Уязвимые интерактивные государственные услуги на пороге Нового Года (часть 3/5)

Выбор

«Решение принимаешь ты один. Но помнить ты должен, что делаешь это также и за других, кто стоит за твоим плечом»

– Ученик джедая. Осажденный Храм


Появилась идея произвести некоторые расчеты. В какие убытки может обойтись утрата доверия всех подписчиков, при самом худшем варианте развития событий. Для примера была выбрана организация с наибольшим количеством подписчиков. Сразу нужно отметить, что из-за многих допущений, результаты расчетов очень далеки от реальности и ни разу не претендуют на объективность. Если, 100% подписчиков – это не корпоративные клиенты использующие минимальный тариф для получения услуги и вдруг все сразу (ну, такого конечно же не бывает) превратились в антилояльных, и уже бегут искать нового поставщика, то по формуле:

общее количество подписчиков × минимальная цена тарифа ≈ 17 840 000 сум


получается, что за месяц примерно столько и составила бы минимальная сумма убытков компании, а это около 2190 $, ну или 26 280$ – в год, по курсу ЦБ = 8146 сум, на 16 января 2018 года. На рынке услуг всегда была высокая конкуренция и такие убытки в итоге вполне могут оказаться значительными для конкретной организации. Если учитывать еще одну очень развитую технологию – сарафанное радио, которое обязательно сделает свое дело, причем сыграет не последнюю роль и способно подорвать то, что не купить за деньги – репутацию, то возможен негативный эффект с запасом на будущее. Однако, еще раз отмечу, что не нужно полагаться на произведенные расчеты, хотя даже с такими грубыми результатами, общая оценка стала немного яснее. Конечно, есть большие сомнения, что реальность окажется на столько суровой. И все же цифры нарисовали картину о примерных масштабах и о том, что пренебрежение безопасностью или доверием клиентов может привести к серьезным последствиям.

Пребывая в тот момент на светлой стороне, «нужно ли поступить правильно в данной ситуации?», – такой вопрос даже не появлялся. Крайне не хотелось, чтобы e-mail адреса подписчиков были куда-либо слиты. Имелся другой вопрос – «Как?», ведь есть закон Республики Узбекистан «Об обращениях физических и юридических лиц», в котором четко изложены формы, виды, порядок и самое главное сроки рассмотрения по каждому виду обращения. А еще там же существуют требования, предъявляемые к обращениям, однако указывать личные данные в обращении не особо хотелось, да и виды обращений не особо подходили конкретно к данной ситуации. Работать ни в одной из шести организаций ранее не приходилось, прямых контактов не имелось, как и желания, чтобы с обращениями ознакомились множество людей.

Итак, обращений шесть, для их подачи с оф. сайтов требуется заполнить с десяток полей на каждом и еще валидация может повести себя непредсказуемо, а это уже слишком, получалось так, что этот вариант, был не вариант вовсе. Идея направить в виртуальную приемную напрямую руководителю той или иной организации, не оправдалась потому, что виртуальные приемные были не у всех, и не везде работали. Тратить много времени на всю процедуру, да еще и с сомнительным результатом, было крайне нерационально. Хотелось просто уведомить об обнаруженной уязвимости, иметь один интерфейс для связи, а не бегать по всем шести не безопасным сайтам для отслеживания статуса обращения. Просмотрев страницы руководства и всю имеющуюся контактную информацию на всех оф. сайтах, другого способа не нашлось, кроме того, чтобы написать открытое письмо, а точнее шесть писем по одному в каждую организацию и направить их по официальным e-mail адресам.

Был составлен шаблон письма, в котором коротко сформулированы имеющейся проблемы, изложены факты с ссылками для проверки и просьба принять меры, дать обратную связь. Пример письма:

Тема:

Утечка персональных данных на официальном сайте

Содержание:

Здравствуйте,

на официальном сайте ООО «Рога и Копыта» на странице:

http://domain.uz/ru/interaktivnye-uslugi/podpiska/

имеется уязвимость, связанная с раскрытием персональных данных, позволяющая получить e-mail адреса подписчиков.

Небольшая часть списка e-mail адресов (элементы скрыты намеренно, ссылки предоставлены для проверки фактов):

*u*a**a**o*h@yahoo.com - http://domain.uz/ru/interaktivnye-uslugi/podpiska/?ID=45

*b*.u*@yandex.ru - http://domain.uz/ru/interaktivnye-uslugi/podpiska/?ID=52

p*rt*l@norma.uz - http://domain.uz/ru/interaktivnye-uslugi/podpiska/?ID=80

Исследование показало, что число e-mail адресов ___ единиц.

P.S.: Прошу не оставлять без внимания обращение и обязательно ответить на данное открытое письмо с указанием в ответе запланированных сроков на устранение.

Спасибо.


Во время подготовки писем для обращений, e-mail адреса и соответствующие ссылки по которым предполагалось удостовериться в существовании уязвимости выбирались по принципу принадлежности к корпоративному сектору и в случае с norma.uz – не сложно догадаться, что скрывается за «*», ну или посмотреть на странице публикации.

Конечно, не исключался вариант, что ответа просто не будет, а за слишком большой промежуток времени может иметь место саботаж с непредсказуемыми последствиями. В этот момент и пришла идея небольшой статьи, текст которой планировался очень скромных объемов и с другим содержанием. То есть статья задумывалась в качестве плана «Б», но учитывая развитие событий, которые сложно было предусмотреть с самого начала, статья в результате сильно разрослась. Однако, поразмыслив немного, план «Б» был сдвинут дальше по списку, а это место в случае бездействия со стороны ответственных за объекты исследования, заняла еще одна попытка воздействия на организации, через другие инстанции, в число которых входил Центр информационной и общественной безопасности. Давно известно, что без триггера (читайте: «пинка») все работает, но не так, а уведомление компетентные инстанции для разрешения ситуации было еще одним выходом в пользу достижения скорейшего и благополучного результата. В случае провала по двум предыдущим попыткам, появилась идея рассылки сообщений подписчикам, с просьбой направлять обращения в соответствующие организации по принятию мер для устранения уязвимости. Только вот, по какому принципу осуществить отбор адресатов для уведомления, вдруг найдутся, кому будет выгодно текущее положение дел, и воспользуются ситуацией. Хотя до этого момента еще далеко, а пока нужно просто сделать первый шаг по этой кривой дороге и посмотреть к чему все приведет. Таким образом, подготовка статьи отошла в самый конец, на случай полного фиаско по всем предпринятым ранее попыткам. Пожалуй, всё, что оставалось в то время – это надеяться на лучшее и готовиться к худшему.

На этой неопределенной ноте письма были разосланы адресатам…


Комментарии (0)

Авторизуйтесь, чтобы добавлять комментарии
Отправьте нам сообщение