Спор о том, считать ли утекшие в сеть номера паспортов участников интернет-голосования по поправкам в Конституцию личными данными, можно считать разрешенным не в пользу ЦИК. Они пользуются спросом в даркнете и даже недешево стоят из-за исключительной свежести, узнал «Коммерсант».
Что произошло
В даркнете выставлена на продажу база данных номеров всех 1,1 млн паспортов голосовавших в интернете по поправкам. Первой об этой утечке и сделавших ее возможной организационных просчетах написала «Медуза».
Каждая строчка с привязанными к паспорту данными из других баз стоит $1 оптом и $1,5 в розницу. Продавец сообщил изданию, что продал уже 30 тысяч строк.
Идентичность продаваемой базы данных утечке подтвердил основатель DeviceLock Ашот Оганесян. Из нее просто вычищены несколько тысяч недействительных номеров паспортов, предполагает специалист.
Председатель ЦИК Элла Памфилова отрицала важность утечки: «сами по себе цифры серии и номера паспортов без привязки к фамилии, именам, отчествам человека никакими персональными данными просто не являются».
Почему это важно
К номеру паспорта, утекшему через систему избиркомов, несложно подверстать имеющиеся в других пиратских базах данные об имени владельца, его СНИЛС, ИНН, кредитной истории и компаниях, зарегистрированных на его имя. Учитывая гарантированную ЦИК свежесть данных о номере, злоумышленники сразу получают актуальную базу данных для фродов и фишинга. Самым очевидным видом последнего может быть письмо с просьбой указать данные кредитной карты для получения обещанных властями Москвы призов.
Проблема с подобными утечками системная, отмечает «Коммерсант»: неполные базы данных россиян в госорганах защищены слабо, потому что и создатели, и заказчики недооценивают их важность. Последняя утечка частичной базы данных 1 млн московских автомобилистов произошла буквально на днях.
Разрозненные данные становятся предметом обогащения и сопоставления, их значимость и критичность повышаются, указывает ведущий аналитик направления «Информационная безопасность» IT-компании КРОК Анастасия Федорова.
По данным InfoWatch, количество утечек данных в России в 2019 году выросло на 40% по сравнению с предыдущим годом.
Что дальше
На фоне участившихся скандалов российские власти решили поднять штрафы за утечку персональных данных. Согласно проекту Минюста, они будут увеличены на порядок, до 500 тысяч рублей для компаний и до 100 тысяч рублей для должностных лиц.
О еще большем ужесточении задумались в Госдуме: как заявлял «Коммерсанту» председатель комитета по информполитике Александр Хинштейн, обсуждается введение уголовной ответственности не только для продавцов, но и для покупателей баз. Состав преступления должен начинаться со скачивания базы, указал депутат.