På grund av brister i lagstiftningen var information om pass och SNILS offentliga
Elektroniska webbplatser sätter okrypterade personuppgifter från auktionsdeltagare i allmänheten. På grund av detta är mer än 2,2 miljoner poster offentligt tillgängliga, inklusive SNILS-nummer, pass och information om anställning.
Hur hittades antalet pass och SNILS i den offentliga domänen?
Minst 2,24 miljoner poster med passdata, SNILS-nummer och information om anställning av ryssar är i det offentliga området. Detta upptäcktes av Ivan Begtin, ordförande för Association of Data Markets Participants; hans forskning”Personuppgifter läcker från öppna källor. RBC har elektroniska handelsplattformar.
Studien analyserade informationen om de största ryska elektroniska handelsplattformarna där kommersiella inköp och statliga inköp placeras under federala lagar 44-FZ och 223-FZ, nämligen: inköpsmodulen ZakazRF (562 tusen poster), RTS-anbud (550 tusen. poster), Roseltorg (468 tusen poster), National Electronic Platform (142 tusen poster), ETP AHRF (18 tusen poster) och Sberbank AST (500 tusen poster). På alla webbplatser kan du hitta personlig information från auktionsdeltagare.
Att kalla utseendet på denna information som en läcka kan bara vara en sträcka, klarade Begtin i en konversation med RBC. "Detta är den första tillgängligheten på grund av fel i lagstiftning och okunnighet hos utvecklarna [av webbplatserna]," sade han.
Kampanjvideo:
Hur läcker passdata ut?
Begtin gav en algoritm för att erhålla personuppgifter från var och en av de nämnda webbplatserna. Alla arbetade på RBC-materialet när arbetet började. Efter att RBC adresserade företrädarna för Sberbank AST stängde systemet möjligheten att ladda ner data.
Mekanismen för att ladda ner dokument med personuppgifter på alla listade webbplatser är densamma. I de flesta fall kunde uppgifterna hittas (som RBC var övertygad om) i besluten lagrade där om godkännande av öppna auktioner. Vissa av dem innehåller också e-postadresser, SNILS-nummer och information om anställning av auktionsdeltagare.
Varför finns informationen i den offentliga domänen?
Anledningen till att personuppgifter publiceras på elektroniska plattformar är att beslut om att godkänna stora transaktioner i de flesta fall innehåller information om dem som godkände denna transaktion, samt deras representanter.
Representanten för RTS-Tender berättade för RBC att enligt lagen för ackreditering av deltagare på den elektroniska plattformen måste en viss lista över dokument överföras - hans företag laddade upp det till webbplatsen. Nikolai Andreev, generaldirektör för Sberbank AST, berättade för RBC att enligt det godkända förfarandet innehåller deltagarregistret information om organisationens namn, OGRN, TIN, samt start- och slutdatum för ackreditering. I det öppna registret över upphandlingsdeltagare, som alla operatörer av elektroniska plattformar är skyldiga att upprätthålla i enlighet med normerna för 44-FZ, kan ibland personuppgifter hittas, noterade presstjänsten Roseltorg. Men all information och dokument som visas i registret förbereds av anbudsgivarna själva, och operatörerna av elektroniska plattformar är skyldiga att publicera dem oförändrade, förklarade företagets representant.
Enligt Begtin ligger problemet i två stora luckor i lagstiftningen. "Den första är kravet på att publicera offentligt tillgängliga beslut om godkännande av större transaktioner, som enligt rysk praxis ofta innehåller passuppgifterna från grundarna," förklarade han. Den andra handlar om att använda en kvalificerad elektronisk signatur för publicering av dokument av kunder och leverantörer. "Signaturen som är bifogad till en sådan fil innehåller samma metadata som den elektroniska signaturen - fullt namn, e-post, SNILS," berättade Begtin till RBC.
Kränker den öppna placeringen av passuppgifter lagen?
Behandlingen av personuppgifter från anbudsgivare kräver deras samtycke och regleras av lagen "Om personuppgifter", säger Andrey Arsentiev, analytiker i InfoWatch Group.”Att ha personuppgifter i en öppen miljö är naturligtvis en kränkning. Uppenbarligen uppmärksammar elektroniska handelsplattformar inte alltid tillräckligt med att skydda handelsdeltagarnas data, eftersom det inte finns något strikt ansvar för kränkningar,”förklarade han.
Offentliggörande av passuppgifter kan omfattas av artikel. 137 i strafflagen (straffansvar för kränkningar av privatlivet), säger Konstantin Bochkarev, rådgivare för advokatbyrån CMS. Han citerar ett exempel från rättslig praxis när Moskva stadsdomstol erkände ett telefonnummer som en personlig eller familjhemlighet. Vid publicering av sådan information, Art. 13.11 i Rysslands administrativa kod (brott mot Rysslands lagstiftning på området personuppgifter), hävdar advokaten.
Vad händer om du får reda på om ditt dataintrång?
Enligt advokater kan en person som har upptäckt en läcka av sina uppgifter gå till domstol för skadestånd. Men om det inte finns några belägg för faktiska förluster kommer det att vara svårt att få ersättning, är Bochkarev övertygad om. "För en vanlig medborgare som inte har råd med en lång och kostsam rättegång är det mest effektiva sättet att gå direkt till webbplatsen där informationen publiceras och be dem tas bort," sade han.
Dessutom har Roskomnadzor rätt att böta den elektroniska webbplatsen efter rapportering av en personupplysning i pressen, även utan klagomål från individer. "I det här fallet kommer informationen också att raderas snabbt", tillade Bochkarev. Han noterade att sådan "försumlighet" hotar renommérisker för elektroniska plattformar.
Senaste dataöverträdelseskandaler
I början av april publicerades en databas över ambulanspatienter från flera städer nära Moskva på Internet. Från den kan du ta reda på namn, adresser och telefonnummer, samt hälsotillståndet för dem som konsulterade läkarna. Undersökningskommittén började kontrollera denna fråga.
Facebook har anklagats för storskaliga personliga informationsläckor flera gånger. Förra gången detta hände var i april, då data var offentligt tillgängliga på andra plattformar och i Amazon molnlagring. Innan detta upptäckte företrädare för det sociala nätverket att lösenordet för ett antal Facebook-användare lagrades på dess servrar i okrypterad form - i ren text. Det rapporterades att felaktig lagring av information avslöjades under en rutinmässig säkerhetskontroll i januari; det påverkade "hundratals miljoner Facebook Lite-användare, tiotusentals miljoner andra Facebook-användare och tiotusentals Instagram-användare."
Författare: Evgeniya Kuznetsova, Evgeniya Balenko
Med: Mikhail Nesterkin
