Утечка данных из ФНС

22.10.2010

"Известия" задались вопросом, почему такой сервис могли допустить к работе и, как в целом в России защищены персональные данные.  Уязвимость обнаружилась на страничке, призванной помочь вспомнить свой ИНН. Сервис был запущен несколько месяцев назад и работал, пока о дырке в системе безопасности не узнали блогеры. 

"Казалось бы, штука надежно защищена. Чтобы узнать свой ИНН, надо знать паспортные данные" - пишет пользователь "Живого Журнала" по имени teh_nomad. - Но проверки истинности паспортных данных там нет. Можно вводить что угодно, главное, чтобы формат совпадал. То есть любой злоумышленник может ввести ваши ФИО и дату рождения и получить ИНН. А по ИНН распечатать все долги. Мелочь конечно, но для госучреждения такого уровня позорная.

Тут же приводится вычисленный таким образом ИНН Михаила Ходорковского, по которому любой желающий может выяснить, что за ним числится налоговая задолженность на 53 млн рублей и пеня еще на 97 млн.

Некоторое время ставшей общеизвестной ошибкой мог воспользоваться любой желающий, пока вечером в среду ФНС сервис не отключила.

На самом деле онлайн-сервисы на сайте налоговики задумали только нам в помощь. Например, главная цель "личного кабинета налогоплательщика" - избавить от необходимости стоять каждый год в длинной очереди в ближайшую налоговую инспекцию только для того, чтобы получить на руки плптежное поручение с проставленной суммой налога за свою дачу. Список предоставленной информации может оказаться очень внушительным.

Введя свои имя, фамилию и ИНН, можно тут же получить, как говорится в краткой инструкции на сайте ФНС, данные о "задолженности по имущественному, транспортному, земельному налогам, налогу на доходы физических лиц (только для физических лиц граждан РФ)". И, не отходя от своего домашнего компьютера, распечатать платежку со всеми реквизитами.

Чем больше услуг в электронном виде - тем людям проще, да и поводов для коррупции меньше. Такой установкой и руководствуются в правительстве, когда всячески продвигают и поддерживают инициативы по сокращению личных контактов граждан и чиновников. Отвечающим за информатизацию ведомством стало Министерство связи и массовых коммуникаций. Под его контролем в конце 2009 года и был запущен сайт gosuslugi.ru, призванный объединить все госуслуги. Параллельно подобными "личным кабинетам" обзавелись и многие другие ведомства. Но вот подходы к обеспечению предписанной законом защиты персональных данных у них могут кардинально различаться.

Так, чтобы зарегистрироваться на сайте gosuslugi.ru, необходимо подтвердить и номер своего мобильного телефона, и домашний адрес. А пароль высылается по обычной почте заказным письмом. Зато на сайте ФНС, как выяснилось, даже несложные проверки легко было обойти. 

"Естественно, при централизации сервисов различных ведомств намного проще и эффективнее обеспечивать безопасность персональных данных" - заявил "Известиям" заместитель министра связи и массовых коммуникаций Илья Массух.

Разработку сайта ФНС вела сама служба, в том числе и разработку личного кабинета пользователя. Со стороны Минкомсвязи неоднократно высказывались предложения о закрытии отдельных кабинетов пользователей на сайтах ведомств и переводе работы на сайт gosuslugi. ru. Это в полной мере относится и к ФНС. В противном случае мы становимся свидетелями утечек персональных данных с сайтов, дублирования расходов на ведомственную информатизацию и дезориентации пользователей интернет-пространства.

Получить комментарии в ФНС России к моменту сдачи номера не удалось. Эксперты удивлены, что такой "прокол" вообще существовал так долго.

«Поправить один программный блок - дело пяти минут, больших денег это не стоит» - заявил директор по международному маркетингу компании "1С-Битрикс" Денис Зенкин.

«Как это могло произойти?» На тестировании системы никто не заметил, что ответ от базы данных паспортов не проверяется, - предполагает старший менеджер налоговой группы компании BDO Яков Быков. «Иски к ФНС исключать нельзя. Но придется доказать размер ущерба». Как этой информацией могут воспользоваться злоумышленники? Яков Быков отмечает, что: "в принципе возможно все".

И здесь в голову сразу приходит крайне популярный способ вымогательства, когда мошенники отправляют на мобильные телефоны сообщения вроде: "Мама, попал в милицию. Пишу с чужого номера. Срочно положи 1000 р. на номер... Потом все объясню". И очень многие мамы деньги отдавали и еще отдадут.

Так что нетрудно представить, что мошенники начнут звонить потенциальным жертвам (а уровень финансовой грамотности в России, как известно, оставляет желать лучшего), представляясь сотрудником налоговой или приставом и требуя немедленной оплаты вполне реального долга. Указывая "свои" счета для перечисления денег.

Вся надежда на то, что проблема на сайте ФНС была закрыта вовремя и мошенники не смогли воспользоваться лазейкой. В любом случае следует помнить, что погашать налоги лучше только по официальным платежкам из ФНС, а если сомневаетесь - лучше позвонить в инспекцию по месту жительства.

Источник: http://www.izvestia.ru/obshestvo/article3147568/