Коллега по работе сегодня столкнулась с интересной ситуацией вокруг персональных данных. На ее почту и в личный кабинет РЖД стали сыпаться билеты, купленные другими людьми. Естественно, со всеми данными пассажиров и прочими вещами. Далее — с ее слов.
Сегодня утром около 9 часов по Мск мне начали приходить на почту и в личный кабинет РЖД чужие билеты (сейчас уже не приходят) с адреса tickets@rzd.ru. Для каждого я вижу электронную версию — она отображается в моем кабинете так, будто я его купила сама.
Часть информации скрыта за звездочками, но часть доступна. Какую информацию я вижу из электронного билета:
- Номер электронного билета и номер заказа
- Станции отправления и прибытия
- Дата и время отправления/прибытия
- Поезд, вагон, место
- Штрих-код для терминала
- Штрих-код для посадки
- ФИО пассажира, дата рождения, гражданство
- Документ (только последние цифры)
- Тип вагона и класс обслуживания
- Стоимость билета, страховки, сервисный сбор
На почте есть даже чеки с покупок, а все билеты доступны для скачивания. Судя по всему, я даже могу оформить возврат. Но проверять, конечно, не стала, потому что не хочу никому испортить поездку.
Чуть позже начали звонить случайные люди на мой личный номер, который указан в кабинете РЖД и говорить, что когда вводят логин-пароль от своего аккаунта, то попадают в мой. То есть по факту могут распоряжаться всеми билетами и видеть уже мои данные. Сколько еще таких случаев есть — можно только догадываться.
Все билеты доступны и на сайте, и в мобильном приложении. Но не в РЖД Бонус — это отдельная штука, привязанная к имени + номеру документа. Специально проверила, туда точно ничего не пришло.
Письма прекратились примерно тогда же, когда я начала активно звонить в РЖД и написала письмо на адрес, который они дали. То есть примерно с 9:00 до 10:30 мне пришло большинство и один долетел в обед. Итого 44 письма.
И это только часть
РЖД по номерам обратной связи предлагает оставить официальное обращение, которое будет рассматриваться до 30 дней или написать на электронную почту технической поддержки (позвонить им нельзя).
Официальный ответ на почте:
Ваше обращение №548445 передано на рассмотрение в соответствующее подразделение ОАО «РЖД». Обращения рассматриваются в течение 30 календарных дней с момента регистрации их в ответственном подразделении РЖД. Ответ будет направлен на указанный Вами адрес электронной почты.
Приносим извинения за доставленные неудобства.
Итого. Ни по телефону, ни по почте коллеге помочь не смогли. Остается только ждать 30 дней и рассказать эту ситуацию здесь. Может уже кто-то с подобным сталкивался? Я о таких прецедентах слышу впервые.
saipr
В РЖД на стыке двух столетий был другой курьезный случай, тоже из области информационной безопасности. Пришел новый начальник одного из подразделений и решил проверий настройки межсетевого экрана и не нашел там блокирование по ключевому слову "АНАЛ" и потребовал внести это правило. Каково же было его изумление, когда его стали доставать вопросами, куда пропали все АНАЛитические сайты. На этом его карьера в РЖД закончилась.
Может к этой утечки тоже причастен такой же специалист.
RSalo
Повысили?
saipr
Как ни странно — Уволили на следующий день!
yarkov
Задним числом! Фьють, ха!
Chamie
А вот фильтр по game у них так и остался, в итоге, когда АМД положило драйверы для видеокарт на game.amd.com, их было не скачать.
khim
Странно. В GMail, когда он был совсем молодым, было запрещено использовать слово shit в имени аккаунта.
После долгих жалоб со стороны японцев ограничение убрали, но вроде никто уволен не был…
saipr
Запрет в GMail я думаю никак не сказывался на финансовых потоках японцев. Запрет доступа к аналитической информации впрямую влияет на финансовые потоки. Поэтому из GMail и не увольняли и в итоге пошли навстречу японцам.
Chamie
Не давать зарегистрировать — это одно, а внезапно заблокировать уже работающее — это другое.
khim
И такое тоже было. В том же GMail. Когда зарегистрировать почту на адрес -@domainname давали, а войти — не давали.
P.S. И да — имя пользователя из одного минуса валидно по всем RFC.
OKN
Возможно ему помог бы анал с пробелами в начале и конце слова. При необходимости можно было просклонять это слово с теми-же пробелами. Хотя не понимаю как это мешало работе ))
saipr
Очень просто — доступ к страницам, где был этот корень был запрещен! Точно также как сейчас ограничивается доступ к порносайтам.
Пробелы в знаниях еще никому не помогали!
degs
Даже странно что до сих пор никто Фрейда не вспомнил
saipr
Короновирус!