På grund af mangler i lovgivningen var information om pas og SNILS i det offentlige rum
Elektroniske websteder lægger ikke-krypterede personlige data fra auktionsdeltagere i det offentlige domæne. På grund af dette er mere end 2,2 millioner poster tilgængelige offentligt, inklusive SNILS-numre, pas og information om beskæftigelse.
Hvordan blev antallet af pas og SNILS fundet i det offentlige rum?
Mindst 2,24 millioner poster med pasdata, SNILS-numre og information om russernes ansættelse er i det offentlige rum. Dette blev opdaget af Ivan Begtin, formand for Association of Data Markets Participants; hans forskning”Personlige data lækker fra åbne kilder. RBC har elektroniske handelsplatforme.
Undersøgelsen analyserede oplysningerne om de største russiske elektroniske handelsplatforme, hvor kommercielle køb og offentlige indkøb er placeret under føderale love 44-FZ og 223-FZ, nemlig: indkøbsmodulet ZakazRF (562 tusind poster), RTS-bud (550 tusind. poster), Roseltorg (468 tusind poster), National Electronic Platform (142 tusind poster), ETP AHRF (18 tusind poster) og Sberbank AST (500 tusind poster). På alle sider kan du finde de personlige oplysninger fra auktionsdeltagere.
At kalde udseendet af disse oplysninger en lækage kan kun være en strækning, forklarede Begtin i en samtale med RBC.”Dette er den første tilgængelighed på grund af fejl i lovgivning og uvidenhed hos udviklerne [om webstederne],” sagde han.
Salgsfremmende video:
Hvordan lækker pasdata?
Begtin gav en algoritme til indhentning af personlige data fra hvert af de nævnte websteder. Alle arbejdede på RBC-materialet, da arbejdet begyndte. Efter at RBC henvendte sig til repræsentanterne for Sberbank AST, lukkede systemet muligheden for at downloade data.
Mekanismen til at downloade dokumenter med personlige data på alle de anførte websteder er den samme. I de fleste tilfælde kunne dataene findes (som RBC var overbevist om) i de beslutninger, der blev gemt der om godkendelse af åbne auktioner. Nogle af dem indeholder også e-mail-adresser, SNILS-numre og information om ansættelse af auktionsdeltagere.
Hvorfor er dataene i det offentlige domæne?
Årsagen til, at personoplysninger offentliggøres på elektroniske platforme, er, at beslutninger om at godkende store transaktioner i de fleste tilfælde indeholder oplysninger om dem, der har godkendt denne transaktion, samt deres repræsentanter.
Repræsentanten for RTS-Tender fortalte RBC, at i henhold til loven for akkreditering af deltagere på den elektroniske platform skal en vis liste over dokumenter overføres - hans firma uploadede det til webstedet. Nikolai Andreev, generaldirektør for Sberbank AST, fortalte RBC, at deltagerregistret ifølge den godkendte procedure indeholder oplysninger om organisationens navn, OGRN, TIN samt akkrediteringens start- og slutdato. I det åbne register over indkøbsdeltagere, som alle operatører af elektroniske platforme er forpligtet til at opretholde i overensstemmelse med normerne i 44-FZ, kan der undertiden findes personoplysninger, bemærkede pressetjenesten fra Roseltorg. Imidlertid udarbejdes alle oplysninger og dokumenter, der vises i registret, af byderne selv, og operatørerne af elektroniske platforme er forpligtet til at offentliggøre dem uændret, forklarede virksomhedens repræsentant.
Ifølge Begtin ligger problemet i to store huller i lovgivningen.”Den første er kravet om at offentliggøre offentligt tilgængelige beslutninger om godkendelse af større transaktioner, som ifølge russisk praksis ofte inkluderer pasdataene fra stifterne,” forklarede han. Den anden er i praksis at bruge en kvalificeret elektronisk signatur til offentliggørelse af dokumenter fra kunder og leverandører. "Signaturen, der er knyttet til en sådan fil, indeholder de samme metadata som den elektroniske signatur - fuldt navn, e-mail, SNILS," fortalte Begtin til RBC.
Krænker den åbne placering af pasdata loven?
Behandlingen af personoplysninger fra tilbudsgivere kræver deres samtykke og er reguleret af loven "Om personoplysninger", sagde Andrey Arsentiev, analytiker i InfoWatch Group.”At have personlige data i et åbent miljø er selvfølgelig en overtrædelse. Tilsyneladende er elektroniske handelsplatforme ikke altid opmærksomme på at beskytte data fra handelsdeltagere, da der ikke er noget strengt ansvar for krænkelser,”forklarede han.
Videregivelse af pasdata kan falde ind under art. 137 i straffeloven (strafansvar for krænkelse af privatlivets fred), siger Konstantin Bochkarev, en rådgiver for advokatfirmaet CMS. Han nævner et eksempel fra retspraksis, da Moskva byret anerkendte et telefonnummer som en personlig eller familiehemmelighed. Når der offentliggøres sådanne oplysninger, finder art. 13.11 i Den Russiske Føderations administrative kode (krænkelse af lovgivningen i Den Russiske Føderation inden for personoplysninger), hævder advokaten.
Hvad hvis du finder ud af dit dataforbrud?
Ifølge advokater kan en person, der har opdaget en lækage af hans data, gå til domstol for erstatning. Hvis der imidlertid ikke er bevis for, at der er væsentlige tab, vil det være vanskeligt at få erstatning, er Bochkarev overbevist.”For en almindelig borger, der ikke har råd til en lang og kostbar retssag, er den mest effektive måde at gå direkte til det sted, hvor dataene offentliggøres, og bede dem om at blive fjernet,” er han overbevist.
Derudover har Roskomnadzor ret til at bøde det elektroniske websted ved rapporter i pressen om en personlige datalækage, selv uden klager fra enkeltpersoner. "I dette tilfælde vil dataene også hurtigt blive slettet," tilføjede Bochkarev. Han bemærkede, at sådan "uagtsomhed" truer omdømme risici for elektroniske platforme.
Seneste dataovertrædelseskandaler
I begyndelsen af april blev en database over ambulancepatienter fra flere byer nær Moskva lagt ud på Internettet. Fra det kan du finde ud af navnene, adresserne og telefonnumrene samt sundhedstilstanden for dem, der ser lægerne. Undersøgelsesudvalget begyndte at kontrollere denne sag.
Facebook er blevet beskyldt for store personlige informationslækager flere gange. Sidste gang dette skete var i april, da dataene var offentligt tilgængelige på andre platforme og i Amazon skylagring. Før dette opdagede repræsentanter for det sociale netværk, at adgangskoder for et antal Facebook-brugere blev gemt på dets servere i ikke-krypteret form - i ren tekst. Det blev rapporteret, at forkert lagring af information blev afsløret under en rutinemæssig sikkerhedskontrol i januar; det berørte "hundreder af millioner af Facebook Lite-brugere, titusinder af andre Facebook-brugere og titusinder af Instagram-brugere."
Forfattere: Evgeniya Kuznetsova, Evgeniya Balenko
Med: Mikhail Nesterkin
