Сиэтл выдал активисту 32 млн данных электронных писем госработников. Законно, за 40 долларов — но с частью содержимого

А там было всё: расследования ФБР и полиции, кредитные карты и пароли, переписка любовников и личные документы.

Мэтт Чапман (Matt Chapman) — исследователь и интернет-активист, который с 2014 года пытался так или иначе использовать американский Закон о свободе распространения информации (Freedom of Information Act, FOIA) для получения данных для своих исследований. По этому закону американские госорганы обязаны предоставлять определённые данные гражданам, которые их запрашивают — подразумевается, что такой закон делает работу госорганов максимально прозрачной. Но, как и все законы, FOIA работает не всегда и зачастую не так, как предполагалось.

Чапман уже работал с полученными от правительства большими данными. В 2016 году он запросил у мэрии Чикаго информацию обо всех выданных парковочных талонах с 2009 года, чтобы определить наиболее проблемные места в городе. Данные ему выдали, но оказалось, что они хранились в ужасном формате, а сделанные инспекторами опечатки при вводе данных в КПК никто не исправлял.

В 2014 году исследователь запросил у мэрии Чикаго метаданные голосовых звонков, совершенных на государственные телефонные номера или с них, чтобы определить, был ли сговор во время выборов мэра города. Чтобы получить данные, ему пришлось потратить полтора года на различные запросы, общение с юристами и преимущественно ожидание.

После того случая с выдачей метаданных звонков Чапман решил проверить, насколько вообще в США хорошо работает FOIA в плане выдачи такого рода данных. Он направил по два запроса на каждый из 50 штатов США, однако получил информацию только от двух — Хьюстона и Сиэтла.

Запрос в мэрию Хьюстона был обработан быстро, и Чапман получил метаданные 6 миллионов электронных писем — то есть адреса отправителей и получателей (включая все копии, в том числе скрытые) и время отправки сообщений. А вот с Сиэтлом всё вышло не так просто.

Чапман запросил данные 2 апреля 2017 года, написав на адрес IT-департамента мэрии Сиэтла короткое письмо.

В мэрии сначала ответили, что за прошедшие 90 дней адресами на seattle.gov было отправлено 5,5 млн писем, а получено на них более 26 миллионов, и письма потребуется очень долго проверять, прежде чем их смогут предоставить. Чапман понял, что его восприняли неправильно, и в ответном письме ещё раз указал, что речь идёт только о метаданных, а не о самой переписке.

В ответ на второе письмо Чапмана пришли расчёты стоимости такой услуги. В мэрии снова проигнорировали, что речь идёт только о метаданных, и оценили проверку 32 миллионов писем в 33 миллиона долларов. По оценке IT-департамента, каждое письмо потребовалось бы проверять на секретные сведения от 30 секунд до двух минут, и это заняло бы 320 лет работ, что и оценили в такую сумму.

Впрочем, в письме не было отказа на оказание услуги — там говорилось, что первые данные могут выдать начиная с 29 мая 2017 года. И Чапман продолжил.

5 июня исследователю пришёл перерасчёт: в мэрии наконец-то поняли, что речь идёт о метаданных, и запросили всего 1,25 доллара за каждые два дня, за которые нужно было предоставить данные. Чапман сразу отправил в мэрию 14 отдельных чеков, 13 из которых были на 1,25 доллара: всего запрос обошёлся ему примерно в 40 долларов. Но затем ему долго не отвечали, и исследователь подумал, что всё-таки его запрос не смогли выполнить.

22 августа Чапман случайно добавил свой адрес почты на новый смартфон и, проверив её, нашёл ответ от мэрии. Оказалось, они сформировали для него отчёт, загрузили на специальный сайт и прислали ему данные для входа на сервер.

Когда Чапман стал скачивать архив, разбитый на 400 отдельных файлов, он увидел, что помимо метаданных писем мэрия предоставила и первые 256 символов каждого из 32 миллионов писем. Этих коротких строчек хватило для того, чтобы Чапман увидел:

Чапман тактично намекнул мэрии, что они прислали не те данные, однако там поняли всю трагичность ситуации только со второго сообщения. Обменявшись несколькими письмами с сотрудниками департамента по открытым данным, Чапман в итоге оказался на конференц-звонке с техническим директором мэрии Сиэтла и начальником по безопасности данных.

Во время разговора сотрудники мэрии поблагодарили Чапмана за то, что он уведомил их о проблеме. Ближе к концу разговора исследователь спросил, может ли он оставить полученные данные себе: «Почему бы хотя бы не поинтересоваться, да?»

В этот момент у него дома отключился интернет (впервые за полгода). Через десять минут, когда связь была восстановлена, он вернулся к разговору, но тон сотрудников мэрии изменился: они потребовали, чтобы все файлы были удалены, а жёсткие диски, на которых они хранились, были сданы компании Kroll на изучение. Только при выполнении обоих условий Чапману гарантировалась юридическая неприкосновенность.

«Это было даже близко не то, с чем я мог бы согласиться, поэтому мы завершили звонок через пару минут, договорившись, что дальше общаться будут наши юристы», — добавил Чапман. Спустя месяц переговоров исследователь согласился удалить файлы.

Историю предали огласке только в начале октября 2018 года, когда местный телеканал KIRO7 запросил комментарий по ситуации у мэрии. В ходе расследования выяснилось, что мэрия даже не уведомила своих сотрудников об утечке, и сделала это только после обращения журналистов.

#технологии #истории