персональные данные

В Сеть попали данные клиентов кредитного брокера «Альфа-Кредит», который собирает заявки на кредиты и помогает выбрать и получить заём в банке.

Они содержались в системе управления базами данных MongoDB с открытым кодом, используемой некоторыми компаниями для внутренних задач, пишет РБК.

База содержала более 44 тыс. записей. В каждой были указаны ФИО клиента, сумма и вид запрашиваемого кредита, номер телефона, адрес электронной почты, город и регион проживания. Несколько человек из базы подтвердили РБК, что подавали заявку на заем через «Альфа-Кредит». Источник РБК, близкий к брокеру, подтвердил утечку в компании.

Пресс-служба Альфа-Банка уже разослала информацию о том, что банк не имеет никакого отношения к ООО «Альфа-Кредит», в партнерских отношениях с этой компанией не состоит и никогда не состоял. Утечка данных клиентов "Альфа-Кредита"клиентам Альфа-Банка не угрожает.

Все уполномоченные сотрудники, ведущие оперативно-розыскную деятельность (ОРД), к 2024 году смогут получить доступ к различным типам данных о гражданах в режиме онлайн.

Речь идет о государственных данных, данных банков, операторов мобильной связи и интернет-сервисов, говорится в презентации нового министра связи Максута Шадаева на заседании рабочей группы Госсовета по направлению «Коммуникации, связь, цифровая экономика», пишут «Ведомости».

Как пояснили юристы, данные правоохранители получают как из собственных баз, так и из других, в том числе по решению суда, которое нужно, например, для получения доступа к записям телефонных переговоров, электронной почте, СМС, сообщениям в мессенджерах, для получения банковской информации. При этом воплотить инициативу Шадаева об онлайн-доступе без изменения законодательства и Конституции невозможно.

По словам экспертов, идея упростить получение данных правильная, суды и сейчас редко отказывают правоохранительным органам. Главный вопрос в том, как идея Шадаева будет исполнена, т. е. как будет предоставляться доступ к такой базе и кто его сможет получить. Доступ должен выдаваться, например, по личному идентификатору конкретного сотрудника правоохранительных органов, чтобы в базе можно было посмотреть, кто, когда и зачем к такой информации обращался, считают эксперты.

Часть презентации Шадаев посвятил цифровизации госуслуг и способам идентификации граждан: он считает, что главная цель цифровизации госуслуг – снижение времени, которое должен тратить каждый гражданин в год на общение с органами власти, оно не должно превышать трех часов.

Шадаев рассказал, что к 2024 году в личном кабинете госуслуг граждане получат доступ ко всем данным о себе, которые есть у государства, а также сведения о том, кому они были переданы. Отдельно Шадаев говорил о замене обычных паспортов на цифровой ID и использование биометрии.

Сегодня международный день защиты персональных данных. Роскомнадзор проводит публичный семинар для операторов персональных данных по итогам контрольно-надзорной деятельности ведомства за 2019 год.

Прямой эфир найдете по ссылке.

В зале присутствует Максим Лагутин, основатель и эксперт по защите персональных данных в Б-152. Вот некоторая информация о проверках на соблюдение privacy.

Плановых проверок стало меньше, а нарушений по обработке персональных данных больше.

Штрафы выросли на 38% по сравнению 2018 годом.

Количество жалоб от физических лиц выросло на 22,4% до 50 тыс. Люди стали больше стараться пользоваться своими правами, охраняющими персональные данные.

Вот на что люди жалуются в Роскомнадзор чаще всего: размещение списков должников в подъездах, отправка платежек без конвертов, перевод пенсионных накоплений в НПФ с использованием персданных, передача персональных данных от банков коллекторам, отсутствие политики конфиденциальности в соцсетях и сайтах и т.д.

Приводятся также примеры нарушений по статьям КоАП РФ.

В метро, в кафе и на автобусных остановках можно бесплатно зарядить свой телефон. Оказывается, это опасно.

Через USB-входы злоумышленники могут получить доступ к данным, хранящимся в телефоне, загрузить вредоносное ПО, предупреждают опрошенные РИА Новости эксперты.

В Москве на сегодняшний день зарядить гаджеты можно в аэропортах и на вокзалах, в поездах метро и МЦД, автобусах, на остановках общественного транспорта. Стойки для зарядки с разъемами для разных гаджетов также расположены в МФЦ, торгово-развлекательных центрах. Как отметил замруководителя Лаборатории по компьютерной криминалистике компании Group-IB Сергей Никитин, в стандартных USB-кабелях находится четыре провода: два для передачи данных, один для подачи тока («фаза», обычно пять вольт) и еще один – «ноль».

«Фактически для того, чтобы заряжать любой гаджет от USB, достаточно двух проводков – «ноль» и пять вольт, а провода данных не должны даже использоваться. Проблема в том, что возможно злонамеренное воздействие, когда либо в кабель для зарядки встраивается специальное устройство, либо в само зарядное устройство могут добавить маленький компьютер. И когда вы подключаете ваш гаджет для зарядки, вы его подключаете к какому-то другому устройству», — предупредил он.

Злоумышленники могут получить, таким образом, доступ к вашему устройству. Тот маленький компьютер, который там стоит, заражает ваше устройство, передает на него зловредный код, исполняет его, и после этого злоумышленник имеет доступ к телефону. К примеру, злоумышленники могут скачать все фотографии с телефона с целью шантажа его владельца. Эксперты советуют пользователям по возможности избегать общественных станций для зарядки устройств.

«В современных телефонах стала появляться защитная функция, блокирующая передачу данных при подключении к новому устройству до подтверждения пользователем, однако она не сможет защитить от всех уязвимостей. Поэтому рекомендую не подключаться к неизвестным устройствам даже для зарядки телефона или использовать специальную защиту, например переходник, в котором есть контакты для зарядки, но отсутствуют контакты, отвечающие за передачу данных», – сказал Старостин из компании «Инфосистемы Джет».

Если вы планируете поездку, лучше заранее приобрести портативный блок питания или USB-кабели, в которых провода передачи данных были удалены, чтобы кабель мог только заряжать устройство. Если же ничего вышеперечисленного у вас нет, а зарядить телефон нужно, внимательно смотрите на уведомления: выбирайте опцию «только зарядка», чтобы он не передавал никаких данных.

Есть некоторые пауэрбанки, которые не передают данные через себя. Так можно поставить пауэрбанк на зарядку, а заряжать гаджет от него, — это будут два разных порта.

Если телефон современный, можно пользоваться беспроводной зарядкой. Просто подключаете к USB беспроводную зарядку, а через нее заряжаете телефон. Никакие данные при этом не передаются.

В стране существуют 73 сервиса, которые занимаются вербовкой инсайдеров в российских банках. Такой информацией поделился исследователь даркнета (скрытой сети, часто использующейся для незаконной деятельности) Антон Ставер.

«Большое количество групп, предоставляющих такие услуги, обусловлено тем объемом работы, которая на них сваливается», — объяснил «Известиям» Ставер.

По словам исследователя, сервисы, вербующие сотрудников банков, получают в день до 50 заказов, чего хватает для существования целой индустрии. Заказчиками данных обычно выступают конкуренты банков, ревнивые супруги клиентов, а также хакеры и мошенники. При этом вербовкой, по информации Ставера, чаще всего «занимаются специализированные структуры».

Специалист отметил, что вербовщики получают от заказчиков около 15 тысяч рублей за одного сотрудника банка. Время выполнения заказа колеблется от 5 до 7 суток, после чего заказчик получает сведения в одном из мессенджеров. С данными исследования согласен Павел Крылов, который руководит компанией, специализирующейся на расследовании киберпреступлений.

«Мошеннические схемы с использованием персональных данных сейчас успешны и эффективны, поэтому злоумышленники активно ищут инсайдеров в банках», – считает специалист.

Он также отметил, что схемы с вербовкой ради монетизации используют различные преступные группировки, пользующиеся возможностями по краже и выводу денег.

В соответствии с абзацем вторым пункта 3 статьи 361.1 НК, в случае, если документы, подтверждающие право налогоплательщика на налоговую льготу, в налоговом органе отсутствуют, в том числе не представлены налогоплательщиком самостоятельно, налоговый орган по информации, указанной в заявлении налогоплательщика о предоставлении налоговой льготы, запрашивает эти сведения у органов и иных лиц, у которых имеются эти сведения.

А как это коррелирует с законом о защите персональных данных?

Все нормально, ответила ФНС в письме № БС-4-21/21672@ от 22.10.2019.

Отсутствие у налогового органа согласия налогоплательщика на обработку его персональных данных не может рассматриваться основанием для ненаправления налоговым органом запроса, предусмотренного абзацем вторым пункта 3 статьи 361.1 НК с целью подтверждения права налогоплательщика на налоговую льготу.

Сбербанк объявил, что утечку информации о картах клиентов допустил сотрудник компании.

Его имя не называют, известно, что это руководитель сектора в одном из бизнес-подразделений, ему 28 лет, он выпускник престижного ВУЗа. Предатель, как выразился Герман Греф, имел доступ к базам данных в силу выполнения служебных обязанностей и был уверен, что его не поймают. Сотрудник банка преследовал корыстный интерес, хотел продать базу за деньги, объяснив свое желание вынужденными обстоятельствами. Служба безопасности проверяет эту информацию, хотя по словам главы Сбербанка, такой поступок ничего не сможет оправдать.

Доказательства совершенного преступления были собраны и задокументированы, сотрудник дал признательные показания. Ему светит уголовная ответственность.

Напомним, что об утечке информации стало известно 2 октября. Тогда СМИ предполагали, что на теневом рынке могут продавать данные 60 млн карт клиентов. По официальной информации в сеть утекли данные лишь 200 клиентов, которые держали кредитные карты. Им уже выпустили новые карты, за счетами установили дополнительный контроль и говорят, что средствам ничего не угрожает.

Информация об утечке в интернет персональных данных 20 млн российских налогоплательщиков не соответствует действительности, сообщил Forbes официальный представитель ФНС России.

О том, что персональные данные 20 млн российских налогоплательщиков около года находились в открытом доступе, ранее заявили специалисты британской исследовательской компании Comparitech.

В ФНС считают, что публикация «является провокацией». По словам представителя службы, «проверить подлинность якобы утекших данных и существование ресурса, указанного в статье, невозможно в связи с отсутствием на него ссылки».

Налоговики также настаивают на том, что формат и структура данных, описанных в статье, не соответствуют форматам хранения данных, применяемых в ведомстве. Часть приведенных данных вообще не собирается и не хранится в информационных ресурсах Налоговой службы, уточнил ее представитель.

ФНС направила официальное письмо об инциденте в Организацию экономического сотрудничества и развития (ОЭСР).

Как утверждала Comparitech, попавшая в интернет база содержала имена, адреса, телефоны, ИНН и сумму уплаченных налогов 20 млн россиян. Информация была разделена на две группы: в одной находились персональные и налоговые данные 14 млн человек с 2010 по 2016 год, а в другой – 6 млн человек с 2009 по 2015 год. 

Около 20 млн записей с данными российских налогоплательщиков находились в открытом доступе в Сети с мая 2018 года, пишет Banki.ru. Обнаружил и сообщил об утечке информации портал Comparitech, специализирующийся на информационной безопасности, совместно с независимым исследователем Бобом Дьяченко.

Две базы, в которых находились около 20 млн записей с налоговыми и персональными данными россиян за 2009—2016 годы, были размещены в открытом доступе в облаке Amazon Web Services Elasticsearch. В них содержались полное имя человека, адрес, статус резидента, номер паспорта и телефона, ИНН, сумма уплаченных налогов, а также имя и телефон работодателя. По информации Comparitech, в основном это были данные жителей Москвы и Подмосковья.

Базы данных появились в сети не позднее мая 2018 года. Боб Дьяченко обнаружил их 17 сентября 2019-го и предпринял попытку связаться с владельцем. На связь тот не вышел, однако 20 сентября доступ к информации был закрыт. Как уточняет Comparitech, владелец баз данных находится на территории Украины. Откуда могла произойти утечка данных россиян, портал не сообщает.

«Источник утечки налоговых данных определить сложно, иногда подобные инциденты случаются по вине подрядчиков или субподрядчиков», — комментирует технический директор Qrator Labs Артем Гавриченков. По его словам, не доверять экспертам в целом оснований нет. «Боб Дьяченко зарекомендовал себя опытным специалистом в области безопасности, он выявлял крупные утечки информации по всему миру уже неоднократно», — добавил Гавриченков.

3063 РСВ

На сайте ФНС в сервисах «Личный кабинет юридического лица» и «Личный кабинет индивидуального предпринимателя» для обеспечения правильного заполнения РСВ для работодателей появилась возможность проверки персональных данных сотрудников с помощью специальной программы.

На главной странице личного кабинета следует перейти в раздел «Сервисы» и выбрать вкладку «Проверить данные ФЛ для заполнения расчета по страховым взносам».

Направить запрос на проверку ИНН, ФИО, СНИЛС работающих лиц в электронной форме можно двумя способами: вручную или в формате xml.

Для направления запроса вручную необходимо заполнить СНИЛС, ФИО сотрудника и дату его рождения. В случае заполнения вкладки ИНН, паспортные данные могут не вноситься. Каждый запрос формируется не более чем на 200 человек. Чтобы направить запрос в формате xml, нужно выгрузить сведения о сотрудниках из учетной (бухгалтерской) программы, нажать в сервисе кнопку «Обзор» и загрузить файл xml. В таком случае запрос может быть сформирован на любое количество сотрудников. Сформированный запрос подписывается электронной подписью.

Сведения об отправке и состоянии запроса отразятся в разделе «Информация о прохождении документов, направленных в налоговый орган».

Ответ на запрос будет содержать сообщение: верные сведения на сотрудников или нет. Если данные не верны, а работодатель уверен в их достоверности, он может письменно сообщить в налоговую инспекцию об установленной ошибке.

В интернете оказались персональные данные 703 тыс. сотрудников «Российских железных дорог». При этом злоумышленники добавили к публикации примечание: «Спасибо ОАО «РЖД» за предоставленную информацию путем бережного обращения с персональными данными своих сотрудников».

Данные работников РЖД были опубликованы на сайте «Инфач» под заголовком «Рабы РЖД». Позднее администратор сайта закрыл к нему доступ — при попытке зайти на сайт выдается ошибка 403, «доступ запрещен». Домен infach.me был зарегистрирован в феврале 2018 года, он позволял пользователям анонимно публиковать персональные данные других людей. Среди данных сотрудников РЖД, опубликованных на сайте, были их имена, номера телефонов, должности, фотографии в форме и снимки СНИЛС.

Об утечке сообщил основатель и технический директор компании DeviceLock Ашот Оганесян, пишет РБК. Он полагает, что украдена была база данных службы безопасности., поскольку судя по формату фотографий, это снимки на пропуска.

Еще в прошлом году РЖД объявили о запуске интернет-портала для сотрудников под названием my.rzd.ru, к которому планировалось подключить всех работников компании. В личном кабинете они могли заказывать справки, оформлять билеты на поезд, редактировать данные о себе. Судя по отзывам пользователей, в последнее время у них были проблемы с доступом к порталу (вход по номеру СНИЛС и паролю), что они связывали с его взломом. В РЖД не ответили на запрос РБК об утечке данных с этого портала

После появления информации об утечке персональных данных РЖД объявили о начале проверки.

Данные банковских клиентов-физлиц на черном рынке многократно выросли в цене за последние полгода, отмечают компании, специализирующиеся на информационной безопасности.

В частности, в начале года выписку по счету клиента за месяц можно было бы купить за 2 тыс. руб., сейчас стоимость доходит до 15 тыс. руб., пишет «Коммерсантъ», ознакомившийся с данными DeviceLock. Кроме того, в компании отмечают и появление новых «услуг», в частности предложения по продаже адресов банкоматов, которыми пользовался клиент банка в течение месяца. Эта информация может использоваться мошенниками при звонке клиенту для повышения достоверности.

Рост цен на услуги по «пробиву» данных клиентов банков объясняется несколькими причинами, говорят аналитики. Основная причина — смена типа атак на граждан. Если раньше чаще использовались технические методы (внедрение троянов, фишинговые сайты, скимминг и т. п.), то сейчас более 90% хищений осуществляется с помощью методов социальной инженерии, где успех очень сильно зависит от наличия у мошенников персональных данных клиентов.

ЦБ официальную статистику по хищениям средств физлиц по итогам полугодия не раскрывает. В то же время статистика правоохранительных органов в региональном разрезе показывает рост в разы количества успешных краж с банковских счетов. Например, в Курганской области число преступлений выросло вдвое (до 372 хищений за первое полугодие 2019 года), в Смоленской области — в пять раз (289 преступлений против 60) и т. д.

В Банке России сообщили «Ъ», что стоимость подобных нелегальных услуг зависит от уровня риска их оказывающего. «Если стоимость выросла, это говорит о том, что методы противодействия утечкам в банках существенно осложнили «бизнес» злоумышленникам«,— уверены в ЦБ.

Впрочем, торговцы данными могут и не иметь прямого отношения к банковской сфере. В ВТБ сообщили «Ъ», что большинство утечек идут из коммерческих организаций, оказывающих клиентам банка те или иные услуги, когда граждане оставляют свои ФИО, номер телефона и номер банковской карты.

Согласно поправкам к закону «О персональных данных» в России планируют разрешить использовать информацию о гражданах без их согласия.

Документ, с которым ознакомились «Известия», уже получил положительный отзыв кабмина.

В поправках говорится, что обладатель данных будет обязан обезличить их так, чтобы раскрыть человека не помогла никакая дополнительная информация.

Под информацией, которую можно обезличить, подразумеваются данные о местоположении человека, его пол, возраст, а также средний счет за сотовую связь.

Получить согласие десятков миллионов клиентов, абонентов и пользователей интернет-ресурсов просто невозможно, а обезличенные данные не ущемляют их прав и приносят пользу обществу и экономике, отмечают эксперты.

Нововведения станут драйвером развития рынка больших данных (Big Data) в России.

Массивы обезличенных данных о миллионах пользователей уже сейчас используют некоторые компании и госструктуры, но применение этой информации пока находится в «серой» зоне, не подпадающей под правовое регулирование.

435 ozon

Роскомнадзор заявил, что потребует от онлайн-магазина Ozon разъяснений из-за утечки адресов электронной почты и паролей своих пользователей. 

«Роскомнадзор выражает обеспокоенность действиями компании в ситуации, когда адреса электронных почт и пароли более 450 тыс. аккаунтов пользователей оказались в открытом доступе», — говорится в сообщении службы, поступившем в РБК.

В Роскомнадзоре добавили, что компания своевременно не предупредила об утечке, что ставит под угрозу безопасность всех пользователей Ozon. В Роскомнадзоре отметили, что доступ к аккаунту клиента позволяет несанкционировано получать дополнительную информацию о пользователе, а также совершать от его имени различные действия. В связи с этим служба направит интернет-магазину письмо для получения разъяснений.

Ранее РБК выяснил, что на днях на одном из сайтов выложили базу с адресами электронной почты и паролями более 450 тыс. пользователей Ozon.  В Ozon заявили, что уже видели эту базу с данными пользователей. Сразу после обнаружения файла компания сбросила пароли у тех учетных записей, которые принадлежали пользователям интернет-магазина. Утечка могла произойти из-за того, что пользователи использовали одинаковые пароли для разных сервисов или из-за вируса, атаковавшего их компьютеры, считают в Ozon.

Верховный суд  в постановлении от 26.04.2019 № 9-АД19-10 признал незаконным административный штраф главному бухгалтеру, отказавшемуся предоставить в  налоговую инспекцию документы, затребованные в отношении одного из работников организации.

ИФНС в рамках встречной проверки запросила сведения в соответствии с п.1 ст. 93.1 НК РФ. Причем проверка проводилась в отношении фирмы, с которой у компании, получившей требование, не было никаких отношений. 

По требованию организация должна была предоставить кадровые документы на конкретного работника, в частности: заявления о приеме и увольнении; трудовой договор; приказы и личную карточку. Главный бухгалтер отказалась их предоставить, мотивируя тем, что это внутренние документы организации. Кроме того, разглашение таких сведений являлось бы нарушением персональных данных.

За отказ в представлении документов главбуху был выписан штраф по части 1 статьи 15.6 КоАП в размере 300 рублей. Однако она его оспорила в суде.

Суды трех инстанций встали на сторону налоговиков. Однако Верховный суд их решения отменил, сославшись на то, что налогоплательщики имеют право не выполнять неправомерные акты и требования налоговых органов (пп.11 п.1 ст. 21 НК). Ведь доказательств взаимоотношений между двумя организациями так и не было приведено.

Кроме того, запрошенные налоговой документы никак не могут быть признаны документами, которые общество (соответствующее должностное лицо общества) обязано было представить налоговому органу в целях осуществления налогового контроля в отношении проверяемого им налогоплательщика.