Коммерсантъ-FM,
18 июля 2018 г.
Персональные данные продолжают играть в открытую
760 просмотров
Роскомнадзор потребовал у Сбербанка и ВТБ разъяснить возможную утечку данных клиентов. Ведомство направило в кредитные организации запросы. В Сбербанке и ВТБ сообщили «Коммерсантъ FM», что пока документов от РКН не получали. Об утечке данных «Коммерсантъ FM» ранее сообщил эксперт по работе с поисковыми системами Павел Медведев. В открытом доступе оказались копии паспортов, билеты на самолеты и поезда, а также данные о платежах клиентов кредитных организаций. Почему персональные данные попадают в публичный доступ и как бороться с этой проблемой, разбирался Александр Ляпин.
Персональные данные россиян продолжают утекать в интернет. Две недели назад обнаружилось, что «Яндекс» выдает ссылки на личные документы пользователей из сервиса Google Docs, теперь выяснилось, что поисковик «делится» персональными данными клиентов Сбербанка и ВТБ. Проблемой, после того как о ней сообщил «Коммерсантъ FM», заинтересовались власти. Роскомнадзор попросил кредитные организации объяснить, как так вышло, что кто угодно может в два клика заполучить, например, паспортные данные или информацию о платежах.
Ранее в банках уже попытались оправдаться. В ВТБ «Коммерсантъ FM» заявили, что инцидент произошел по вине третьей стороны — впрочем, не уточнив, о ком идет речь. А в Сбербанке и вовсе поспешили успокоить, объяснив, что в размещаемых ссылках не было никаких персональных данных.
Однако уже во вторник днем стало понятно, что это еще не конец. Эксперты IT-компании «Артиллерия» обнаружили масштабную утечку данных клиентов «АльфаСтрахования»: в открытом доступе оказались номера карт и привязанных к ним страховых полисов. По словам специалиста по поисковой оптимизации компании «Артиллерия» Петра Литвина, который первым обнаружил уязвимость, доступ к этим данным уже критичен — мошенники могут использовать их для масштабных махинаций: «Мы нашли ссылки на платежные гейты «Альфа», и там были не закрыты от индексации странички, с которых люди оплачивали услуги «АльфаСтрахования». На самих страничках, в принципе, часть номера карт была закрыта звездочками — это критично, но не смертельно. С этими номерами злоумышленники могут, условно, обзвонить владельцев этих карточек и, представившись сотрудниками банка, назвав часть номера карты, войти в доверие и каким-то образом запросить оставшуюся часть номера, например. Но страшно было другое: то, что с этих страниц оплаты была переадресация на страницу «Спасибо за вашу покупку», на которой были уже полностью имя, фамилия человека, его электронный адрес и ссылка на скачивание его полиса. В полисе, соответственно, полные данные: права, автомобиль, дата начала и окончания полиса и так далее. Это уже очень критичная информация: злоумышленник может, зная эти данные все, как минимум проспамить людей. Там 8 тыс. полисов было, то есть 8 тыс. человек. И второе опасение — опять же, фишинг. То есть представьте ситуацию — вам звонят, говорят: Ольга Семеновна, «АльфаСтрахование», вы у нас страховались год назад, настало время продлить полис. У нас промосайт, вы отличный клиент, мы вам даем скидку в 50% на дальнейшее страхование в Альфа-банке. На почту я вам отправляю ссылку на наш промосайт, вы, соответственно, можете на этом сайте оплатить новую страховку со скидкой 50%. Злоумышленник может так с очень высокой конверсией просто развести людей. Я бы на месте жертв подавал бы в суд и добивался бы компенсации морального вреда за разглашение персональных данных».
После этих сообщений начался настоящий марафон разоблачений. Из кредитных организаций пробелы в безопасности обнаружились еще и у Промсвязьбанка. Но проблема намного шире, говорят эксперты. Если личные данные пользователей плохо защищены в таких крупных организациях, то что уж говорить о небольших компаниях, где затраты на безопасность на порядок меньше. Уже во вторник стало известно об уязвимостях в работе сайтов лотереи «Столото» и развлекательного портала Pikabu. Реальные масштабы проблемы сложно даже представить, сообщил «Коммерсантъ FM» SEO-специалист агентства Rush Agency Павел Медведев: «Изначально утекли данные из интернет-магазинов. В принципе, там более масштабные выявлены утечки, то есть десятки, возможно, даже сотни магазинов некорректно хранят данные. Квалификация разработчиков и владельцев сайта низкая, забывают, что надо файлы robots.txt закрывать».
Конечно, традиционно возникают два вопроса: что делать и кто виноват? И если с первым вопросом все понятно — пользователи должны ответственнее относиться к размещению личных данных, а системные администраторы компаний — запрещать индексацию таких страниц, — то ответ на второй пока дать сложно. Как отмечают опрошенные «Коммерсантъ FM» юристы, даже если Роскомнадзор найдет виновных в этой ситуации, наказать их будет практически невозможно. Ведь даже такого понятия как «утечка персональных данных» в российском правовом поле нет. А вот, например, в Европе этой проблемой занялись еще несколько лет назад и успешно ее решили, сообщил «Коммерсантъ FM» управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников: «С 25 мая действует во всем Евросоюзе новый регламент защиты персональных данных — GDPR. В нем предусмотрено, что в случае утечки персональных данных оператор в течение 72 часов обязан уведомить об этом надзорный орган, а надзорный орган за невыполнение даже требования об уведомлении может наложить штраф до €10 млн. Плюс это не исключает иски конкретных лиц, пострадавших в результате утечки».
России такая законодательная работа только предстоит. А пока пользователи учат азы информационной безопасности, организации — массово зачищают базы данных. IT-компании уже предлагают новейшую услугу — аудит поисковой безопасности. Пишут, что общение с киберэкспертами будет стоить дорого. Но уж точно дешевле, чем с Роскомнадзором.
Вся пресса за 18 июля 2018 г.
Смотрите другие материалы по этой тематике: Технологии, Происшествия, Управление риском, Киберугрозы, киберриски и киберстрахование
В материале упоминаются: |
Компании, организации:
|
|
|
|
Установите трансляцию заголовков прессы на своем сайте
|
|
|
Архив прессы
|
|
|
|
Текущая пресса
|
| |
24 апреля 2024 г.
|
|
Тверские ведомости, 24 апреля 2024 г.
Жители Тверской области активно страхуют своё здоровье и автомобили
|
|
Интерфакс, 24 апреля 2024 г.
Финуполномоченные предложили ограничить почтовые обращения из-за «лукавых посредников» в ОСАГО
|
|
Казахстанский портал о страховании, 24 апреля 2024 г.
ИИ необходимо тщательно контролировать, но он принесет пользу страховой отрасли
|
|
СенатИнформ, 24 апреля 2024 г.
В Генпрокуратуре предлагают упросить механизм страховых выплат бойцам СВО
|
|
ТАСС, 24 апреля 2024 г.
Рабочая группа по СВО предложила дать опекунам погибших бойцов право на выплаты
|
|
Казахстанский портал о страховании, 24 апреля 2024 г.
Будущее экосистемы страховых претензий
|
|
Парламентская газета, 24 апреля 2024 г.
Генпрокурор предложил упростить назначение страховых выплат участникам СВО
|
|
Казахстанский портал о страховании, 24 апреля 2024 г.
Кто такие «страховые помогайки»
|
|
korins.ru, 24 апреля 2024 г.
Финуполномоченный сообщила о неприемлемых практиках по договорам ИСЖ
|
|
korins.ru, 24 апреля 2024 г.
Финуполномоченный выявил недобросовестные практики по смешиванию договоров ОСАГО и каско
|
|
Парламентская газета, 24 апреля 2024 г.
Валентина Матвиенко предложила вернуться к вопросу страхования жилья от ЧП
|
|
Афанасий-биржа, Тверь, 24 апреля 2024 г.
Жители Тверской области чаще всего страхуют здоровье и автогражданскую ответственность
|
|
Ведомости, 24 апреля 2024 г.
Альфа-банк, «Альфастрахование» и «Билайн» создают новую компанию
|
|
ТАСС, 24 апреля 2024 г.
Матвиенко предложила проработать вопрос страхования жилья на случай ЧС
|
|
Казахстанский портал о страховании, 24 апреля 2024 г.
Рыночная капитализация мировых страховщиков растет по мере улучшения результатов
|
|
РИА Новости, 24 апреля 2024 г.
ВСС считает, что нужен перезапуск страхования жилья в регионах
|
|
Российская газета, 24 апреля 2024 г.
В России планируют усилить защиту посетителей массовых объектов новым законом
|
 Остальные материалы за 24 апреля 2024 г. |
 Самое главное
 Найти
: по изданию
, по теме
, за период
 Получать: на e-mail, на свой сайт
|
|
|
|
|
|