Xakep #305. Многошаговые SQL-инъекции
Роскомнадзор разработал порядок формирования и ведения реестра страниц в соцсетях, насчитывающих более 10 000 подписчиков. Предполагается, что для включения в реестр блогеры должны будут предоставить ФИО, номера телефонов, email-адреса, а также IP-адреса «компьютеров, с которых была создана страница и осуществляется ее ведение».
Вечером 5 сентября 2024 года соответствующий проект был опубликован на портале проектов нормативных правовых актов, однако в настоящее время документ удален оттуда по неизвестным причинам. ТАСС сообщает, что причиной публикации документа на портале мог стать технический сбой. Общественное обсуждение проекта приказа должно было продлиться до 2 октября текущего года, а предполагаемая дата вступления приказа в силу — 1 ноября 2024 года.
Так как некоторое проект документа был доступен всем желающим, известно, что соответствии с предложением Роскомнадзора в реестр предлагается включать следующие сведения о страницах с аудиторией более 10 000 человек:
- наименование персональной страницы и ее адрес в интернете (эти сведения будут открытыми);
- данные о пользователе соцсети (для физлиц — граждан России это фамилия, имя и отчество, для иностранцев — также ФИО и страна проживания, для юрлиц — название организации, организационно-правовая форма, регистрационный номер, для ИП — фамилия, имя и отчество, а также регистрационный номер, для иностранных компаний — название, страна регистрации, налоговый идентификатор и (или) идентификатор в торговом реестре страны регистрации);
- телефонные номера и адреса электронных почт владельца страницы в соцсети, которые использовались при создании страницы и используются при ее ведении. Такую же информацию необходимо будет предоставить о людях, которые размещают информацию на странице, то есть администраторах;
- IP-адрес компьютера, с которого пользователь соцсети, а также администратор зарегистрировались в соцсети. Кроме того, необходимы будут IP-адреса компьютеров, с которых была создана страница и осуществляется ее ведение.
Перечисленные сведения для включения в реестр можно будет передать через сайт Роскомнадзора или на определенную электронную почту. После их получения ведомство в течение недели должно проверить их достоверность, а затем Роскомнадзор в течение трех дней примет решение о включении страницы в реестр (еще три дня дается на уведомление об этом владельца страницы).
В сопроводительных документах к проекту Роскомнадзор перечисляет соцсети, которых будут касаться новые правила деанонимизации. Среди них: Likee, TikTok, Twitter, YouTube, «ВКонтакте», «Одноклассники», Telegram, LiveJournal, «Пикабу», Pinterest, Rutube, «Дзен», Twich, Discord, Yappy. Facebook и Instagram не вошли в список, так как они принадлежат компании Meta, которая признана экстремистской и запрещена в России.
Также в документах отмечается, что страницу могут исключить из реестра, если были нарушены положения федерального закона № 149 «Об информации, информационных технологиях и о защите информации», если пользователь ее удалил или если число ее подписчиков стало меньше 10 000. Предусмотрена и процедура повторного включения страницы в реестр.
Закон, обязывающий владельцев страниц с объемом аудитории более 10 000 подписчиков сообщать данные о себе, был принят Государственной думой в конце июля 2024 года. После одобрения Совфедом в начале августа его подписал президент РФ Владимир Путин.
UPD.
Вскоре после выхода нашей публикации представители Роскомнадзора сообщили СМИ, что проект документа был опубликован преждевременно в связи с технической ошибкой. По словам представителей ведомства, подготовка проекта еще не завершена.
Прокомментировал произошедшее и замглавы комитета Госдумы по информационной политике Антон Горелкин. В своем Telegram-канале он пишет:
«Проект порядка ведения перечня страниц в соцсетях, аудитория которых превышает 10 тыс. пользователей, будет дорабатываться. Появление сырой версии этого документа на портале нормативных правовых актов Роскомнадзор объяснил техническим сбоем. Думаю, что в итоге некоторые требования будут смягчены. Например, мне не совсем понятно, зачем запрашивать информацию об IP-адресе устройства, с которого осуществлялась регистрация.
Кроме того, нужны четкие разъяснения: какая информация из этого реестра будет общедоступной и в какой форме она будет опубликована. Лично я против размещения на сайте Роскомнадзора каких-либо списков. Достаточно будет сервиса для проверки адреса: отправляешь ссылку – получаешь ответ, есть ли она в реестре.
Учитывая чрезвычайную ценность этих данных (в том числе для наших противников в информационной войне), будет целесообразно принять самые серьезные меры безопасности, чтобы гарантировать невозможность любых утечек».