"В электронном бизнес-регистре находим компанию, совладельцем которой является премьер-министр Кристен Михал. На этом сайте указан его адрес электронной почты. Например, возьмем сайт Circle K и попробуем войти, используя адрес электронной почты. Система запрашивает у меня пароль. Это указывает на то, что пользователь уже существует. Следовательно, Кристен Михал является клиентом Circle K", - так ИТ-специалист Грегор Ээсмаа, получивший летом прошлого года степень магистра Тартуского университета, описывает "Очевидцу" брешь, через которую и утекают личные данные жителей страны. Это и была тема его магистерской работы.

"Наверняка все видели, как это бывает: заходишь на какой-нибудь сайт, пытаешься создать аккаунт, а сайт уже сообщает тебе, что по этому адресу электронной почты пользователь существует. Я взял самые популярные сайты Эстонии и проверил их - смотрел, удастся ли обнаружить эту уязвимость безопасности. Всего я проверил около пятидесяти разных популярных сайтов", - рассказывает Грегор. На вопрос журналиста, на скольких из них он обнаружил проблему, он отвечает: "На всех".

Речь идет именно о пользовательских аккаунтах в интернете, создаваемых с использованием адреса электронной почты или номера телефона. Если человек использует именной адрес электронной почты или номер телефона, любопытным или злоумышленникам легко проверить, есть ли у интересующего их человека - будь то премьер-министр или сосед - аккаунт, например, на каком-нибудь более чувствительном веб-сайте.

"Например, можно проверить на сайте какого-нибудь казино, зарегистрирован ли там кто-то из твоих знакомых, или на сайте знакомств - есть ли там человек, которого ты знаешь, и так далее. Нужно знать о нем какой-то фрагмент информации, проще всего - адрес электронной почты. Заходишь на страницу регистрации онлайн-казино, вводишь этот e-mail и пытаешься создать аккаунт. Если создание аккаунта не удается, то с большой вероятностью у него уже есть учетная запись. Иногда сайт прямо сообщает, что по этому адресу электронной почты аккаунт уже существует", - поясняет Ээсмаа.

Речь не идет о том, что посторонний может взломать чей-то аккаунт, а лишь о том, что становится известно о существовании у кого-то учетной записи на интересующей платформе. Одно дело - что людям может быть неприятно, если такая информация становится известной, но другое - что, по словам специалистов, это противоречит Общему регламенту ЕС по защите персональных данных, который действует уже с 2018 года.

"По-английски это называется user enumeration. К сожалению, удачного устоявшегося перевода для этого термина нет, поэтому мы рассматриваем это как определяемость наличия учетной записи - то есть, по сути, третье лицо может узнать, есть ли у меня, например, аккаунт у какого-то поставщика услуг, связанный с определённым адресом электронной почты. В основном это проявляется так, что какое-нибудь сообщение об ошибке фактически подтверждает: да, у этого пользователя есть аккаунт, или по этому адресу электронной почты аккаунт есть - либо его нет", - комментирует эксперт Инспекции по защите данных Элери Кару.

По имеющимся данным, первым, кто систематически обратил на это внимание в Эстонии, стал 27-летний IT-студент Тартуского университета Грегор Ээсмаа - бывший участник научного телешоу Rakett 69 и киберзащитник. Он начал готовить на основе этой темы свою магистерскую работу весной 2025 года, и в ходе экспериментов выяснилось, что проблема широко распространена.

Помимо уже приведенного примера с премьер-министром, без особых усилий можно установить, что у министра юстиции Лийзы Пакоста есть аккаунт в интернет-магазине Zalando, а у министра культуры Хейди Пурга оформлена подписка на газету Õhtuleht.

Однако ситуация становится более чувствительной, когда это касается детей. Так, например, у одного депутата Рийгикогу, имя которого мы не будем называть, обнаруживается учетная запись на странице системы Stuudium одной из элитных школ Таллина, что может означать, что его ребенок учится в этой школе.

И это еще довольно безобидные примеры, поскольку существует множество сайтов, которые могут косвенно указывать на состояние здоровья человека или на его интимную жизнь.

"Наверное, человек надеется и ожидает, что если он доверяет свои данные какому-либо поставщику услуг - свой e-mail, имя и фамилию или что-то еще - то эти данные будут храниться в безопасности и не будут разглашаться третьим лицам. Узнать о наличии такого аккаунта, или так сказать получить эту информацию, на некоторых других сайтах - например, на сайтах знакомств, связанных с азартными играми, или на ресурсах для взрослых - может дать довольно много информации о конкретном человеке", - говорит Кару.

В магистерской работе Ээсмаа проверил 55 популярных в Эстонии веб-сайтов и приложений, и, что удивительно, все они позволяли таким образом идентифицировать пользователей. Среди них были, например, медиа-порталы Postimees, Õhtuleht и Äripäev, а также платформа ERR Jupiter; продуктовые магазины Rimi и Maxima с приложением для доставки Barbora; строительные и мебельные магазины IKEA и K‑Rauta, а также онлайн-казино Olybet и Bet365, сайт поддержки психического здоровья peaasi.ee и сайты знакомств Flirtic и iha.ee. Забавно, что уязвимость безопасности была даже на сайте Инспекции по защите данных, что также показывает, что об этом просто не думали раньше.

"На сайте Инспекции по защите данных можно было зарегистрироваться для получения их новостной рассылки, и аналогично, если ввести адрес электронной почты, который уже получает эту рассылку, сайт тоже сообщал об этом", - говорит Ээсмаа.

"Действительно, мы сами тоже обнаружили, что, например, в ссылке для подписки на нашу собственную рассылку присутствовала та же уязвимость, но ее было довольно легко исправить. То есть мы сразу это исправили", - комментирует Кару.

Нормально, что уязвимости безопасности постоянно обнаруживаются и исправляются, но в данном случае было примечательно, что хотя речь идет о нарушении закона - ведь обращаться с данными клиентов таким небрежным образом запрещено - половина поставщиков услуг отреагировала довольно вяло, когда Грегор сообщил им об этом летом.

В ответах утверждалось как то, что явление широко распространено и не является нарушением закона, так и то, что ошибка настолько специфична, что требует от тестировщика определенной технической смекалки. К началу августа из 55 сайтов лишь 15 исправили утечку, 13 пообещали исправить, 14 отказались это делать, а 13 никак не отреагировали. В последнюю категорию попал и сайт ERR Jupiter. Но была и одна яркая реакция.

"Один из сайтов - интернет-магазин About You - даже угрожал уголовным преследованием, что было очень удивительно. Но в целом большинство ответов все же оставались вежливыми", - рассказывает Ээсмаа.

Грегор защитил магистерскую работу и передал информацию в Инспекцию по защите данных, которая, в свою очередь, во второй половине ноября направила официальное обращение 27 компаниям и организациям, которые отказались исправлять уязвимость или не отреагировали.

"Мы обратили их внимание на это и объяснили, как это связано с персональными данными, почему это является нарушением, и что это следовало исправить", - говорит Кару.

По словам Кару, инспекция сначала пытается решить вопрос мирным путем, но в отношении того, кто отказывается исправлять ошибку, в конечном итоге возможно начать либо контрольное производство с назначением штрафа, либо, в худшем случае, уже производство по административному правонарушению с наложением штрафа.

"Возможно, не до конца понятно, существует ли вообще это нарушение и как оно проявляется, возможно, этого не осознают, потому что мы часто не находимся на месте пользователя и не понимаем, что на самом деле происходит. Надеюсь, что впредь к таким вещам будут относиться серьезнее", - говорит Кару.

Что же теперь должны делать люди, у которых есть аккаунт на каком-либо более чувствительном сайте, где существует такая утечка?

"Безусловно, им следует связаться с сайтом и сообщить, что они не хотят, чтобы их информация просочилась", - подытоживает Ээсмаа.