В московской мэрии это отрицают.
На днях сразу несколько TG-каналов, специализирующихся на поиске скомпрометированной информации, сообщили о крупной утечке данных из «Московской электронной школы» (МЭШ). Это единая образовательная платформа в инфраструктуре мэрии Москвы, на ней есть сервисы для школьников, их родителей и для учителей.
По информации одного канала, в доступе оказались 17 млн строк с данными, включая ФИО, телефоны, даты рождения, адреса электронной почты и СНИЛС, пишет «Коммерсант». По информации другого канала, в архиве, данные которого актуальны на август 2021 года, есть 3,3 млн уникальных телефонных номеров.
Специалисты одной компании в области кибербезопасности по просьбе издания ознакомились с базой и сообщили, что нашли в ней персональные данные с привязкой к номеру телефона как минимум четырех сотрудников.
При этом оператор МЭШ, департамент информационных технологий Москвы, заявляет, что опубликованные данные «не имеют отношения к реальным данным пользователям МЭШ», и что данные пользователей платформы защищены.
В сентябре сервера МЭШ подверглись кибератаке. Источник «Коммерсанта» сообщил, что платформа подверглась DDoS-атаке и атаке вирусов шифровальщиков, а в мэрии Москвы перебои списали на технические работы.
Эксперты издания отмечают, что речь, видимо, идет не только об утечке из МЭШ, но и о невыполнении обязанности по обезличиванию персональных данных в соответствии с приказом Роскомнадзора. По закону, оператор МЭШ должен сообщить об утечке ведомству.
Что всё это значит для пользователей, чьи данные были в МЭШ? Если утечка действительно имеет место, данные пользователей оказались в открытом доступе или могут продаваться и покупаться в кругах, где персональные данные используются для мошенничества, рекламы и так далее. Владельцам предположительно утёкших данных следует повысить бдительность, а также включить двухфакторную аутентификацию на всех электронных сервисах, в частности на Госуслугах — там используется СНИЛС, номера которых, возможно, утекли из базы МЭШ.
Самой организации, которая хранила данные, по нынешним законам грозит максимум 100 тысяч рублей штрафа за утечку. И то в случае, если утечка подтвердится.
Сегодня стало известно, что Минцифры наконец-то подготовило законопроект о введении оборотных штрафов за утечку персональных данных пользователей — до 3% от оборота компании. Принятие закона должно заставить организации, собирающие и хранящие данные пользователей, лучше заботиться о сохранности этих данных. Но пока это только подготовленный законопроект.
В этом году утечек персональных данных и кибератак на российские сервисы было действительно много. При этом специалистов по кибербезопасности в стране серьезно не хватает. Разговоры о сборе и хранении биометрических данных граждан в такой ситуации выглядят по-настоящему пугающими.
