Утечки персональных данных из регулируемых государством информационных систем. Часть 2. ОнлайнИнспекция.Рф

По данным сайта онлайнинспекция.рф на нем рассмотрено 230 тысяч обращений граждан. В виду ошибок в настройке сайта – эти обращения индексируются поисковыми системами. В частности, поисковая система Google проиндексировала 15 тысяч обращений и при поиске

Утечки персональных данных из регулируемых государством информационных систем. Часть 2. ОнлайнИнспекция.Рф

*Напомню что предыдущая публикация по потенциальным утечкам персональных данных была про удостоверяющие центры, а эта и последующие публикации будут о конкретных государственных и регулируемых государством информационных системах в которых раскрываются персональные данные граждан. *

Карточка

Ссылка http://онлайнинспекция.рф/
Критичность Незначительная
Тип утечки реестр обращений граждан
Что утекает Паспортные данные, Личные обстоятельства, Сведения о трудоустройстве
Оператор Роструд
Регулятор Роструд
Основная причина утечки Ошибка разработчиков системы, недостаточный контроль со стороны оператора
Оценка объёмов около 1000

Подробнее

По данным сайта онлайнинспекция.рф на нем рассмотрено 230 тысяч обращений граждан. В виду ошибок в настройке сайта – эти обращения индексируются поисковыми системами. В частности, поисковая система Google проиндексировала 15 тысяч обращений и при поиске, по ключевым словам, “паспорт серия” и “паспортные данные” предоставляет 6 и 70 результатов поиска соответственно. Что составляет не менее 0,5% от всего числа, проиндексированного поисковыми системами (76*100 / 15000)

Ручная выгрузка последних 13 тысяч обращений выявила более 20 обращений в которых указаны паспортные данные заявителей. Итого, по самым минимальным оценкам, на сайте раскрывается около 1100 фактов раскрытия персональных данных исходя из пропорции в 0,5% и 230 тысяч обращений.

Причиной проблемы является отсутствие или недостаточная модерация на сайте и отсутствие регулярных проверок на раскрытие персональных данных со стороны оператора. Важной проблемой является архитектура самой системы которая позволяет видеть чужие обращения.

Последовательность воспроизведения

  1. Откройте ссылку http://онлайнинспекция.рф/case/628495
    1-1
  2. В поиске Google введите “site:http://онлайнинспекция.рф/case/ паспорт серия”
    2-1
  3. В поиске Google введите “site:http://онлайнинспекция.рф/case/ паспортные данные”
    3-1
  4. Аналогичные действия можно проделать в поиске сайта запросом “паспорт серия” возвращает более 316 случаев. https://онлайнинспекция.рф/search?category=problems&search=паспорт+серии
    4-1

Выводы

Ключевая проблема в том что изначальная архитектура системы онлайнинспеция.рф предполагала полную публичность обращений граждан без учёта того что граждане могут передавать их персональные (паспортные) данные. В дальнейшем, при эксплуатации системы, владельцем и оператором системы не проводились проверки на предмет раскрытия персональных данных.

Вопросы можно задавать мне на электронную почту ivan@begtin.tech или в телеграм @ibegtin