Тем не менее, когда утечка данных получает широкую огласку и возникает общественный резонанс, о возможных убытках компании можно только догадываться.
Аналитический центр компании SearchInform опубликовал дайджест утечек конфиденциальной информации, получивших наибольший отклик в обществе.
I. Яндекс и Google
Восемь тысяч личных смс-сообщений, отправленных c сайта «Мегафона», оказались в свободном доступе после того, как были проиндексированы поисковыми роботами Яндекса. По официальной версии причиной послужил «результат сочетания нескольких ошибок веб-приложения под названием “Недостаточная авторизация”, “Утечка информации” и “Отсутствие таймаута сессии”». В процессе обсуждения данного инцидента «Мегафон» уверял, что информация, ставшая общедоступной, не содержала персональных данных (только номера абонентов-получателей без привязки к их ФИО). В качестве компенсации абонентам, пострадавшим в связи с публикацией текстов сообщений, был предложен выбор между бесплатными бонусными SMS и минутами разговора.
Также вызывает удивление позиция пострадавших. В то время как жители Южной Кореи подают на Apple коллективные иски на миллионы долларов за возможный причиненный им ущерб, защита прав пострадавших россиян беспокоит лишь Союз Потребителей России. Замоскворецкий суд Москвы приступит к рассмотрению иска от СПР в среду 17 августа.
История с sms-сообщениями получила необычное продолжение. Вместо исков в суд люди продолжили экспериментировать с поисковыми запросами. В открытом доступе Google были найдены бумаги ФАС, Федеральной миграционной службы, Счетной палаты, Минэкономразвития, портала Госзакупок, Главного управления специальных программ президента России, Высшей аттестационной комиссии Минобрнауки России и некоторые региональные документы, среди которых были и помеченные грифом «секретно», хотя силовые ведомства и отрицали этот факт. Также в сети были обнаружены (но широкой огласки эта новость не получила) сообщения пользователей пермского портала sms.perm.ru, утечки секретных фотоальбомов в различных системах, утечка данных о покупателях железнодорожных билетов, а также личная информация о покупателях интернет-магазинов. Два последних случаях рассмотрим чуть подробнее.
В поисковики попала информация о пассажирах, заказавших билеты через сервисы онлайн-бронирования TuTu.ru и Railwayticket.ru.
Со страниц с заголовком «Бланк электронного билета» можно было узнать ФИО пассажира, купившего билет, люди, которые следуют вместе с ним, последние цифры номеров их паспортов, пункт отправления и пункт назначения, номер поезда и номер места, а также дата поездки.
Примечательно, что Tutu.ru одним из первых признал факт раскрытия персональных данных клиентов. Там подтвердили кражу «обрывочных паспортных данных 70 клиентов раздела “авиабилеты”. Более того, это чуть ли не единственный случай за последнее время, когда клиентам предложили реальную денежную компенсацию. Сумма не разглашалась; пострадавших просили посетить офис компании для решения данного вопроса на месте.
В случае с интернет-магазинами утечка оказалась гораздо масштабнее. Яндекс и Google проиндексировали более 50 тыс. страниц с информацией о покупателях. В том числе в Сеть попали сведения о клиентах секс-шопов. Эта утечка получила большой общественный резонанс, так как страницы содержали множество конфиденциальной информации: имя и фамилию человека, мобильный телефон и в некоторых случаях паспортные данные. Также можно было узнать, что именно заказал человек и покакому адресу необходимо доставить заказ. Партнер адвокатского бюро «Корельский, Ищук, Астафьев и партнеры»Константин Суворов подытожил разрозненные высказывания блоггеров: «Если компания занимается сбором и обработкой персональных данных, то она обязана обеспечить их защиту. Даже если поисковая машина Яндекса или Google изменила способы индексации страниц, всегда есть возможность со стороны администраторов сайтов заблокировать данные для поискового робота. В любом случае все иски и претензии надо обращать в сторону ресурсов, ибо утечка произошла с их стороны».
Однако ресурсы не спешат брать ответственность на себя и в основном приносят шаблонные извинения. Остается надеяться, что на ситуацию сможет повлиять упомянутый выше СПР, который подал иск против десяти онлайн-магазинов. Это совсем не значит, что утечка произошла лишь у них. По данным Роскомнадзора в открытый доступ попали данные клиентов 80 магазинов. «Иск же смогли предъявить только тем, чьи юридические адреса удалось найти сотрудникам организации», - пояснил председатель организации Петр Шелищ. Любопытно, что СПР отдельно подчеркнул отсутствие материальной составляющей иска.
II. Банки
Как российский, так и белорусский, «Альфа-Банк» регулярно подвергается нападкам собственных клиентов за разглашение информации о финансовых операциях. Типичная ситуация выглядит примерно так: на карточку клиента поступает значительная сумма денег, после чего ему начинают звонить неизвестные с различными предложениями: от «не желаете ли продать валюту?» до «не хотели бы вы выгодно вложить свои деньги?».
Беларусь этим летом, похоже, и вовсе стала лидером по числу скандалов, связанных с банками. Причем как на микро-, так и на макроуровне. Последний затрагивает быстро погашенный скандал, связанный с передачей официальному Минску Литвой банковских данных представителей белорусской оппозиции. Литовская оппозиция в лице партии «Порядок и справедливость» и вовсе потребовала отставки глава МИД и Минюста Литвы. По мнению литовских социал-демократов, скандал с передачей банковских данных белорусской оппозиции ставит вопрос о том, насколько безопасна банковская информация как физических, так и юридических лиц в Литве в целом. Стоит отметить, что практически идентичная ситуация произошла и с польским банком, выдавшим белорусской стороне личные данные оппозиционных деятелей.
Стоит также обратить внимание на белорусский «МТБанк», который отметился пару дней назад масштабной утечкой конфиденциальных данных людей, заполнивших онлайн-анкеты на сайте банка в период конца 2010-начала 2011 года. Примечательно, что хоть новость и получила небольшую огласку в СМИ, похоже, сами пострадавшие так и не осознают степень риска, которому они подвергаются. А ведь любой человек, скачавший небольшой архив в 42 МБ, теперь может узнать ФИО интересующего его объекта, дату его рождения, серию и номер паспорта, личный номер, мобильный и рабочий телефоны, адрес почты, девичью фамилию матери, образование, семейный статус, данные родственников, судимость, непогашенные кредиты, алименты, место работы и занимаемую должность.
Отдельное внимание стоит обратить на официальное заявление представителей банка. В управлении маркетинга заявили, что «речь идет не про список клиентов, а про список физических лиц, которые обратились на сайт банка, чтобы заполнить предварительные электронные заявки». На самом деле это не так. Исследуя документы, попавшие в Сеть, можно найти ряд анкет-заявлений на подключение услуги интернет-банкинга «Мой банк». Это однозначно свидетельствует о том, что действующие клиенты банка также пострадали.
А вот с общественным резонансом дела обстоят не очень хорошо. Несмотря на всю серьезность инцидента, в результате которого персональные данные огромного числа людей могут быть использованы мошенниками, ни общество защиты прав потребителей, ни сами граждане не спешат обращаться в суд за защитой своих прав. Подобная позиция вызывает недоумение, отмечают автор дайджеста. Сам банк пообещал «разобраться и строго наказать виновных».
III. «Wikileaks по-украински»
Уволенный сотрудник спецслужбы устроил коллегам «викиликс по-украински», выложив в Сеть засекреченные планы оперативных мероприятий по области, которые собирались проводить сотрудники управления «К» (занимается борьбой с коррупцией) в первом полугодии 2011 года. Достоянием общественности стали фамилии завербованных спецслужбой агентов и держателей явочных квартир в Харьковской области. Сейчас спецслужба активно ищет«стукачей», а также завела уголовное дело по факту разглашения гостайны.
Очевидно, что в данном случае общественный резонанс возник в первую очередь среди «рассекреченных» агентов, их семей и просто сочувствующих им людей.
Почему утечка попала лишь на третье место? Как оказалось, подобные «сливы» в СБУ являются скорее правилом, нежели исключением. «При Наливайченко в СБУ тоже был проходной двор — все, что хотите, сливали в интернет, — вспоминает Геннадий Москаль, работавший замом главы СБУ в 2007 году. — Когда замом пришел Тиберий Дурдинец, вообще начались повальные утечки».
В этом году компании Sony после серии беспрецедентных взломов пришлось примерить отнюдь не почетную для корпорации такого уровня «майку Лидера» по … количеству исков, поданных на компаниюв суд. Проблемы Sony обсуждали все. Ленты новостей заполонил главный «зачинщик» кибер-атак Джордж Хотц, поддержкой которого заручились хакеры, организовывая все новые утечки данных. Сообщения о новых взломах на мировых сайтах стали традиционно начинаться со слов «И снова Sony…» и «Очередной взлом в Sony…». Дело дошло до того, что даже страховые агенты компании отказались от нее.
