På grunn av lovgivningsmessige gap var informasjon om pass og SNILS i det offentlige
Elektroniske nettsteder legger ukryptert personopplysninger om auksjonsdeltakere i det offentlige. På grunn av dette er mer enn 2,2 millioner poster tilgjengelige, inkludert SNILS-nummer, pass og informasjon om sysselsetting.
Hvordan ble antall pas og SNILS funnet i det offentlige?
Minst 2,24 millioner oppføringer med passdata, SNILS-nummer og informasjon om ansettelse av russere er i det offentlige. Dette ble oppdaget av Ivan Begtin, styreleder i Association of Data Markets Participants; forskningen hans “Personopplysninger lekker fra åpne kilder. RBC har elektroniske handelsplattformer.
Studien analyserte informasjonen til de største russiske elektroniske handelsplattformene der kommersielle kjøp og offentlige kjøp er plassert under føderale lover 44-FZ og 223-FZ, nemlig: innkjøpsmodulen ZakazRF (562 000 oppføringer), RTS-anbud (550 tusen. poster), Roseltorg (468 tusen poster), National Electronic Platform (142 tusen poster), ETP AHRF (18 tusen poster) og Sberbank AST (500 tusen poster). På alle nettsteder kan du finne den personlige informasjonen til auksjonsdeltakere.
Å kalle utseendet til denne informasjonen for en lekkasje kan bare være en strekning, forklarte Begtin i en samtale med RBC. "Dette er den første tilgjengeligheten på grunn av feil i lovgivning og uvitenhet til utviklerne [om nettstedene]," sa han.
Salgsfremmende video:
Hvordan er passdata lekket?
Begtin ga en algoritme for innhenting av personopplysninger fra hvert av de nevnte nettstedene. Alle arbeidet med RBC-materialet da arbeidet begynte. Etter at RBC henvendte seg til representantene for Sberbank AST, lukket systemet muligheten for å laste ned data.
Mekanismen for å laste ned dokumenter med personopplysninger på alle de listede nettstedene er den samme. I de fleste tilfeller kunne dataene bli funnet (som RBC var overbevist om) i beslutningene som ble lagret der på godkjenning av åpne auksjoner. Noen av dem inneholder også e-postadresser, SNILS-nummer og informasjon om ansettelse av auksjonsdeltakere.
Hvorfor er dataene i det offentlige?
Årsaken til at personopplysninger legges ut på elektroniske plattformer er at beslutninger om å godkjenne store transaksjoner i de fleste tilfeller inneholder informasjon om dem som godkjente denne transaksjonen, samt om deres representanter.
Representanten for RTS-Tender sa til RBC at i henhold til loven, for akkreditering av deltakere på den elektroniske plattformen, må en viss liste over dokumenter overføres - selskapet hans lastet det opp til nettstedet. Nikolai Andreev, daglig leder for Sberbank AST, fortalte RBC at i henhold til den godkjente prosedyren inneholder deltagerregisteret informasjon om navnet på organisasjonen, OGRN, TIN, samt start- og sluttdato for akkreditering. I det åpne registeret over anskaffelsesdeltakere, som alle operatører av elektroniske plattformer er pålagt å opprettholde i samsvar med normene i 44-FZ, kan det noen ganger bli funnet personopplysninger, bemerket pressetjenesten til Roseltorg. Imidlertid utarbeides all informasjon og dokumenter som vises i registeret av budgiverne selv, og operatørene av elektroniske plattformer er forpliktet til å publisere dem uendret, forklarte selskapets representant.
Ifølge Begtin ligger problemet i to store hull i lovgivningen. "Den første er kravet om å offentliggjøre offentlig tilgjengelige beslutninger om godkjenning av større transaksjoner, som ifølge russisk praksis ofte inkluderer passdata fra grunnleggerne," forklarte han. Det andre er i praksis å bruke en kvalifisert elektronisk signatur for publisering av dokumenter av kunder og leverandører. "Signaturen som er knyttet til en slik fil inneholder de samme metadataene som den elektroniske signaturen - fullt navn, e-post, SNILS," sa Begtin til RBC.
Bruker den åpne plasseringen av passdata loven?
Behandlingen av personopplysninger om budgivere krever deres samtykke og er regulert av loven "On Personal Data", sa Andrey Arsentiev, analytiker i InfoWatch Group. Å ha personopplysninger i et åpent miljø er selvfølgelig en krenkelse. Elektroniske handelsplattformer er tilsynelatende ikke alltid nøye med å beskytte data fra handelsdeltakere, siden det ikke er noe strengt ansvar for brudd,”forklarte han.
Utlevering av passdata kan falle inn under art. 137 i straffeloven (straffansvar for brudd på personvernet), sier Konstantin Bochkarev, en rådgiver for advokatfirmaet CMS. Han siterer et eksempel fra dommerpraksis, da byretten i Moskva anerkjente et telefonnummer som en personlig eller familiehemmelighet. Ved publisering av slik informasjon, art. 13.11 av den russiske føderasjonens administrative kode (brudd på lovgivningen i Den russiske føderasjonen på området personopplysninger), hevder advokaten.
Hva om du finner ut om datainnbruddet ditt?
Ifølge advokater kan en person som har oppdaget en lekkasje av dataene hans gå til retten for erstatning. Imidlertid er det ingen bevis for materielle tap, vil det være vanskelig å få erstatning, er Bochkarev overbevist. "For en vanlig innbygger som ikke har råd til et langt og kostbart søksmål, er den mest effektive måten å gå direkte til nettstedet der dataene blir publisert og be dem om å bli fjernet," sa han.
I tillegg har Roskomnadzor rett til å bøtelegge det elektroniske nettstedet ved rapportering om en personopplysning i pressen, selv uten klager fra enkeltpersoner. "I dette tilfellet vil dataene også raskt bli slettet," la Bochkarev til. Han bemerket at slik "uaktsomhet" truer omdømmerisiko for elektroniske plattformer.
Nylige data brudd skandaler
I begynnelsen av april ble en database over ambulansepasienter fra flere byer i nærheten av Moskva lagt ut på Internett. Fra den kan du finne ut navn, adresser og telefonnummer, samt helsetilstanden til de som oppsøkte legene. Undersøkelsesutvalget begynte å sjekke denne saken
Facebook har blitt anklaget for storskala personlig informasjonslekkasjer flere ganger. Forrige gang dette skjedde var i april, da dataene var offentlig tilgjengelige på andre plattformer og i Amazon skylagring. Før dette oppdaget representanter for det sosiale nettverket at passordene til et antall Facebook-brukere var lagret på serverne i ukryptert form - i klartekst. Det ble rapportert at feil lagring av informasjon ble avslørt under en rutinemessig sikkerhetskontroll i januar; det berørte "hundrevis av millioner Facebook Lite-brukere, titalls millioner andre Facebook-brukere og titusenvis av Instagram-brukere."
Forfattere: Evgeniya Kuznetsova, Evgeniya Balenko
Med: Mikhail Nesterkin
