Хакерская группа Anonymous в знак протеста против разработки законопроекта, обязующего австралийских провайдеров хранить всю информацию о своих клиентах и их передвижении в сети Интернет на протяжении двух лет, опубликовала 180 тысяч записей с персональными данными, которые были украдены у телекоммуникационной корпорации AAPT. Теоретически предложенная австралийскими законодателями инициатива должна облегчить работу правоохранительных органов, но у хакерской «полиции нравов» свое мнение на этот счет: «Австралийское государство пытается лишить своих граждан каких-либо прав в сети Интернет».
В середине июля внимание членов хакерской группы Anonymous привлек проект закона, который сейчас разрабатывается в австралийском парламенте. Если он будет принят, австралийских провайдеров в обязательном порядке обяжут хранить данные о своих клиентах, включая их переписку и историю передвижений в Интернете на протяжении двух лет. В теории, доступ к этой информации смогут получить только правоохранительные органы, да и то по решению суда, но никаких гарантий того, что для этой информации не найдется «неофициального» применения, как и того, что её просто-напросто не украдут, конечно же, нет.
Последователи идеи свободного интернет-пространства начали свои атаки на австралийские государственные структуры и коммерческие организации в середине июля, самой успешной из них стала атака на Melbourne IT, которая произошла 25 июля. Её результатом стало похищение 40 гигабайт данных в виде файлов дампа памяти, принадлежавших компании AAPT. Из этих 40 гигабайт 3,5 содержали персональные данные пользователей и клиентов компании AAPT.
Australian Associated Press Telecommunications (AAPT), компания, которая создавалась как коммерческое подразделение AP, на данный момент является одним из крупнейших интернет-провайдеров в Австралии, а злополучная Melbourne IT, из которой и произошла утечка, предоставляет AAPT свои облачные сервера для обработки персональных данных.
Как мы уже писали в №7(48) журнала "Персональные данные", обработка персональных данных в облачных системах таит в себе массу подводных камней, и один из них – ненадежная система удаления данных. Именно этим недостатком и воспользовались хакеры из группы «Anonymous».
Дэвид Юлиэ (David Yulie), CEO в AAPT, вскоре после утечки решил утешить клиентов компании, заявив, что ничего страшного не произошло: «Действительно, были украдены две базы персональных данных, которые к моменту кражи не использовались, по крайней мере, двенадцать месяцев, поэтому они давно уже неактуальны». После такого заявления возникает только один вопрос: почему базы ПДн после достижения цели обработки персональных данных не были удалены, а хранились на сервере провайдера облачных вычислений на протяжении, по крайней мере, двенадцати месяцев?
Несколько дней спустя хакеры из «Anonymous», несмотря на заверения в том, что персональные данные, которые они до этого давали, будут обезличенны перед публикацией, выложили свой улов в Сеть. После этого стало понятно, что что-то страшное все-таки произошло: в свободном доступе появились 180 тысяч записей, содержащих номер удостоверяющего личность документа, имя и фамилию, должность (в базе оказались данные руководителей многих компаний), адрес электронный почты, рабочий и домашний телефоны, а также номер банковского счета. Среди жертв анонимной атаки оказались сотрудники Федеральной Полиции Австралии, Австралийской Комиссии по Ценным Бумагам и Инвестициям (ASIC), Резервного банка Австралии, ABC, Почты Австралии, Австралийской Комиссии по Преступности и государственной корпорации Energy Australia. Но беды AAPT на этом не закончились, ведь хакеры опубликовали только часть записей, еще 263 тысячи будут опубликованы в ближайшее время, и кто окажется в этих списках – одному Анонимусу известно.
Можно считать, что хакеры добились поставленной цели: даже если у них и не получилось похоронить законопроект, ряды его сторонников значительно поредели после данного инцидента. Если крупнейшие австралийские операторы связи не могут обеспечить адекватной информации о своих пользователях, то чего можно ждать от рядового австралийского провайдера?
Алексей Калмыков
журнал «Персональные данные»
