Medium
 
 
 

IT-эксперт Владислав Здольников обвинил московского провайдера "Комкор" (бренд "Акадо") в многолетнем хранении персональных данных своих клиентов в открытом доступе. Об этом Здольников подробно написал в своем блоге.

По словам Здольникова, он впервые узнал, что провайдер открыто хранит данные клиентов, еще почти 11 лет назад. "Это настолько меня шокировало, что я предпочел об этом поскорее забыть", – написал Здольников. Эта история всплыла вновь около месяца назад, когда один из читателей сообщил ему, что сделал такое же открытие.

Чтобы увидеть информацию о клиентах "Акадо", достаточно воспользоваться публичным инструментом Whois, который позволяет получать сведения о владельцах доменных имен и IP-адресов. Но если обычно речь идет об общей информации, то в записях об IP-адресах "Акадо" указаны ФИО клиентов или названия компаний, адреса подключения и телефоны. В доказательство эксперт привел несколько скриншотов, отметив, что в число клиентов провайдера входят физические лица, включая жителей элитных поселков (Рублевка, Барвиха и другие), а также множество компаний, банков и даже департамент информационных технологий Москвы.


"Не очень умные технические специалисты "Комкора" (ныне "Акадо") в какой-то момент просто настроили автоматическую трансляцию информации из своей служебной базы клиентов (CRM) в базу данных RIPE (организация которая выдает IP-адреса. – Прим. NEWSru.com), и таким образом персданные клиентов стали доступны для всех желающих", – пояснил Здольников.

Такую ситуацию для оператора эксперт назвал катастрофой не только из-за ущерба репутации, который наносит открытое хранение данных клиентов. Помимо этого, ситуация чревата потерей абонентов, которых могут переманить другие провайдеры, просканировав IP-адреса и собрав базу контактов. Наконец, такая "дыра" позволяет узнать IP-адреса определенного клиента или устройства, и, забив канал трафиком, выключить интернет у клиента. В случае с ведомственными объектами такая ситуация несет прямую угрозу безопасности города.

"Что должен сделать приличный человек, который осознал, что все эти 11 лет персданные клиентов большого оператора лежали в паблике? Правильно, написать об этом в "Комкор". Ну не знали же они, что делают всё это время, в самом деле - надо им об этом рассказать! Что я и сделал. Через 1 рабочий день я получил ответ от начальника ИБ - мол информацию получили и проверят (странная задержка в сутки при такой-то страшной дыре, но ладно). Еще через 5 дней я решил поинтересоваться результатами проверки информации. На что мне ответили, что все исправили", – написал Здольников.

Однако на деле это оказалось не так. Компания убрала персональные данные только из одного блока и только из двух приведенных Здольниковым в пример записей. На очередное обращение Здольникова в компании ответили, что приняли решение убрать персональные данные пользователей белых сетей, однако одно из полей inetnum провайдер обязан заполнять. Как пояснил Здольников, такая обязанность, по правилам RIPE, действительно есть, но обычно операторы записывают туда информацию о назначении сети, или, если речь идет о фирме, ее название и юридический адрес, но никак не фамилию и имя клиента-физлица.

"Этот пост прочитает много клиентов Акадо – вы, конечно, решайте сами, но я бы никогда не стал пользоваться услугами оператора, который выкладывает ваши персональные данные в паблик, и не убирает их в срочном порядке после приватного сообщения об этом. И даже через 3 недели всё еще не убирает. Такое поведение, конечно, абсолютно неприемлемо в 2018 году", – подытожил Здольников.

Отдельно эксперт подверг критике и Роскомнадзор, отметив, что ведомство должно заниматься не блокировкой Telegram, а пресечением подобных ситуаций.

В "Акадо" пообещали проверить информацию Здольникова

После публикации поста Здольникова СМИ обратились в "Акадо" за комментариями. В пресс-службе компании сообщили "Медиазоне", что проводят внутреннюю проверку.

"Мы всегда с вниманием и благодарностью относимся к критическим замечаниям и проводим тщательный анализ выявленных уязвимостей в информационных системах для предотвращения возможных утечек данных", — отметили в компании.