Факап от БРСМ: в открытый доступ попали данные белорусов, писавших в госорганы
Активисты БРСМ / СШ №125 Минска
"Сообщаю Вам что, 21.11.2022 года городской автобусный маршрут №14 отсутствовал на маршруте в течении всего дня", — написал чиновникам обеспокоенный житель Орши А.Ш. и попросил разобраться. А в противном случае пригрозил обратиться в Администрацию Лукашенко.
Ещё один пример: "До каких пор моя семья будет принимать грязевые ванны??" — это к чиновникам взывает жительница одного из посёлков Минской области О.С.
Откуда мы это знаем? Всё просто: обращения тысяч белорусов в самые разные госорганы может прочитать любой. С их адресами, ФИО и всеми подробностями. Разработчики платформы для подачи обращений не позаботились о защите персональных данных.
От БелАЭС — до райисполкомов
"ПРАВОМОЧНО ли отключение всех благ ЗИМОЙ в МОРОЗ. Когда в доме проживают несовершеннолетние дети и старики", — жаловалась чиновникам жительница Полоцка И.М. Судя по ФИО, эта женщина работает воспитательницей в детском саду. Знаем мы и домашний адрес заявительницы.
Обращение к чиновникам она оставила на сайте, который подключён к системе e-pr.cvr.by. Платформа принадлежит группе компаний "ЦВР-Октябрьский", к ней подключены ряд исполкомов, БРСМ, комитет государственного имущества Миноблисполкома и другие организации, а также БелАЭС.
Одной из первых задач системы была работа с обращениями в администрацию АЭС: портал e-pr.cvr.by, через который проходят обращения, в описании страницы упоминает адрес e-reception.belaes.by.
Большинство обращений, с которыми смогло ознакомиться Еврорадио, связанно с проблемами ЖКХ или бытовыми темами. Но были и политические (например, несколько жалоб на “незарегистрированную символику”), и несколько обращений по поводу российского нападения на Украину.
Дырка в защите
Что нужно, чтобы написать обращение? Вы описали суть проблемы, указали свое ФИО и адрес прописки, добавили контактный телефон и, сканы документов, если они есть. Нажали отправить.
"Ваше обращение отправлено!" — сообщает в ответ система. Текст вашего письма отправляется чиновникам.
Проблема в том, что каждое такое "ваше обращение отправлено" имеет уникальный числовой номер. И, просто поменяв несколько цифр в ссылке, можно попасть на страницу с чужой жалобой. Прочитать её и получить доступ к личным данным.
Эта уязвимость была заложена уже при создании сервиса, однако по цифровым комбинациям доступна лишь часть обращений. Более ранние сообщения есть в распоряжении редакции, в то время как на сайте их увидеть уже нельзя: получается, через какое-то время они удаляются.
Могли ли создатели проекта не знать об этой дырке? Очень вряд ли.
Кто стоит за организацией
Как при помощи "Кибер-партизан" выяснило Еврорадио, бенефициарный владелец компании, которая занимается поддержкой проекта, — некто Павел Сырицкий. На своих страницах в соцсетях он активно делился ссылками на собственный кулинарный блог, песнями "Песняров" и отчётами о посещённых концертах.
Раньше Сырицкий работал в БРСМ, позже — на государственной "Минской волне". Его партнёр по "ЦВР" — Владимир Тюхай, также в прошлом БРСМ-овец.
Организация занимается не только сервисом для обращения граждан, их бизнес-модель — работа с госорганами. Иногда "ЦВР" удаётся выигрывать тендеры на создание и сопровождение госсайтов — например, Минтранса.
Вряд ли "ЦВР" будет ещё долго заниматься обращениями: дело в том, что с января госсайты начнут подключаться к единой госсистеме "обращения.бел". Но осадочек, как утёкшие персональные данные нескольких тысяч писавших в госорганы, останется.
Чтобы следить за важными новостями, подпишитесь на канал Еврорадио в Telegram.
Мы каждый день публикуем видео о жизни в Беларуси на Youtube-канале. Подписаться можно тут.