На ресурсах, предназначающихся для уплаты выписанных штрафов только по номеру зачисления, подбирающемуся путем перебора цифр, доступными стали персональные данные граждан, которых оштрафовали в столице за нарушение режима самоизоляции. На 10.05 выписали 35 000 штрафов. Как сообщает «Ъ», людям рекомендуют в сети не выкладывать скрины постановлений, как и не давать их УИН посторонним.
Персональную информацию нарушителя, которому выписали штраф, в частности Ф.И.О., а также паспортные данные можно увидеть по УИН выписанного штрафа на ресурсах проведения уплаты. Об этом факте поведал «Нора Ежика», телеграм-канал. Компании, занимающиеся кибербезопасностью, тоже констатируют его.
А. Дрозд, глава подразделения кибербезопасности компании «СерчИнформ», поясняет, что собрать всю информацию вручную путем перебора штрафных УИН сложно и практически нереально. Но автоматизированная программа с задачей легко справится.
Он говорит, что система будет в том случае защищена от возможных утечек, если она будет блокировать многократные попытки внесения УИН. При этом, данные нужно размещать частично обезличенные. В основном ресурсы для оплаты от подобных действий защиты не имеют. Нет не только ограничений по количеству запросов, но и «капчи». Об этом рассказал А. Оганесян, создатель DeviceLock. Он пояснил, что перебор УИН, состоящий из двадцати или двадцати пяти цифр, является достаточно простым заданием.
Столичным жителям выписываются штрафы в сумме 4000 рублей, если у них диагностирован Ковид-19, которые находятся на самоизоляции и нарушают этот режим. С помощью геолокации за этим ведется слежка приложением московской мэрии «Социальный мониторинг». На данном этапе приложение уже раскритиковано экспертами, которые считают, что все данные передаются незашифрованными и выписывает гражданам штрафы при отсутствии настоящих нарушителей. Е. Данчиков указал, что на тот период выписанное число штрафов составляло 35 000. Также, он сказал, что ошибочность выписывания их маловероятны. Другая информация из мэрии города не поступала.
В пресс-службе ДИТ столицы указывают, что УИН, указанный в постановлении о штрафе, предназначается исключительно для того, кому этот штраф выписан. Здесь настаивают, что передача нарушителем этой информации третьему лицу или размещение скрина постановления в интернете не является разглашением личной информации контролирующим органом. Также, было добавлено, что проверка начислений осуществляется ГИС ГМП, которая не входит в ДИТ. В казначействе, отвечающем за ГИС ГМП, никаких пояснений предоставлено не было.
А. Журавлев, председатель Комиссии АЮР, отметил, что массовая доступность персональной информации по УИН, является нарушением закона РФ «О персональных данных».
Также, он заметил, что пострадавшие имеют право на обращение с просьбой о проверке информационной утечки и принятии мер в Роснадзор. Но, в случае назначения штрафа регулятором (не выше 75 000 рублей), он будет направлен в бюджет, но не в качестве компенсации гражданам. У потерпевших есть право обратиться в суд, добавил эксперт, но еще никто не смог взыскать убытки за 10 лет действия закона. Согласно сообщению представителей Роскомнадзора жалобы относительно информационной утечки по УИН зафиксированы не были.
Как в сеть попали пользователи государственных услуг
А. Дрозд рассказал, что у ГИС ГМП наблюдаются проблемы и в плане выдачи данных по автоштрафам. В «СерчИнформ» недавно в ходе проверки обнаружили не только персональные данные нарушителя, но и информацию о нарушении, номер регистрационного свидетельства. Отмечено было несколько эпизодов по УИН, в других же сведения были недоступны, что может говорить о начале исправления допущенной ошибки.
В МВД заверили, что подобная неприятность по их вине технически является невозможной. При формировании УИН на автоштраф, данные владельца машины не передаются в ГИС ГМП.
В. Ульянов, начальник центра аналитики Zecurion напомнил, что ранее аналогичная лазейка была и в ресурсах банковских денежных переводов. По телефонному номеру было легко узнать и другие сведения человека и это использовалось мошенниками в своих целях. В настоящее время банки, чтобы замаскировать информацию, фамилию частично прикрывают звездочками.