Безпека даних по-українськи. Міністерство публічно виклало адреси записаних на вакцинацію
Телефони й адреси записаних на вакцинацію потрапили у відкритий доступ. Як це сталося?
24 березня Міністерство у справах ветеранів повідомило про формування списків, потрапивши до яких учасники бойових дій можуть претендувати на вакцинацію поза чергою залишками вакцини. Заявки з особистими даними приймали телефоном та онлайн. Дані з онлайн-форм, що містили ПІБ, контактні телефони та адреси записаних, опинилися у вільному доступі.
Про це пишуть Букви:
Вранці 24 березня пресслужба Мінветеранів опублікувала допис із роз’ясненнями щодо того, як учасники бойових дій зможуть вакцинуватися від COVID-19 поза чергою у разі наявності невикористаних доз вакцини. Як відомо, від 12 березня учасники бойових дій, нардепи та відомі особи, старші за 60 років, можуть претендувати на залишки доз вакцини проти коронавірусу COVID-19.
Пропонувалося два варіанти: телефоном через контакт-центр МОЗ або ж через координаторів при обласних державних адміністраціях та Центрі громадського здоров’я. У другому випадку було необхідно заповнити онлайн-форму.
Однак у деяких формах, посилання на які залишило міністерство, кожен користувач міг побачити контактні дані інших записаних. На це звернув увагу журналіст Віктор Пічугін.
Наразі відповідна публікація видалена. Однак залишилася її кешована версія.
У видаленому дописі Мінветеранів для майже кожної області України було запропоновано документ, розміщений на Google Docs, куди можна вписати свої контактні дані (ПІБ, адреса, телефон).
Для деяких областей це було реалізовано через онлайн-форму (як, до прикладу, зробила Закарпатська ОДА). А для інших (приміром, Львівської) було запропоновано Google-таблицю. При цьому в таблицях, на відміну від форм, пропонувалося ще пояснити, чому особа-заповнювач форми вважає себе лідером громадської думки.
До того ж у варіанті з таблицею кожен міг вписати свої дані в документ, доступ до якого мали всі, хто мав на нього посилання. Тож усі користувачі, що переходили за посиланням, бачили й контактні дані інших людей.
У такий спосіб інформацію мали подавати мешканці Кіровоградської, Львівської, Миколаївської, Полтавської, Рівненської, Харківської, Херсонської та Хмельницької областей.
Зараз доступ до документів у вигляді таблиць із даними вже закритий.
Утім шкода, яку було завдано тим, чиї дані потрапили у відкритий доступ, є непоправною.
Активіст та один із засновників “Українського кіберальянсу” Шон Браян Таунсенд пояснив, що ці документи неможливо буде видалити остаточно.
У коментарі виданню Радіо Свобода речниця міністра у справах ветеранів Оксана Химич заявила, що це — технічна помилка, а посилання у дописі міністерства розмістили ті, що надали ОДА.
“Ми брали цю інформацію із сайтів обласних державних адміністрацій. Є регіональні координатори, яких визначає, звичайно, не Міністерство ветеранів, і вони далі посилання, куди треба звертатись і вписувати свої дані. Ми зібрали ці дані. Це якийсь технічний збій”, — сказала Химич.
Чи будуть працівники міністерства притягнуті до відповідальності через цю помилку (або ж ретранслювання помилки чиновників ОДА) — наразі невідомо.
Пресслужба Мінветеранів не була доступна для коментарів. #Букви звернулися з проханням прокоментувати подію до речниці міністра Оксани Химич, а також надіслали запит до міністерства.