Неделю назад неизвестный выложил в открытый доступ на форуме phreaker.pro базу данных сотрудников Сбербанка. Утечка представляет собой электронную таблицу размером около 48 мегабайт, в котором содержится 421 643 записей (файл login.csv.zip размером 8,6 МБ найти несложно, хотя его уже удалили с форума). Аутентичность базы частично проверена: она содержит реальные ФИО сотрудников и их логины во внутренней системе, которые совпадают с адресами электронной почты. По базе можно определить, в каком подразделении числится каждый из них.
Хотя на подпольных форумах каждый день выкладывают аналогичные базы, на этот раз информация попала в СМИ, и Роскомнадзору пришлось реагировать. В пресс-службе регулятора сообщили, что «Роскомнадзор направил в Сбербанк соответствующий запрос» в связи с утечкой базы.
После утечки в пресс-службе Сбербанка сообщили, что им «известно о публикации части адресной книги сотрудников». Опубликованная информация «не представляет никакой угрозы автоматизированным системам и клиентам», заверили в банке. Она доступна всем сотрудникам Сбербанка и «не несёт угрозы раскрытия их персональных данных».
Поверхностная проверка подлинности подтвердила аутентичность базы. В частности, там указаны три правильных адреса электронной почты президента банка Германа Грефа. Подлинность базы подтвердил один из сотрудников Сбербанка и представитель сторонней организации, связанной с информационной безопасностью банка.
О проблеме доложили Герману Грефу, который выразил своё недовольство, сказал источник «Ъ» в банке.
Согласно 152-ФЗ, под определение персональных данных попадает любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу. В данном случае это ФИО+место работы.
Комментарии (39)
Sabubu
31.10.2018 14:45+1Думаю, результат будет как с Бургер Кингом, допустившим утечку видеозаписей с данными клиентов в иностранную компанию: РКН напишет письмо, ему напишут ответ — работа сделана, зарплата из наших налогов получена не зря.
rogoz
31.10.2018 14:53+1У меня после чтения заголовка первая мысль: забанят «phreaker.pro» или хабр. )
dartraiden
31.10.2018 20:56На phreaker.pro уже испугались и подтёрли. А на то, что там огромная тема, где выкладывают всякие базы — на это Роскомнадзору плевать.
Merkat0r
31.10.2018 15:00>доложили Герману Грефу
Это, не он ли сказал, что от программистов и админов избавляться надо?
Ну вот пусть страдает, не доволен он блЭт
buzzroll
31.10.2018 19:42Утечка яйца ломаного не стоит, там голые ФИО и доменные юзернеймы, даже почты нет.
AstorS1
31.10.2018 20:48Из адресной книги компани в MS Outlook возможна отгрузка контактной информации из AD любым пользователем. Предположу, что в данном случае так и получилось.
Остался вопрос: зачем удалили телефоны, должности, адреса электронной почты и местоположния?
tvr
А, неважно, клиенты Сбера оплатят любой его косяк.
ZaEzzz
Кроме этого связка ФИО+мыло+место работы в отношении сбербанка — это не перс данные.
Но если будет вопрос к вам, то и один IP адрес станет полноценными персданными.
dartraiden
Персональные данные — это то, что таковыми выгодно Роскомнадзору считать в настоящий момент.
pvp
Уже одно только ФИО — персональные данные.
tvr
Даже без дополнительной привязки к конкретному Иванову Ивану Ивановичу?
Protos
Да
tvr
Т.е. я, вот прямо сейчас, на весь интернет, дважды разгласил ПД неопределённого количества Ивановых Иванов Ивановичей?
Упс. Я не нарочно, честно, я больше так не буду.
POS_troi
Не знаю как в Российских законах, но у нас (да и везде), персональные данные это данные которые позволяют однозначно индентифицировать конкретную личность.
Просто ФИО не является персданными, ФИО и email так-же не является таковыми, ФИО + паспорта (соц.страхования, военного билита) или эти номера сами по себе — это уже пер данные, так как номер любого из этих документов позволяет идентифицировать человека.
pvp
Закон о ПД учит нас, что…
«Статья 22. Уведомление об обработке персональных данных
…
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
…
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;»
Protos
Это не отменяет того что это ПДн
krylov_sn
это формулировка в ФЗ. В одном из подзаконных актов было уточнение о том, что просто ФИО без иной информации не является ПДн. К сожалению, сейчас не назову где именно это было написано
pvp
Если подзаконный акт противоречит закону, применяется закон. И скорее всего, это был вообще не акт, а «разъяснения» РКН, которые весьма часто состоят из полнейшей ахинеи.
krylov_sn
Ахинея или нет, но такова действительность, с которой приходится иметь дело. В нашей практике дела обстоят именно так
pvp
Гггггг, а не боитесь, что РКН в один прекрасный день забудут про свои «разъяснения» и начнут руководствоваться текстом закона?
krylov_sn
Возможно все. Но в тексте ФЗ, приказах других ведомств речь все-таки идет о ФИО и иных данных в этой же базе. Здесь же речь только о ФИО.
pvp
Выше приведена цитата из закона, в которой «только ФИО» отнесено к персданным прямым текстом. Никаких «иных данных» там не упоминается.
krylov_sn
Приведенная статья про уведомление об обработке ПДн. Надо смотреть в более ранних статьях, в которых расписано определение ПДн.
pvp
То есть, вы считаете, что для целей подачи уведомления ФИО могут быть ПД, а для всех остальных целей — не быть? А как это?
Protos
В законе РФ это любые данные
krylov_sn
Как нам разъясняли при проверке перс. данными считается сочетание ФИО + дата рождения, просто ФИО перс. данными не являются, так как не позволяют однозначно идентифицировать человека.
POS_troi
То-же сомнительно, пупкиных родившихся 1 января 1901г может быть 100500, но это уже хоть какая-то конкретика.
krylov_sn
Речь идет о региональной базе
ZaEzzz
А это тут при чем?
krylov_sn
Это означает что косвенно присутствует еще один критерий — регион проживания.
coolmiha
Нет. «Иванов Степан Михайлович» — про кого это?
saipr
Вот это да! Теперь при встрече нельзя произносить вслух:
Я разглашаю персональные данные. А то что эти данные Гомо Сапиенс специально ввел для общения — это как?
А дальше больше — адреса называть нельзя!
Вдумайтесь — персональные данные. Речь о персоне, ее идентификации. А вот ее счета и т.д. — да, защищайте!!!
dartraiden
Скоро дойдёт, что и внешность человека — персональные данные.
Вот вы идёте по улице и собираете персональные данные, глядя на лица прохожих. И своими персональными данными светите во все стороны. Паранджу надевать?