Коммерсантъ-FM,
18 июля 2018 г.
Персональные данные продолжают играть в открытую
794 просмотра
Роскомнадзор потребовал у Сбербанка и ВТБ разъяснить возможную утечку данных клиентов. Ведомство направило в кредитные организации запросы. В Сбербанке и ВТБ сообщили «Коммерсантъ FM», что пока документов от РКН не получали. Об утечке данных «Коммерсантъ FM» ранее сообщил эксперт по работе с поисковыми системами Павел Медведев. В открытом доступе оказались копии паспортов, билеты на самолеты и поезда, а также данные о платежах клиентов кредитных организаций. Почему персональные данные попадают в публичный доступ и как бороться с этой проблемой, разбирался Александр Ляпин.
Персональные данные россиян продолжают утекать в интернет. Две недели назад обнаружилось, что «Яндекс» выдает ссылки на личные документы пользователей из сервиса Google Docs, теперь выяснилось, что поисковик «делится» персональными данными клиентов Сбербанка и ВТБ. Проблемой, после того как о ней сообщил «Коммерсантъ FM», заинтересовались власти. Роскомнадзор попросил кредитные организации объяснить, как так вышло, что кто угодно может в два клика заполучить, например, паспортные данные или информацию о платежах.
Ранее в банках уже попытались оправдаться. В ВТБ «Коммерсантъ FM» заявили, что инцидент произошел по вине третьей стороны — впрочем, не уточнив, о ком идет речь. А в Сбербанке и вовсе поспешили успокоить, объяснив, что в размещаемых ссылках не было никаких персональных данных.
Однако уже во вторник днем стало понятно, что это еще не конец. Эксперты IT-компании «Артиллерия» обнаружили масштабную утечку данных клиентов «АльфаСтрахования»: в открытом доступе оказались номера карт и привязанных к ним страховых полисов. По словам специалиста по поисковой оптимизации компании «Артиллерия» Петра Литвина, который первым обнаружил уязвимость, доступ к этим данным уже критичен — мошенники могут использовать их для масштабных махинаций: «Мы нашли ссылки на платежные гейты «Альфа», и там были не закрыты от индексации странички, с которых люди оплачивали услуги «АльфаСтрахования». На самих страничках, в принципе, часть номера карт была закрыта звездочками — это критично, но не смертельно. С этими номерами злоумышленники могут, условно, обзвонить владельцев этих карточек и, представившись сотрудниками банка, назвав часть номера карты, войти в доверие и каким-то образом запросить оставшуюся часть номера, например. Но страшно было другое: то, что с этих страниц оплаты была переадресация на страницу «Спасибо за вашу покупку», на которой были уже полностью имя, фамилия человека, его электронный адрес и ссылка на скачивание его полиса. В полисе, соответственно, полные данные: права, автомобиль, дата начала и окончания полиса и так далее. Это уже очень критичная информация: злоумышленник может, зная эти данные все, как минимум проспамить людей. Там 8 тыс. полисов было, то есть 8 тыс. человек. И второе опасение — опять же, фишинг. То есть представьте ситуацию — вам звонят, говорят: Ольга Семеновна, «АльфаСтрахование», вы у нас страховались год назад, настало время продлить полис. У нас промосайт, вы отличный клиент, мы вам даем скидку в 50% на дальнейшее страхование в Альфа-банке. На почту я вам отправляю ссылку на наш промосайт, вы, соответственно, можете на этом сайте оплатить новую страховку со скидкой 50%. Злоумышленник может так с очень высокой конверсией просто развести людей. Я бы на месте жертв подавал бы в суд и добивался бы компенсации морального вреда за разглашение персональных данных».
После этих сообщений начался настоящий марафон разоблачений. Из кредитных организаций пробелы в безопасности обнаружились еще и у Промсвязьбанка. Но проблема намного шире, говорят эксперты. Если личные данные пользователей плохо защищены в таких крупных организациях, то что уж говорить о небольших компаниях, где затраты на безопасность на порядок меньше. Уже во вторник стало известно об уязвимостях в работе сайтов лотереи «Столото» и развлекательного портала Pikabu. Реальные масштабы проблемы сложно даже представить, сообщил «Коммерсантъ FM» SEO-специалист агентства Rush Agency Павел Медведев: «Изначально утекли данные из интернет-магазинов. В принципе, там более масштабные выявлены утечки, то есть десятки, возможно, даже сотни магазинов некорректно хранят данные. Квалификация разработчиков и владельцев сайта низкая, забывают, что надо файлы robots.txt закрывать».
Конечно, традиционно возникают два вопроса: что делать и кто виноват? И если с первым вопросом все понятно — пользователи должны ответственнее относиться к размещению личных данных, а системные администраторы компаний — запрещать индексацию таких страниц, — то ответ на второй пока дать сложно. Как отмечают опрошенные «Коммерсантъ FM» юристы, даже если Роскомнадзор найдет виновных в этой ситуации, наказать их будет практически невозможно. Ведь даже такого понятия как «утечка персональных данных» в российском правовом поле нет. А вот, например, в Европе этой проблемой занялись еще несколько лет назад и успешно ее решили, сообщил «Коммерсантъ FM» управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников: «С 25 мая действует во всем Евросоюзе новый регламент защиты персональных данных — GDPR. В нем предусмотрено, что в случае утечки персональных данных оператор в течение 72 часов обязан уведомить об этом надзорный орган, а надзорный орган за невыполнение даже требования об уведомлении может наложить штраф до €10 млн. Плюс это не исключает иски конкретных лиц, пострадавших в результате утечки».
России такая законодательная работа только предстоит. А пока пользователи учат азы информационной безопасности, организации — массово зачищают базы данных. IT-компании уже предлагают новейшую услугу — аудит поисковой безопасности. Пишут, что общение с киберэкспертами будет стоить дорого. Но уж точно дешевле, чем с Роскомнадзором.
Вся пресса за 18 июля 2018 г.
Смотрите другие материалы по этой тематике: Технологии, Происшествия, Управление риском, Киберугрозы, киберриски и киберстрахование
В материале упоминаются: |
Компании, организации:
|
|
|
|
Установите трансляцию заголовков прессы на своем сайте
|
|
|
Архив прессы
|
|
|
|
Текущая пресса
|
| |
24 декабря 2024 г.
|
|
Коммерсантъ, 24 декабря 2024 г.
Краткость — сестра страховки
|
|
Коммерсантъ-FM, 24 декабря 2024 г.
«Быть первопроходцами — это всегда вызов»
|
|
Москва FM, 24 декабря 2024 г.
ОСАГО стало формально выгоднее
|
|
ПРАЙМ, 24 декабря 2024 г.
Страхование грузов стало самым популярным видом страхования у поставщиков
|
|
Business FM Новосибирск, 24 декабря 2024 г.
Новосибирцы чаще других россиян мошенничают с ОСАГО
|
23 декабря 2024 г.
|
|
Inbusiness.kz, 23 декабря 2024 г.
Российским фейком пугают в домовых чатах павлодарцев
|
|
Казахстанский портал о страховании, 23 декабря 2024 г.
АРРФР сообщил о состоянии страхового сектора за 10 месяцев 2024 года
|
|
BezFormata.Ru, 23 декабря 2024 г.
Страховой компании в удовлетворении требований отказано
|
|
Казахстанский портал о страховании, 23 декабря 2024 г.
Ограничение банкострахования в Индии не решит проблему недобросовестных продаж
|
|
BezFormata.Ru, 23 декабря 2024 г.
Вологжанин судится с Тинькофф Страхование из-за отказа выплачивать возмещение за сгоревшую машину
|
|
Казахстанский портал о страховании, 23 декабря 2024 г.
Регуляторы Южной Кореи проведут реформы страхования
|
|
Официальный сайт Законодательного собрания Ростовской области, 23 декабря 2024 г.
15-е заседание ЗС РО: В бюджете ТФОМС на следующий год заложено больше средств на лечение онкозаболеваний и проведение диспансеризации
|
|
Казахстанский портал о страховании, 23 декабря 2024 г.
Две крупнейшие в мире перестраховочные компании объявляют целевой показатель прибыли на 2025 год
|
|
ПРАЙМ, 23 декабря 2024 г.
ЦБ назвал регионы с наибольшими рисками мошенничества в ОСАГО
|
|
Казахстанский портал о страховании, 23 декабря 2024 г.
Европа продвигается вперед в вопросе обмена данными, чтобы облегчить бремя финансовой отчетности
|
|
Телеканал Санкт-Петербург, 23 декабря 2024 г.
Мошенничество на дорогах: как автокредиты и КАСКО стали мишенью для аферистов
|
|
Казахстанский портал о страховании, 23 декабря 2024 г.
Карта рисков подчеркивает эскалацию геополитической напряженности
|
 Остальные материалы за 23 декабря 2024 г. |
 Самое главное
 Найти
: по изданию
, по теме
, за период
 Получать: на e-mail, на свой сайт
|
|
|
|
|
|