Киберполиция объяснила скрипты-деанонимайзеры. Так измеряли «уровень доверия общества»

Михаил Сапитон 2865

В конце января стало известно про обращения Киберполиции в редакции региональных СМИ (а также IT-компании) с просьбой установить скрипт для деанонимизации пользователей.

Позже выяснилось, что два таких скрипта в разное время работали на самом сайте Киберполиции — это были открытые Javascript-библиотеки FingerprintJS и ClientJS. Они позволяют узнавать детальные характеристики устройства и присваивать каждому юзеру уникальный идентификатор, не привязанный к файлам cookies. То есть, его не удастся стереть простым сбросом истории браузера.

Распространение таких библиотеках на большом количестве сайтов способно свести на нет эффект от использования анонимайзеров или VPN-клиентов. Пользователь может однажды «засветить» свой IP на одном сайте со скриптами — и затем не получится скрыться даже за очень грамотной маскировкой трафика. Детально о технологии AIN.UA рассказывал ранее.

Зачем эти скрипты на сайте Киберполиции — официальное объяснение

Редакция AIN.UA направила официальный запрос в Киберполицию с просьбой объяснить появление этих библиотек. И спустя неделю получила ответ. Ниже — прямая цитата:

В соответствии с Законом Украины «Про Национальную полицию», критерием оценки результатов деятельности Национальной Полиции является уровень доверия общества к полиции. Для определения такого уровня использованы открытые библиотеки FingerprintJS и ClientJS с использованием которых проводилась оценка частоты посещения новостей и рекомендаций, что публикуются на официальном сайте. Указанные библиотеки являются открытыми и разрабатываются сообществом специалистов вне зависимости от страны происхождения.

В Киберполиции указали, что в связи с проведением проверки принято решение об удалении скриптов с официального сайта.

Ранее опрошенный AIN.UA эксперт указывал, что при использовании скриптов ведомство нарушило элементарные правила безопасности. Так, библиотека ClientJS передавала данные на сторонний сайт, зарегистрированный через российского регистратора, но привязанный к винницкому хостеру. То есть, аналитика полученных сведений проводилась на стороннем сервере.

В свою очередь юристы отмечали, что сбор такого количества персональных данных можно проводить только после согласия пользователей, а их дальнейшее использование может нарушать закон «Про защиту персональных данных».

В Киберполици также не рассказали, этот ли скрипт предлагали установить региональным изданиям.