В Сеть попали 100 тыс. записей с данными переболевших коронавирусом москвичей. Власти города связали утечку с действиями отдельных сотрудников, а эксперты по ИТ-безопасности — с уровнем компетенции ответственных за хранение данных
Утечка персональных данных почти 100 тыс. жителей Москвы, переболевших коронавирусной инфекцией, произошла не в результате взлома, а из-за человеческого фактора. Об этом заявил руководитель департамента информационных технологий (ДИТ) правительства Москвы Эдуард Лысенко, передает оперативный штаб по борьбе с COVID-19.
По словам Лысенко, в ходе проверки установлено, что несанкционированного доступа или каких-либо взломов информационной системы московского правительства не было. «Утечка произошла вследствие человеческого фактора: сотрудники, которые занимались обработкой служебных документов, допустили передачу этих файлов третьим лицам. Проверка продолжается, по ее результатам будут приняты меры», — объяснил он.
Какие персональные данные попали в открытый доступ и чем это грозит их владельцам, разбирался РБК.
Какие персональные данные попали в публичный доступ
Архив был выложен в открытый доступ в ночь на 9 декабря 2020 года, и примерно в то же время ссылки на него появились в ряде Telegram-каналов, рассказал РБК основатель сервиса разведки утечек данных DLBI Ашот Оганесян. По его словам, в Сеть попали более 350 файлов общим размером около 940 Мб, самый свежий из них датируется 12 июня этого года. Это более 100 тыс. строк, содержащих Ф.И.О., даты рождения, адреса проживания, телефоны и номера паспортов. Кроме того, в базе есть файлы со ссылками на закрытые Telegram-чаты медицинских учреждений.
Корреспондент РБК ознакомился с содержанием базы. Из названий файлов следует, что они содержат информацию о москвичах, поступивших в городские больницы с подозрением на COVID-19, горожанах, отправленных на самоизоляцию, нарушителях карантина. Также в файлах содержится информация о заболевших, у которых не было мобильных телефонов, а также причины, по которым врачи не смогли попасть домой к тому или иному человеку с подозрением на заражение коронавирусом (среди самых распространенных объяснений — «региональный адрес» и «отказ от фотофиксации»). Три человека, чьи персональные данные, включая мобильный номер, содержались в файлах, подтвердили РБК, что переболели коронавирусом.
С 30 марта в Москве был введен режим самоизоляции в связи с эпидемией коронавируса, в рамках которого жителям города разрешили покидать дома лишь для того, чтобы сходить в ближайший магазин или аптеку, а также погулять с собакой. Для остальных случаев нужно было получить цифровой пропуск на сайте мэрии Москвы или потрале госуслуг; для его оформления необходимо было указывать фамилию и имя, паспортные данные, адрес и цель выхода на улицу. Эти персональные данные, собранные ДИТ Москвы, к началу августа все еще не были удалены, сообщал «Интерфакс» со ссылкой на представителя ДИТ. Ведомство объяснило их хранение тем, что пока не были завершены процедуры обжалования выписанных штрафов за нарушение режима самоизоляции.
Михаил Котляр, Анастасия Скрынникова, Владислав Скобелев
