шапито

Премия кибердарвина: интернет как тест на глупость

Meduza
14:46, 27 ноября 2014

Изображение: Banksy

Фото: Gerda / flickr

На протяжении всего ноября СМИ рассказывали о русском сайте Insecam, на котором обнаружились тысячи незащищенных веб-камер со всего мира. Создатель ресурса собрал в одном месте потоковое видео с камер, которые либо вообще не были защищены никакими настройками, либо были прикрыты стандартным паролем. 

Всеобщее удивление вскоре сменилось гневом. Руководитель управления по вопросам общественной информации Великобритании объявил, что в его стране деятельность такого сайта была бы незаконной. Он попросил российские власти помочь с закрытием ресурса; Роскомнадзор пообещал изучить сайт. 

В итоге владелец Insecasm сперва совсем скрыл содержание сайта — там появилось объявление о поиске работы, а затем вернул часть камер, но только те, которые действительно находились в публичном доступе и не были запаролены. Кроме того, он пообещал удалять камеры с сайта по запросу владельцев. 

Казус с сайтом Insecam — не первый случай, когда пользователи сами отправляют в интернет персональные данные. «Медуза» вспоминает самые яркие истории о том, как коварная Сеть подставила пользователей; герои этих историй, по мнению редакции, заслуживают того, чтобы получить специальную «премию кибердарвина»

Веб-камеры и Google

Как минимум с 2006 года по сети ходят инструкции о том, как в Google можно найти незащищенные камеры. Достаточно было ввести правильный запрос — и поисковик выдавал сотни и тысячи открытых веб-камер, доступных по прямому IP-адресу. Некоторыми из них даже можно было управлять (то есть менять угол обзора). 

История с Insecam (если допустить, что администратор ресурса действительно ничего не взламывал) и подобными ресурсами, таким образом, связана, прежде всего, с неумением людей разбираться с хитрой техникой, а еще с отсутствием внятных инструкций от создателей камер и ПО. Где-то ведь должно быть написано крупным шрифтом: не устанавливайте пароль «12345». 

Кадр с веб-камеры на сайте Insecam

Паспорта и «ВКонтакте»

Еще одна «дырка», через которую утекают персональные данные —  сервис «Документы» в соцсети «ВКонтакте». Сервис позволяет любому желающему загрузить на сервера соцсети файл — текстовый документ, презентацию, архив, изображение, все, что угодно — и делиться им с друзьями. В разделе есть свой поисковик, позволяющий найти любой чужой документ, который был опубликован без пометки «личный».

Именно этот поисковик, работающий даже чересчур хорошо, стал поводом для яростной критики «ВКонтакте» в 2011 году. Тогда достаточно было вбить в поисковую строку слово «паспорт» — и на страницу вываливались десятки сканов паспортов пользователей соцсети. Они, очевидно, не хотели делиться с миром своими данными, но не подумали, что нужно выбрать соответствующую настройку приватности.

Тогда, в 2011-м, возмущенная общественность требовала от «ВКонтакте» если не прикрыть сервис, так хотя бы сделать все загружаемые документы скрытыми из поиска по умолчанию. Сейчас каждый новый файл помечается как «личный» и в выдачу не попадает; впрочем, «Медуза» за несколько секунд нашла два свежезагруженных паспорта, свидетельство о рождении и свидетельство о постановке на налоговый учет.

Логично ожидать, что если кто-нибудь создаст сайт-агрегатор подобных документов, размещенных в открытом доступе, общественность будет требовать его закрытия и привлечения владельца к ответственности. Но вряд ли пользователи перестанут загружать свои документы «ВКонтакте». 

Наркокурьеры и «Радикал»

Главные претенденты на «премию кибердарвина» — люди, загружающие личные снимки на фотохостинг «Радикал». При публикации фотографии по умолчанию включена опция «Показывать картинку всем»; если не снять галочку, изображение действительно увидят все желающие.

«Радикал» складывает все публичные картинки, загружаемые в режиме реального времени, в раздел «Галереи» (строго 18+). Среди обычных фотографий детей, автомобилей и накрашенных ногтей можно обнаружить множество вещей, явно не предназначенных для посторонних глаз — от откровенных (и даже чересчур) фотографий до тех же паспортных данных.

Самая забавная категория пользователей «Радикала» — наркокурьеры. Блогер ntv нашел на хостинге множество фотографий людей, показывающих в камеру паспорта или другие свои документы. В кадр попадали и листы бумаги, на которых написано название того или иного наркофорума. Автор заметки утверждает, что таким образом люди устраиваются «на работу» распространителями наркотиков — в укромных местах дилеры за деньги оставляют «закладки», расположение которых затем будут указывать покупателям. Стоит ли говорить, что фотографии с указанием мест «закладок» загружаются на тот же «Радикал».

Скриншот сайта radikal.ru

Хакер и его девушка

Нулевое место в «премии кибердарвина» заслужил хакер Хигиньо О. Очоа Третий (Higinio O. Ochoa III), действовавший под псевдонимом w0rmer. Его случай — исключительный, зато он хорошо демонстрирует, к чему может привести желание похвастаться.

После одного из взломов Очоа Третий опубликовал в своем микроблоге фотографию женской груди с издевательским посланием своим жертвам. Однако w0rmer не заметил, что к снимку прикрепился геотег, сообщающий всему миру о его местонахождении. На геотег обратило внимание ФБР, разыскивавшее хакера.

Фото: The Hacker News

Очоа задержали в апреле 2012 года. В сентябре 2014-го он вышел на свободу.

Султан Сулейманов