Коммерсантъ-FM,
18 июля 2018 г.
Персональные данные продолжают играть в открытую
821 просмотр
Роскомнадзор потребовал у Сбербанка и ВТБ разъяснить возможную утечку данных клиентов. Ведомство направило в кредитные организации запросы. В Сбербанке и ВТБ сообщили «Коммерсантъ FM», что пока документов от РКН не получали. Об утечке данных «Коммерсантъ FM» ранее сообщил эксперт по работе с поисковыми системами Павел Медведев. В открытом доступе оказались копии паспортов, билеты на самолеты и поезда, а также данные о платежах клиентов кредитных организаций. Почему персональные данные попадают в публичный доступ и как бороться с этой проблемой, разбирался Александр Ляпин.
Персональные данные россиян продолжают утекать в интернет. Две недели назад обнаружилось, что «Яндекс» выдает ссылки на личные документы пользователей из сервиса Google Docs, теперь выяснилось, что поисковик «делится» персональными данными клиентов Сбербанка и ВТБ. Проблемой, после того как о ней сообщил «Коммерсантъ FM», заинтересовались власти. Роскомнадзор попросил кредитные организации объяснить, как так вышло, что кто угодно может в два клика заполучить, например, паспортные данные или информацию о платежах.
Ранее в банках уже попытались оправдаться. В ВТБ «Коммерсантъ FM» заявили, что инцидент произошел по вине третьей стороны — впрочем, не уточнив, о ком идет речь. А в Сбербанке и вовсе поспешили успокоить, объяснив, что в размещаемых ссылках не было никаких персональных данных.
Однако уже во вторник днем стало понятно, что это еще не конец. Эксперты IT-компании «Артиллерия» обнаружили масштабную утечку данных клиентов «АльфаСтрахования»: в открытом доступе оказались номера карт и привязанных к ним страховых полисов. По словам специалиста по поисковой оптимизации компании «Артиллерия» Петра Литвина, который первым обнаружил уязвимость, доступ к этим данным уже критичен — мошенники могут использовать их для масштабных махинаций: «Мы нашли ссылки на платежные гейты «Альфа», и там были не закрыты от индексации странички, с которых люди оплачивали услуги «АльфаСтрахования». На самих страничках, в принципе, часть номера карт была закрыта звездочками — это критично, но не смертельно. С этими номерами злоумышленники могут, условно, обзвонить владельцев этих карточек и, представившись сотрудниками банка, назвав часть номера карты, войти в доверие и каким-то образом запросить оставшуюся часть номера, например. Но страшно было другое: то, что с этих страниц оплаты была переадресация на страницу «Спасибо за вашу покупку», на которой были уже полностью имя, фамилия человека, его электронный адрес и ссылка на скачивание его полиса. В полисе, соответственно, полные данные: права, автомобиль, дата начала и окончания полиса и так далее. Это уже очень критичная информация: злоумышленник может, зная эти данные все, как минимум проспамить людей. Там 8 тыс. полисов было, то есть 8 тыс. человек. И второе опасение — опять же, фишинг. То есть представьте ситуацию — вам звонят, говорят: Ольга Семеновна, «АльфаСтрахование», вы у нас страховались год назад, настало время продлить полис. У нас промосайт, вы отличный клиент, мы вам даем скидку в 50% на дальнейшее страхование в Альфа-банке. На почту я вам отправляю ссылку на наш промосайт, вы, соответственно, можете на этом сайте оплатить новую страховку со скидкой 50%. Злоумышленник может так с очень высокой конверсией просто развести людей. Я бы на месте жертв подавал бы в суд и добивался бы компенсации морального вреда за разглашение персональных данных».
После этих сообщений начался настоящий марафон разоблачений. Из кредитных организаций пробелы в безопасности обнаружились еще и у Промсвязьбанка. Но проблема намного шире, говорят эксперты. Если личные данные пользователей плохо защищены в таких крупных организациях, то что уж говорить о небольших компаниях, где затраты на безопасность на порядок меньше. Уже во вторник стало известно об уязвимостях в работе сайтов лотереи «Столото» и развлекательного портала Pikabu. Реальные масштабы проблемы сложно даже представить, сообщил «Коммерсантъ FM» SEO-специалист агентства Rush Agency Павел Медведев: «Изначально утекли данные из интернет-магазинов. В принципе, там более масштабные выявлены утечки, то есть десятки, возможно, даже сотни магазинов некорректно хранят данные. Квалификация разработчиков и владельцев сайта низкая, забывают, что надо файлы robots.txt закрывать».
Конечно, традиционно возникают два вопроса: что делать и кто виноват? И если с первым вопросом все понятно — пользователи должны ответственнее относиться к размещению личных данных, а системные администраторы компаний — запрещать индексацию таких страниц, — то ответ на второй пока дать сложно. Как отмечают опрошенные «Коммерсантъ FM» юристы, даже если Роскомнадзор найдет виновных в этой ситуации, наказать их будет практически невозможно. Ведь даже такого понятия как «утечка персональных данных» в российском правовом поле нет. А вот, например, в Европе этой проблемой занялись еще несколько лет назад и успешно ее решили, сообщил «Коммерсантъ FM» управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников: «С 25 мая действует во всем Евросоюзе новый регламент защиты персональных данных — GDPR. В нем предусмотрено, что в случае утечки персональных данных оператор в течение 72 часов обязан уведомить об этом надзорный орган, а надзорный орган за невыполнение даже требования об уведомлении может наложить штраф до €10 млн. Плюс это не исключает иски конкретных лиц, пострадавших в результате утечки».
России такая законодательная работа только предстоит. А пока пользователи учат азы информационной безопасности, организации — массово зачищают базы данных. IT-компании уже предлагают новейшую услугу — аудит поисковой безопасности. Пишут, что общение с киберэкспертами будет стоить дорого. Но уж точно дешевле, чем с Роскомнадзором.
Вся пресса за 18 июля 2018 г.
Смотрите другие материалы по этой тематике: Технологии, Происшествия, Управление риском, Киберугрозы, киберриски и киберстрахование
В материале упоминаются: |
Компании, организации:
|
|
 |
|
Установите трансляцию заголовков прессы на своем сайте
|
|
 |
Архив прессы
|
|
|
 |
Текущая пресса
 |
| |
15 апреля 2025 г.

|
|
auto.mail.ru, 15 апреля 2025 г.
Резко выросло число угонов автомобилей в России: какие марки под угрозой

|
|
Адвокатская газета, 15 апреля 2025 г.
Допустимо ли начисление неустойки и штрафа на сумму убытков, взысканных со страховщика?

|
|
Коммерсантъ-Ростов-на-Дону, 15 апреля 2025 г.
Донским аграриям за потерю урожая в 2024 году выплатили более двух миллиардов рублей

|
|
Коммерсантъ-Ростов-на-Дону, 15 апреля 2025 г.
Донским аграриям за потерю урожая в 2024 году выплатили более двух миллиардов рублей

|
|
Российская газета онлайн, 15 апреля 2025 г.
Система автострахования в Союзном государстве заработает через неделю

|
|
360.ru, 15 апреля 2025 г.
Юрист Радько рассказал о мошеннической схеме при ДТП с европротоколами

|
|
Лента.Ру, 15 апреля 2025 г.
Россияне жалуются в страховые компании на врачей. Почему важно соблюдать клинические рекомендации?

|
|
Sputnik Беларусь, 15 апреля 2025 г.
Минимальный срок страхования транспорта сокращен в Беларуси до 5 дней

|
|
Колеса.kz, Алматы, 15 апреля 2025 г.
Страховые полисы в Казахстане не оформляют с 7 апреля

|
|
Областная газета, Екатеринбург, 15 апреля 2025 г.
ВТБ и «Росгосстрах» определили ключевые риски для имущества бизнеса

|
|
Интерфакс, 15 апреля 2025 г.
Акционеры СК «Ренессанс Жизнь» одобрили присоединение бывшей СК «Райффайзен Лайф»

|
|
Псковская лента новостей, 15 апреля 2025 г.
Под риском пострадать от заморозков оказались не менее 4,7 тысячи га садов и виноградников

|
|
UzDaily.uz, 15 апреля 2025 г.
Стремительный рост страхового сектора Узбекистана обусловлен высокорисковыми направлениями бизнеса

|
|
Общественная служба новостей (ОСН), 15 апреля 2025 г.
В РФ могут обязать организаторов концертов и матчей страховать зрителей

|
|
vmeste-rf.tv, телеканал Совета Федерации, 15 апреля 2025 г.
В России с начала года зафиксированы рекордные продажи полисов КАСКО

|
|
Report.Az, Баку, 15 апреля 2025 г.
ЦБА: Рост страховых взносов произошел за счет ограниченного числа компаний

|
|
Казахстанский портал о страховании, 15 апреля 2025 г.
Немецкие страховщики поддерживают отказ обязательного страхования от природных катастроф

|
 Остальные материалы за 15 апреля 2025 г. |
 Самое главное
 Найти
: по изданию
, по теме
, за период
 Получать: на e-mail, на свой сайт
|
|
|
|
|
|