Ivan Begtin
8.09K subscribers
1.99K photos
3 videos
102 files
4.7K links
I write about Open Data, Data Engineering, Government, Privacy, Digital Preservation and other gov related and tech stuff.

Founder of Dateno https://dateno.io

Telegram @ibegtin
Facebook - https://facebook.com/ibegtin
Secure contacts ivan@begtin.tech
Download Telegram
November 19, 2019
Канал Нецифровая экономика пишет с критикой [1] про Ашота Оганисяна, технического директора компании Device Lock и автора канала об утечках данных. Пишут справедливо про ситуацию с публикациями про утечки с сайта Госуслуг, но всей картины явно не знают. Device Lock не только активно торгует продуктом по выявлению утечек, но и одним из их клиентов является Ростелеком. Как минимум 2017 и 2018 годах их продукт продавался через Акционерное общество "Смарт Лайн Инк" (владельцем которого является также Ашот Оганесян) и которые заключили договора 31806519034-01 и 57707049388170034600000, а может быть и в этом году было, точно не скажешь потому что Правительство позволяет с 2018 года скрывать поставщиков по 223-ФЗ, но желающие быстро найдут список клиентов по ключевым словам "DeviceLock" в базах госконтрактов [2]. Сам продукт DeviceLock, видимо, на одноимённой компании где, опять же, Ашот Оганесян является владельцем (иначе говоря технический директор это совсем не то что конечный бенефициар).

Поэтому, при всей моей малой любви к тому же Ростелекому проблема с публикациями об утечках, к сожалению, несёт большой этический вопрос:
1. Публикация любых сведений об утечках до предупреждения и разумного времени на устранение проблем у компании - это, в первую очередь, создание ситуации когда страдают все те граждане сведения о которых в утечках содержаться. Более того, обнародование непубличных канал потенциальной утечки и придание им публичности - это и есть утечка. Иначе говоря - утечка персональных данных становится не "потенциальной", а реальной именно тогда когда ей придаётся максимальная публичность.
2. Наличие у владельца компании контрактных отношений с Ростелекомом и одновременно публикации об их утечках можно трактовать как "шантаж" потенциального или прошлого клиента. Если Ростелеком и Минкомсвязь найдут зацепку засудить DeviceLock за подобное - они будут совершенно правы.

Я напомню что этические вопросы в проблемах с утечками персональных данных являются первоочередными. При передаче РБК материалов по утечкам персональных данных [3] лично я выдержал паузу более чем в 8 месяцев после уведомления Роскомнадзора.

2020 год пройдет под эгидой этики, поверьте моему слову, "этика" будет главным словом.

Ссылки:
[1] https://t.iss.one/antidigital/2088
[2] https://clearspending.ru/contract/?productsearch=DeviceLock&search-submit=&grbs=&regnum=&daterange=&price_gte=&price_lte=&customerregion=&address=&budgetlevel=&okdp_okpd=&sort=-signDate&fz=None&customerinn=&customerkpp=&supplierinn=&supplierkpp=
[3] https://www.rbc.ru/politics/29/04/2019/5cc2df569a7947c83b69b0d5

#dataleaks #leaks #data #personaldata
December 30, 2019
One Nation Tracked [1] декабрьская статья в New York Times о том что приватности не существует для всех включая президента Трампа. Журналисты "где-то" раздобыли файл с 50 миллиардами записей пингов (коротких сообщений о метонахождении) от телефонов к базовым станциям в США, проделали большую работу по сопоставлению их с координатами и сделали массу визуализаций.

Я писал об этом ранее, а сейчас вышли ещё и технические подробности [2]. Можно ли на основе этих данных идентифицировать конкретного человека? Да, можно.

Ссылки:
[1] https://www.nytimes.com/interactive/2019/12/19/opinion/location-tracking-cell-phone.html
[2] https://medium.com/nightingale/twelve-million-phones-one-dataset-zero-privacy-an-interview-with-the-new-york-times-stuart-a-e2988d398ba3

#privacy #leaks
January 29, 2020
Рубрика "Без комментариев". Я так понимаю что пока Meduza [1], а вскоре и остальные СМИ пишут о том что база паспортов всех проголосовавших через электронное голосование оказалась в открытом доступе.

Плохое в этом то что вообще была эта программа и то что она оказалась в открытом доступе (как и база к ней). Это не фатальная утечка, там только номера паспортов, но крайне неприятная, в виду контекста. Я пока не могу придумать рабочий кейс при котором просто список номеров паспортов без иной информации может повредить, но, как бы, даже такого лучше не допускать. Если, кстати, кто-то понимает как такие утечки могут наносить ущерб - напишите в @begtinchat

Хорошее, в том что при таких масштабах голосования неизбежно должны были быть и ошибки в паспортах и я не удивлюсь если сам реестр недостоверных паспортов на который ссылается Медуза, мягко скажем, не вполне достоверен. Во всяком случае доверия к данным МВД у меня лично по умолчанию значительно ниже чем к данным в Минкомсвязи.

P.S. То что некоторые телеграм каналы и не только эти сведения распространяют, это как раз разница политактивизма и профессионального подхода. Лично я считаю правомерным распространять причины утечек только после выполнения последовательных шагов:
- предупредить источник утечки данных
- передать журналистам для публикации материала (при условии отсутствия раскрытия самих персональных данных)

А распространять саму базу - это, мягко скажу, если доказать что это перс данные - то незаконно, а даже если не доказать, то неэтично. Конкретные примеры каналов приводить не буду.

Ссылки:
[1] https://meduza.io/feature/2020/07/09/vlasti-fakticheski-vylozhili-v-otkrytyy-dostup-personalnye-dannye-vseh-internet-izbirateley

#pdleaks #leaks
July 9, 2020
August 7, 2020
October 31, 2020
October 31, 2020
В Бразилии масштабнейшая утечка персональных данных о гражданах [1], утекли сведения о доступе к информации о 243 миллионах бразильцев через систему e-SUS-Notificia [2]

А я хочу напомнить что в России сейчас параллельно существуют и создаются сразу несколько федеральных государственных информационных систем содержащих информацию о гражданах:
- Портал Госуслуг
- ЕГР ЗАГС
- Единая государственная информационная система в сфере здравоохранения
- Цифровой профиль
- Единый реестр населения

Главный критерий риска которых можно измерить в ответе на вопрос "О скольки гражданах в информационной системе сведения могут утечь одномоментно?". Можно даже индекс риска систем составлять по масштабу охвата граждан.

Ссылки:
[1] https://tjournal.ru/tech/244359-dannye-243-millionov-zhiteley-brazilii-popali-v-set-iz-za-parolya-v-ishodnom-kode-gosudarstvennogo-sayta
[2] https://notifica.saude.gov.br/

#privacy #leaks
December 5, 2020
December 9, 2020
December 9, 2020
January 25, 2021
Для тех кто интересуется о том как устроены приложения по мониторингу COVID-19 в других странах и какие есть методики их анализа и результаты можно узнать из декабрьского исследования Unmasked II [1] от Citizenlab посвящённого приложениям PeduliLindungi в Индонезии и приложений StaySafe PH и COVID-KAYA в Филлипинах.

По сравнению с другими исследованиями и анализом, авторы провели полноценный анализ безопасности приложений, разобрали код и даже смогли вытащить данные из базы Firebase которое филиппинское приложение использовало для отправки сведений о пользователях. В октябре 2020 года исследователи вначале нашли код аутенификации внутри запросов от приложения, а потом с его помощью вытащили из базы Firebase 190 тысяч записей с координатами филлипинских пользователей. Причём разработчик, судя по всему, так и не смог исправить эту ошибку до конца хотя и около месяца пытался это сделать (подробности в исследовании).

Мы в своём исследовании "Приватность государственных мобильных приложений в России" [2] сознательно не проводили такого анализа информационной безопасности, эта тема ближе к компаниям специализирующимся на проверках безопасности, пентестах и так далее. Но это совсем не значит что российские госприложения работающие с данными граждан сделаны так хорошо что там такие проблемы не могут быть.

Ссылки:
[1] https://citizenlab.ca/2020/12/unmasked-ii-an-analysis-of-indonesia-and-the-philippines-government-launched-covid-19-apps/
[2] https://privacygosmobapps.infoculture.ru/

#privacy #covid19 #security #leaks
March 16, 2021
July 20, 2021
August 3, 2021