С 10 апреля на сайте Nizhny2018.ru началась аккредитация для жителей Мещеры и Нижегородского района, чьи дома эти летом попадают в зону чемпионата мира по футболу. Тысячи нижегородцев оставляют свои персональные данные на сайте и даже не подозревают, что не только их ФИО, но и копии паспортов, документов на недвижимость и автомобили могут попасть в руки мошенников.
Аккредитация — процесс получения пропуска, дающего право проезда личного транспорта на территорию, прилегающую к стадиону «Нижний Новгород», или на Фестиваль болельщиков ФИФА в определенные даты. Как жителям Мещеры оформить пропуск, мы рассказывали в этой инструкции, а для жителей центра Нижегородского района будет полезен этот текст.
Сайт первую неделю работал нестабильно. Нижегородцы обращались в нашу редакцию с вопросами: почему нельзя войти в личный кабинет, почему не отвечают на заявки, почему на сайте нет всей исчерпывающей информации, почему не загружаются документы… В Дирекции по проведению спортивных и зрелищных мероприятий Нижегородской области, которая отвечает за функциональность и функционирование сайта, нам отвечали, что это все временно, «проводятся технические работы». Сегодня уже 22 апреля, а часть проблем так и не решена. И главная из них — это незащищенность персональных данных нижегородцев, которые пытаются пройти аккредитацию через сайт Nizhny2018.ru.
На нее обратил внимание один из наших читателей, проживающий в микрорайоне «Мещерское озеро», — руководитель IT-отдела нижегородской компании Артем.
— Как и многие нижегородцы, я загрузил на сайт копии своего паспорта, свидетельства о регистрации автомобиля, — рассказал Артем. — А потом обнаружил, что эти документы находятся в общем доступе. То есть их может скачать если не любой интернет-пользователь, то точно студент радиофака или начинающий программист.
В чем суть проблемы? Загруженные файлы (для получения аккредитации просят загрузить копии паспорта, свидетельства о праве собственности на квартиру, договора аренды, свидетельства о регистрации автомобиля и прочих важных документов) можно скачать по прямой ссылке. То есть система не проверяет, есть ли у скачивающего доступ к ним.
Мы попробовали повторить то, что сделал Артем.
В личном кабинете создали новую заявку на пропуск. Загрузили необходимые документы… и потом пришли в шок, что все они открываются, даже если у нас нет доступа к личному кабинету. Не верите? Проверьте сами. Если вот этот паспорт, который мы загрузили в своем личном кабинете, у вас открывается, то и все другие документы не защищены и находятся в свободном доступе.
— То есть если подобрать адрес, то можно скачать чужие файлы без проверки, — продолжает Артем. — Теоретически я могу написать скрипт, который перебором скачает все документы жителей Мещеры и Нижегородского района. Подбираешь и качаешь. Дилетантство!
Возможно, кто-то из мошенников уже заинтересовался этой темой и пишет тот самый скрипт. Наше обращение в адрес сотрудника Дирекции по проведению спортивных и зрелищных мероприятий осталось без ответа.
К сожалению, файлы, которые уже загружены в личный кабинет на сайте Nizhny2018.ru, удалить уже нельзя. Тем же, кто пока не подавал документы для аккредитации, мы бы посоветовали делать это пока через сервисные центры в ТРК «Небо» и ТЦ «Аврора».
Завладев паспортными или другими персональными данными, мошенники могут:
распорядиться средствами с банковских карт или электронных кошельков;
оформить кредит в банке;
оформить фирму-однодневку и «повесить» долги;
совершить незаконные действия с вашей недвижимостью;
зарегистрироваться на сайтах знакомств, онлайн-игр и казино;
шантажировать вас или ваших родственников;
использовать ваши данные в собственных интересах.
ДОПОЛНЕНО. После нашей публикации документы нижегородцев, загруженные на сайт, убрали из свободного доступа. Правда, при этом пострадал аккаунт автора публикации — он был удален с сайта.
— Для обработки персональных данных нижегородцев на сайте Nizhny2018.ru внедрены самые современные методы защиты информации, гарантирующие ее сохранность на 100%, — заверили в компании-разработчике системы аккредитации. — Все регламенты и процедуры соответствуют требованиям Федерального закона «О персональных данных».
Что касается одной конкретной ситуации, связанной с доступностью информации, то можем сказать следующее. Открытие файла было доступно по ссылке. Но так как названия самих файлов зашифрованы, то ссылку можно открыть только самому пользователю. С учетом, что на сайте включена защита от перебора путем блокирования IP-адреса, подобрать такой ключ для зашифрованного файла является крайне сложной задачей даже для суперкомпьютеров.
Все новости о подготовке к ЧМ-2018 по футболу — в специальном разделе.
Вы также можете читать нас в «ВКонтакте» и Viber, где мы рассказываем интересные и важные новости Нижнего Новгорода. Если вы хотите одним из первых читать эти материалы, подписывайтесь на наши группы в «ВКонтакте» и канал в Viber.
Текст: Роман Фильцов
Фото: Vestinn.ru