Роскомнадзор начал проверку более 80 интернет-магазинов, допустивших незаконное распространение персональных данных покупателей в интернете. Владельцы этих сайтов будут установлены через регистраторов доменных имен, и материалы по фактам нарушений требований конфиденциальности персональных данных будут направлены в прокуратуру, рассказали «Газете.Ru» в Роскомназдоре.
Накануне в поисковиках «Яндекс», Google и Mail.Ru оказались данные о заказах и покупках посетителей интернет-магазинов.
В частности, отправив поисковый запрос «site: «название ресурса» статус заказа получатель», можно было найти сохраненную копию страницы заказов в секс-шопах с указанием имен и фамилий, почтового адреса и адреса электронной почты, мобильного телефона. Поисковик Bing выдавал только ссылки на новости по теме. Но лишь в «Яндекс» Роскомнадзор направил письмо с просьбой рассмотреть техническую возможность запрета обработки поисковых запросов, позволяющих получить доступ к персональным данным граждан. Такие письма ведомство направит и в адрес «других организаций, если сочтет нужным», добавил представитель Роскомнадзора Михаил Воробьев.
Кроме данных покупателей интернет-магазинов в поисковой выдаче «Яндекса» и Google во вторник можно было найти бланки билетов пассажиров РЖД, купивших проездные документы на сайте railwayticket.ru. Этот ресурс не имеет отношения к РЖД, отметили в пресс-службе монополии. Руководитель проекта railwayticket.ru Алексей Рыбьяков признал факт утечки данных. По его словам, процесс покупки РЖД-билетов сделан так, что человек может купить его без регистрации на сайте. Бланк электронного билета, где указаны имя, фамилия, отчество и последние четыре цифры номера паспорта, приходит на e-mail покупателю. «Есть люди, которые заходят на сайт с установленным «Яндекс.Бар», и этот плагин может узнать, на какую страничку человек перешел, и таким образом это (персональные данные --«Газета.Ru») попадает в «Яндекс», — рассказал Рыбьяков. По его словам, компания уже «закрыла старые данные» и приняла «первые меры, чтобы защитить текущие данные», внеся изменения в файл robots.txt. «В кэше «Яндекса» данные, конечно, сохранились, но сейчас пытаемся достучаться до «Яндекса», — говорит Рыбьяков. Роскомнадзор изучает новые факты утечки персональных данных в интернете, добавили в пресс-службе ведомства.
Это уже не первый скандал, вызванный утечкой данных в «Яндексе». В конце прошлой недели Союз потребителей России подал иск против «Мегафона» в защиту «неопределённого круга потребителей», пострадавших от утечки СМС-сообщений, а третьим лицом в исковом заявлении без каких-либо претензий указан поисковик «Яндекс», куда попали СМС. Представитель поисковика Очир Манджиков указывал, что СМС попали также в Google и Bing. Но первый заместитель генерального директора «Мегафона» Валерий Ермаков заявлял, что к утечке сообщений был причастен именно «Яндекс».
«Яндекс» не удаляет страницы сайта из результатов поиска до тех пор, пока сайт не предпримет меры для защиты содержимого этих страниц»,
— говорит представитель компании Очир Манджиков. В числе таких мер — запрет индексации в файле robots.txt или с помощью метатега noindex, или ограничение доступа к содержимому страниц с помощью пароля. После установления запрета индексации заявки на удаление из «Яндекса» страниц с персональными данными обрабатываются в течение суток. «Если к Google поступает информация о присутствии в результатах поисковой выдачи незаконно опубликованных персональных данных, то мы удаляем их из индекса и не показываем в результатах поиска», — рассказала представитель поисковика Алла Забровская.
В «Яндексе» рекомендуют пострадавшим от утечки персональных данных обратиться в интернет-магазины, чтобы те поставили защиту. Если пользователь обратится с жалобой в «Яндекс», то через день служба поддержки компании свяжется с магазином напрямую. В аналогичной ситуации Google удалит данные из результатов поиска самостоятельно, однако Алла Забровская для страховки рекомендует связаться также с веб-мастером и потребовать немедленного удаления личной информации.
Действия интернет-поисковиков правомерны, уверены юристы.
«Виноват тот, кто допустил распространение этой информации в открытый доступ, после чего она была доступна для поиска»,
— считает Михаил Воробьев. За нарушение закона «О персональных данных» интернет-магазинам грозит штраф, добавил эксперт в области телекоммуникационного права Антон Богатов. При этом компании не произвели никаких действий, которые прямо или косвенно привели к утечке персональных данных, отметил Богатов. Интернет-магазины для обработки персональных данных использовали дефектное программное обеспечение, которое должно быть сертифицировано ФСТЭК, уверен Богатов. «То, что разглашение персональных данных зависит от обработки роботом поисковой машины файла robots.txt, — это явный дефект программного обеспечения», — заявил юрист. В этом случае претензии правоохранителей могут быть адресованы в сертифицирующие органы и разработчикам программного обеспечения, отметил он. Так, сайт railwayticket.ru обрабатывает персональные данные без сертификата ФСТЭК. «Я так понимаю, это регулируется законом, который все собираются принять, но он еще не принят. Все данные к нам передаются по зашифрованному протоколу. Мы предпринимаем действия, чтобы они не попали в руки сторонних лиц», — рассказал Алексей Рыбьяков.
Если правоохранительные органы установят, что генеральный директор интернет-магазина знал, что приобретает программу для обработки данных с дефектом, то он также будет отвечать, добавляет партнер юридической компании Art de lex Евгений Арбузов.
Лицам, чьи персональные данные попали в открытый доступ, для компенсации материального или морального ущерба нужно будет установить факт распространения данных и обосновать суду неблагоприятные последствия, которые наступили в результате инцидента.
В нескольких онлайновых секс-шопах и других магазинах отказались от комментариев или обещали перезвонить позже. Потребители интимных товаров, чьи имена и телефоны оказались в интернет-поисковиках, скорее всего, не будут обращаться в суды, чтобы не давать дополнительных информационных поводов, прогнозирует Арбузов. Так, покупатель черных латексных трусов в одном из эротических магазинов, чей телефонный номер также нашелся в «Яндексе», не стал обсуждать юридическую перспективу этого дела и бросил трубку.
Генеральный директор компании «Ашманов и партнеры» Игорь Ашманов не исключает, что новый виток скандала с утечкой персональных данных является «наездом на «Яндекс». Это «антиреклама» для «Яндекса», признает и Глебов.
«Хочется верить, что это не заказ «Яндекса». Скорее это очень громкий сигнал к тому, чтобы повышать безопасность в интернете»,
— считает председатель Регионального общественного центра интернет-технологий Марк Твердынин.
По словам менеджера компании «Информзащита» Олега Глебова, в поисковиках «тысячи» страниц с персональными данными покупателей, и эта информация представляет ценность для злоумышленников: зная e-mail, можно взломать страничку в социальной сети. Именно «Информзащита» распространила в СМИ новость об утечке данных в «Яндексе». Но это не собственное исследование компании, данные прислал человек, который «копал в «Яндексе», отметил Глебов. Большинство утечек так и находятся, добавляет Ашманов. «Можно просто сесть и изобрести десятки поисковых запросов, которые указывают на такие же уязвимости. Например: «выдан УФМС по г. Москве отделение Ясенево». Так что это и способ попиариться», — заключил он.