Паспортные данные оштрафованных за нарушение самоизоляции в Москве оказались доступны на сайтах для оплаты штрафов по номеру начисления, который можно подобрать перебором с помощью простого софта. Только по состоянию на 10 мая таких штрафов было выписано 35 тыс. В мэрии рекомендуют гражданам не выкладывать в интернет скриншоты штрафов и не передавать их номера третьим лицам.
Фото: Александр Миридонов, Коммерсантъ / купить фото
Фото: Александр Миридонов, Коммерсантъ / купить фото
По уникальному идентификатору начислений (УИН) штрафа за нарушение самоизоляции в Москве в сервисах их оплаты можно обнаружить персональные данные оштрафованного, в том числе фамилию, имя, отчество и паспортные данные, обратил внимание Telegram-канал «Нора Ежика». Корреспондент “Ъ” убедился в этом, введя УИН на одном из сервисов для оплаты штрафов. Информацию подтверждают и компании в сфере кибербезопасности.
Вручную собрать персональные данные методом перебора УИН трудоемко и почти невозможно, зато программа в автоматизированном режиме сможет выполнить эту работу, говорит начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд.
Чтобы система была защищена от утечек, она должна блокировать попытки многократного введения УИН, а данные должны публиковаться в частично обезличенном виде, рекомендует он. Сайты для оплаты штрафов зачастую не имеют защиты от таких действий — ни ограничения числа запросов, ни даже «капчи» (тест, чтобы определить, является пользователь системы человеком или компьютером), отмечает основатель DeviceLock Ашот Оганесян. Хотя УИН состоит из 20 или 25 цифр, перебор его — простая задача, отмечает он.
Штрафы в размере 4 тыс. руб. выписываются жителям Москвы с диагнозом COVID-19, находящимся дома и нарушившим режим самоизоляции. За этим следит по геолокации приложение мэрии «Социальный мониторинг», уже вызвавшее критику в связи с тем, что, по мнению экспертов, передает данные в незашифрованном виде, а также якобы выписывает штрафы в отсутствие реальных нарушений (см. “Ъ” от 10 мая). Всего на тот момент было выписано 35 тыс. штрафов, указывал начальник Главного контрольного управления Москвы Евгений Данчиков, называя возможность ошибок маловероятной (более свежих данных в мэрии не предоставили).
Номер УИН в постановлении о назначении штрафа предназначен только для лица, привлеченного к административной ответственности, подчеркивают в пресс-службе департамента информационных технологий (ДИТ) Москвы. Если гражданин передает третьим лицам или выкладывает в интернет скриншоты постановления с УИН штрафа, это не означает нарушения законодательства о персональных данных контролирующим органом, настаивают в ДИТ. Проверка же по УИН начислений, которой пользуются интернет-сервисы, идет через Государственную информационную систему о государственных и муниципальных платежах (ГИС ГМП), что находится вне деятельности ДИТ, добавили там. В Федеральном казначействе, которое ведет ГИС ГМП, комментарий не предоставили.
Доступность паспортных данных по УИН нарушает закон «О персональных данных», уверен председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Журавлев.
Пострадавшие могут обратиться в Роскомнадзор с просьбой проверить факт утечки и принять меры, но, если регулятор и назначит штраф (не более 75 тыс. руб.), он пойдет в доход бюджета, а не на компенсацию пострадавшим, указывает господин Журавлев. Гражданин может потребовать взыскания ущерба через суд, но за десять лет существования закона убытки ни у кого не получилось взыскать, подытоживает эксперт. В Роскомнадзоре сообщили “Ъ”, что жалоб на утечку данных по номеру УИН не поступало.
У ГИС ГМП есть проблемы и в выдаче информации по автомобильным штрафам, утверждает Алексей Дрозд. Несколько дней назад в «СерчИнформ» по результатам проверки автоштрафов обнаружили номер водительского удостоверения нарушителя, его фамилию, имя и отчество, номер свидетельства регистрации автомобиля и информацию о нарушении. На момент написания заметки такие данные в компании обнаружили лишь по нескольким УИН автоштрафов, а еще в нескольких она была недоступна. Это может быть связано с тем, что ошибку в системе начали исправлять, предполагает господин Дрозд.
Источник “Ъ” в МВД уверяет, что с их стороны такая утечка невозможна технически: когда формируется УИН на водительский штраф, в ГИС ГМП личные данные автовладельца не передаются.
Раньше такая же лазейка существовала и в сервисах банковских переводов, напоминает руководитель аналитического центра Zecurion Владимир Ульянов: по номеру телефона можно было получать дополнительные данные об абонентах, чем пользовались мошенники. Банки теперь маскируют данные, закрывая часть фамилии звездочками.