Как наказывают «Почту России» и Яндекс за утечку личных данных

С начала 2022 года появляется все больше новостей, связанных с утечками персональных данных пользователей в крупных компаниях и с попытками снизить количество инцидентов через создание дополнительной ответственности на законодательном уровне. Рассказываем о самых крупных утечках персональных данных в 2022 году, а также изучаем, какие данные крадут чаще всего.

Самые заметные утечки первой половины 2022 года: приемы у врачей и вкусовые предпочтения россиян

В мае 2022 года стало известно, что в интернете оказалась база данных клиентов сети медицинских клиник «Гемотест». В таблице на 30 миллионов строк, продаваемой в даркнете (анонимная скрытая сеть) за полторы тысячи долларов, были не только персональные данные пациентов, но и информация о результатах медицинских обследований.

По данным канала «Утечки информации», 554 миллиона заказов оказались в распоряжении злоумышленников из-за уязвимости в IT-системе «Гемотеста». В ходе проверки лаборатории Роскомнадзором выяснилось, что доступ к данным предоставил один из сотрудников компании. 25 июля суд обязал «Гемотест» заплатить штраф за утечку 300 гигабайт персональных данных клиентов — 60 тысяч рублей.

В начале марта о крупной утечке персональных данных пользователей сообщил сервис «Яндекс.Еда». 22 марта в сети появилась карта с информацией о 58 тысячах адресов клиентов по всей России, их почтой, номером телефона и ФИО. Кроме того, пока сайт находился в открытом доступе, любой желающий мог отследить, на какую сумму за последние шесть месяцев оставлял заказы тот или иной пользователь.

Создатели карты объяснили свою мотивацию фразой «Предупрежден — значит вооружен» и оставили номера телефонов, по звонку на которые можно было бы попросить убрать собственные данные с визуализации, но дозвониться по ним не получалось. На следующий день сайт был заблокирован Роскомнадзором, однако многие уже успели скачать всю базу в формате Excel.

В апреле по решению суда «Яндекс» выплатил штраф за утечку персональных данных — 60 тысяч рублей. Это не понравилось создателям карты, которые решили обновить ее. В мае в интернете появился новый сайт с картой и отмеченными адресами, дополненный, по словам злоумышленников, информацией из слитых баз данных ГИБДД, компаний Wildberries и СДЭК и других источников.

Карта утёкших данных Фото: securitylab.ru

Создатели уточнили, что размер штрафа, выплаченный «Яндексом» означает, что персональные данные каждого пользователя стоят меньше десяти копеек. Ни одно ведомство или компания при этом не подтвердили новых утечек. Сайт также был заблокирован Роскомнадзором.

20 июля в сети появилось еще несколько баз данных компаний, содержащих персональную информацию пользователей. В их числе — данные о 733 тысячах клиентов фотокопировального центра «Копирка». В начале месяца в открытом доступе оказалась часть таблицы с данными покупателей билетов на автобус через сервис tutu.ru. Всего в базе — около трех миллионов строк, содержащих информацию о фамилии и имени пассажира, его номере телефона и электронной почте.

29 июля телеграм-канал «Утечки информации» сообщил, что тот же самый источник выложил в открытый доступ часть базы данных с информацией о почтовых отправлениях «Почты России». В таблице из 10 миллионов строк присутствуют трек-номер посылки, данные об отправителе и получателе, дата и время отправления, номера телефонов и адреса. На следующий день пресс-служба «Почты России» признала достоверность данных и начала проверку по факту утечки.

Пример карточки с утёкшими данными / Фото: securitylab.ru

Ответственность компаний за утечку персональных данных регулируется несколькими действующими нормативно-правовыми актами. Согласно статье 13.11 Кодекса об административных правонарушениях, за нарушение закона в области персональных данных юридическим лицам, чаще всего, грозит штраф, размеры которого варьируются. Если законодательство нарушено в первый раз, компания заплатит 60−500 тысяч рублей за утечку. Как можно заметить из прецедентов, описанных выше, чаще всего назначается именно минимальный штраф.

Сотрудники компаний, сотрудничающие со злоумышленниками по своей воле, передающие им пользовательские базы данных, преследуются по Уголовному кодексу РФ: например, по статье 272, регламентирующей ответственность в случае неправомерного доступа к компьютерной информации. Количество приговоров, вынесенных по этой статье в 2020 году — 84 человека.

Чтобы вдохновить компании на более тщательную заботу о сохранности информации о пользователях, на фоне последних утечек, 12 июля в Минцифры объявили о подготовке новых поправок в законопроект о персональных данных. Если их примут, при первом инциденте штраф будет назначаться соразмерно количеству «утекших» данных, а за повторный случай компании грозит оборотный штраф, определяемый в зависимости от ее выручки. Деньги со штрафов могут быть перераспределены между пострадавшими пользователями.

Какой ущерб от утечек данных чувствуют на себе и пользователи, и компании

На пользователей утечки данных могут влиять в разной степени. Черный рынок предлагает недобросовестным маркетологам и мошенникам базы на любой вкус. Минимальный эффект от утечки, оказываемый на конкретного человека — шквал телефонных звонков с предложениями взять кредит, оформить ипотеку на выгодных условиях, принять участие в «специальной акции» от какой-либо компании и так далее. Если подобные звонки участились в последнее время, вероятнее всего, ваш номер телефона оказался в одной из слитых баз данных.

Универсального способа проверить, какие именно персональные данные о пользователе оказались в открытом доступе, нет. Эксперты рекомендуют удалять данные о себе с ресурсов, которые потеряли свою актуальность для человека. Если же вам «повезло», и вы заметили, что конкретная персональная информация о вас оказалась в числе утечек, нужно обратиться в электронную приемную Роскомнадзора с жалобой.

По данным исследования компании Positive Technologies, число кибератак на крупных ритейлеров и компании из сферы торговли со временем только растет. За 2020−2021 годы их количество увеличилось на 117% по сравнению с аналогичными наблюдениями в 2018—2019 годах. За первый квартал 2022 года было зарегистрировано 18 крупных кибератак, что на семь больше, чем в первом квартале 2021 года, а значит, можно предположить, что злоумышленники повысят активность и в этом году.

В 45% случаев в результате кибератак организации сталкивались с утечкой конфиденциальной информации, в 30% случаев — с нарушением основной деятельности. Злоумышленники обычно используют три способа получения доступа к закрытой информации: проникают в инфраструктуру компании самостоятельно или с помощью сообщника, взламывают сайт или инициируют DDOS-атаку.

Фото: Unsplash

Специалисты компании объясняют, что онлайн-магазины представляют наибольший интерес для злоумышленников: при оплате товаров пользователь указывает реквизиты банковской карты и много персональных данных. 32% от общего объема украденных данных составляют именно персональные данные, 21% — данные платежных карт. В 13% случаев преступники крадут базы данных клиентов и сведения, составляющие коммерческую тайну.

Для ритейлеров и торговых площадок атаки чреваты не только прямыми финансовыми убытками, но и потерей доверия клиентов, особенно если произошла утечка персональных данных. Наиболее серьезно пострадавшие от действий злоумышленников клиенты способны подать исковое заявление на онлайн-магазин, а сам маркетплейс обязан заплатить штраф государству за нарушение законодательства в области безопасного хранения данных.

Обзоры новинок
Подробности о главных премьерах
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Подпишитесь на нас