«Фонтанка» получила доступ к данным о погибшем в Сирии летчике, найдя лазейку на сайте Минобороны. Военные негодуют
Мы рассказываем честно не только про войну. Скачайте приложение.
«Фонтанка» нашла на сайте Минобороны «дыру», через которую получила личные данные убитого в Сирии российского летчика
5 февраля «Фонтанка» рассказала о том, как она выяснила, что сбитым 3 февраля в Сирии российским летчиком был майор Роман Филиппов. По данным Минобороны, после катапультирования и приземления летчик отстреливался от окруживших его боевиков и был убит «при ведении боя с террористами». Его фамилию военного ведомство не называло; 3 февраля, со ссылкой на свои источники, имя Романа Филиппова привела «Новая газета». В тот же день фотографии вещей военного были опубликованы боевиками — на них отчетливо видны военный билет, выписанный на фамилию Филиппова, и номер его жетона. Журналист «Фонтанки» Денис Коротков (он пишет про частные военные компании, воющие в Сирии) использовал этот номер и дату рождения офицера, которую он выяснил у своих источников, чтобы получить доступ в личный кабинет Филиппова на сайте Минобороны. Оказалось, что других данных для входа и не требовалось.
На сайте, как рассказал «Медузе» Коротков, обнаружились «расчетные листки, сведения о доходах военнослужащего, со всеми выплатами, предусмотренными приказами Минобороны». «Эта информация позволяет понять не только должностное положение военнослужащего, но и характер службы», — добавил журналист.
«Фонтанка» опубликовала скриншот из личного кабинета Филиппова, скрыв все персональные данные. Издание сообщает: «В среднем в месяц летчик в звании майора получает на руки немногим более 100 тысяч рублей <…> То есть заслуженный майор, если верить расчетному листку на официальном сайте, получает в Сирии меньше, чем рядовой боец частной военной компании.»
Минобороны обвинило «Фонтанку» в «нарушении этики» и убрало доступ к личным данным летчика (именно в таком порядке)
Уже через три часа после публикации в «Фонтанке» Министерство обороны обвинило издание в «нарушении элементарных понятий порядочности и этики журналистской деятельности».
«Используя ставшие известными только в результате геройской гибели в окружении террористов личные данные летчика майора Романа Филиппова, некто Д. Коротков, не стоящий и тени нашего офицера, получил доступ к его персональным финансовым отчетам. До чего же надо было опуститься, чтобы после этого еще и принять решение о публикации персональных данных российского офицера на сайте средства массовой информации», — говорится в заявлении Минобороны.
То обстоятельство, что получить доступ к личному кабинету Филиппова оказалось настолько просто, в ведомстве объяснили так: «После первого захода на страницу любой офицер или контрактник вводит туда свой уникальный пароль. К сожалению, у Романа не хватило времени зайти на свою страницу [и создать пароль]».
В «Фонтанке» ответили, что опубликовали лишь имя и фамилию летчика, которые уже назывались (правда, издание также опубликовало данные о зарплате Филиппова за декабрь — какого года, неясно). К моменту публикации министерством обороны своего заявления персональные данные военного на сайте Минобороны все еще были доступны. И только поздно вечером в ответ на ввод данных Филиппова сайт ведомства стал выводить сообщение: «Отсутствует информация в соответствии с введенными данными».
«Что касается логина и пароля — вряд ли большая часть военных их вообще завела», — утверждает Коротков. По его словам, для сброса пароля в личном кабинете военного и для получения нового необходимо необходимо знать все те же личный номер и дату рождения.
Возможность проверить личные данные военных ставит их под угрозу
В «Фонтанке» уверены, что личные данные военнослужащих под угрозой. Ведь номер жетона и дата рождения — это как раз та информация, которую военный обязан сообщить, попав в плен. Только тогда он может рассчитывать, что с ним будут обращаться в соответствие с Женевской конвенцией 1949 года.
«Пленный летчик теперь не сможет замаскироваться под тыловика или пехотинца, — пишет „Фонтанка“. — Российское Минобороны лишило своих офицеров возможности скрыть настоящую профессию при попадании в плен. Вражеский офицер, ведущий допрос, знаком с открытым приказом министра обороны о надбавках различным категориям военнослужащих и легко сможет вывести военнопленного на чистую воду».
«Я усматриваю здесь признаки нарушения закона со стороны министерства обороны», — заявил «Медузе» специалист по кибербезопасности, предприниматель и разработчик сайтов и приложений Александр Литреев. Он имеет в виду статью 19 закона «О персональных данных», согласно которой оператор (в данном случае, Минобороны) «обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним».
«Необходимые меры [по защите информации] предприняты не были. Номер жетона — публичная информация, дата рождения находится в открытом доступе, — говорит Литреев. — Эти два идентификатора, необходимые для получения конфиденциальной информации, — явно недостаточные меры защиты. Защитой это можно было считать, если бы пользователь [обязательно] ставил пароль или был бы организован доступ с помощью СМС. То, что есть сейчас, — это не защита данных, это фактически поиск конкретного военнослужащего, причем ищущий никак не авторизуется и не идентифицируется в системе».