Роскомнадзор потребовал у Сбербанка и ВТБ разъяснить возможную утечку данных клиентов. Ведомство направило в кредитные организации запросы. В Сбербанке и ВТБ сообщили «Коммерсантъ FM», что пока документов от РКН не получали. Об утечке данных «Коммерсантъ FM» ранее сообщил эксперт по работе с поисковыми системами Павел Медведев. В открытом доступе оказались копии паспортов, билеты на самолеты и поезда, а также данные о платежах клиентов кредитных организаций. Почему персональные данные попадают в публичный доступ и как бороться с этой проблемой, разбирался Александр Ляпин.
Персональные данные россиян продолжают утекать в интернет. Две недели назад обнаружилось, что «Яндекс» выдает ссылки на личные документы пользователей из сервиса Google Docs, теперь выяснилось, что поисковик «делится» персональными данными клиентов Сбербанка и ВТБ. Проблемой, после того как о ней сообщил «Коммерсантъ FM», заинтересовались власти. Роскомнадзор попросил кредитные организации объяснить, как так вышло, что кто угодно может в два клика заполучить, например, паспортные данные или информацию о платежах.
Ранее в банках уже попытались оправдаться. В ВТБ «Коммерсантъ FM» заявили, что инцидент произошел по вине третьей стороны — впрочем, не уточнив, о ком идет речь. А в Сбербанке и вовсе поспешили успокоить, объяснив, что в размещаемых ссылках не было никаких персональных данных.
Однако уже во вторник днем стало понятно, что это еще не конец. Эксперты IT-компании «Артиллерия» обнаружили масштабную утечку данных клиентов «АльфаСтрахования»: в открытом доступе оказались номера карт и привязанных к ним страховых полисов. По словам специалиста по поисковой оптимизации компании «Артиллерия» Петра Литвина, который первым обнаружил уязвимость, доступ к этим данным уже критичен — мошенники могут использовать их для масштабных махинаций: «Мы нашли ссылки на платежные гейты "Альфы", и там были не закрыты от индексации странички, с которых люди оплачивали услуги "АльфаСтрахования". На самих страничках, в принципе, часть номера карт была закрыта звездочками — это критично, но не смертельно. С этими номерами злоумышленники могут, условно, обзвонить владельцев этих карточек и, представившись сотрудниками банка, назвав часть номера карты, войти в доверие и каким-то образом запросить оставшуюся часть номера, например. Но страшно было другое: то, что с этих страниц оплаты была переадресация на страницу "Спасибо за вашу покупку", на которой были уже полностью имя, фамилия человека, его электронный адрес и ссылка на скачивание его полиса. В полисе, соответственно, полные данные: права, автомобиль, дата начала и окончания полиса и так далее. Это уже очень критичная информация: злоумышленник может, зная эти данные все, как минимум проспамить людей. Там 8 тыс. полисов было, то есть 8 тыс. человек».
«И второе опасение — опять же, фишинг, — продолжает Литвин. То есть представьте ситуацию — вам звонят, говорят: Ольга Семеновна, "АльфаСтрахование", вы у нас страховались год назад, настало время продлить полис. У нас промосайт, вы отличный клиент, мы вам даем скидку в 50% на дальнейшее страхование в Альфа-банке. На почту я вам отправляю ссылку на наш промосайт, вы, соответственно, можете на этом сайте оплатить новую страховку со скидкой 50%. Злоумышленник может так с очень высокой конверсией просто развести людей. Я бы на месте жертв подавал бы в суд и добивался бы компенсации морального вреда за разглашение персональных данных».
Юрий Нехайчук, официальный представитель "АльфаСтрахование"
Мы видим сообщения, появившиеся в СМИ — это действия третьих лиц, чьи мотивы мы сейчас изучаем. Конфиденциальная информация клиентов "АльфаСтрахование" не утекала.
После этих сообщений начался настоящий марафон разоблачений. Из кредитных организаций пробелы в безопасности обнаружились еще и у Промсвязьбанка. Но проблема намного шире, говорят эксперты. Если личные данные пользователей плохо защищены в таких крупных организациях, то что уж говорить о небольших компаниях, где затраты на безопасность на порядок меньше. Уже во вторник стало известно об уязвимостях в работе сайтов лотереи «Столото» и развлекательного портала Pikabu. Реальные масштабы проблемы сложно даже представить, сообщил «Коммерсантъ FM» SEO-специалист агентства Rush Agency Павел Медведев: «Изначально утекли данные из интернет-магазинов. В принципе, там более масштабные выявлены утечки, то есть десятки, возможно, даже сотни магазинов некорректно хранят данные. Квалификация разработчиков и владельцев сайта низкая, забывают, что надо файлы robots.txt закрывать».
Конечно, традиционно возникают два вопроса: что делать и кто виноват? И если с первым вопросом все понятно — пользователи должны ответственнее относиться к размещению личных данных, а системные администраторы компаний — запрещать индексацию таких страниц, — то ответ на второй пока дать сложно. Как отмечают опрошенные «Коммерсантъ FM» юристы, даже если Роскомнадзор найдет виновных в этой ситуации, наказать их будет практически невозможно. Ведь даже такого понятия как «утечка персональных данных» в российском правовом поле нет. А вот, например, в Европе этой проблемой занялись еще несколько лет назад и успешно ее решили, сообщил «Коммерсантъ FM» управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников: «С 25 мая действует во всем Евросоюзе новый регламент защиты персональных данных — GDPR. В нем предусмотрено, что в случае утечки персональных данных оператор в течение 72 часов обязан уведомить об этом надзорный орган, а надзорный орган за невыполнение даже требования об уведомлении может наложить штраф до €10 млн. Плюс это не исключает иски конкретных лиц, пострадавших в результате утечки».
России такая законодательная работа только предстоит. А пока пользователи учат азы информационной безопасности, организации — массово зачищают базы данных. IT-компании уже предлагают новейшую услугу — аудит поисковой безопасности. Пишут, что общение с киберэкспертами будет стоить дорого. Но уж точно дешевле, чем с Роскомнадзором.