С января по июнь 2022 года крупные российские компании регулярно попадали в заголовки новостей из-за утечек конфиденциальных данных своих клиентов. Персональная информация о миллионах россиян оказалась в свободном доступе.
1 марта 2022 года все новостные агентства написали о взломе базы данных «Яндекс.Еды». Из-за этого имена, номера телефонов, адреса, заказанные продукты и даты оформления заказов у 6,88 млн. ничего не подозревающих пользователей стали доступными всем любопытным. Это один из самых крупных прецедентов в России.
Слитая в сеть база данных состоит из 49 441 507 строчек с заказами. В нее попали пользователи, которые заказывали услуги курьеров «Яндекс.Еды» с 19.06.2021 по 04.02.2022. Из-за хакеров в открытой базе оказались 6,88 млн. россиян и жителей Казахстана и 206,7 тыс. белорусов. Любопытные также могли прочитать комментарии к заказам.
Следственный комитет немедленно отреагировал на проблему и завел уголовное дело по статьям «Нарушение неприкосновенности приватной жизни», «Несанкционированный доступ к цифровой информации» и «Создание, использование и распространение опасных компьютерных программ».
Представители Яндекса заявили, что приняли немедленные жесткие меры по ограничению доступа сотрудников к персональным данным клиентов. В компании полагают, что информацию выложил в интернет непорядочный работник.
Принятые Яндексом меры предосторожности не помогли предотвратить новую утечку приватной информации об учениках Яндекс.Практикума. В сети оказались фамилии и имена слушателей курсов, почти 300 тыс. их email-ов, 264,4 тыс. телефонных номеров и номера учетных записей «Яндекс ID».
Авторы телеграм-каналов, посвященных хакерским атакам и сливам, данные учеников «Практикума» украл и выложил тот же самый «работник компании», который взломал базу данных «Яндекс.Еды». Как выяснилось, он же оказался виновным в утечках школы «GeekBrains», «Школы управления СКОЛКОВО», курьерского агентства «Delivery Club» и прочих.
Так, у «Delivery Club» дважды украли и слили по 1,1 млн. строк базы данных. Это произошло в мае-июне 2022 года. В свободном доступе оказались ФИО клиентов, их адреса, перечни заказанных продуктов.
В «Delivery Club» сразу начали внутреннее расследование и заявили, что глубоко проанализируют системы безопасности.
25 февраля 2022 года выяснилось, что от рук хакеров (или собственных работников?) пострадала компания СДЭК. Такая информация была выложена на форуме raidforums.com. В комментариях выразили мнение о том, что в интернет слили не всю базу — например, не смогли украсть адреса доставок. Но по факту на одном из форумов любой желающий мог скачать тридцатигигабайтный архив с 500 тыс. номеров клиентов и 800 млн. почтовых адресов с ФИО владельцев.
В первых числах мая хакеры слили в Даркнет клиентскую базу клиники «Гемотест». Данные не выложили в свободный доступ, а предлагали купить. База состояла из 31 млн. строк. Еще в одном подобном объявлении предлагали купить 554 млн. строк информации о клиентах. Представители «Гемотеста» сообщили, что базу действительно взломали, но не сказали, о каких масштабах утечки шла речь. Кроме имен и телефонов пользователей в ней содержатся результаты лабораторных анализов.
Роскомнадзор сообщил об этом в прокуратуру, чтобы обстоятельства утечки тщательно проверили.
По мнению юристов, пострадавшие могут требовать компенсации. Однако следует понимать, что дело будет рассмотрено нескоро, и получить крупную сумму в качестве компенсации морального ущерба едва ли получится из-за особенностей российского законодательства.
Согласно КоАП РФ, юрлицо обязано оплатить штраф в размере ~100 тыс. рублей, если допустит утечку приватной информации о клиентах. Например, Мировой суд Москвы постановил оштрафовать «Яндекс.Еду» на 60 тыс. рублей. В Государственной думе отметили, что сумма штрафа смехотворна и не соответствует реальному ущербу.
В соседнем Китае о сохранности персональных данных заботятся гораздо тщательнее. Например, китайский киберрегулятор заставил таксопарк оплатить штраф в размере 1,2 млрд. долларов за то, что компания не удаляла сведения о лицах, связях и фотографиях клиентов (в КНР это противоречит закону о защите личных данных). Топ-менеджер службы такси Didi Чен Вэй и ее глава Джин Лю вынуждены были заплатить по 148 тыс. долларов. Остается надеяться, что и в России утечки личных данных будут караться в разы строже. Ответственность за такие инциденты лежит, в том числе, на высокооплачиваемых топ-менеджерах, которые закупают программы и оборудование для защиты информации.
В Министерстве цифрового развития держат ситуацию в фокусе и готовят законопроект об увеличении штрафов.
Когда новый закон примут, оборотный штраф для компании будет равен 1% годовой прибыли. Штраф утроится при попытках скрыть утечку.
Эти меры во многом напоминают европейские законы о защите приватных данных. В ЕС юридические лица тоже платят оборотные штрафы, если сведения об их клиентах кто-то украдет и обнародует.
По мнению российских юристов и экспертов, увеличение штрафов — правильная мера. Однако в стране пока нет проработанных НПА, связанных с утечками личных данных. Также предстоит выяснить, кто и как будет подтверждать факты утечек.