Сколько утекло

В своем объявлении продавец базы представил потенциальным покупателям ее образец: только в нем содержится 10 тысяч строк, в каждой из которых — инициалы, первые две цифры серии и последние три цифры номера паспорта, дата рождения, уникальный номер регистровой записи пациента, название вакцины и закодированный в Base64 QR-код в формате PNG со сроком действия.

Опасность слива и возможность для антиваксеров: экспертное мнение

Михаил Климарев, директор Общества защиты интернета, считает, что паниковать из-за очередного слива базы не стоит, однако все равно ничего хорошего в этом нет.

«Мы крайне осуждаем тех, кто торгует данными, пусть и обезличенными. Но не все так все страшно, как кажется. Утекло на самом деле не так много. Да, это все-таки персональные данные. Но хорошо, что создателям приложения один добрый человек подсказал, что не надо публиковать полностью фамилию, ведь в слитой базе только первые буквы. Так что информация утекла не полностью».

Однако, утверждает эксперт, база может послужить дополнительным инструментом для мошенников, которые могут воспользоваться информацией о QR-кодах в корыстных целях.

«Если у мошенника есть другие украденные базы данных с сайта Госуслуг (ими тоже торгуют на черном рынке), то он может сопоставить две базы. Таким образом, он получит список людей с QR-кодами и сроками их действия. Вот возможность для шантажа людей без прививок. Особенно это опасно для пожилых людей, которых, например, могут обзванивать и уведомлять о якобы выписанном штрафе за отсутствие прививки. Они придумают, там все талантливые. Могут обзванивать и тех, у кого истек сертификат. Эта база определенно может быть использована для мошенничества», — говорит Климарев.

Кроме того, у слива может быть еще один побочный эффект: утечка может стать дополнительным аргументом для противников вакцинации и QR-кодов.

Что говорят власти

После публикации объявления Минцифры объявило о начале собственной проверки. Позже в министерстве сообщили, что «угроз для безопасности личных данных пользователей приложения нет». Ситуацию прокомментировали и в «Ростелекоме»: там и вовсе заявили, что данные из базы — недействительные. «Опубликованные данные были сгенерированы вне системы и не имеют отношения к действующей базе пользователей приложения», — заявили в компании.

Создатели телеграм-канала «Утечки информации» утверждают, что выборочная проверка показала, что QR-коды все-таки действительны и ведут на сайт Госуслуг. Данные, представленные в образце продавца базы, полностью совпадают с тем, что указано на официальной странице проверки QR-кодов. При этом аналогичная проверка «Ростелекома» показала обратное.

Эксперт Климарев объясняет, что разработчики, очевидно, успели сгенерировать QR-коды заново.

«Данные недействительны, потому что они просто сбросили все эти QR-коды. Ведь QR-код генерируется сам по себе, это ссылка. Все ссылки, вероятно, после утечки изменили в этом приложении. Вроде все нормально, но на самом деле утечка случилась, и виновные должны понести ответственность», — отмечает он.

Ожидаемое событие: кто виноват

О возможной утечке данных россиян было известно уже давно: еще в августе издание «Медиазона» (Минюст внес его в реестр СМИ, выполняющих функцию «иностранного агента») обнаружило уязвимость на сайте Госуслуг. Именно она могла стать причиной недавнего слива данных. Редакция сообщала о проблеме «Ростелекому» и направляла информацию в пресс-службу Минцифры, однако ответа не получила.

«То, что эта база утечет, было просто вопросом времени. Данные со всех государственных ресурсов рано или поздно утекают. Сейчас, кстати, делается такой кибер-реестр, куда будут сливаться вообще все данные россиян: там будут объединена вся информация. И этот мегареестр тоже утечет. Уверен, что это произойдет в течение года после его создания», — говорит Климарев.

Эксперт считает, что причиной утечки может быть как человеческий фактор, так и уязвимость системы. Вариантов немного: либо кто-то из сотрудников ее продал, либо кто-то допустил халатность и не вовремя не увидел уязвимость.

Однако, предполагает Климарев, виновные вряд ли понесут ответственность за случившееся.

«Коммерческие организации регулярно получают штрафы за нарушения закона о персональных данных. Однако мы ни разу не слышали, чтобы кого-то из госструктур наказали. Наказаний, санкций для чиновников нет».