Внимание, опасно! Персональные данные нижегородцев на сайте Nizhny2018.ru не защищены (дополнено)

С 10 апреля на сайте Nizhny2018.ru началась аккредитация для жителей Мещеры и Нижегородского района, чьи дома эти летом попадают в зону чемпионата мира по футболу. Тысячи нижегородцев оставляют свои персональные данные на сайте и даже не подозревают, что не только их ФИО, но и копии паспортов, документов на недвижимость и автомобили могут попасть в руки мошенников.

Аккредитация — процесс получения пропуска, дающего право проезда личного транспорта на территорию, прилегающую к стадиону «Нижний Новгород», или на Фестиваль болельщиков ФИФА в определенные даты. Как жителям Мещеры оформить пропуск, мы рассказывали в этой инструкции, а для жителей центра Нижегородского района будет полезен этот текст.

Сайт первую неделю работал нестабильно. Нижегородцы обращались в нашу редакцию с вопросами: почему нельзя войти в личный кабинет, почему не отвечают на заявки, почему на сайте нет всей исчерпывающей информации, почему не загружаются документы… В Дирекции по проведению спортивных и зрелищных мероприятий Нижегородской области, которая отвечает за функциональность и функционирование сайта, нам отвечали, что это все временно, «проводятся технические работы». Сегодня уже 22 апреля, а часть проблем так и не решена. И главная из них — это незащищенность персональных данных нижегородцев, которые пытаются пройти аккредитацию через сайт Nizhny2018.ru.

На нее обратил внимание один из наших читателей, проживающий в микрорайоне «Мещерское озеро», — руководитель IT-отдела нижегородской компании Артем.

— Как и многие нижегородцы, я загрузил на сайт копии своего паспорта, свидетельства о регистрации автомобиля, — рассказал Артем. — А потом обнаружил, что эти документы находятся в общем доступе. То есть их может скачать если не любой интернет-пользователь, то точно студент радиофака или начинающий программист.

В чем суть проблемы? Загруженные файлы (для получения аккредитации просят загрузить копии паспорта, свидетельства о праве собственности на квартиру, договора аренды, свидетельства о регистрации автомобиля и прочих важных документов) можно скачать по прямой ссылке. То есть система не проверяет, есть ли у скачивающего доступ к ним.

Мы попробовали повторить то, что сделал Артем.

В личном кабинете создали новую заявку на пропуск. Загрузили необходимые документы… и потом пришли в шок, что все они открываются, даже если у нас нет доступа к личному кабинету. Не верите? Проверьте сами. Если вот этот паспорт, который мы загрузили в своем личном кабинете, у вас открывается, то и все другие документы не защищены и находятся в свободном доступе.

— То есть если подобрать адрес, то можно скачать чужие файлы без проверки, — продолжает Артем. — Теоретически я могу написать скрипт, который перебором скачает все документы жителей Мещеры и Нижегородского района. Подбираешь и качаешь. Дилетантство!

Возможно, кто-то из мошенников уже заинтересовался этой темой и пишет тот самый скрипт. Наше обращение в адрес сотрудника Дирекции по проведению спортивных и зрелищных мероприятий осталось без ответа.

К сожалению, файлы, которые уже загружены в личный кабинет на сайте Nizhny2018.ru, удалить уже нельзя. Тем же, кто пока не подавал документы для аккредитации, мы бы посоветовали делать это пока через сервисные центры в ТРК «Небо» и ТЦ «Аврора».

Завладев паспортными или другими персональными данными, мошенники могут:

• распорядиться средствами с банковских карт или электронных кошельков;
  

• оформить кредит в банке;
  

• оформить фирму-однодневку и «повесить» долги;
  

• совершить незаконные действия с вашей недвижимостью;
  

• зарегистрироваться на сайтах знакомств, онлайн-игр и казино;

• шантажировать вас или ваших родственников;

• использовать ваши данные в собственных интересах.
  

ДОПОЛНЕНО. После нашей публикации документы нижегородцев, загруженные на сайт, убрали из свободного доступа. Правда, при этом пострадал аккаунт автора публикации — он был удален с сайта.

— Для обработки персональных данных нижегородцев на сайте Nizhny2018.ru внедрены самые современные методы защиты информации, гарантирующие ее сохранность на 100%, — заверили в компании-разработчике системы аккредитации. — Все регламенты и процедуры соответствуют требованиям Федерального закона «О персональных данных».

Что касается одной конкретной ситуации, связанной с доступностью информации, то можем сказать следующее. Открытие файла было доступно по ссылке. Но так как названия самих файлов зашифрованы, то ссылку можно открыть только самому пользователю. С учетом, что на сайте включена защита от перебора путем блокирования IP-адреса, подобрать такой ключ для зашифрованного файла является крайне сложной задачей даже для суперкомпьютеров.

Все новости о подготовке к ЧМ-2018 по футболу — в специальном разделе.