Недавно проведенная в Эстонии кампания по реформе имен доменов сопровождалась критикой со стороны многих экспертов.
Теперь, в дополнение ко всей этой критике еще и выясняется, что произошла утечка личных данных владельцев около 60 000 сайтов, сообщает портал rus.err.ee со ссылкой на передачу «Очевидец».
Проживающий в небольшом эстонском городке Ряпина ИТ-эксперт Тыну Самуэл получил в августе этого года сообщение, что на интернет-сайте virtuaal.ee можно посмотреть личный код и другие данные лиц, являющихся владельцами сайтов.
Тыну Самуэл сам проверил эту информацию и обнаружил, что если в поле поиска задать имя какого-либо сайта для того, чтобы установить, является ли это имя свободным, то помимо информации о том, что такое имя уже используется, можно узнать еще и имя владельца сайта, его личной код, домашний адрес и номер телефона.
Администрированием всех доменных имен, заканчивающихся на .ее, занимается Целевое учреждение Eesti Interneti (Eesti Interneti Sihtasutus — EIS), которое в свою очередь, сотрудничает на договорной основе приблизительно с 40 частными фирмами. Virtuaal.com — одна из них и далеко не самая большая.
Процесс создания нового доменного имени или изменения старого на virtuaal.com очень простой — все можно сделать с помощью нескольких щелчков мышки. И вполне нормально, когда система сообщает, что такое доменное имя уже занято и показывает имя его владельца. Но в этом конкретном случае дело этим не ограничилось.
По оценке EIS, в данном случае мы имеем дело не с утечкой данных, а с хакерством и воровством данных. Версия члена правления EIS Яака Липпмаа о случившемся диаметрально отличается от версии Самуэля и самое большое свинство, по словам Липпмаа состоит в том, что так называемый эксперт по безопасности Самуэль сделал дальше.
«Я начал проверять, существует ли какая-либо защита. Когда я стал просматривать информацию о сайтах kapo.ee, teabeamet.ee, politsei.ee, juhanparts.ee и т.д., то должен был появиться какой-то сигнал о том, что кто-то интересуется информацией. Такая защита предусмотрена во многих организациях и когда я делаю такие вещи, то мне звонят и спрашивают : «Что ты делаешь?», — пояснил Самуэл.
EIS: Самуэл — хакер
По словам Липпмаа, не может быть речи о том, что Самуэл просто просматривал информацию и получив данные о паре сайтов, решил проверить, сможет ли он получить информацию о всех владельцах сайтов. «Он еще раньше получил список доменов, по которым он и задавал вопросы, и сделал это не вручную», — сказал Липпмаа. По его словам, это свидетельствует о том, что у Самуэла был план получить всю информацию.
Самуэл не согласен с этим и говорит, что это не было болезненным интересом получить данные людей, он лишь проверял, сработает ли какой-либо механизм защиты, но, этого по его словам, не произошло.
По словам Липпмаа, EIS помешал скачиванию данных Самуэлем в тот момент, когда он этим занимался.
Самуэл в течение двух дней скопировал данные почти 60 000 владельцев сайтов, в большинстве случаев это были открытые данные как частных владельцев, так и юридических лиц. Но среди них есть и 16 000 частных лиц, которые бы не хотели, чтобы их номера мобильных телефонов и домашний адрес стали общеизвестны. По словам Самуэла, EIS узнал о том, что происходит лишь после того, как он сам сообщил им о том, какая брешь есть в их защите.
По мнению Самуэла, администрирующие фирмы должны отвечать за утечку данных.
На прошлой неделе, после того как «Очевидец» занялся этим делом, EIS распространил заявление о технической доработке системы. На сайте передачи «Очевидец» можно посмотреть список личных кодов (15 000), в отношении владельцев которых произошла утечка информации.