Сиэтл выдал активисту 32 млн данных электронных писем госработников. Законно, за 40 долларов — но с частью содержимого
А там было всё: расследования ФБР и полиции, кредитные карты и пароли, переписка любовников и личные документы.
Сиэтл. Фото TechRepublic
Мэтт Чапман (Matt Chapman) — исследователь и интернет-активист, который с 2014 года пытался так или иначе использовать американский Закон о свободе распространения информации (Freedom of Information Act, FOIA) для получения данных для своих исследований. По этому закону американские госорганы обязаны предоставлять определённые данные гражданам, которые их запрашивают — подразумевается, что такой закон делает работу госорганов максимально прозрачной. Но, как и все законы, FOIA работает не всегда и зачастую не так, как предполагалось.
Работа с данными
Чапман уже работал с полученными от правительства большими данными. В 2016 году он запросил у мэрии Чикаго информацию обо всех выданных парковочных талонах с 2009 года, чтобы определить наиболее проблемные места в городе. Данные ему выдали, но оказалось, что они хранились в ужасном формате, а сделанные инспекторами опечатки при вводе данных в КПК никто не исправлял.
В 2014 году исследователь запросил у мэрии Чикаго метаданные голосовых звонков, совершенных на государственные телефонные номера или с них, чтобы определить, был ли сговор во время выборов мэра города. Чтобы получить данные, ему пришлось потратить полтора года на различные запросы, общение с юристами и преимущественно ожидание.
После того случая с выдачей метаданных звонков Чапман решил проверить, насколько вообще в США хорошо работает FOIA в плане выдачи такого рода данных. Он направил по два запроса на каждый из 50 штатов США, однако получил информацию только от двух — Хьюстона и Сиэтла.
Запрос в мэрию Хьюстона был обработан быстро, и Чапман получил метаданные 6 миллионов электронных писем — то есть адреса отправителей и получателей (включая все копии, в том числе скрытые) и время отправки сообщений. А вот с Сиэтлом всё вышло не так просто.
От 33 миллионов до 40 долларов
Чапман запросил данные 2 апреля 2017 года, написав на адрес IT-департамента мэрии Сиэтла короткое письмо.
Для всей почты, отправленной на или с адреса почты, принадлежащей Сиэтлу, в 2017 году, пожалуйста предоставьте следующие сведение:
1. Поле «От»
2. Поле «Кому»
3. Адреса копии
4. Адреса скрытой копии
5. Время
6. Дата
В мэрии сначала ответили, что за прошедшие 90 дней адресами на seattle.gov было отправлено 5,5 млн писем, а получено на них более 26 миллионов, и письма потребуется очень долго проверять, прежде чем их смогут предоставить. Чапман понял, что его восприняли неправильно, и в ответном письме ещё раз указал, что речь идёт только о метаданных, а не о самой переписке.
В ответ на второе письмо Чапмана пришли расчёты стоимости такой услуги. В мэрии снова проигнорировали, что речь идёт только о метаданных, и оценили проверку 32 миллионов писем в 33 миллиона долларов. По оценке IT-департамента, каждое письмо потребовалось бы проверять на секретные сведения от 30 секунд до двух минут, и это заняло бы 320 лет работ, что и оценили в такую сумму.
Впрочем, в письме не было отказа на оказание услуги — там говорилось, что первые данные могут выдать начиная с 29 мая 2017 года. И Чапман продолжил.
5 июня исследователю пришёл перерасчёт: в мэрии наконец-то поняли, что речь идёт о метаданных, и запросили всего 1,25 доллара за каждые два дня, за которые нужно было предоставить данные. Чапман сразу отправил в мэрию 14 отдельных чеков, 13 из которых были на 1,25 доллара: всего запрос обошёлся ему примерно в 40 долларов. Но затем ему долго не отвечали, и исследователь подумал, что всё-таки его запрос не смогли выполнить.
Расследования, переписка и номера кредитных карт в 32 миллионах писем
22 августа Чапман случайно добавил свой адрес почты на новый смартфон и, проверив её, нашёл ответ от мэрии. Оказалось, они сформировали для него отчёт, загрузили на специальный сайт и прислали ему данные для входа на сервер.
Когда Чапман стал скачивать архив, разбитый на 400 отдельных файлов, он увидел, что помимо метаданных писем мэрия предоставила и первые 256 символов каждого из 32 миллионов писем. Этих коротких строчек хватило для того, чтобы Чапман увидел:
- Имена пользователей и пароли;
- Номера кредитных карт;
- Номера карт социального страхования и водительских прав;
- Текущие расследования полиции и отчёты о задержаниях;
- Сообщения изменяющих супругов своим любовникам и любовницам;
- Расследования ФБР;
- Уведомления от сервиса удалённого администрирования Zabbix.
Другими словами, они только что слили мне огромную базу данных с частной информацией интимного уровня. Помимо этого, они скорее всего нарушили множество законов, включая Закон о приватности 1974 года и множество законов о публичных данных. Честно говоря, у меня до сих пор нет слов.
Чапман тактично намекнул мэрии, что они прислали не те данные, однако там поняли всю трагичность ситуации только со второго сообщения. Обменявшись несколькими письмами с сотрудниками департамента по открытым данным, Чапман в итоге оказался на конференц-звонке с техническим директором мэрии Сиэтла и начальником по безопасности данных.
Во время разговора сотрудники мэрии поблагодарили Чапмана за то, что он уведомил их о проблеме. Ближе к концу разговора исследователь спросил, может ли он оставить полученные данные себе: «Почему бы хотя бы не поинтересоваться, да?»
В этот момент у него дома отключился интернет (впервые за полгода). Через десять минут, когда связь была восстановлена, он вернулся к разговору, но тон сотрудников мэрии изменился: они потребовали, чтобы все файлы были удалены, а жёсткие диски, на которых они хранились, были сданы компании Kroll на изучение. Только при выполнении обоих условий Чапману гарантировалась юридическая неприкосновенность.
«Это было даже близко не то, с чем я мог бы согласиться, поэтому мы завершили звонок через пару минут, договорившись, что дальше общаться будут наши юристы», — добавил Чапман. Спустя месяц переговоров исследователь согласился удалить файлы.
Историю предали огласке только в начале октября 2018 года, когда местный телеканал KIRO7 запросил комментарий по ситуации у мэрии. В ходе расследования выяснилось, что мэрия даже не уведомила своих сотрудников об утечке, и сделала это только после обращения журналистов.
#технологии #истории