Всё острее перед россиянами встаёт вопрос о защите своих личных данных от утечек, в последнее время ставшими пугающе привычным явлением.
Вот вроде совсем недавно, в середине сентября текущего года произошёл скандал с утечкой личных данных ВИЧ-инфицированных, пациентов психоневрологических диспансеров, алко- и наркозависимых, а также склонных к суициду граждан из архивов расформированной Федеральной службы по контролю за оборотом наркотиков (ФСКН), как буквально через полмесяца после этого случился новый подобный инцидент — в продаже появилась «База негодяев» с личными данными двадцати миллионов россиян, в том числе — сотрудников ФСБ, куда входит информация про клиентов и должников крупнейших банков России, с указанием ФИО, адресов, телефонов и места работы (службы). В мае на, в данный момент заблокированном, сайте autonum.info можно было по номеру автомобиля разыскать телефон и имя его владельца. И подобных случаев происходило и до сих пор происходит по стране огромное количество.
Напомним также, что пару дней назад неизвестными на сайте phonenumber.to были выложены имена абонентов вместе с адресами — в некоторых случаях вплоть до номеров домов и квартир, и предоставленная этим порталом на всеобщее обозрение база включала в себя около 78 миллионов записей как с реальными, так и уже неактуальными номерами телефонов и адресами.
Роскомнадзор уже подал иск в защиту прав неограниченного круга лиц за нарушение законодательства о персональных данных в отношении онлайн-ресурса phonenumber.to, администратором которого, по сведениям надзорного органа, является находящийся в США хостинг-провайдер CloudFlare, который является в данном случае и ответчиком. Информация об этом отражена в иске Роскомнадзора, о чём сообщил руководитель пресс-службы ведомства Вадим Ампелонский:
«CloudFlare предоставляет своим клиентам (сайтам) диапазон IP-адресов, и они внутри этого диапазона мигрируют».
.
На сайте phonenumber.to говорится, что это поисковая система, которая была создана для того, чтобы каждый человек имел возможность получить информацию об абонентах сотовых, стационарных и спутниковых телефонов. В базе указаны, как уже говорилось выше, и устаревшие, и актуальные номера телефонов и персональные данные граждан. Кроме того, база якобы содержит телефоны известных политиков и бизнесменов (правда, многие из которых оказались фальшивкой). Некоторые подписчики РосКомСвободы в ВКонтакте также обнаружили свои телефоны в базе данных phonenumber.to, которые, по их мнению, были взяты злоумышленниками из вышеупомянутой соцсети.
«Я искала работу около трех месяцев назад, мое резюме было размещено на HeadHunter. Возможно, телефон взяли оттуда,— рассказала “Ъ” одна из собеседниц, чей номер указан в phonenumber.to.— Сейчас у меня есть работа, и меня утечка не беспокоит, это рабочий номер». Другой собеседник “Ъ”, просивший не указывать его имени, подтвердил, что на сайте указаны его настоящие персональные данные, в том числе домашний адрес. В базе также есть бывшее место работы гражданина — ООО «Внешавиасервис» — и то, что он уволен в связи с несоответствием занимаемой должности. «Данные совпадают, кроме причины ухода. Я уволился по собственному желанию»,— утверждает он, и, по его мнению утечка подобной информации могла быть со стороны бывшего работодателя.
Авторы сайта сообщают , что персональные данные они получают по-разному: из общедоступных источников, с помощью API других сайтов (программные интерфейсы доступа к базе данных сторонних сервисов), от поставщиков данных («специализируются на сборе личных данных с целью дальнейшей перепродажи»); некоторых абонентов добавляют сами пользователи.
«С помощью общедоступных источников реально собрать большую базу данных. Взять тот же Findface — они не только текстовую информацию получили, но и изображения, аватары всех пользователей „ВКонтакте“, на базе которых строят свой поиск», — отметил в разговоре с «Медузой» ведущий исследователь информационной безопасности отдела аудита защищенности Digital Security Сергей Белов. Поиск в такой базе по степени легальности он сравнил с индексацией публичных данных «Гуглом» или «Яндексом».
Специалист по информационной безопасности, сотрудник Cisco Systems Алексей Лукацкий согласен с тем, что собирать «незакрытые данные» несложно:
«Многие пользователи в социальных сетях указывают свои данные, включая номер телефона, и с помощью обычного сканера и разборщика веб-страниц можно вытащить эту информацию, а затем автоматизировать сбор».
.
Однако, по его словам, несмотря на общедоступность данных, претензии пользователей, которые обнаружили свой телефон в базе, могут быть обоснованными: «С одной стороны, по закону человек, разместивший данные в общедоступном источнике, например, в социальной сети — если профиль не закрыт, — тем самым дал разрешение на доступ к ним неограниченному кругу лиц. С другой стороны, закон о персональных данных говорит, что даже для общедоступных данных надо уточнять цели сбора и обработки. То, что соцсеть собирает сведения для своих целей, не значит, что кто-то другой может воспользоваться ими для целей, которые пользователь не предусматривал, публикуя свой номер телефона».
По его мнению, сбор данных с помощью API сторонних сайтов также вызывает вопросы: «Откуда у тех сайтов данные пользователей? Если это, например, профиль человека в интернет-магазине, такая информация непублична. Те, кто ее каким-то образом получил, нарушают закон о персональных данных, который требует согласия на ее обработку».
База таксистов Москвы и Подмосковья, состоятельных людей Нижнего Новгорода, бронирования авиакомпаний – вот лишь немногое из того, что предлагают в интернете, пишут «Ведомости». Эксперты по информационной безопасности сравнивают сложившуюся ситуацию с 1998 г., когда серый рынок информации был на подъеме. Тогда из-за кризиса, обвала рубля и массовых сокращений на улице оказалось множество сотрудников служб безопасности и других «секретоносителей», имевших доступ к корпоративным базам данных. Очевидно, их продажа приносила неплохую прибавку к выходному пособию. Сейчас все то же самое: кризис, оказавшиеся на улице «безопасники» и менеджеры, перспективы легкого и практически ненаказуемого заработка.
В 2000-х – начале 2010-х каждый такой случай сопровождался волной возмущения: общедоступными становились данные миллионов людей. Последние же утечки, судя по реакции СМИ и пользователей интернета, сенсацией не стали – все, похоже, смирились с тем, что любые персональные либо личные данные рано или поздно станут общественным достоянием. Навязчивые звонки с предложениями страховок, займов, медуслуг, беседы с коллекторами о долгах, которых ты не делал, – дань компьютерной эпохе, с которой в России смирились.
Специалист по информационной безопасности Алексей Лукацкий отмечает, что методы сбора баз остаются прежними: «Как правило, это слив какого-то оператора с дальнейшим дополнением информацией из интернета или использование баз нескольких ведомств — кадастры, данные ГИБДД — с последующей попыткой объединения по ключевым словам или общим полям. Но всегда остается вопрос актуальности. Я пользовался некоторыми базами в интернете, пытался проверять себя — они далеко не все актуальны».
Сергей Белов из Digital Security уверен, что архивов, аналогичных phonenumber.to, будет появляться все больше:
«Чем популярнее становится Data Mining, тем больше будет таких баз. Исходных данных для сбора уже предостаточно, просто стало чуть удобнее искать их по открытым источникам. Если холодно глянуть на эту новость [о сайте phonenumber.to], не произошло ровным счетом ничего».
.
Иногда персональные данные без согласия их хозяев попадают в публичный доступ по совершенно глупым причинам. Так, жительница Волгодонска обнаружила персональные данные местного интернет-провайдера «ТТК» на доске объявлений возле своего подъезда. Как оказалось, сотрудники ТТК не придумали ничего лучше, чем напечатать их на договорах оказания услуг, где были приведены паспортные данные их абонентов. Бдительная девушка прошлась по району, и на каждом стенде около подъезда обнаружила аналогичное объявление с чьими-нибудь паспортными данными на обороте. После звонка в компанию ТТК менеджеры попросили Анжелику никуда не обращаться, заверив в том, что они сами разберутся с этой проблемой. Однако через неделю ситуация повторилась, и объявления с личными данными жителей Волгодонска, являющихся клиентами вышеупомянутой компании, снова появились на подъездах города.
В Татарстане на официальных сайтах ряда образовательных учреждений в Актанышском, Высокогорском, Мензелинском, Рыбно-Слободском, Верхнеуслонском, Буинском муниципальных районах республики были размещены персональные данные учащихся и их родителей. В основном, доступ к персональным данным стал возможен через размещенные в открытом доступе социальные паспорта классов и школ. Как правило, данные документы разрабатывались классными руководителями либо иными должностными лицами образовательной организации. В итоге в открытом доступе оказались персональные данные: фамилии, имени, отчества детей, даты рождения, полная информация о родителях, места их работы, профессия, домашний адрес, номера домашних и сотовых телефонов. Также имело место размещение данных о благополучии семьи, наличии статуса многодетной, неполной, постановке на внутришкольный учет и подразделении по делам несовершеннолетних органов внутренних дел, о заболеваниях детей. Кроме того, были указаны реквизиты свидетельства о рождении детей, паспортов, медицинского полиса, СНИЛС, ИНН и другие данные родителей (опекунов). Все эти сведения были доступны для просмотра, распространения и копирования (скачивания). Сейчас этим инцидентом занимается прокуратура республики Татарстан.
В середине сентября на городской свалке Читы найдены документы компании МТС с личными данными абонентов. Бумаги с ксерокопиями паспортов, адресами и телефонными номерами обнаружил житель города, который
сообщил
об этом на своей странице в Facebook, прикрепив фото найденных документов: «Вы говорите, что персональные данные это важно, никто сейчас просто так не может их обрабатывать или использовать. Но вот посетив городскую свалку вы увидите вот такую картину».
В Башкортостане 11 образовательных учреждений хранили персональные данные несовершеннолетних детей в свободном доступе. Нарушения в сфере защиты прав субъектов персональных данных в ходе проверок выявило Управление Роскомнадзора по РБ. Как сообщает пресс-служба ведомства, в адрес руководителей образовательных учреждений направлены требования об устранении нарушений. Кроме того, Роскомнадзор направил материалы проверок в органы прокуратуры.
В конце сентября на сайте администрации Заиграевского района (Бурятия) в разделе «Фонд поддержки МСП» появился реестр получателей поддержки. В нём, вопреки закону, в открытом доступе были опубликованы данные о месте жительства предпринимателей. А вот сведений об одном из получателей поддержки, получившего микрозайм 12 августа 2016 года, в реестре, напротив, не было. По закону, сведения о предпринимателях должны исключать из реестра по истечении трёх лет с даты окончания срока поддержки. Но в списке находилось 7 таких юридических лиц и более 20 индивидуальных предпринимателей. По результатам проверки в адрес директора фонда поддержки субъектов малого и среднего предпринимательства Заиграевского района внесли представление об устранении нарушений.
В Трусовском районе города Астрахани компания микрозаймов из Пензы ООО «Деньги 003» незаконно собирала и обрабатывала персональные данные астраханцев (откуда компания брала эти данные, не уточняется). Нарушения закона всплыли при проверке, организованной региональной прокуратурой. Во время рейда было установлено, что микрофинансовая компания собирала персональные сведения о жителях города, не имеющих отношения к займам. Также фирма обрабатывала информацию о родственниках и коллегах заёмщиков без их согласия. Более того, «Деньги 003» не имеют разрешения на обработку данных какого-либо вида, так как не подали в Управление Роскомнадзора соответствующее уведомление. В связи с выявленными нарушениями закона прокуратура района возбудила дела об административных правонарушениях в отношении генерального директора ООО «Деньги 003» и общества, которые рассмотрены мировым судьёй г. Пензы с назначением штрафа.
Как видим, кроме злого умысла, причиной утечки персональных данных может стать ещё и халатность тех людей, которым вы эти данные доверили. Просчитать «человеческий фактор» в данном случае не в силах ни работодатели безалаберных или нечестных сотрудников компаний, предоставляющих услуги связи, выход в интернет или даже некоторых госучреждений, ни работники силовых ведомств. Но в некоторых случаях мы можем обезопасить себя сами, просто не раздавая направо-налево свои данные, а в случае, если вы увидели, что ваши данные собираются незаконным образом у вас истребовать, информируйте об этом соответствующие органы. Например, в Улан-Удэ бдительная родительница сообщила республиканскому омбудсмену, что в школах Бурятии собирали персональные данные родителей. Взрослых просили заполнить определённую форму и отправить её по интернету классному руководителю. Как напомнила местный омбудсмен Татьяна Вежевич, «в соответствии с законом, оператор может собирать персональные данные лишь с ведома и согласия самого человека». В связи с этим, она направила письмо в Министерство образования и науки Бурятии. Она «порекомендовала» приостановить сбор персональных данных до принятия соответствующего нормативного правового акта.
Старайтесь также без особой нужды не размещать ни номера телефона, ни домашнего адреса и паспортных данных в социальных сетях, на сайтах вакансий, форумах, интернет-магазинах и т.п. По крайней мере, убирайте их «под замок», оставляя доступ только для ограниченного числа лиц — судя по высказываниям некоторых пользователей, именно со стены ВКонтакте были незаконно внесены в базу phonenumber.to их номера телефонов.
Читайте также:
Базы данных с телефонами и адресами почти 80 миллионов абонентов сотовых операторов появились в интернете
?
Государство снова не защитило персональные данные граждан: в Сеть утекли телефоны российских автомобилистов
?
База ФСКН с тысячами ВИЧ-инфицированных, наркозависимых, склонных к суициду и пациентов психбольниц утекла на чёрный рынок
?
Противоречащий Конституции РФ новый законопроект Яровой-Озерова несет риск утечки баз данных россиян на черный рынок
?
Власти решили облегчить хакерам работу по добыванию персональных данных россиян
_____
Присоединяйтесь к нам
в Telegram
!
Главное за неделю в области права.
23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.