоднократно пользовался общими компьютерами в налоговой, ну нету у меня сканера и принтера.
          Там полный простор действий. Сайты не блокированы, делай что хочешь. Проверял заходом на домен своей почты.
          При открытие хрома мне предложили около 10 аккаунтов, на выбор, беспечных пользователей, которые забыли выйти из gmail.
          И весь компьютер был «завален» сканами документов и заполненными бланками, которые прямо в налоговой, можно заполнить под надзором консультанта.
            0

            Рабочий стол с ярлыками. Учётка, правда, в правах зарезана, лишние пункты меню убраны. Но браузер открывается свободно. Сайты, по-моему, не блокируются. Очень похоже на то, как edejin рассказывает про налоговую.

              +1

              Даже там, где ограничение на посещаемые сайты стоит, она обходится элементарно. Проверка идет на прокси простейший регуляркой. И пропускает всё, что начинается на pgu.mos.ru.
              Включая pgu.mos.ru.webproxy.ru

                0
                У нас (подмосковье) там некий вариант линукса (судя по всему, отечественный). Пользователь был user:user, ну, я со скуки и решил попытаться сделать root:root. Ви таки не поверите…
                0
                Правда, сегодня заходил ещё раз — всё чисто
                Конечно — новость то во всех СМИ. Все МФЦ на уши подняли, сказали чистить.
                +5
                Как же хорошо, что наши компетентные органы так доблестно защищают наши персональные данные от пронырливых ЦРУ и АНБ.
                  0

                  Представил себе картину, когда ЦРУ-шник ходит по МФЦ и с рабочего стола на флешку копирует данные наших граждан злобно хихикая.

                    0
                    Злобному ЦРУ-шнику достаточно будет один раз пройтись по всем компьютерам и установить вредоносное ПО, которое само будет сливать все документы ещё до того, как их удалят. И даже если там заклеены USB и закрыт доступ в большой Интернет, то он сможет принести и унести файлы через вложения на том же портале госуслуг, замаскировав их под документы.
                  0
                  Кроме того, администраторы центров госуслуг Москвы, согласно внутренним правилам, раз в день очищают рабочий стол и корзину компьютеров.
                  Т.е. каждый день некий администратор имеет неконтролируемый доступ к этим данным. Хорошая у него коллекция может собраться за месяц другой.
                    +1
                    > неконтролируемый доступ к этим данным

                    Администратор такой же сотрудник МФЦ, как и оператор, принимающий документы. Причем операторы могут друг другу перенаправлять документы (как именно — не знаю, возможно, просто общий доступ на все). А еще куча людей в МФЦ, банках, и самых разных других учреждениях ходит мимо полок с бумажными документами, и любой может взять документ и копировать сколько угодно.

                    В общем, бояться именно администратора стоит разве что из-за того, что тут нечестный сотрудник может скопировать себе сразу много чужих документов.
                    0
                    В школах с 1 класса учат компьютером пользоваться. Некоторых ещё потом в университетах. И вот результат. Не удивлюсь, если ещё и сессию никто не завершает. А если кому-то вздумается на заборе номер паспорта нацарапать — на этот случай у каждого забора должен полировщик стоять?
                    С другой стороны, действительно, ведь есть же спец. ПО, киоски там всякие. Ведь систему для МФЦ кто-то разрабатывал, какие-то эксперты проверяли, принимали работу. И вот результат. А ведь тоже учились в школе, в университетах.
                      +1
                      А вот это очень интересный вопрос. У банкомата обычно никто не задумывается. Стоит солидная такая железка обычно в солидном месте. А кто, как и когда его программировал, какие там навешаны скиммеры-шиммеры — это простому обывателю в большинстве глубоко фиолетово. Карту автомат принял, деньги выдал — всё ж нормально!
                      Ну вот и к МФЦ такое же отношение — «солидная контора, наверняка ж всё продумано». У многих уже ПК/ноутбуков дома нет, только игровые приставки и планшеты/телефоны, какой там windows — всё в новинку…
                        0
                        Ладно в школе, я студентам, которые учатся на специальности «Вычислительные машины системы и сети» периодически напоминаю, что бы они пользовались режимом инкогнито на учебных машинах… Некоторые вообще доходят до того, что хром свой авторизуют на этих машинах. И это вроде как будущие ИТишники, а тут от простых граждан хотят, что бы они следили за своими файлами. P.S. На компах раньше стояла SteadyState хорошо подходит для использования в таких проходных местах.
                          0

                          Так может вам заменить все ярлыки хрома на ярлыки запуска хрома изначально в режиме инкогнито? Тогда и проблем не будет изначально.

                            0
                            В данном случае пусть учатся сами заботится о своих данных, как говорили великие: «Если хочешь помочь голодному, дай ему не рыбу, дай удочку»… А вот в каком-нибудь МФЦ это было бы актуально.
                              –2
                              дай ему не рыбу, дай удочку
                              Не так. Скорее ситуация такая: голодные рыбаки идут по пояс в море, но они не знают, что каждые 24 часа в любой момент может возникнуть волна, которая унесёт их в море. И так регулярно гибнут рыбаки. И вот вместо того, чтобы ходить и каждому говорить «берегись волны», лучше построить им пирс, чтобы у них даже мысли не было заходить в воду.
                              +1
                              Изначальная проблема не в том, что настройки компа позволяют запустить хром в обычном режиме. А в том, что в головах будущих айтишников отсутствуют понятия о том, как нужно себя вести на публичном ПК. Ну позапретят там всё подряд. А проблема в головах всё равно останется.
                          0
                          Такие системы должны быть по принципу вкл-выкл. Надо воспользоваться нажал кнопочку -получил возможность работы, вышел из сеанса или длительное бездействие — всё очистилось. Нет ничего более проблемного чем регулярные работы по очистке поэтому такие работы сотрудники игнорируют, а значит всё должно быть автоматизировано. Стартаперы спят, а ведь это идеальная ниша и клиент уже озвучен — разрабатывай ОС ориентированную на одноразового гостя.
                            0
                            в целом все так, но все уже изобретено. в статье дана ссылка на вики и даже пример софта приведен.
                              0
                              Linux с простым (возможно тайловым) wm, который настроен на автозапуск одного приложения — сканера с возможностью пересылки и последующий выход из системы с удалением ~.
                              0
                              Просто надо было ставить Ubuntu и разрешать только гостевые сессии — они там из коробки с самоуничтожением всех пользовательских данных на выходе. За одно и гуи можно было бы на одном приложении залочить — на браузере.

                              Правда нужно признать — по железу (тем же сканерам и принтерам) совместимость может потребовать плясок с бубном…

                              … а также нужно признать что даже подчистка данных на выходе из гостевой сессии не гарантирует что люди будут выходить из своих сессий… и тут на ум приходит железное решение — детектор какой-то — если у компа никого нет то автоматом разлогиневаем. Т.е. если с умом к задаче таких публичных компов подойти, то все в принципе реализуемо… но нужне же с умом…
                                0
                                Да тут даже на windows достаточно простого перенаправления профиля в %ramdrive% (чтобы создавался быстро и при перезагрузке гарантировано всё потёрлось), пользователю выдать права guest и установить idle timeout для сессии в 1-2 минуты с принудительной очисткой профиля при выходе. Но это ж заморачиваться надо, а тут столько времени «всё работало» и тут неожиданно пришли журналисты-кулхацкеры…
                                +1
                                Работая в провинциальном ФКУ «Налог-Сервис» устроил «автоочистку» рабочего стола, папки пользователя и папки загрузок по расписанию каждый час при помощи forfiles.exe
                                На рабочем столе и вокруг рабочей станции пердупреждения для пользователей об удалении персональных данных.
                                Завершать сессию и ребутать/выключать компы в конце рабочего дня сложно заставить даже сотрудников НО не говоря уже о «гостях».
                                Установка Linux на гостевых компах невозможна, поскольку используется специфический Виндовый софт для заполнения деклараций, подачи разного рода заявлений и прочего.

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое