В интернет-сервисах оплаты штрафов по уникальному идентификатору начислений (УИН) можно найти паспортные данные жителей Москвы, которых оштрафовали за нарушение самоизоляции, сообщает «Коммерсантъ»
12 мая первым на утечку обратил внимание юрист и автор телеграм-канала «Нора Ёжика» Иван Ёжиков. Он опубликовал скриншот с сервиса oplatagosuslug.ru, который помимо УИН выдает имя оштрафованного и его паспортные данные.
Информацию об утечке «Коммерсанту» подтвердили в компаниях в сфере кибербезопасности. По словам начальника отдела информационной безопасности «СерчИнформ» Алексея Дрозда, собрать персональные данные методом перебора УИН вручную почти невозможно, а вот программа с такой работой справится. Основатель DeviceLock Ашот Оганесян отмечает, что хотя УИН состоит из 20-25 цифр, его перебор — простая задача.
Для защиты от утечек система должна блокировать попытки многократного ввода УИН, а информация публиковаться в частично обезличенном виде, объяснил Дрозд. Однако у сайтов для оплаты штрафов обычно такой защиты нет, добавляет Оганесян.
Что еще известно:
Сложившаяся ситуация нарушает закон «О персональных данных», а пострадавшие могут попросить Роскомнадзор проверить утечку и принять меры, считает глава комиссии по правовому обеспечению цифровой экономики Ассоциации юристов России в Москве Александр Журавлев.
В Департаменте информационных технологий (ДИТ) Москвы настаивают, что если оштрафованный публикует или передает кому-то скриншоты постановления с УИН штрафа, то это не означает нарушения закона контролирующим органом. Проверка по идентификатору идет через Государственную информационную систему о государственных и муниципальных платежах (ГИС ГМП), которая находится вне деятельности ДИТ, отметили чиновники. В Федеральном казначействе, отвечающем за ГИС ГМП, ситуацию комментировать не стали.