В открытый доступ утекли данные сотрудников государственного провайдера «Ростелекома». В даркнете оказались ФИО, должности людей, адреса корпоративной почты, логины от нее и телефонные номера. В компании утверждают, что слив произошел по вине бывшего сотрудника. Делом заинтересовался Роскомнадзор.
Виноват бывший сотрудник
Данные сотрудников «Ростелекома» оказались в открытом доступе, сообщил Telegram-канал «Утечки информации». В даркнете опубликован файл с информацией из телефонного справочника компании. В текстовом документе на 109,3 тыс. строках перечислены ФИО сотрудников, должности, которые они занимают, адреса их корпоративных почтовых ящиков, логины от них и номера служебных и мобильных телефонов.
Представители «Ростелекома» сообщили CNews, что за утечку может отвечать один из бывших сотрудников государственного провайдера.
«Проверяем на причастность к инциденту одного из бывших сотрудников, который в декабре 2021 года скопировал часть внутреннего телефонного справочника», — рассказали представители компании, добавив, что ведут внутреннее расследование по факту утечки.
Как сообщает «Интерфакс», Роскомнадзор уже запросил у «Ростелеком» информацию о деталях утечки персональных данных сотрудников.
По мнению админов канала «Утечки информации», организатор нынешнего «слива» причастен к утечкам данных образовательного портала GeekBrains, «Школы управления «Сколково», якутского портала Ykt.Ru и службы доставки Delivery Club.
Слив за сливом
За последний месяц стало известно о ряде утечек персональных данных сотрудников крупных российских компаний. В начале мая 2022 г. в сети появились данные 30 млн клиентов сети лабораторий «Гемотест». 20 мая служба доставки Delivery Club сообщила о том, что в интернете оказалась база данных сотрудников из 350 млн строк. В службе безопасности компании после инцидента пообещали провести проверку и дополнительный аудит внутренних систем.
30 мая 2022 г. в даркнете появилась база данных сотрудников «Яндекс. Еды» из 700 тыс. строк. Позже в интернете опубликовали ссылку на сайт, где выложили личные данные пользователей «Яндекс.Еды» в виде карты c адресами доставки и электронной почтой. После инцидента Роскомнадзор составил на «Яндекс.Еду» протокол за нарушение российского законодательства в сфере персональных данных и компании назначили штраф на сумму 60 тыс. руб. Также несколько сервиса подали коллективный иск к «Яндекс.Еде», потребовав компенсировать моральный вред.
7 июня 2022 г. стало известно о том, что клиенты сервиса доставки СДЭК подали к компании коллективный иск на 2,2 млн руб., чтобы взыскать компенсацию за утечку персональных данных. В конце февраля 2022 г. в сети появились две таблицы с ФИО, номерами телефонов, адресами и другими данными клиентов компании: один файл с 466 млн строк, второй — с 822 млн. В СДЭК объяснили произошедшее хакерской «политически мотивированной» атакой.
Штрафы вырастут в миллионы раз
Огромное количество утечек персональных данных форсировало жесткие корректировки российского законодательства: в конце мая 2022 г. Минцифры России согласовало законопроект, по которому компания в случае утечки информации должна уведомить об этом Роскомнадзор в течение суток. Если же в организации попытаются инцидент скрыть, штраф увеличится с 1% до 3% годового оборота компании. Ужесточение законодательства о персональных данных в России обсуждали больше года.
Согласно действующему в стране законодательству, наказание за утечки персональных данных прописано в КоАП. По статье 13.11. первая утечка обойдется оператору персональных данных в сумму от 60 тыс. руб. до 100 тыс. руб. За вторую и последующие — 500 тыс. руб. По мнению Антона Горелкина, заместителя председателя комитета Госдумы по информполитике, такие скромные штрафы не мотивируют компании вкладываться в защиту информации о клиентах. Об этом он высказался 30 мая в своем Telegram-канале.
Впрочем, одним лишь кнутом ситуацию с утечками исправить получится вряд ли. В беседе с CNews директор Института исследований интернета Карен Казарян подчеркивает, что такого огромного количества утечек информации удалось бы избежать, если бы в стране хватало специалистов по информационной безопасности.
«Причин происходящего две: значительно вырос уровень киберугроз, и ИБ-шники просто не справляются, — объяснил эксперт. — Кроме того, злоумышленники хорошо платят сотрудникам за слив баз — финансовый фактор мотивации сбрасывать со счетов нельзя. Но ужесточение законодательства радикально ситуацию не изменит, так как ИБ-шники из воздуха не берутся. И тратить значительные деньги на обеспечение кибербезопасности, учитывая нестабильную экономическую ситуацию в стране, многие компании не будут».
По мнению Казаряна, правильной мерой были бы штрафы за бездействие компаний — то есть не по факту утечки, а в том случае, если она произошла, а компания ничего не делает, чтобы найти виновных и усилить безопасность. Сейчас тщательным расследованием таких дел фактически не занимаются и сотрудников, которые продают базы, к ответственности не привлекают.
Источник: cnews.ru
Комментарии
Хорошо было бы, если физическое лицо, чьи данные утекли, могло отсудить крупную сумму.
Для этого стоит добавить пункт, что компания должна оповестить всех пострадавших о факте утечки их персональных данных.
И, кстати, нужно положить конец бесконтрольному сбору персональных данных всякими компаниями.
Для начала их нужно обязать ежегодно отчитываться заказным письмом перед каждой персоной о том, как компания использовала его персональные данные в минувшем году. Это резко сократит желающих коллекционировать данные.
Именно! Сбор и хранение персональных данных должны дорого обходится. А то каждая булочная норовит собрать инфу.
Или попортить физическое лицо организовавшего утечку.
Физически попортить?
Да. Физически попортить физическое лицо физическому лицу
Но от следствий утечки не убережёт.
Не могу понять, что такое "адреса их корпоративных почтовых ящиков, логины от них"?
Это как? У личного рабочего почтового ящика кроме адреса есть ещё логин?
Как? Ну как это может быть. После запроса "Select * from users", вся служба безопасности должна забегать как ужаленные...
Открываете корпоративную почту, заходите во вкладку с адресной книгой... и видите всех сотрудников, их логины, номера телефонов, адреса работы. Если есть корпоративный портал, то там еще и фотки с датой рождения могут прицепиться.
Тот же Оутлук раньше всегда так делал. Еще пара почтовых серверов с собственными браузерными клиентами так делает.
Всех причастных к сливу, уверен, там не один "клоун" виноват - найти, если не в России - в международный розыск. Всё окружение причастных - под контроль. Все финансовые операции "круга" - под проверку.
А нет ли тут уголовщины ?
Я эту конторку срань телекомом называю. Такой манипуляции со скоростью Интернета не у кого наверное нет. Хотя за 500 р терпимо. Было дело пытался туда трудоустроиться. Если ты не родственник начальника - вообще голая жопа.
Поддержу. Еле ликвидировал телефонную точку доступа с модемным интеренетом. Ни в какую не хотели растрогать договор.
Логины от почты в справочнике???
Страшная тайна в том, что во многих организациях логин от почты так же является логином от компа и даже почтовым адресом... с единым паролем на все это хозяйство. Подозреваю это тянется со времен экчейнджа.
Как может быть личная корпоративная почта и плюс ещё логин? Логин к чему?
Логин — имя пользователя в аду.
В силу особенностей реализации часто/обычно (но не всегда) совпадает с индивидуальной частью почтового адреса.
Ну и лично меня в аду больше всего умиляет последовательность продвижения парольного механизма авторизации.
На фоне последних событий (эпидемиологический массовый перевод всех на удалёнку) с использованием в том числе для прохода через периметр.
Вот именно. Совпадает.
*Обычно* совпадает.
Но не всегда.
как правило за тем или иным взломом и тд зачастую стоит сотрудник
И не просто сотрудник а сотрудник имеющии доступ и мотивы могут быть разные-от мести и до
Сейчас многие компании вводят принцип двух рук но все равно
Иногда остаются дыры- помню в одной компании был экспорт данных для сотрудников-экспорт клиентов и тд
В основном беда маленьких компании
Большие просто больше на виду из-за резонанса
По большому торговля данными бесконтрольный процесс
Европа пыталась бороться 1-2 года но не шмогла и назначила национальных регуляяторов
Все цепочки продажи перепродажи контроля на живые номера и тд нереально
Это бизнес на десятки мильярдов евриков
Может вы урежете осетра эдак на 3 порядка?
Да-да-да.
Конечно.
Лица, причастные к выстраиванию Системы по сбору/хранению ПД неуиноуаты.
Пускай безопасников своих проверяют, которые под учеткой бывшего сотрудника слили данные, и выложили их в сеть.
Никакой сотрудник по Закону не должен иметь прав доступа к личным данным сотен тысяч клиентов!
Нечему удивляться...
Сколько провалов в образовательной/медицинской/экономической/финансовой сферах не нашли "своих героев"... и какой вред действия/бездействия всяких чиновников нанесли/наносят стране? "Сор из избы" выносить не будут - хлопотно, да и надобности нет.
Странная формулировка - недостаточное количество сотрудников ИБ. Достаточное это сколько ? Показателей нету.
После назначения достаточного количества сотрудников необходимо закупить и установить ПО, а так же научить сотрудников работать в соответствии с новыми требованиями по безопасности.
О перспективах аудита сколько-нибудь сложного товарного ПО чтите руководство господина Фокса.
Об ответственности разработчика — условия совершенно добровольно принятого лицензионного соглашения.
Разрешение на запуск МБР (по слухам) дают два человека одновременным поворотом ключей.
А почему в ИТ сраный сотрудник имеет доступ к информации, защищаемой Законом?
Разумеется за подобное игнорирование Закона надо нещадно штрафовать любые учреждения.
И не просто беспощадно увольнять тех руководителей, кто это допустил, а сажать на нары с конфискацией имущества и выплатой компенсации всем "утёкшим"!
Вот только тогда они забегают как ошпаренные.
Потому, что сотрудник ИТ - это не 2 генерала поворачивающие ключи для запуска, это (утрирую) рабочий в спецовке, который подключает эти ключи (и тестирует их работоспособность), без возможности доступа к системе управления, он не сможет обеспечить ее работоспособность. Но этот рабочий имеет доступ к системе, когда самой ракеты нет еще, а человек обслуживающий БД с персональными данными (или любыми данными) по определению не может не иметь к ней доступ уже при наличии
ракетыданных в системе, а соответственно, может ее всегда скопировать себе. Предотвратить невозможно, и вопрос безопасности в том, чтобы: а) узнать кто это сделал и применить неотвратимость наказания; б) притушить дальнейшие распространение этой информации ограничениями каналов передачи (из возможной точки получения копии ограничить носители, сеть и т.д.).Сколько-то недель (месяцев?) назад смотрел забавную лекцию по ДЛП системам... которые теоретически позволяют обнаружить попытку выноса информации из закрытого контура в открытый... так что работы идут по-маленьку.
Было бы очень интересно развлечься аудитом этих систем.
Ибо есть подозрение, что реализованы они на уровне СМЭВ.
Да сделать 5 лет колонии сливальщикам, и все. Думаю, ситуация изменится. Причем соучастником сделать руководителя, если докажут его невмешательство при знании, или халатность, если не знал, при факте 'слива'. Тогда и руководство будет пристально следить за сотрудниками.