Обзор ИБ-событий: «утечка из шкафа», незаконный оборот данных и доступ к информации о 14 млн выпускников - SearchInform
Обзор ИБ-событий: «утечка из шкафа», незаконный оборот данных и доступ к информации о 14 млн выпускников
05.02.2018

«Утечка из шкафа»

Крупный правительственный архив секретных документов случайно обнаружили в Австралии. Источник, который передал материалы национальной телекомпании ABC, рассказал, что нашел бумаги в двух шкафах из магазина подержанной мебели. В сюжете уточняется, что шкафы стоили недорого, потому что дверцы были заперты, а ключи – потерялись. Покупатель взломал замки и обнаружил внутри сотни документов, связанных с работой пяти кабинетов министров Австралии. Инцидент включили в число самых крупных утечек данных за всю историю страны.

Архив, обнаруженный в шкафах из комиссионки, почти полностью состоит из секретных документов. Данные из архива, согласно местному законодательству, запрещено разглашать еще 20 лет. Однако журналисты ABC привели содержание документов, чтобы показать, как «внутренние механизмы правительства влияют на жизни всех австралийцев».

Кроме того, в архиве нашлись отчеты, согласно которым секретную документацию теряет не только правительство, но и полиция. За пять лет, с 2008 по 2013 год из ведомства пропали минимум 400 секретных документов, полученных из австралийского комитета по национальной безопасности.

Аппарат действующего правительства заявил о начале срочного расследования утечки конфиденциальных данных в течение часа после публикации АВС.

«Очевидно, была допущена элементарная ошибка, вероятно, сотрудником младшего или среднего звена», – заявил бывший премьер-министр, упомянутый в опубликованных документах.

Вовремя не уничтожил – заплати штраф

Неправильное обращение с архивными документами стало причиной утечки персональных данных в Свердловской области. В Североуральске в прачечной старого здания поликлиники нашли десятки историй болезней и диспансерных книжек. В карточках были указаны персональные данные пациентов, включая ФИО, домашние адреса и места работы, а также диагнозы и сведения о течении беременности и родов.

Медицинские документы были датированы 1989 годом. Архив должны были уничтожить еще четыре года назад в связи с истечением срока хранения. Что помешало работникам поликлиники выполнить требования закона, не сообщается.

За нарушение норм законодательства о хранении персональных данных поликлинику оштрафовали на 25 тысяч рублей, а главный врач получил из областной Генеральной прокуратуры представление об устранении нарушения.

Россия: суд признал права «ВКонтакте» на открытые данные пользователей

В конце января 2018 год социальная сеть «ВКонтакте» выиграла в арбитражном апелляционном суде Москвы иск о защите данных пользователей. Суть претензии к ответчику – компании Double Data заключалась в бесконтрольном сборе сведений о пользователях. Соответчиком по иску выступало Национальное бюро кредитных историй, которое предлагало кредитным организациями сервис, основанный не технологиях Double Data. Сервис оценивал кредитоспособность заемщиков по профилю в социальной сети.

В иске утверждалось, что Double Data собирала из базы данных социальной сети ФИО, сведения о месте работы и учебы, анкеты друзей, информацию о месте рождения и регионе проживания, фото, а также данные о частоте посещений страницы и типе устройства. Однако ни «ВКонтакте», ни пользователи не разрешали брать и использовать информацию в коммерческих целях.

В октябре 2017 года Московский арбитражный суд отклонил иск, посчитав, что «ВКонтакте» не сумели доказать право собственности на базу данных. Суд второй инстанции признал обоснованной претензию социальной сети и запретил Double Data использовать пользовательские данные.

«Для нас было принципиально защитить людей от подобных действий, ведь они доверили информацию о себе нам, не предполагая, что ее будет собирать какой-то сторонний сервис», – заявили в пресс-службе «ВКонтакте».

Генеральный директор Double Data заявил, что компании обжалует решение «как ограничивающее свободу поиска и доступа к открытой информации в интернете».

США: подделка аккаунтов преследуется по закону

Скандал с использованием данных разгорелся в США. Компанию Devumi, которая занимается продвижением в социальных сетях, подозревают в массовой регистрации поддельных аккаунтов с использованием реальных данных.

По данным журналистского расследования The New York Times, Devumi распоряжается минимум 3,5 млн аккаунтов в разных социальных сетях и зарабатывает на продвижении страниц с помощью «накрутки» подписчиков, часто – в обход правил социальных сетей. По меньшей мере 55 тысяч аккаунтов, которыми пользуется Devumi, – поддельные. Отличить фальшивые учетные записи от настоящих удалось только по аномальному числу подписок, поскольку при регистрации использовали фотографии и личную информацию реальных людей.

Среди 200 тысяч клиентов компании известные в США персоны, которые приобрели в общей сложности 200 млн новых подписчиков. Генеральный прокурор Нью-Йорка заявил, что выдача себя за другое лицо противоречит законам штата, равно как и мошенничество. Решение о выдвижении обвинений против Devumi прокуратура примет по итогам расследования. Основатель Devumi заявил, что компания никак не связана с фальсификацией аккаунтов и лично он не знает ничего об использовании персональных данных для регистрации ботов.

Уязвимость на сайте Рособрнадзора

Пользователь «Хабрахабра» с псевдонимом NoraQ рассказал, что получил доступ к данным 14 млн выпускников российских вузов. Уязвимость он обнаружил на странице сервиса, который по реквизитам проверяет в федеральном реестре подлинность дипломов о высшем образовании.

NoraQ заметил, что поля для ввода реквизитов позволяют передавать команды серверу. Таким образом он нашел и скачал таблицы с информацией о 14 млн бывших студентов российских вузов. Данные включали серию и номер диплома, название учебного заведения, год поступления и окончания вуза, дату рождения, национальность, номера ИНН и СНИЛС выпускников. Еще в одном таблице NoraQ обнаружил информацию о пользователях системы с зашифрованными паролями.

В записи на «Хабрахабре», единственной в блоге, NoraQ отметил, что не «горит желанием» связывать с администраторами сайта Рособрнадзора, и не собирается использовать базу в корыстных целях.

Спустя всего час после публикации в блоге и распространения новости в СМИ работу сайта ограничили, а еще через несколько часов – восстановили, исправив уязвимость.

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.