Киберполиция объяснила скрипты-деанонимайзеры. Так измеряли «уровень доверия общества»

10.02.2020 Pavlov Developer

Киберполиция объяснила скрипты-деанонимайзеры. Так измеряли «уровень доверия общества»

10 Февраля, 2020,
12:30





1188

В конце января стало известно про обращения Киберполиции в редакции региональных СМИ (а также IT-компании) с просьбой установить скрипт для деанонимизации пользователей.

Позже выяснилось, что два таких скрипта в разное время работали на самом сайте Киберполиции — это были открытые Javascript-библиотеки FingerprintJS и ClientJS. Они позволяют узнавать детальные характеристики устройства и присваивать каждому юзеру уникальный идентификатор, не привязанный к файлам cookies. То есть, его не удастся стереть простым сбросом истории браузера.

Распространение таких библиотеках на большом количестве сайтов способно свести на нет эффект от использования анонимайзеров или VPN-клиентов. Пользователь может однажды «засветить» свой IP на одном сайте со скриптами — и затем не получится скрыться даже за очень грамотной маскировкой трафика. Детально о технологии AIN.UA рассказывал ранее.

Зачем эти скрипты на сайте Киберполиции — официальное объяснение

Редакция AIN.UA направила официальный запрос в Киберполицию с просьбой объяснить появление этих библиотек. И спустя неделю получила ответ. Ниже — прямая цитата:

В соответствии с Законом Украины «Про Национальную полицию», критерием оценки результатов деятельности Национальной Полиции является уровень доверия общества к полиции.

Для определения такого уровня использованы открытые библиотеки FingerprintJS и ClientJS с использованием которых проводилась оценка частоты посещения новостей и рекомендаций, что публикуются на официальном сайте.

Указанные библиотеки являются открытыми и разрабатываются сообществом специалистов вне зависимости от страны происхождения.

В Киберполиции указали, что в связи с проведением проверки принято решение об удалении скриптов с официального сайта.

Киберполиция объяснила скрипты-деанонимайзеры. Так измеряли «уровень доверия общества»

Ранее опрошенный AIN.UA эксперт указывал, что при использовании скриптов ведомство нарушило элементарные правила безопасности. Так, библиотека ClientJS передавала данные на сторонний сайт, зарегистрированный через российского регистратора, но привязанный к винницкому хостеру. То есть, аналитика полученных сведений проводилась на стороннем сервере.

В свою очередь юристы отмечали, что сбор такого количества персональных данных можно проводить только после согласия пользователей, а их дальнейшее использование может нарушать закон «Про защиту персональных данных».

В Киберполици также не рассказали, этот ли скрипт предлагали установить региональным изданиям.




Источник