В Беларуси в сеть утекли данные более миллиона человек, и это всего за неделю июля 2023. В первую очередь, утечка коснулась клиентов крупных интернет-магазинов, что сопоставимо с тем, что фамилия, имя, отчество, номер мобильного телефона, адрес, электронный адрес и некоторые другие данные каждого четвертого работника в стране — теперь не секрет.
«Утечка персональных данных подразумевает под собой незаконное попадание какой-либо личной информации в открытый доступ или в руки других людей, что, в свою очередь, может вызывать целый ряд негативных последствий», — отметили в Республиканском центре защиты персональных данных.
В Центре подтвердили утечку более 1 миллиона личных данных белорусов. Это данные клиентов интернет-магазина ostrov-shop.by, или «Остров чистоты и вкуса» (730 тысяч), кстати, их злоумышленники уже выставили на продажу (здесь подробнее), популярного детского интернет-магазина buslik.by, или «Буслiка» (220 тысяч), и эти данные тоже продают (здесь подробнее), а также частного предприятия по производству дверей «Юркас» (5 тысяч и здесь подробнее), и еще сервисов по доставке. В июне была информация, что данные о более чем 4 тысячах белорусских клиентов книжных интернет-магазинов тоже утекли в сеть (здесь подробнее каких именно).
Надо отметить, что эти организации своевременно сообщили в Центр защиты персональных данных о нарушениях систем защиты персональных данных.
Как злоумышленникам удалось влезть в базы данных
Специалисты установили, что хакеры воспользовались уязвимостью межсайтовых сценариев информационной системы Битрикс для загрузки на сервера организаций сторонних файлов-скриптов в формате *.php (adminer.php, testing.php
Это позволило злоумышленникам размещать клиентские скрипты (обычно JavaScript) на веб-страницах, что допускает осуществление несанкционированного доступа к базе данных информационного ресурса.
Уязвимость возникает из-за блокировки обновлений, отсутствия контроля за информационной безопасностью и отсутствию должной технической и криптографической защиты персональных данных.
Центр признается, что полностью предотвратить утечки данных довольно трудно, но свести риск неблагоприятных последствий от них к минимуму — реально и напоминает операторам в том числе о необходимости своевременного обновления системного программного обеспечения.
Операторы же, которые допустили утечку персональных данных, несут ответственность в соответствии с законодательством, а также значительные репутационные издержки.
Республиканский центр защиты персональных данных напомнил операторам, что «персональные данные — ценный актив, который привлекает внимание злоумышленников и нуждается в такой же охране, как и материальные активы компании».
Чем грозит простому человеку попадание его персональных данных в сеть
Клиентские базы данных — лакомый кусок для мошенников, людей не чистых на руку, потому что содержат сведения «о фамилии, собственном имени, отчестве, паспортных данных, номерах мобильных телефонов, адресах электронной почты, покупках
Эти базы данных выставляются на продажу на различных интернет-ресурсах или публикуются в открытом доступе, а их удаление является затруднительным, а иногда — и невозможным.
Самое безобидное, чем может грозить простому человеку при попадании его персональных данных в сеть, — это агрессивная реклама. Но вполне можно лишиться и денег, потому что мошенники могут звонить с целью завладеть средствами, а также могут отправлять ссылки с вредоносным ПО, которое даст преступникам возможность удаленно управлять вашим устройством. Мошенники могут также создать фейковых аккаунты в соцсетях и осуществлять действия от чужого имени. Можно и сна лишиться, потому что будут шантажировать и влезать в вашу частную жизнь.
Что делать, если ваши персональные данные утекли в сеть
О том, что персональные данные попали в сеть, покупателям и клиентам оперативно должны сообщить в интернет-магазинах и сервисах, которые взломали хакеры. Им должна быть предоставлены рекомендации по изменению скомпрометированного пароля от личного кабинета. Пользователи могут сменить пароли либо вовсе удались учетные записи на этих ресурсах (здесь подробнее).
Как дается согласие на обработку персональных данных в Беларуси
Порой мы не очень задумываемся о последствиях, когда в каком-либо магазине или салоне, обычной ручкой или дома-на работе, щелкая по клавиатуре, заполняем анкету, вписывая туда свои данные. Вернее — о плохом не думается.
Но, заполнив, мы даем согласие на обработку персональных данных.
«Вы можете дать согласие на обработку персональных данных в письменной форме, в виде электронного документа (подписанного электронной цифровой подписью) или в иной электронной форме», — говорится на сайте Центра.
Иная электронная форма предусматривает либо указание кода после получения CMC-сообщения, сообщения на адрес электронной почты, либо проставление галочки в нужном окошке на интернет-ресурсе. Подойдет также запись в электронной форме телефонного разговора, обмен е-mail.
Фраза же при звонке в колл-центр, «Оставаясь на линии вы даете согласие на обработку персональных данных» неправомочна.
Можно ли забрать согласие на обработку своих персональных данных
Да, забрать согласие на обработку своих персональных данных можно в любое время и даже причины объяснять не надо. Но надо подать заявление об этом своем намерении либо в письменном виде, либо в электронном.
В заявлении должно быть указано ФИО, дата рождения, адрес, идентификационный номер. Изложите суть своих требований и поставьте подпись. Если вы поставили соответствующую галочку на сайте, о доступе к вашим персональным данным, то оператор там же должен предоставить вам возможность переменить свое первоначальное намерение.
После получения заявления от вас оператор обязан прекратить обработку ваших данных, удалить их и сообщить вам об этом в течение 15 дней.
Если удалить данные невозможно технически, то они должны быть заблокированы, доступ к ним перекрыт и информация об этом вами тоже должна быть получена, рассказали на сайте Центра в разделе «Ответы на часто задаваемые вопросы».