Коммерсантъ-FM,
18 июля 2018 г.
Персональные данные продолжают играть в открытую
795 просмотров
Роскомнадзор потребовал у Сбербанка и ВТБ разъяснить возможную утечку данных клиентов. Ведомство направило в кредитные организации запросы. В Сбербанке и ВТБ сообщили «Коммерсантъ FM», что пока документов от РКН не получали. Об утечке данных «Коммерсантъ FM» ранее сообщил эксперт по работе с поисковыми системами Павел Медведев. В открытом доступе оказались копии паспортов, билеты на самолеты и поезда, а также данные о платежах клиентов кредитных организаций. Почему персональные данные попадают в публичный доступ и как бороться с этой проблемой, разбирался Александр Ляпин.
Персональные данные россиян продолжают утекать в интернет. Две недели назад обнаружилось, что «Яндекс» выдает ссылки на личные документы пользователей из сервиса Google Docs, теперь выяснилось, что поисковик «делится» персональными данными клиентов Сбербанка и ВТБ. Проблемой, после того как о ней сообщил «Коммерсантъ FM», заинтересовались власти. Роскомнадзор попросил кредитные организации объяснить, как так вышло, что кто угодно может в два клика заполучить, например, паспортные данные или информацию о платежах.
Ранее в банках уже попытались оправдаться. В ВТБ «Коммерсантъ FM» заявили, что инцидент произошел по вине третьей стороны — впрочем, не уточнив, о ком идет речь. А в Сбербанке и вовсе поспешили успокоить, объяснив, что в размещаемых ссылках не было никаких персональных данных.
Однако уже во вторник днем стало понятно, что это еще не конец. Эксперты IT-компании «Артиллерия» обнаружили масштабную утечку данных клиентов «АльфаСтрахования»: в открытом доступе оказались номера карт и привязанных к ним страховых полисов. По словам специалиста по поисковой оптимизации компании «Артиллерия» Петра Литвина, который первым обнаружил уязвимость, доступ к этим данным уже критичен — мошенники могут использовать их для масштабных махинаций: «Мы нашли ссылки на платежные гейты «Альфа», и там были не закрыты от индексации странички, с которых люди оплачивали услуги «АльфаСтрахования». На самих страничках, в принципе, часть номера карт была закрыта звездочками — это критично, но не смертельно. С этими номерами злоумышленники могут, условно, обзвонить владельцев этих карточек и, представившись сотрудниками банка, назвав часть номера карты, войти в доверие и каким-то образом запросить оставшуюся часть номера, например. Но страшно было другое: то, что с этих страниц оплаты была переадресация на страницу «Спасибо за вашу покупку», на которой были уже полностью имя, фамилия человека, его электронный адрес и ссылка на скачивание его полиса. В полисе, соответственно, полные данные: права, автомобиль, дата начала и окончания полиса и так далее. Это уже очень критичная информация: злоумышленник может, зная эти данные все, как минимум проспамить людей. Там 8 тыс. полисов было, то есть 8 тыс. человек. И второе опасение — опять же, фишинг. То есть представьте ситуацию — вам звонят, говорят: Ольга Семеновна, «АльфаСтрахование», вы у нас страховались год назад, настало время продлить полис. У нас промосайт, вы отличный клиент, мы вам даем скидку в 50% на дальнейшее страхование в Альфа-банке. На почту я вам отправляю ссылку на наш промосайт, вы, соответственно, можете на этом сайте оплатить новую страховку со скидкой 50%. Злоумышленник может так с очень высокой конверсией просто развести людей. Я бы на месте жертв подавал бы в суд и добивался бы компенсации морального вреда за разглашение персональных данных».
После этих сообщений начался настоящий марафон разоблачений. Из кредитных организаций пробелы в безопасности обнаружились еще и у Промсвязьбанка. Но проблема намного шире, говорят эксперты. Если личные данные пользователей плохо защищены в таких крупных организациях, то что уж говорить о небольших компаниях, где затраты на безопасность на порядок меньше. Уже во вторник стало известно об уязвимостях в работе сайтов лотереи «Столото» и развлекательного портала Pikabu. Реальные масштабы проблемы сложно даже представить, сообщил «Коммерсантъ FM» SEO-специалист агентства Rush Agency Павел Медведев: «Изначально утекли данные из интернет-магазинов. В принципе, там более масштабные выявлены утечки, то есть десятки, возможно, даже сотни магазинов некорректно хранят данные. Квалификация разработчиков и владельцев сайта низкая, забывают, что надо файлы robots.txt закрывать».
Конечно, традиционно возникают два вопроса: что делать и кто виноват? И если с первым вопросом все понятно — пользователи должны ответственнее относиться к размещению личных данных, а системные администраторы компаний — запрещать индексацию таких страниц, — то ответ на второй пока дать сложно. Как отмечают опрошенные «Коммерсантъ FM» юристы, даже если Роскомнадзор найдет виновных в этой ситуации, наказать их будет практически невозможно. Ведь даже такого понятия как «утечка персональных данных» в российском правовом поле нет. А вот, например, в Европе этой проблемой занялись еще несколько лет назад и успешно ее решили, сообщил «Коммерсантъ FM» управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников: «С 25 мая действует во всем Евросоюзе новый регламент защиты персональных данных — GDPR. В нем предусмотрено, что в случае утечки персональных данных оператор в течение 72 часов обязан уведомить об этом надзорный орган, а надзорный орган за невыполнение даже требования об уведомлении может наложить штраф до €10 млн. Плюс это не исключает иски конкретных лиц, пострадавших в результате утечки».
России такая законодательная работа только предстоит. А пока пользователи учат азы информационной безопасности, организации — массово зачищают базы данных. IT-компании уже предлагают новейшую услугу — аудит поисковой безопасности. Пишут, что общение с киберэкспертами будет стоить дорого. Но уж точно дешевле, чем с Роскомнадзором.
Вся пресса за 18 июля 2018 г.
Смотрите другие материалы по этой тематике: Технологии, Происшествия, Управление риском, Киберугрозы, киберриски и киберстрахование
В материале упоминаются: |
Компании, организации:
|
|
|
|
Установите трансляцию заголовков прессы на своем сайте
|
|
|
Архив прессы
|
|
|
|
Текущая пресса
|
| |
24 декабря 2024 г.
|
|
Казахстанский портал о страховании, 24 декабря 2024 г.
Благоприятные условия на рынке страхования авиаперевозок, вероятно, сохранятся в 2025 году
|
|
Нижегородские новости, 24 декабря 2024 г.
Житель Нижнего Новгорода возместил убытки страховой компании
|
|
Континент Сибирь, Новосибирск, 24 декабря 2024 г.
В Красноярске задержали банду серийных страховых мошенников
|
|
Report.Az, Баку, 24 декабря 2024 г.
Страховой рынок Азербайджана вырос на 10% за год
|
|
Казахстанский портал о страховании, 24 декабря 2024 г.
Страховщики Европы рискуют снизить коэффициент платежеспособности на 100 пунктов из-за геополитического шока
|
|
Официальный портал органов власти Чувашской республики, 24 декабря 2024 г.
Парламентарии приняли поправки в Закон «Об охоте и о сохранении охотничьих ресурсов»
|
|
Ингушетия, Назрань, 24 декабря 2024 г.
В Ингушетии расследуют мошенничество со страхованием жизни на 30 млн рублей
|
|
Парламентская газета, 24 декабря 2024 г.
Медицинская помощь и консультации для россиян могут стать доступнее
|
|
genproc.gov.ru, 24 декабря 2024 г.
Прокуратура Республики Ингушетия направила в суд уголовное дело о мошенничестве в сфере страхования жизни человека
|
|
korins.ru, 24 декабря 2024 г.
НСИС представил страховщикам инструменты для предотвращения страхового мошенничества
|
|
Финмаркет, 24 декабря 2024 г.
Сборы по страхованию имущества юрлиц увеличились на 10,6% за 9 месяцев, выплаты выросли в 2,5 раза
|
|
Рязанские ведомости, 24 декабря 2024 г.
Рязанцам разъясняют, как путешественнику без суда решить спор со страховой организацией
|
|
Общественное мнение, Саратов, 24 декабря 2024 г.
ТФОМС Саратовской области и страховыми организациями за 11 месяцев года рассмотрено почти 168 тысяч обращений граждан
|
|
Клерк.Ру, 24 декабря 2024 г.
Таксисты просят сократить минимальный срок действия страхового полиса до одного дня
|
|
Tazabek, Бишкек, 24 декабря 2024 г.
В этом году госстрахование жилья выросло на 8%, - замглавы управления в «ГСО»
|
|
Волга Ньюс, Самара, 24 декабря 2024 г.
Ремонт вместо денег: «Росгосстрах» формирует новую судебную практику в спорах с недобросовестными клиентами по ОСАГО
|
|
Реальное время, Казань, 24 декабря 2024 г.
В Татарстане стали платить больше по полисам ОСАГО, но судебные издержки выросли
|
 Остальные материалы за 24 декабря 2024 г. |
 Самое главное
 Найти
: по изданию
, по теме
, за период
 Получать: на e-mail, на свой сайт
|
|
|
|
|
|