Персона «нон слита»: откуда и какие персданные утекали весной

03.06.2019 |

Денис Шишулин.

Аналитики «СёрчИнформ» собрали самые заметные утечки, которые случились в России этой весной. Одна из них даже стала поводом для создания в Государственной думе РФ рабочей группы по вопросу защиты персональной информации.

База сданных

Кажется, СМИ будут вечно писать на три темы: политика, экономика и утечки из баз данных ElasticSearch и MongoDB. Очередная открытая база нашлась в сети в марте. В 158 Гб уместились персданные заемщиков из Южного, Уральского и Приволжского федеральных округов – фото и заявки на кредиты.

Определить точного владельца базы не удалось. Она могла принадлежать финансовому брокеру, который выдает потребительские кредиты в торговых точках. На это указывает совпадение некоторых доменных имен с названием компании. И хотя сообщения об утечке фирма проигнорировала, вскоре после этого база из общего доступа пропала.

Утечка «с именем»

Если о первой утечке вы могли не знать, то новость о следующей быстро разлетелась по СМИ и соцсетям, так как в сеть попали паспорта бывших вице-премьеров Аркадия Дворковича, Анатолия Чубайса, телеведущего Владимира Соловьева и других высокопоставленных людей. Кроме персданных известных политиков, в открытый доступ попали 360 тыс. записей с личной информацией россиян – ФИО, места работы, e-mail, СНИЛС, сведения о трудоустройстве.

Документы с персданными председатель Ассоциации участников рынков данных Иван Бегтин собрал с сайтов восьми информационных госсистем Минюста, Роструда, ФАС и других ведомств. Бегтин обратился в Роскомнадзор, где ему заявили, что нарушений не обнаружили.

Аналитик считает, что утечки персданных в России происходят из-за ошибок в законодательстве, просчетов разработчиков и непродуманной работы регуляторов.

Отправка Telegram

В список Бегтина нужно включить и коррупцию. Полицейский из Краснодарского края 10 месяцев «сливал» паспортные данные россиян анонимному пользователю Telegram. За информационные услуги мужчина получил 1,3 млн рублей. Персданные полицейский копировал из закрытого сервиса, к которому имел доступ. Его взяли под стражу, а вот заказчика и IP простыл.

Штраф на публику

А вот классический просчет разработчиков. Весной по сети гуляла база с нарушителями дорожного движения, которые оплачивали штрафы ГИБДД через онлайн-сервисы оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru. В базе содержались сотни тысяч платежей с персданными плательщиков.

Утечка произошла из-за уязвимости в ПО для приема онлайн-платежей. Личные сведения оштрафованных водителей попадали на сервер компании-разработчика, где лежали в виде текста без всякой защиты. После сообщения об утечке фирма за день убрала все сведения о клиентах.