Бессмысленный и беспощадный русский BugBounty и новый смысл выражения «вычислю тебя по IP»

Сейчас я расскажу вам прекрасную историю про отношение московского оператора к персональным данным своих клиентов.

Обновлено редакцией. «Акадо» пообещала провести проверку после публикаций.

История началась около 11 лет назад, когда я изучал устройство сетей крупных операторов с помощью инструмента Whois — смотрел распределение адресов для клиентов — и в одном российском сегменте интернета набрёл на такое, от чего потерял дар речи. Аккуратно сдампил результаты Whois по сетям этого оператора (десятки тысяч адресов), и это настолько меня шокировало, что я предпочёл об этом поскорее забыть.

Месяц назад мне написал один из читателей: смотри, что происходит. И тут я всё вспомнил и охренел ещё сильнее — от того, что за примерно 11 лет ничего не поменялось.

Есть такой московский оператор «Комкор», сейчас работает под торговой маркой «Акадо-Телеком». Среди их клиентов — физические лица, фирмы (много банков, объекты инфраструктуры города) в Московской области — жители элитных посёлков (Рублёвка, Барвиха, Жуковка и так далее).

Многие уже догадываются, о чём будет дальше, но всё равно не могут поверить.

Да, «Комкор» («Акадо») публикует персональные данные своих клиентов прямо в БД RIPE, которая доступна с помощью Whois. Там всё: ФИО клиента (или название компании), адрес подключения, телефон клиента.

Вот их сети:

212.100.128.0/19

212.45.0.0/19

178.208.128.0/19

Вот клиенты элитного посёлка «Жуковка»:

Бессмысленный и беспощадный русский BugBounty и новый смысл выражения «вычислю тебя по IP»

Вот клиенты в Барвихе, включая местный «Альфа-банк»:

В таких посёлках много знакомых по расследованиям ФБК (и не только) фамилий — можете сами сграббить в базу и поискать
В таких посёлках много знакомых по расследованиям ФБК (и не только) фамилий — можете сами сграббить в базу и поискать

А что это за Никита Сергеевич в посёлке Николина Гора пользуется услугами горе-провайдера, не известный ли кинорежиссёр? Ага, он.

Бессмысленный и беспощадный русский BugBounty и новый смысл выражения «вычислю тебя по IP»

«Какая-то невероятная дичь!» — воскликнете вы и будете совершенно правы. Давайте теперь посмотрим, как обстоит дело с защитой персональных данных клиентов-фирм и объектов инфраструктуры Москвы. Вот IP-адреса объектов ДИТ Москвы — Департамента информационных технологий — к «Акадо» подключены сотни таких объектов. Это интернет для камер, телеметрии и других служебных устройств и пользователей.

Кто-нибудь может забить канал на камеру и ограбить объект, например
Кто-нибудь может забить канал на камеру и ограбить объект, например

Давайте поищем по ключевому слову “Bank”. Что же мы видим? Сотни банков подключены к «Комкору», и любой человек может узнать IP-адрес конкретного филиала, контакт технического специалиста, его ФИО и так далее.

Бессмысленный и беспощадный русский BugBounty и новый смысл выражения «вычислю тебя по IP»

Что должен сделать приличный человек, который осознал, что все эти примерно 11 лет персональные данные клиентов большого оператора лежали в паблике? Правильно — написать об этом в «Комкор». Ну не знали же они, что делают всё это время, в самом деле — надо им об этом рассказать! Что я и сделал.

Бессмысленный и беспощадный русский BugBounty и новый смысл выражения «вычислю тебя по IP»

Через один рабочий день я получил ответ от начальника ИБ — что информацию получили и проверят (странная задержка в сутки при такой-то страшной дыре, но ладно).

Бессмысленный и беспощадный русский BugBounty и новый смысл выражения «вычислю тебя по IP»

Ещё через пять дней я решил поинтересоваться результатами проверки информации.

Бессмысленный и беспощадный русский BugBounty и новый смысл выражения «вычислю тебя по IP»

На что мне ответили, что всё исправили.

Бессмысленный и беспощадный русский BugBounty и новый смысл выражения «вычислю тебя по IP»

Ого, думаю я, наконец-то в России стала повышаться ответственность компаний и рост культуры реакции на сообщения о дырах. Но решил всё же проверить: убрали персональные данные только из блока Person и только из двух моих примеров в первом письме, но в блоке Inetnum данные остались даже в моих примерах, о чём я написал.

Бессмысленный и беспощадный русский BugBounty и новый смысл выражения «вычислю тебя по IP»

И получил очень странный ответ, что «принято решение» убрать персональные данные пользователей белых сетей (когда убрать?!), но поле Inetnum они обязаны заполнять.

Бессмысленный и беспощадный русский BugBounty и новый смысл выражения «вычислю тебя по IP»

Да никто не спорит, что обязаны, но провайдеры записывают туда информацию о назначении сети или, если это фирма, максимум её название и юридический адрес (и даже это далеко не всегда, точнее, почти никогда), но никак не ФИО клиента-физлица. На моё письмо от 24 октября с уточняющим вопросом никто не ответил.

Бессмысленный и беспощадный русский BugBounty и новый смысл выражения «вычислю тебя по IP»

И тут мои силы закончились — я перестал понимать, почему я должен уговаривать большую компанию с огромной ответственностью заставлять устранить такую страшную дыру. Я перестал понимать, почему эта переписка вообще должна была длиться больше двух писем, ведь каждому здравомыслящему человеку абсолютно очевидно, насколько это дико — персданные твоих клиентов в паблике.

И я уже не говорю об ответственных лицах в компании, которые должны только и заниматься тем, что устранять эту страшную дыру. Я очень не хотел писать этот материал — мне ответили, со мной общались вежливо, даже в музей пригласили :)

Но это попытка сделать хорошую мину при плохой игре. Никаких действий по факту предпринято не было, сроки их тоже озвучены не были. Поэтому следующим шагом я должен перейти к информированию об этой опасной уязвимости общественность, чтобы они вывели себя из-под угрозы и перестали пользоваться оператором, который так относится к персданным своих клиентов.

А теперь — простым языком для людей, которые не поняли, что всё это значит.

Whois — это публичный инструмент, которым может воспользоваться каждый человек, чтобы получить информацию об IP-адресе или домене. В нём содержится служебная информация о владельце домена или IP-адреса (в этом случае — провайдере).

По правилам организации RIPE, которая выдаёт IP-адреса, провайдер обязан содержать в актуальном виде информацию о назначении подсети IP-адресов (например, служебная или клиентская), контакты для связи (почта и телефон провайдера) и информацию об арендаторе, если провайдер выдаёт в аренду крупный блок адресов.

Но никакому провайдеру не приходит в голову указывать ФИО, адрес подключения и контакт физического лица, которому выдан один IP-адрес. То же самое с юридическими лицами. В случае выдачи большого блока максимум — указывается юрлицо, его контакт и юридический адрес. И то, так делают далеко не все провайдеры, никаких санкций, конечно же, за это нет.

Не очень умные технические специалисты «Комкора» (ныне «Акадо») в какой-то момент просто настроили автоматическую трансляцию информации из своей служебной базы клиентов (CRM) в базу данных RIPE, и таким образом персональные данные клиентов стали доступны для всех желающих.

Для оператора такая дыра — катастрофа дважды, потому что:

  1. Собственно, персональные данные клиентов — в публичном доступе. Какое доверие может быть к такому оператору?
  2. Твоих клиентов могут просто переманивать другие операторы, за полчаса просканировав все IP-адреса и собрав базу данных.
  3. Можно узнать IP-адреса определённого клиента или устройства, очень несложно забить канал трафиком и выключить интернет у клиента. В случае с ведомственными объектами, большое количество которых подключено к «Акадо», это же прямая угроза безопасности города.

Этот пост прочитает много клиентов «Акадо» — вы, конечно, решайте сами, но я бы никогда не стал пользоваться услугами оператора, который выкладывает ваши персональные данные в паблик и не убирает их в срочном порядке после приватного сообщения об этом. И даже через три недели всё еще не убирает. Такое поведение, конечно, абсолютно неприемлемо в 2018 году.

И в завершение я хочу отдельно написать о Роскомнадзоре. Это регулятор, под надзором которого оператор связи оказывается дважды — как оператор связи,и как оператор персональных данных.

Эти никчёмные и бесполезные дармоеды вместо ежедневной блокировки до 10–15 IP-адресов нашего прокси для Telegram (вы представляете, там сидят специальные люди на зарплате, которые почти круглосуточно резолвят домен и добавляют актуальные IP-адреса в выгрузку — что может быть бессмысленнее) должны заниматься как раз пресечением таких вот историй.

Дорогие журналисты, которые будут звонить в «Акадо», сделайте, пожалуйста, следующий звонок в Роскомнадзор и спросите, почему они не выполняют свою работу, а вместо этого занимаются ухудшением жизни граждан России.

Подписывайтесь на мой канал в Telegram – там оригинал и другие интересные истории.

Обновлено редакцией в 17:34. Представители «Акадо» прокомментировали ситуацию: пообещали провести проверку.

В настоящее время в рамках проверки информации, заявленной в некоторых СМИ и социальных медиа, компания ведет внутреннюю проверку.

Мы понимаем, что вопросы защиты персональных данных и кибербезопасности имеют первостепенное значение, а также находятся под пристальным вниманием общественности. Компания в своей повседневной деятельности предпринимает все необходимые меры по минимизации рисков, которые могут повлиять негативно на наших клиентов. Мы всегда с вниманием и благодарностью относимся к критическим замечаниям и проводим тщательный анализ выявленных уязвимостей в информационных системах для предотвращения возможных утечек данных.

пресс-служба «Акадо»
123123
69 комментариев

Чет я пропустил, как хабр переехал на вичи.

35
Ответить

Теперь по двум хорошим сайтам ходить не надо, всё в одном!

21
Ответить

Иногда статьи дублируют оттуда. Но эту на хабре не нашел

1
Ответить

А причём тут хабр? Никакой технической инфы нет, скорее вопрос о персональных данных и о халатности провайдера и РКН

1
Ответить

Ну если у нас шпионы ГРУ везут с собой на задания чеки на такси от здания разведки до аэропорта , то чего вы хотите от телеком операторов? Слава богу банки пин коды на картах еще не печатают

33
Ответить

так... <полез в мусорное ведро за чеком>

5
Ответить

Я думаю что теперь найдется много людей позвонить михалкову и сказать лично ему свое мнение о его фильмах

20
Ответить