В маленькой Латвии раскручивается грандиозный скандал с утечкой информации из базы данных службы госдоходов (СГД). Неизвестно откуда появившаяся революционная организация – «Народная Армия четвертой Атмоды» (четвертого Пробуждения) фантастически простым способом проникла в святая святых – базу данных СГД – и в течение трех месяцев скачала оттуда 7,4 млн секретных документов общим объемом в 120 гигабайт.
На прошлой неделе «Народная Армия» начала публиковать скачанную информацию в интернете. Первыми организациями, зарплату которых засветила «Армия», стали два муниципальных предприятия – Rigas satiksme («Рижский транспорт») и Rigas siltums («Рижское тепло»). Из опубликованных данных видно, что в очень «экономном» кризисном 2009 году, когда в Латвии жестко резали зарплаты учителям, полицейским и снижали пенсии, руководящие работники муниципальных предприятий получали зарплаты по 5000–6000 латов ($10 000 – 12 000) в месяц и еще премии – по 12 000 – 25 000 латов ($25 000 – 50 000). В стране зреет народный гнев.
БРИТАНСКИЕ И ИРЛАНДСКИЕ БРИГАДЫ
Широкой публике об утечке из системы электронного декларирования Службы госдоходов стало известно в середине февраля, когда некие анонимы, именующие себя «Народной армией четвертой Атмоды» сообщили по E-mail журналистам латвийского телевидения, что им удалось скачать практически всю базу данных СГД. В доказательство они предоставили несколько файлов, среди которых были документы, содержащие данные о зарплатах сотрудников телевидения и их персональные коды. Вся информация соответствовала действительности.
Представители «Армии» рассказали, что их организация создана с целью борьбы за лучшее будущее Латвии. В данный момент их штаб находится в Великобритании, чтобы не привлекать внимания спецслужб Латвии. Основной состав «Армии» состоит из британских и ирландских бригад, однако в Латвии у них есть свои агенты. Главная цель организации – вывести на чистую воду тех, кто разграбил Латвию. Методом публикации данных о неплательщиках налогов, подозрительных сделках, слишком больших зарплатах и премиях работников госуправления.
Далее на ведущего одной их самых популярных программ ЛТВ «Kas notiek Latvija?» («Что случилось в Латвии?») Юриса Домбурса по «твиттеру» вышел один из «армейцев», назвавшийся ником NEO, и дал интервью. Факты, изложенные NEO, звучат абсурдно и даже сюрреалистично. И, тем не менее, они подтверждаются.
КАК УКРАЛИ 120 ГИГАБАЙТ
Как «армейцам» удалось скачать базу данных СГД? Персонаж по имени NEO объясняет так: «Один человек, который принимал участие в разработке базы данных, проболтался за кружкой пива, что в системе есть «дыра». Было это еще в начале 2009 года. Но скачивание базы они начали только в октябре. А до этого – готовились, организовывали цепочки серверов, писали необходимые программы.
В один из дней октября 2009 года, основательно подготовившись, они начали скачивание. Начали в пятницу вечером, чтобы успеть скачать максимум возможного до понедельника, когда на работу выйдут системные администраторы СГД и обязательно их обнаружат. Но в понедельник, как оказалось, в СГД никто ничего не заметил! «Тогда мы стали совсем бессовестными – увеличивали запросы. Но никто «дыру» не замечал, – рассказал Нео, – они даже не замечали огромный исходящий трафик!».
Резвились так «армейцы» три месяца. И только двух недель им не хватило, чтобы скачать всю базу полностью. Теперь у них имеются помесячные данные доходов практически на всех жителей Латвии за несколько лет.
ВСЕ ПО ЗАКОНУ
Что самое интересное в этой истории: «Народная Армия» не нарушила ни одного закона Латвии. Дело в том, что, скачивая базу данных, хакеры не засылали «троянов», не ломали «скрипты», не подбирали пароли… Держитесь за стул, дорогие читатели. Доступ к файлам латвийской Службы госдоходов можно было получить просто подбирая «буковки и циферки» в адресной строке интернет-браузера! Простейший «робот», перебирающий «буковки и циферки» – и все! На порносайт зайти – сложнее.
«Мы не нарушили закон, – рассказал NEO, – мы ничего не взламывали. Никакую систему авторизации не обходили. Просто один разработчик «за кружкой пива» нам сболтнул, где искать «дыру». И мы нашли!». Копированием данных, сообщил NEO, занимались три человека, и он уверен, что их найти будет трудно, даже почти невозможно.
Эта кажущаяся невероятной история уже нашла свое подтверждение. В телепередаче «Kas notiek Latvija?» исполнительный директор фирмы-разработчика базы данных Exigen Services Иварс Пукстс признал, что «дыра» в их программе существовала с сентября 2008 года: «Человеческий фактор. Ошибка наложилась на ошибку. Так бывает. Понесет ли кто-нибудь ответственность, покажет время». При этом ошибку не заметили ни IT-специалисты СГД, ни аудиторы KMPG Baltic.
А экс-глава СГД Дзинтарс Яканс, под чьим руководством проходило внедрение «дырявой» программы, раздраженно заявил: «Мы купили брак… Кто угодно может купить брак. Если специалисты говорят, что этот брак хорош, то как я, не будучи специалистом, могу констатировать, что это брак?.. Да, они указывали на уязвимость. Но они не указали именно на этот данный конкретный недостаток!».
Латвийское бюро по борьбе с кибер-преступлениями отказалось принимать дело к рассмотрению и посоветовало СГД обратиться в простую полицию. Дескать, это – «не по нашему ведомству», поскольку похищенная информация фактически лежала в открытом доступе. А скачивание открытой информации кибер-преступлением не считается.
С чем бы это сравнить... Ну представьте себе сейфовое хранилище государственного банка. На входе – вооруженная до зубов охрана, спецпропуска, решетки, камеры наблюдения. Само хранилище – пятиметровой толщины стены, многотонные бронированные двери, кодовые замки... Но это – с трех сторон. А вот задней стенки у хранилища – вообще нет. Сзади можно подогнать бульдозер и лопатой выгрести весь золотовалютный запас страны в пять минут. И никто даже не заметит! Нечто подобное и произошло с базой латвийского СГД.
МАМА, МАМА, ЧТО МЫ БУДЕМ ДЕЛАТЬ?
Первая публикация в интернете данных о зарплатах рижского транспортного предприятия Rigas satiksme, которую совершила «армия 4-го пробуждения», повергла муниципальных чиновников в ужас и смятение. Наверное, так ведут себя подростки, которых родители поймали за онанизмом. Дело в том, что всю вторую половину 2009-го года Rigas satiksme слезно требовало повышения тарифов за проезд по городу с 40 до 60 сантимов (с $0,8 до $1,2), мотивируя это «исчерпанием всех резервов экономии и грозящим разорением». В результате, с 1 января 2010 года тариф был поднят до 50 сантимов ($1). А тут оказалось, что почти 400 работников предприятия получают зарплаты, превышающие 1000 латов ($2000). А начальство имеет по $10 000 – 12 000 в месяц и премии – аж до $25 000. Какая уж тут экономия?
Через два дня зловредные «армейцы» вывели на чистую воду главного «кочегара» Риги – предприятие Rigas siltums, которое в настоящий момент усердно пробивает повышение тарифов за отопление. Замечу, что в нынешнюю холодную зиму отопление 1 кв.м площади в Риге уже превысило 1 лат ($2) в месяц. У «кочегаров» тоже, как оказалось, зарплаты и премии изрядные. На очереди, обещают «армейцы», стоит главный «электрик» и главный «водоснабженец». А потом они возьмутся за «разоблачение» министерств и ведомств Латвии, канцелярии президента, силовых структур, предприятий-монополистов...
И что самое мерзкое: публикуя данные о зарплатах, «Армия» формально не нарушает латвийского закона о защите персональных данных (весьма строгого). Имея в скачанной базе все имена, адреса, движимое и недвижимое имущество налогоплательщиков, она публикует данные по зарплатам в организациях без этих имен. Все субъекты публикуемых сумм зарплат у нее значатся, как «Персона1», «Персона2» и так далее. Но народ-то понимает, «кто есть ху» в списке!
ПРОСТОР ДЛЯ РАЗОБЛАЧЕНИЙ
С 1 января 2010 года в Латвии вступил в силу закон об оплате государственных служащих. Из него следует, что самый высокий оклад в государстве имеет премьер-министр – 1908 латов ($2800) в месяц. Остальные чиновники и госслужащие – меньше, для этого существует система коэффициентов. Но ведь кроме окладов есть еще и премии, есть «доплаты за совмещение», есть «гонорары за консультации» и так далее. Короче, каждый фантазирует в меру возможностей.
А тут появилась какая-то «Армия 4-го пробуждения», и любопытный народ, наконец, узнал, сколько действительно стоят его «слуги». Теперь народ с нетерпением ждет, когда «армия» опубликует размеры зарплат «специалистов», которые разрабатывали, тестировали и внедряли великое творение латышских IT-шников – систему защиты базы данных СГД. Которую можно скачать даже без пароля.
Следите за обновлениями Slon.ru в вашей социальной сети:
ВКонтакте или
Facebook.
RSS
6
экспорт в блог
В маленькой Латвии раскручивается грандиозный скандал с утечкой информации из базы данных 
Следите за обновлениями Slon.ru в вашей социальной сети:
