Comments 48
Проблема сервиса, что вообще нет проверки данных при регистрации и разрешается свободная регистрация.
Вы должны были отписать об ошибке в сам сервис, а не тут выкладывать.
UPD: Да вы отписали, но выкладывать баг тут все же было не хорошо. Есть и другие органы, куда стоило сообщить о баге.
Есть и другие органы, куда стоило сообщить о баге.
Спортлото?
Ну как минимум там вопрос по линии 152-ФЗ, а это Роскомнадзор. Плюс я думаю данной информацией заинтересовались бы и другие курирующие органы. Проблема очень серьезна и самое последнее, что можно было придумать, так это ждать 6 месяцев, а потом опубликовать на хабре. Он хоть не торт. Но считайте, что информацией владеют уже все. И сотни скрипкидисов парсят данные.
Роскомнадзор такой ерундой не занимается.
Я туда обращался. И вот какая вышла история (выдержка из дневника):
Итак, проблема: СПб, лето 2019 года, проект "Арт-парк". Народное голосование по поводу "как назвать парк". У нас делали это самое голосование, а с Фонтанки поставили туда ссылку.
2020 год, сентябрь. Нам пишут в духе "почему вы наркотиками торгуете?". Начинаем выяснять, почему...
Оказывается, ссылка с Фонтанки на сайт Арт-Парка до сих пор жива, но вот проект давно взмёр. Разумеется, прежние хозяева забыли оплатить домен и его немедленно выкупили нехорошие люди. И поставили оттуда инстант редирект на один из сайтов гидры.
Ну вы поняли, ага? Мы, конечно, ссылку убрали. А я в рамках программы "инициатива наказуема" пошел разбираться с доменом.
Зареган домен в рег.ру. Звоню в рег.ру. "Да, да, мы все понимаем, видим, что идет редирект на сайт наркотиков, рады бы разделегировать домен, но не можем. Только по суду. Но вы вот обратитесь в роскомнадзор, а они в суд подадут. Обычно решается все за пару дней"
Ладно, думаю, раз у меня такое
шило в жопеактивная гражданская позиция - пойду в РКН.Пришел. С трудом продрался через UX, созданный, кажется, так, чтобы люди побыстрее ушли в ужасе... заполнил жалобу-заявку с подробным, насколько получилось в 500 символов, разъяснением проблемы. Да, и проблему упомянул, и редирект, и рег.ру.
Через неделю приходит ответ в духе "Ваша заявка была отклонена потому, что с сайта идет редирект на другой сайт".
Йомаё, я именно об этом и пишу...
А казалось бы, прямая обязанность РКН банить такое. Но нет-с...
Эти «органы» только не к месту возбуждаются.
Роскомнадзор
Просто оставлю этот здесь: admin.rkn.gov.ru
Есть и другие органы, куда стоило сообщить о баге.Я так понял, у автора имеются вопросы к данным органам не о баге.
Ну тут даже с моей точки зрения я вижу, что там какой то идиотизм уровня говнокода, мелких говноконтор. Причем просчет уже на уровне ТЗ. Я лично бы под угрозой увольнения не стал бы ни реализовывать, ни запускать проект с такими очевидными косякомя.
Впрочем тут сам проект вызывает массу вопросов. Это просто позор какой-то. Тут в пору заинтересоваться как приняли такую работу, сколько денег потратили и не было ли тут расспила.
И вы правы, скорее всего там много багов, которые позволяют получить персональные данные.
Как я понял из гугла, большую часть тендеров выигрывает ООО "Государство детей". Но я первый раз слышу про эту контору и там работает 12 человек, то есть они выигрывают тендер и нанимают суб-подрядчиков уже без тендера/госконтракта. Это как я понял.
Ссылка из гугла
Потратил немного времени на "гугление".
Так как на основном сайте что-то идет не так, нашел https://dopportal.ru/
Там указано: АИС «Региональный навигатор дополнительного образования"
Раз АИС, то это это государство. Раз государство, то госзакупки.
ИНН указан на самом сайте: ООО "Государство Детей" ИНН 7718989746
Идем на госзакупки, вбиваем участника с указанным ИНН, выдачу сортируем по дате размещения с самого раннего и анализируем одну секунду.
Вот этот аукцион. Единственный участник победил с предложением 8 716 250,00 ₽. Стартовая цена была 9 175 000,00 ₽
Судя по всему, ООО "Государство Детей" связано с ООО "Образовательные технологии". Адреса (129085, г. Москва, Звездный Бульвар, д. 19, стр. 1 ) совпадают, телефоны тоже, плюс есть отсылка на сайте.
Если интересно, то можно посмотреть на суммы аукционов, в которых участвует ООО "Государство Детей" и ООО "Образовательные технологии".
Я не совсем в курсе про объемы работ и их стоимость на рынке, но цифры радуют глаз.
Ну там реально большой объем работ. Но думаю субподрядчики получили раза в 2 меньше денег. Причем опыт говорит о том, что и те могли привлекать сторонних разработчиков. Отсутствие адекватного контроля и "эффективный" менеджмент привел к таким вот результатам. Причем я бы не сказал, что плохо сделано. Надо разбирать работу. Но тут явно были проблемы с управлением проектом.
Некое время назад (примерно полгода) со стороны нашего правительства (министерства образования) поступил “приказ”, что мол необходимо чтоб все родители записывали своих детей на кружки через “навигатора”. Участь не обошла и меня, надо записывать.
Хм, странный вывод… я бы послал на 3 известные буквы с таким «приказом», и это не TLS ;)
С учетом того, что такие сайты есть у всех регионов и всех родителей школьников заставили там ввести данные, у кого то(кроме государства) есть хорошая база :(
ппц, подтверждаю. смог повторить то же самое по своему региону
посмотрим что ответят
А не могут за неправомерный доступ привлечь? Я б не рискнул сообщать.
По сути ничего не ломали и доступ предоставлен ими официально.
Ао сути да, но мы же знаем, как у нас могут всё перевернуть. Поэтому и не рискнул бы. Напишите потом по результатам, когда ответят.
Если не напишу ответ в течение 30 дней, вы знаете где меня искать
Как раз таки найти вас будет достаточно сложно при таком раскладе...
Сегодня получил итоговый ответ. Напишу хронологию:
8.09.2021 я отправил обращение в прокуратуру.
5.10.2021 получил от них ответ, что письмо перенаправили в Министерство цифрового развития
7.10.2021 минцифры отписались, что получили письмо
7.10.2021 Роскомнадзор прислал уведомление о регистрации обращения
21.10.2021 Генпрокуратура переслала ответ от Роскомнадзора мне. Вот сам текст:
Возможность несанкционированного доступа к персональным данным пользователей АИС отсутствует.
Для зарегистрированных в АИС организаций поставщиков услуг ограничен функционал, позволяющий найти данные субъекта персональных данных только по конкретному запросу, по данным известным поставщику услуг. Результат выдачи ограничен 5 (пятью) записями, для защиты от перебора данных.
Таким образом, доводы о возможности получения доступа к персональным данным пользователей АИС методом перебора данных не подтверждены.
Что могу сказать:
Да, там выводили по 5 записей, но перебирая буквы в полях ФИО, можно было подобрать все данные. Выше даже curl показали. Ну и с другой стороны, эти 5 записей не являются персональными данными? Вроде в законе не прописано, что можно потерять до N записей. Т.е. банальная отписка, что у нас все хорошо.
После того как написал обращение в прокуратуру, на сайте навигатора оставил сообщение, что у них дыра в безопасности, и что обращение оставлено. Возможно из за слова прокуратура они быстро среагировали. На следующий день был закрыт доступ к аккаунту, а потом и регистрацию убрали полностью. Через некоторое время регистрацию вернули, но апи поиска детей закрыли полностью. Сейчас регистрация закрыта, выдает такую ошибку Запрещена регистрация: in /base/app/www/protected/modules/navigatorPartners/components/forms/NavigatorPartnerRegisterForm.php at line 24
Что можно сделать на месте разработчиков сайта:
Исходить из того, что вся база у них может быть слита каким то образом. Поэтому лучше удалить всю ненужную информацию, такие как номер телефонов родителей, адрес проживания. Тогда после слива, людям будет нанесен минимальный ущерб.
Сейчас у кого есть доступ к сайту, могут так же продолжать получать всю информацию о детях. Поэтому надо поменять логику работы. Например организация может видеть только тех детей, кто к ним записан. Для этого родители, классные руководители или кто то еще заходит под ником ученика и отмечает организацию, тем самым дает согласие на обработку.
Расскажете об этом товарищу майору.
Иногда я мечтаю, что будет опенсорсный набор обязательных шаблонов "Сайт госучреждения": больница, школа, вуз, МФЦ, кого там ещё обязали завести сайты? И всё это будет хоститься в ведомственном государственном датацентре и поддерживаться одним отделом. Безобразно, зато единообразно, понятно, кто крайний, и не требуются непрофильные затраты и специалисты.
А как тогда кормиться?
Когда 60+ процентов экономики - это государство, наличие таких шаблонов просто оставит без работы кучу простых людей и чиновников без денег.
П.С. 3 млн в конторку из которых половина небось откат - это совсем немного так-то.
Да, но сайт будет открываться только в Internet Explorer, а авторизация - через флешку для Windows XP.
Единый гос сайт в котором можно выбрать(желательно однажды, но с возможностью быстро сменить) регион/город/район и будут ссылки на все гос учреждения актуальные для гражданина странички. С авто подтягиванием всех нужных данных из учётки госуслуг.
Главное делать с резервированием/защитой для устойчивости к падениям/перегрузкам/атакам.
Главное делать с резервированием/защитой для устойчивости к падениям/перегрузкам/атакам.
Как показывает практика электронной трудовой, с автоматикой, резервированием и устойчивостью как-то не получается. Так что дуракоустойчивость проще поддерживать отдельными сайтами, выбор региона вручную, а подтягивание и авторизацией уже при общении с учреждением, например, при записи к врачу.
Авторы комментариев тоже хайпожоры? С электронной медкартой я лично неоднократно влетал, так что для всего критичного имею бумажную копию.
Сколько раз у меня теряли бумажную мед карту и соотв историю, я уже и не упомню.
Электронная, при наличии адекватной реализации безопасности всё же лучше и удобней.
Да, но для суда и прочего забега по инстанциям бумага является хорошим доказательством. Знаете, отвести пару полок шкафа под архив и снимать копии документов совсем недорого. Кстати, медкарту тоже можно попросить на руки (целиком, копию или выписку) при переходе между больницами.
С реализацией надёжности и безопасности проблема в первую очередь организационная, а государство не боится репутационных потерь и иммунно к финансовым, так что надеяться, что государство или иной монополист сделает хорошо хотя бы со второго раза - неумеренный оптимизм. Всё-таки когда у проблемы есть конкретное ФИО жить значительно проще.
А с бумажной не заверенной копией вас органы пошлют точно так же. Можно запрашивать электронную выписку периодически(в госуслугах так к примеру можно электронную выписку из трудовой сделать). И она даже будет заверена цифровой подписью и иметь какую то юридическую силу.
Если фирма в которой вы работали сделала запись в трудовой, но не платила за вас отчисления, то никакой суд не поможет.
Это да, но обычно при увольнении выдаётся комплект справок, в том числе 2-НДФЛ, чтобы сколь-нибудь оперативно проверить факт отчислений.
А с бумажной не заверенной копией вас органы пошлют точно так же.
Не спорю, делаю их для предоставления туда, где не нужна заверенная, результатов анализов, например.
Да и проверить отчисления проще на сайте налоговой. Но мало кто это делает, а многие не знают/умеют.
Можно, но надо знать про существование такой штуки :) А при увольнении выдавать должны даже тем, кто в налоговых делах ни бум-бум, и тут для повышения финансовой грамотности достаточно спросить "ачтоэта?" :)
EDIT кстати, при оформлении возвратов за лечение налоговая упорно хочет скан бумажного 2НДФЛ, вместо того чтобы подсосать его из своей базы.
Я не так давно менял прописку, так в МФЦ понадобился только паспорт, остальные документы подтянулись из госуслуг.
1. Скачиваем его в виде pdf
2. Отравляем этот pdf им же
3. Gescheft!
Работаю в допобразовании и этот проект "Навигатор" давно знаком. Этот портал присутствует во многих регионах, в некоторых есть своя разработка, но в большинстве своем это именно то, что представлено в статье. Выше в комментариях указывали организации, которые этот продукт "изготавливали" - тоже все так и есть. Их представитель ездит по регионам и ведет работу с навигатором. Вопросов, конечно, к навигатору много, но то, что здесь описано - это только верхушка айсберга, навигатор сделан не только и не столько для удобства родителей и детей, а для построения финансирования дополнительного образования. За каждым ребенком закрепляется сертификат (на год) с определенной суммой (определяемой муниципалитетом, не регионом), этой суммы должно хватить (не хватает, на самом деле) для обучения на одном кружке. В свою очередь, это финансирование распределяется на сами учреждения. Вопрос с безопасностью поднимался не раз, но очень быстро закрывался. В настоящее время, кстати, практически все образовательные организации зарегистрированы в РКН в качестве операторов ПД и именно они, подтверждают СНИЛСы поступающих ребят, то есть, выступают и оператором сей системы в рамках своего района.
А я считаю, что автор прав, что опубликовал данную статью!
Если администрация сайта, которой сообщили о проблеме не приняла меры. Если те, кто выделяют деньги на создание подобных сайтов НЕ контролируют работы и не понимают КАК принимать подобные проекты. Если "партия сказала надо, комсомол ответил да"! То лучшее решение - привлечение общественного внимания к проблеме!
Было бы идеально, если после публикации статьи каждый родитель, зарегистрировавший ребенка в этой системе, прошел бы процедуру, описанную в статье, получил бы данные своего ребенка, а может и не только своего и подал бы жалобу в РКН и заявление в суд о нарушении Закона о персональных данных! Юрлицам, коем является администрация данного сайта, довольно приличные штрафы светят!
А если "несчастные бабушки и дедушки", которые работают в администрации ресурса в силу возраста или образования или опыта или чего-угодно не способны выполнять свою работу в соответствии с Законом, то, простите, не свое место занимают!
Автор, спасибо от души! Надеюсь хотя бы сейчас хоть кто-то ответственный обратит внимание на эту проблему! Ведь, полагаю на сайтах других регионов проблема та же самая и есть возможность получить данные детей из любых регионов!
Где найти персональные данные детей и их родителей?