Как электронные торговые площадки сливают персональные данные россиян

Источник
Личные данные россиян гуляют по черному рынку.
Как обнаружились номера паспортов и СНИЛС в открытом доступе?

В открытом доступе находится не менее 2,24 млн записей с паспортными данными, номерами СНИЛС и сведениями о трудоустройстве россиян. Это обнаружил председатель Ассоциации участников рынков данных Иван Бегтин; его исследование «Утечки персональных данных из открытых источников. Электронные торговые площадки» есть у РБК.

В исследовании проанализирована информация крупнейших российских электронных торговых площадок, на которых размещаются коммерческие закупки и госзакупки по федеральным законам 44-ФЗ и 223-ФЗ, а именно: закупочного модуля ZakazRF (562 тыс. записей), «РТС-тендер» (550 тыс. записей), «Росэлторг» (468 тыс. записей), «Национальной электронной площадки» (142 тыс. записей), ЭТП РАД (18 тыс. записей) и «Сбербанк АСТ» (500 тыс. записей). На всех площадках можно найти личную информацию участников аукционов.

Называть появление этой информации утечкой можно только с натяжкой, уточнил Бегтин в разговоре с РБК. «Это изначальная доступность из-за ошибок в законодательстве и безграмотности разработчиков [сайтов]», — считает он.

Исследование Бегтина состоит из трех частей. Неделю назад он опубликовал первую часть, посвященную утечкам на сайтах удостоверяющих центров, занимающихся подтверждением электронной подписи. Бегтин обнаружил утечку 63 тыс. записей с раскрытием персональных данных в виде Ф.И.О., места работы, e-mail и СНИЛС.

Как утекают паспортные данные?

Бегтин привел алгоритм получения персональных данных с каждой из упомянутых площадок. Все они к моменту начала работы над материалом РБК работали. После обращения РБК к представителям «Сбербанк АСТ» система закрыла возможность скачивания данных.

Механизм скачивания документов с персональными данными на всех перечисленных площадках совпадает. В большинстве случаев данные можно было найти (в чем убедился РБК) в хранящихся там решениях об одобрении открытых аукционов. На некоторых из них также размещены адреса электронной почты, номера СНИЛС и сведения о трудоустройстве участников аукционов.

Почему данные оказались в открытом доступе?

Причина, по которой на электронных площадках размещаются персональные данные, заключается в том, что решения об одобрении крупных сделок в большинстве случаев содержат информацию о тех, кто эту сделку одобрил, а также об их представителях.

Представитель «РТС-Тендер» сообщил РБК, что по закону для аккредитации участников на электронной площадке необходима передача определенного перечня документов — его компания и загружала на сайт. Генеральный директор «Сбербанк АСТ» Николай Андреев заявил РБК, что согласно утвержденному порядку в реестре участников указываются сведения о наименовании организации, ОГРН, ИНН, а также дата начала и окончания аккредитации. В открытом реестре участников закупок, который обязаны вести все операторы электронных площадок в соответствии с нормами 44-ФЗ, иногда могут встречаться данные персонального характера, отметили в пресс-службе «Росэлторга». Однако вся отображаемая в реестре информация и документы готовятся самими участниками торгов, и операторы электронных площадок обязаны публиковать их в неизменном виде, пояснил представитель компании.

По мнению Бегтина, проблема — в двух больших прорехах в законодательстве. «Первая — это требования по публикации в открытом доступе решений о согласовании крупных сделок, в которые по российской практике часто включают паспортные данные учредителей», — пояснил он. Вторая — в практике использования квалифицированной электронной подписи для публикации документов заказчиками и поставщиками. «Подпись, приложенная к такому файлу, содержит те же метаданные, что и электронная подпись — Ф.И.О., e-mail, СНИЛС», — сказал Бегтин РБК.

Нарушает ли закон открытое размещение паспортных данных?

Обработка персональных данных участников торгов требует их согласия и регламентируется законом «О персональных данных», указал аналитик ГК InfoWatch Андрей Арсентьев. «Разумеется, наличие персональных данных в открытой среде является нарушением. Судя по всему, электронные торговые площадки не всегда уделяют достаточно внимания защите данных участников торгов, поскольку нет жесткой ответственности за нарушения», — пояснил он.

Разглашение паспортных данных может подпасть под ст. 137 УК (уголовная ответственность за нарушение неприкосновенности частной жизни), говорит советник юридической компании CMS Константин Бочкарев. Он приводит пример из судебной практики, когда Мосгорсуд признал телефонный номер личной или семейной тайной. При публикации такой информации нарушается и ст. 13.11 КоАП РФ (нарушение законодательства Российской Федерации в области персональных данных), утверждает юрист.

Что делать, если вы узнали об утечке своих данных?

По мнению юристов, физлицо, обнаружившее утечку своих данных, может обратиться в суд за возмещением убытков. Однако, если нет доказательств факта материальных убытков, добиться компенсации будет сложно, убежден Бочкарев. «Для обычного гражданина, который не может позволить себе долгий и затратный судебный процесс, самый эффективный способ — обратиться напрямую к той площадке, где данные опубликованы, и попросить их убрать», — убежден он.

Кроме того, у Роскомнадзора есть право по сообщению в прессе об утечке персональных данных, даже без наличия жалоб со стороны физических лиц, оштрафовать электронную площадку. «В этом случае данные тоже быстро удалят», — добавил Бочкарев. Он отметил, что для электронных площадок подобная «небрежность» грозит репутационными рисками.

Последние скандалы с утечками данных

В начале апреля в интернете выложили базу данных пациентов скорой помощи нескольких подмосковных городов. Из нее можно узнать имена, адреса и телефоны, а также состояние здоровья обратившихся к врачам. Следственный комитет начал проверку по этому поводу.

Несколько раз в масштабных утечках персональной информации обвиняли Facebook. В последний раз это произошло в апреле, когда данные оказались в открытом доступе других платформ и в облачном хранилище Amazon. До этого представители социальной сети обнаружили, что пароли ряда пользователей Facebook хранились на ее серверах в незашифрованном виде — в виде обычного текста. Сообщалось, что ненадлежащее хранение информации было выявлено в ходе рутинной проверки безопасности в январе; оно затронуло «сотни миллионов пользователей Facebook Lite, десятки миллионов других пользователей Facebook и десятки тысяч пользователей Instagram».
Персоны Компании
Теле2 подружился с интернет-мошенниками
Сотовый оператор уличили в участии в схемах по обману абонентов и последующей обналичке средств через сим-карты.
Демьян Кудрявцев ищет «Ведомостям» покупателя и главного редактора
В мае у главного редактора «Ведомостей» Ильи Булавинова истекает контракт, и не факт, что он будет продлен, утверждают источники The Bell, знакомые с ее основным владельцем Демьяном Кудрявцевым. Одновременно Кудрявцев начал искать покупателя на издание. Что известно. О том, что в начале мая у Булавинова истекает двухлетний контракт, The Bell рассказали сразу несколько источников, знакомых с …
Интернет зачищают от Андрея Костина и Наили Аскер-заде
Роскомнадзор массово блокирует публикации о госбанке ВТБ и его президенте Андрее Костине. Основания для блокировки — решения арбитражного суда по искам ВТБ. С удалением постов столкнулись и пользователи Facebook
Андрей Костин добился эффекта Стрейзанд, считают "Ведомости"
Сервис блогов «Яндекс.Дзен» удалил опубликованное 2 апреля расследование проекта Baza об апартаментах, которыми сначала владел ВТБ, а потом журналист ВГТРК Наиля Аскер-заде.
У Сергея Шойгу появится личный мобильный оператор
Связь предназначена для жителей военных городков и может распространиться на всех военнослужащих в стране.
Хакеры пошли в атаку с именем Metro и «Магнита» на устах
Эксперты по кибербезопасности зафиксировали массовую атаку на российский бизнес. Уникальность акции в том, что хакеры маскировались под известные бренды и использовали «умные» устройства. Это первая массовая атака подобного рода.
Генерал Ягольников укреплял военную мощь мертвыми душами
В ЦНИИ войск воздушно-космической обороны (ВКО) Минобороны деньги расхищались через подставных работников.
Александр Жаров открестился от проблем ВТБ, «Открытия» и Россельхозбанка
В четверг утром стал недоступен мобильный банкинг сразу трех российских госбанков — ВТБ, «Открытия» и Россельхозбанка. Похожий прошлогодний сбой мог быть вызван попытками Роскомнадзора заблокировать мессенджер Telegram. Сейчас регулятор говорит, что не виноват.
Суд спасает Виктора Леденева от подозрений в коррупции
Слушания о компромате на генерала СКР будут проходить в закрытом режиме.
Как Альберт Валиахметов поднял бабла на своем Azino777
В создании крупнейшего онлайн-казино Azino777 заподозрили 33-летнего айтишника из Татарстана
Обнародованы схемы обогащения генерала Ивана Ткачева и его коллег.
Таможня и наркотрафик — золотая жила для чекистов, считает Александр Шестун. 
"Красный воробей" отбился от российских пиратов
Число исков от правообладателей зарубежных фильмов выросло.
Владимир Владимиров запугал ставропольских журналистов
Региональные СМИ просят защиты от власти и силовиков.
Сироткин распрощался с любовницами без помощи Роскомнадзора
Почему из рунета пропала пикантная переписка топ-менеджера «Газпрома» Михаила Сироткина?
Дело о двойных окладах Вадима Ампелонского закрыто
Прекращено уголовное преследование пресс-секретаря Роскомнадзора.
Усманов попросил суд сохранить в тайне его возможную связь с Шакро Молодым
Миллиардер также рассчитывает получить 50 000 рублей компенсации морального вреда.
Роскомнадзор возбудился против Google
Компании может грозить штраф за отказ подключиться к реестру запрещенных сайтов.
DDoS-атака обрушила сервисы Росреестра
В работе электронных сервисов Росреестра произошел технический сбой. Служба отключила доступ к онлайн-выдаче выписок о правах собственности на недвижимость из-за DDoS-атаки. Издержки пользователей сервиса возросли в 60 раз.