Госорганы Сиэтла дали интернет-активисту возможность использовать закон о свободе распространения информации. Об этом сегодня сообщает Toppress.kz со ссылкой на TJournal.
Исследователь и интернет-активист Мэтт Чапман, который с 2014 года пытался так или иначе использовать американский Закон о свободе распространения информации (Freedom of Information Act, FOIA) для получения данных для своих исследований, смог его получить.
Согласно этому закону государственные органы США обязаны предоставлять определённые данные гражданам, которые их запрашивают — подразумевается, что такой закон делает работу госорганов максимально прозрачной. Но, как и все законы, FOIA работает не всегда и зачастую не так, как предполагалось.
Работа с данными
Как отмечает издание, Чапман уже работал с полученными от правительства большими данными. В 2016 году он запросил у мэрии Чикаго информацию обо всех выданных парковочных талонах с 2009 года, чтобы определить наиболее проблемные места в городе. Данные ему выдали, но оказалось, что они хранились в ужасном формате, а сделанные инспекторами опечатки при вводе данных в КПК никто не исправлял.
В 2014 году исследователь запросил у мэрии Чикаго метаданные голосовых звонков, совершенных на государственные телефонные номера или с них, чтобы определить, был ли сговор во время выборов мэра города. Чтобы получить данные, ему пришлось потратить полтора года на различные запросы, общение с юристами и преимущественно ожидание.
После того случая с выдачей метаданных звонков Чапман решил проверить, насколько вообще в США хорошо работает FOIA в плане выдачи такого рода данных. Он направил по два запроса на каждый из 50 штатов США, однако получил информацию только от двух — Хьюстона и Сиэтла.
Запрос в мэрию Хьюстона был обработан быстро, и Чапман получил метаданные 6 миллионов электронных писем — то есть адреса отправителей и получателей (включая все копии, в том числе скрытые) и время отправки сообщений. А вот с Сиэтлом всё вышло не так просто.
От 33 миллионов до 40 долларов
Чапман запросил данные 2 апреля 2017 года, написав на адрес IT-департамента мэрии Сиэтла короткое письмо.
Для всей почты, отправленной на или с адреса почты, принадлежащей Сиэтлу, в 2017 году, пожалуйста предоставьте следующие сведение:
1. Поле "От"
2. Поле "Кому"
3. Адреса копии
4. Адреса скрытой копии
5. Время
6. Датаписьмо Чапмана IT-департаменту мэрии Сиэтла
В мэрии сначала ответили, что за прошедшие 90 дней адресами на seattle.gov было отправлено 5,5 миллиона писем, а получено на них более 26 миллионов, и письма потребуется очень долго проверять, прежде чем их смогут предоставить. Чапман понял, что его восприняли неправильно, и в ответном письме ещё раз указал, что речь идёт только о метаданных, а не о самой переписке.
В ответ на второе письмо Чапмана пришли расчёты стоимости такой услуги. В мэрии снова проигнорировали, что речь идёт только о метаданных, и оценили проверку 32 миллионов писем в 33 миллиона долларов. По оценке IT-департамента, каждое письмо потребовалось бы проверять на секретные сведения от 30 секунд до двух минут, и это заняло бы 320 лет работ, что и оценили в такую сумму.
Отмечается, что в письме не было отказа на оказание услуги — там говорилось, что первые данные могут выдать начиная с 29 мая 2017 года. И Чапман продолжил.
5 июня исследователю пришёл перерасчёт: в мэрии наконец-то поняли, что речь идёт о метаданных, и запросили всего 1,25 доллара за каждые два дня, за которые нужно было предоставить данные. Чапман сразу отправил в мэрию 14 отдельных чеков, 13 из которых были на 1,25 доллара: всего запрос обошёлся ему примерно в 40 долларов. Но затем ему долго не отвечали, и исследователь подумал, что всё-таки его запрос не смогли выполнить.
Расследования, переписка и номера кредитных карт в 32 миллионах писем
22 августа Чапман случайно добавил свой адрес почты на новый смартфон и, проверив её, нашёл ответ от мэрии. Оказалось, они сформировали для него отчёт, загрузили на специальный сайт и прислали ему данные для входа на сервер.
Когда Чапман стал скачивать архив, разбитый на 400 отдельных файлов, он увидел, что помимо метаданных писем мэрия предоставила и первые 256 символов каждого из 32 миллионов писем. Этих коротких строчек хватило для того, чтобы Чапман увидел:
- Имена пользователей и пароли;
- Номера кредитных карт;
- Номера карт социального страхования и водительских прав;
- Текущие расследования полиции и отчёты о задержаниях;
- Сообщения изменяющих супругов своим любовникам и любовницам;
- Расследования ФБР;
- Уведомления от сервиса удалённого администрирования Zabbix.
Другими словами, они только что слили мне огромную базу данных с частной информацией интимного уровня. Помимо этого, они скорее всего нарушили множество законов, включая Закон о приватности 1974 года и множество законов о публичных данных. Честно говоря, у меня до сих пор нет слов.
(с) Мэтт Чапман, исследователь
Чапман тактично намекнул мэрии, что они прислали не те данные, однако там поняли всю трагичность ситуации только со второго сообщения. Обменявшись несколькими письмами с сотрудниками департамента по открытым данным, Чапман в итоге оказался на конференц-звонке с техническим директором мэрии Сиэтла и начальником по безопасности данных.
Во время разговора сотрудники мэрии поблагодарили Чапмана за то, что он уведомил их о проблеме. Ближе к концу разговора исследователь спросил, может ли он оставить полученные данные себе: "Почему бы хотя бы не поинтересоваться, да?".
В этот момент у него дома отключился интернет (впервые за полгода). Через десять минут, когда связь была восстановлена, он вернулся к разговору, но тон сотрудников мэрии изменился: они потребовали, чтобы все файлы были удалены, а жёсткие диски, на которых они хранились, были сданы компании Kroll на изучение. Только при выполнении обоих условий Чапману гарантировалась юридическая неприкосновенность.
Это было даже близко не то, с чем я мог бы согласиться, поэтому мы завершили звонок через пару минут, договорившись, что дальше общаться будут наши юристы, — добавил Чапман. Спустя месяц переговоров исследователь согласился удалить файлы.
Историю предали огласке только в начале октября 2018 года, когда местный телеканал KIRO7 запросил комментарий по ситуации у мэрии. В ходе расследования выяснилось, что мэрия даже не уведомила своих сотрудников об утечке, и сделала это только после обращения журналистов.
