Начиная с августа веду переписку с НИУ ВШЭ («вышка», Высшая школа экономики) по поводу публикации на их сайте ПД абитуриентов. Под катом — вся история.
TL;DR — общение с негосударственным (UPD: в комментариях поправили — он государственный) и, вроде бы, прогрессивным вузом оставило у меня двоякое впечатление. Проблему не признают, хотя ошибки исправляют (очень не спеша). Во избежание всякого — ПД в скринах маскирую.
UPD2: Уже после публикации на Хабре мне прилетел ответ от ВШЭ — добавлю его в конец статьи.
В августе мой родственник поступал в магистратуру ВШЭ, и вся семья напряженно следила за этим процессом. Первым делом абитуриент гордо прислал нам ссылку на сайт ВШЭ (документ Excel), где он фигурировал, как подавший заявление. Радости семьи не было предела, однако у меня возникло сомнение — хорошо ли публиковать СНИЛС в открытом доступе (см. рис. 1)? Я себя успокоил: дескать, там ФИО нет, только регистрационные номера, так что утечки вроде бы не должно быть.
Но для спокойствия я таки полез в положение ВШЭ, которое касается работы с ПД. Нашел там пункт 3.1.1., относящий ПД абитуриентов (значит, и СНИЛС тоже) к конфиденциальной информации, а еще пункт 9.2.2., запрещающий размещать конфиденциальную информацию в интернете. Поржал и написал в «вышку» обращение о несоответствии их Положения с реальным состоянием дел.
Сделал я это не скандала ради, а чисто для порядка. В обращении предложил в документах маскировать СНИЛС звездочками. На идентификацию это никак не повлияет, т.к. каждый абитуриент получает регистрационный номер и может по нему себя найти. Через две недели мне ожидаемо ответили в стиле «не извольте беспокоиться, ФИО мы не публикуем, а СНИЛС указывать нас закон обязывает». Ну ладно, ОК.
Главное «хаха» началось после окончания приемной кампании. Как и полагается, институт опубликовал списки поступивших. Ясное дело, с ФИО. Конечно, без СНИЛСов. И… да, именно, с указанием тех самых регистрационных номеров (см. рис. 2).
Тут я, конечно, взвился и направил в ВШЭ письмо следующего содержания (привожу с сокращениями):
От ВШЭ мне пришел автоответ «ваше сообщение получено». Далее — тишина в течение почти месяца.
Я как-то даже расстроился: вроде не налоговая инспекция, а прогрессивный вуз. Но сегодня свершилось чудо! Я вновь полез на сайт ВШЭ, скачал свежую версию ведомости с поступившими студентами и увидел, что оттуда убрали колонку с регистрационными номерами (рис. 3)!
Теперь злоумышленники не смогут сопоставить ФИО со СНИЛСами и оформить на будущих магистров кредиты. Ура, товарищи, здравый смысл восторжествовал, о чем и спешу вам сообщить!
P.S. Никакого ответного письма в стиле «спасибо за бдительность, чувствительные данные из открытого доступа убрали» я от ВШЭ пока не получил. Да ладно, я же это не для наград…
UPD: А, нет, все же получил! И какое письмо — в лучших традициях госструктур. Не поленюсь, процитирую.
Дальше идет (фанфары) скромное признание моих заслуг.
Берегите персональные данные смолоду, в общем…
P.P.S. Ссылка на один и второй списки. Публикую без опаски, т.к. после внесенных изменений утечка ПД уже не случится.
TL;DR — общение с негосударственным (UPD: в комментариях поправили — он государственный) и, вроде бы, прогрессивным вузом оставило у меня двоякое впечатление. Проблему не признают, хотя ошибки исправляют (очень не спеша). Во избежание всякого — ПД в скринах маскирую.
UPD2: Уже после публикации на Хабре мне прилетел ответ от ВШЭ — добавлю его в конец статьи.
В августе мой родственник поступал в магистратуру ВШЭ, и вся семья напряженно следила за этим процессом. Первым делом абитуриент гордо прислал нам ссылку на сайт ВШЭ (документ Excel), где он фигурировал, как подавший заявление. Радости семьи не было предела, однако у меня возникло сомнение — хорошо ли публиковать СНИЛС в открытом доступе (см. рис. 1)? Я себя успокоил: дескать, там ФИО нет, только регистрационные номера, так что утечки вроде бы не должно быть.
Рис. 1
Но для спокойствия я таки полез в положение ВШЭ, которое касается работы с ПД. Нашел там пункт 3.1.1., относящий ПД абитуриентов (значит, и СНИЛС тоже) к конфиденциальной информации, а еще пункт 9.2.2., запрещающий размещать конфиденциальную информацию в интернете. Поржал и написал в «вышку» обращение о несоответствии их Положения с реальным состоянием дел.
Сделал я это не скандала ради, а чисто для порядка. В обращении предложил в документах маскировать СНИЛС звездочками. На идентификацию это никак не повлияет, т.к. каждый абитуриент получает регистрационный номер и может по нему себя найти. Через две недели мне ожидаемо ответили в стиле «не извольте беспокоиться, ФИО мы не публикуем, а СНИЛС указывать нас закон обязывает». Ну ладно, ОК.
Главное «хаха» началось после окончания приемной кампании. Как и полагается, институт опубликовал списки поступивших. Ясное дело, с ФИО. Конечно, без СНИЛСов. И… да, именно, с указанием тех самых регистрационных номеров (см. рис. 2).
Рис. 2
Тут я, конечно, взвился и направил в ВШЭ письмо следующего содержания (привожу с сокращениями):
На сайте НИУ ВШЭ любой желающий может узнать ФИО и СНИЛС абитуриентов:
— на сайте в открытом доступе размещены списки с парами данных «регистрационный № поступающего — ФИО» и «регистрационный № поступающего — СНИЛС»
— соотнести ФИО и СНИЛС на основании этой информации не составляет труда
— таким образом НИУ ВШЭ нарушает не только собственное Положение об обработке персональных данных, но и федеральное законодательство
Чтобы не быть голословным, высылаю список ФИО и СНИЛС абитуриентов, поступавших в магистратуру на специальность «Аналитик деловой разведки» (оценили иронию?). Эти данные получены из размещенных в свободном доступе списков на сайте www.hse.ru списков.
От ВШЭ мне пришел автоответ «ваше сообщение получено». Далее — тишина в течение почти месяца.
Я как-то даже расстроился: вроде не налоговая инспекция, а прогрессивный вуз. Но сегодня свершилось чудо! Я вновь полез на сайт ВШЭ, скачал свежую версию ведомости с поступившими студентами и увидел, что оттуда убрали колонку с регистрационными номерами (рис. 3)!
Рис. 3
Теперь злоумышленники не смогут сопоставить ФИО со СНИЛСами и оформить на будущих магистров кредиты. Ура, товарищи, здравый смысл восторжествовал, о чем и спешу вам сообщить!
P.S. Никакого ответного письма в стиле «спасибо за бдительность, чувствительные данные из открытого доступа убрали» я от ВШЭ пока не получил. Да ладно, я же это не для наград…
UPD: А, нет, все же получил! И какое письмо — в лучших традициях госструктур. Не поленюсь, процитирую.
Начало ожидаемое: 'как вы нас достали'
Я и с первого раза понял, что вузам СНИЛС публиковать полагается. Хотя это и несекьюрно. Но лишний раз меня ткнуть носом стоит. Оборот «повторно сообщаем» прямо музыкой отзывается!
Я и с первого раза понял, что вузам СНИЛС публиковать полагается. Хотя это и несекьюрно. Но лишний раз меня ткнуть носом стоит. Оборот «повторно сообщаем» прямо музыкой отзывается!
Дальше идет (фанфары) скромное признание моих заслуг.
Ну почти...
Честно говоря, слабовато. Ну можно же было дописать: «данные, необходимые для сопоставления, убраны из открытого доступа». Но это ведь означало бы, что институт признал косяк (пусть даже уже ликвидированный). Но этого в госструктурах не бывает.
Честно говоря, слабовато. Ну можно же было дописать: «данные, необходимые для сопоставления, убраны из открытого доступа». Но это ведь означало бы, что институт признал косяк (пусть даже уже ликвидированный). Но этого в госструктурах не бывает.
Берегите персональные данные смолоду, в общем…
P.P.S. Ссылка на один и второй списки. Публикую без опаски, т.к. после внесенных изменений утечка ПД уже не случится.
Комментарии (6)
Tiriet
14.10.2021 16:39+2Я открыл Ваши файлики. И что же я вижу? А вижу я, что у половины студентов есть такой полуникальный параметр, как "БАЛЛ", и по нему, о чудо, все еще можно кое о чем догадаться.... Например, какая-то Саша имеет балл 50 (наивысший), а в другой табличке у неизвестного лица с баллом 50 СНИЛС заканчивается на 330. Совпадение? Не думаю... (С) Киселев.
Markscheider Автор
14.10.2021 16:48+3Эх, если бы эти файлики были мои - я бы данные получше защищал :(
По поводу баллов: раз вы эту уязвимость нашли - значит, теперь ваша очередь по этому поводу обращение в ВШЭ писать :).
dartraiden
15.10.2021 19:22однако у меня возникло сомнение — хорошо ли публиковать СНИЛС в открытом доступе
Это прямо предписано приказом Министерства науки и высшего образования Российской Федерации от 21.08.2020 № 1076 «Об утверждении Порядка приема на обучение по образовательным программам высшего образования — программам бакалавриата, программам специалитета, программам магистратуры».В конкурсном списке указываются следующие сведения:
1) номер страхового свидетельства обязательного пенсионного страхования (при наличии), уникальный код, присвоенный поступающему (при отсутствии указанного свидетельства);
однозначно читается как «если есть СНИЛС, то указываем его, если СНИЛС отсутствует — уникальный код»Markscheider Автор
17.10.2021 12:29Это прямо предписано приказом Министерства науки и высшего образования
Вот и в третий раз мне указали на приказ Минобразования (в первые два раза это сделала ВШЭ). Спасибо.
Вас это, возможно, удивит, но нормативные акты нередко бывают оторванными от жизни, недоработанными и просто идиотскими. Цель всех этих моих боданий с ВШЭ - указать на конкретную дырку в безопасности и возможность утечки ПД.
Факт того, что институт выполняет приказ Минобра, не отменяет необходимости думать на два шага вперед. А еще (давайте помечтаем и представим такую небывальщину) ВШЭ может обратиться в Минобразования и дать свой отзыв на этот приказ. И предложить его изменить, чтобы исключить возможную утечку ПД.
Jalt
А когда это Национальный Исследовательский Университет - Высшая Школа Экономики стал негосударственным?
ВШЭ, конечно, (были) прогрессивные, но при этом вполне государственные, что создает, конечно, кучу бюрократии и ада.
Markscheider Автор
Слазил в Вики. Действительно, с самого момента создания с 1992 г "вышка" - это государственное учебное заведение. Я почему то был уверен, что это не так...