В МГТС масштабная утечка персональных данных

Источник: cnews
Александр Левашов, Михаил Демидов

Оператор "Московская городская телефонная сеть" (МГТС) допустил утечку данных с собственного сайта. Специалисты по информационной безопасности заметили, что в результатах поисковых запросов на сайте МГТС (mgts.ru) по некоторым фамилиям находится большое число резюме соискателей, а также информация о сотрудниках компании. По словам Дениса Зенкина, директора по маркетингу Perimetrix, система поиска сайта выводит не только персональные данные сотрудников и кандидатов, но и документы, возможно, представляющие коммерческую тайну.

"Названия файлов говорят о наличии в них сведений о бизнес-планах, коммерческих предложениях, сведений об эмиссии ценных бумаг, внутренних нормативных документов, - рассказывает Зенкин. - Инцидент оставляет много открытых вопросов. Как долго сведения находились в общем доступе? Какие из перечисленных данных действительно представляли конфиденциальные сведения? Как это случилось?". "Персональные данные сотен кандидатов на трудоустройство в компанию МГТС были опубликованы в прямом доступе по меньшей мере с начала года", - говорит Рустэм Хайретдинов, заместитель генерального директора InfoWatch.

По словам Ильи Шабанова, управляющего партнера Anti-Malware.ru, у МГТС произошла классическая утечка персональных данных через корпоративный сайт. Причиной утечки, по его словам, стала "простая халатность ответственных лиц и пренебрежение элементарными нормами работы с персональными данными". Точный объем утечки не известен, но по оценке Дениса Зенкина в открытом доступе оказались несколько тысяч резюме. Илья Шабанов говорит о нескольких сотнях файлов.


В пресс-службе МГТС на момент обращения CNews оказались не в курсе проблемы. В ответ на просьбу прокомментировать ситуацию, был получен следующий ответ: "Уважаемые коллеги, то, что вы приняли за конфиденциальную информацию - это лишь часть старых архивов МГТС. Все документы, попавшие в архив, когда-то размещались в открытом доступе на сайте и в данный момент представляют лишь исторический интерес. В резюме не содержится ни адресов, ни паспортных данных и наличие их на сайте говорит только о том, что некий человек хотел в некий период времени устроиться на работу в МГТС. Все данные сайта публичны и ни в коем случае не стыкуются с внутренними информационными ресурсами компании. Равно как публична информация об эмиссиях компании".

Соискатели, с которыми удалось связаться CNews, получив номера их мобильных телефонов из размещенных на сайте МГТС резюме, сообщили, что не давали свое согласие на публикацию их резюме в открытом доступе и не знали о том, что эта информация была доступна с сайта МГТС. "Любой человек должен быть защищён от произвола, когда любая персональная информация будет доступна всем желающим без его согласия, - говорит Рустэм Хайретдинов. - Оставляя свои данные в какой-то государственной или коммерческой организации, мы должны быть уверены, что они не будут переданы каким-то третьим лицам без нашего согласия, например, для коммерческих или криминальных целей".

"В отношении персональных данных произошло раскрытие информации, на которое, очевидно, не было получено разрешения соответствующих физических лиц - обладателей этих данных, что, в общем случае, может являться нарушением ФЗ "О персональных данных", - комментирует Виктор Наумов, партнер юридической фирмы Salans. - Помимо нарушения режима конфиденциальности персональных данных возникает вопрос о том, имело ли место правонарушение, связанное с нарушением неприкосновенности частной жизни. Ответ на него зависит от содержания информации, а также действий (или бездействия) ответственных лиц, которые допустили данный случай".


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=20136