Столичные айтишники опять демонстрируют профнепригодность


На сайтах для оплаты штрафов нарушавших самоизоляцию москвичей не уберегли от утечки данных.

Штраф выписывался по уникальному идентификатору начислений (УИН). При вводе 25-значного номера в сервисе оплаты на сайте всплывали персональные данные нарушителя, такие как имя, фамилия и паспортные данные.

Эту информацию подтвердили и в компании в сфере кибербезопасности «СерчИнформ». Глава отдела безопасности компании Алексей Дрозд пояснил, что подобрать 25-значный УИН вручную почти невозможно, но есть программы, которые в автоматизированном режиме это делают. Для предотвращения автоматического подбора сайты зачастую используют элементарную «капчу», чтобы ограничивать количество запросов.

В пресс-службе департамента информационных технологий Москвы произошедшее прокомментировали так: «Проверка по УИН начислений, которой пользуются интернет-сервисы, идет через Государственную информационную систему о государственных и муниципальных платежах (ГИС ГМП), что находится вне деятельности ДИТ».

Председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Журавлев уверен, что такая доступность данных нарушает закон «О персональных данных». Но даже если шастающие ковид-диссиденты рискнут обратиться в Роскомнадзор с требованием проверить факт утечки и принять меры, то, даже если регулятор и назначит штраф (не более 75 тыс. руб.), то направится он в доход бюджета, а не на компенсацию пострадавшим.

Так что жалоб в Роскомнадзор, собственно, и не поступало. На нет и суда нет.

Отправить в: