Репост из блога https://begtin.tech/pdleaks-p3-govsys/
Обещанная публичная часть исследования по утечкам персональных данных из государственных информационных систем. Об этом уже вышла статья в РБК [1]

Это исследование проводилось в августе 2018 года и охватывало 8 государственных информационных ресурсов:

Реестр субсидий федерального бюджета
Реестр отчётов некоммерческих организаций (Минюст России)
Обращения граждан на портале Онлайн Инспектор
База правовых решений на портале ФАС России
Портал торгов по госимуществу
Портал управления многоквартирными домами г. Москвы
Портал поставщиков г. Москвы
Портал государственного и муниципального заказа РФ (zakupki.gov.ru)

Его результаты были переданы в Роскомнадзор и ряду органов власти.
Документ исследования можно скачать по ссылке [2]

Из документа отчёта убраны все ссылки на конкретные примеры, кроме портала zakupki.gov.ru в части электронных подписей и тех примеров которые можно легко проверить через поисковые системы.

В общей сложности и по минимальной оценке - это источник персональных данных в виде не менее 360 тысяч записей.


А я ранее писал про утечки данных в 2.2 миллиона записей на электронных торговых площадках [3] и в чуть меньшем объёме из удостоверяющих центров [4].

Все вопросы по исследованию/расследованию можно направлять мне на ivan@begtin.tech

И, конечно, это далеко не все госсистемы в которых можно получить персональные данные без особых усилий.

Ссылки:
[1] https://www.rbc.ru/politics/15/05/2019/5cdac8469a79479a27bd4eca
[2] http://files.begtin.tech/f/f75964ea1fe94f2d8d61/?dl=1
[3] https://begtin.tech/pdleaks-p2-etp/
[4] https://begtin.tech/pdleaks-p1-uc/

#privacy #personaldata #data

Хорошая новость в том что по итогам публикаций я иду на рабочую группу по перс. данным в Госдуму.

Хорошая относительно нулевой реакции Минсвязи и отрицательной реакции Роскомнадзора.

Плохая новость в том что выбор экспертов по критерию "медийности" не лучшая идея. Я вот себя экспертом именно по перс данным никогда не позиционировал, так что же я им стал оказавшись "в телевизоре" и на первых полосах газет? Это, конечно, смешно и работает наоборот. Больше пиара - меньше компетенций.

Тем временем Минюст вылечил наиболее чувствительную утечку паспортных данных, но все PDF файлы с отчётами НКО с персданными доступны по прежнему.

А я напомню что в следующих публикациях про утечки персональных данных из информационных систем я за 8 месяцев Роскомнадзор предупреждать не буду. Не работает этот механизм.

#privacy #personaldata

Канал Нецифровая экономика пишет с критикой [1] про Ашота Оганисяна, технического директора компании Device Lock и автора канала об утечках данных. Пишут справедливо про ситуацию с публикациями про утечки с сайта Госуслуг, но всей картины явно не знают. Device Lock не только активно торгует продуктом по выявлению утечек, но и одним из их клиентов является Ростелеком. Как минимум 2017 и 2018 годах их продукт продавался через Акционерное общество "Смарт Лайн Инк" (владельцем которого является также Ашот Оганесян) и которые заключили договора 31806519034-01 и 57707049388170034600000, а может быть и в этом году было, точно не скажешь потому что Правительство позволяет с 2018 года скрывать поставщиков по 223-ФЗ, но желающие быстро найдут список клиентов по ключевым словам "DeviceLock" в базах госконтрактов [2]. Сам продукт DeviceLock, видимо, на одноимённой компании где, опять же, Ашот Оганесян является владельцем (иначе говоря технический директор это совсем не то что конечный бенефициар).

Поэтому, при всей моей малой любви к тому же Ростелекому проблема с публикациями об утечках, к сожалению, несёт большой этический вопрос:
1. Публикация любых сведений об утечках до предупреждения и разумного времени на устранение проблем у компании - это, в первую очередь, создание ситуации когда страдают все те граждане сведения о которых в утечках содержаться. Более того, обнародование непубличных канал потенциальной утечки и придание им публичности - это и есть утечка. Иначе говоря - утечка персональных данных становится не "потенциальной", а реальной именно тогда когда ей придаётся максимальная публичность.
2. Наличие у владельца компании контрактных отношений с Ростелекомом и одновременно публикации об их утечках можно трактовать как "шантаж" потенциального или прошлого клиента. Если Ростелеком и Минкомсвязь найдут зацепку засудить DeviceLock за подобное - они будут совершенно правы.

Я напомню что этические вопросы в проблемах с утечками персональных данных являются первоочередными. При передаче РБК материалов по утечкам персональных данных [3] лично я выдержал паузу более чем в 8 месяцев после уведомления Роскомнадзора.

2020 год пройдет под эгидой этики, поверьте моему слову, "этика" будет главным словом.

Ссылки:
[1] https://t.me/antidigital/2088
[2] https://clearspending.ru/contract/?productsearch=DeviceLock&search-submit=&grbs=&regnum=&daterange=&price_gte=&price_lte=&customerregion=&address=&budgetlevel=&okdp_okpd=&sort=-signDate&fz=None&customerinn=&customerkpp=&supplierinn=&supplierkpp=
[3] https://www.rbc.ru/politics/29/04/2019/5cc2df569a7947c83b69b0d5

#dataleaks #leaks #data #personaldata

По поводу "утечки паспортов" с электронным голосованием не могу не продолжить. Много лет назад, когда деревья были большими, а я меньше работал с большими данными, я начал (и, эх, не закончил) книгу под названием "скрытые данные" которая была посвящена извлечению данных из многочисленных кодов, численных и буквенных, которые нас окружают. Там было о том как читать ОГРН, ИНН и так далее, бесконечное число кодов для расшифровки. Более 99 я тогда проанализировал и, даже, вздох, тогда ещё думал формулировать их онтологию ибо многие были взаимосвязаны.

Номера паспортов в России - это тоже некоторые уникальные коды, не менявшиеся структурно десятилетия, чем-то похоже на Social Security Numbers в США, с одной стороны объект пристального внимания и страха, с другой стороны малозначащие сами по себе.

Что важно знать о номере паспорта:
- номера паспортов не уникальны (не спрашивайте меня, я не отвечу), просто посмотрите на портал госуслуг и вспомните что там СНИЛС, а не номер паспорта. Подробностей тут не расскажу
- в отличие от других кодов у него нет проверочного номера
- первые 2 цифры серии паспорта - это код субъекта федерации, следующие 2 цифры серии - это номер года печати бланка, как правило соответствует или предшествует дате выдачи паспорта.
- остальные цифры инкрементальны, но нет какого-то известного алгоритма как они распределялись по УФМС/ОВД для выдачи поэтому нельзя оценить по номерам паспортов, например, общее число выданных паспортов за год или дату выдачи конкретного.

Из-за всего этого прямое раскрытие номеров паспортов проголосовавших дистанционно - это, конечно, не раскрытие персональных данных. Это раскрытие факта голосования, да, но не персональных данных формально.

Фактически эту базу стоит воспринимать как состоящую из 3 значений:
- номер паспорта
- признак что его владелец жив
- признак что его владелец использовал интернет-голосование (имеет телефон, компьютер и тд.)

Для всех кто находится в правовом поле эти данные ничего не дадут потому что большинство подобных пользователей не оперируют базами с паспортными данными людей.

А вот если мы говорим о неэтичных/пограничных моделях использования данных, то они, конечно, есть.
1. Всяческие торговцы базами "база покупателей БАДов", "база игроков Форекс", "база посетителей казино" могут теперь обогащать свои данные дополнительной информацией, голосовал ли человек онлайн. Можно ли это применить во вредоносных целях? Я по прежнему не могу придумать. Вижу лишь возможность обогащения одних баз данных другими данными.
2. Контроль голосования на крупных предприятиях. Если предположить что на некоторых предприятиях контролируют явку граждан на выборы, то о проверке голосовавших на УИКах руководство предприятий может договориться на месте, а проверку проголосовавших онлайн можно сделать только с помощью вот такой вот базы
3. Косвенная социология, вроде той что делала медуза по номерам бланков паспортов, выявляя потенциальные возрастные и территориальные группы голосовавших. Очень сомнительная социология, потому что нет возможности сравнить с демографией голосовавших в принципе, а не только онлайн.

Выводов у меня нет, я по прежнему считаю что персональных данных здесь нет, но публикация базы паспортов (базы хэшей) - это ошибка.

Кстати, когда в мае 2019 года я писал о том как реально извлекать закодированные персональные данные из цифровых подписей к документам - вот это была реальная утечка данных. Хочешь узнать чей-то СНИЛС, найди документ который этот человек подписал цифровой подписью (с)

Там тоже применялось "кодирование информации", но без хэш сумм.

Вся эта ситуация и многочисленные ранее говорят нам постоянно лишь об одном непреложном факте - в России нет регулятора защищающего права граждан на приватность. Обсуждать роль Роскомнадзора - это просто бессмысленно тратить время. Нужна ли реформа в этой сфере? Необходима.

#privacy #personaldata

В The Barrons статья Susan Ariel Aaronson о том почему личные данные американцев - это вопрос национальной безопасности [1] и о инициативе Clean Network по защите данных американцев от китайской коммунистической партии [2].

Автор в статье, при этом, как бы даже не намекает, а говорит прямо что указывать компаниям в других странах и юрисдикциях надо после того как навести порядок в самих США с нарушением приватности граждан.

А вот сама инициатива, Clean Network весьма примечательна. Она была анонсирована 5 августа и включает 5 направлений:
- Clean Carrier - не допускать китайские компании к подключению к телекому в США
- Clean Store - не допускать китайские приложения в магазины приложений в США
- Clean Apps - не допускать мобильным устройствам из Китая иметь предустановленные приложения и загружать из из магазинов приложений из других стран
- Clean Cloud - не допускать обработку персональных данных и иных чувствительных данных в китайских облачных сервисах
- Clean Cable - не допускать прослушку морских кабелей китайскими разведчиками.

И без меня достаточно желающих рассказать о том как, на самом деле, в США компании и разведывательные агентства следят за всем миром, так что я воздержусь от этого.

Но обращу внимание что что практика копирования зарубежного регулирования со своими модификациями распространена в России.

Ссылки:
[1] https://www.barrons.com/articles/why-personal-data-is-a-national-security-issue-51597244422
[2] https://www.state.gov/announcing-the-expansion-of-the-clean-network-to-safeguard-americas-assets/

#china #usa #personaldata #privacy

С января 2020 стартовал европейский проект TRUSTS [1] по созданию платформы торговли персональными и проприетарными данными с учётом всех правил и ограничений Евросоюза, включая GDPR. В проекте участвует консорциум из 17 организаций, академических, финансовых, стартапов в области данных, а Евросоюз выделил на него чуть менее 6 миллионов евро на 3 года [2].

Этот проект создан в рамках направления "Supporting the emergence of data markets and the data economy" [3] под которым в Евросоюзе создаются такие проекты как:
- Kraken Brokerage [4] платформа по защите персональных данных в облачных средах
- PIMCITY [5] повышение контроля пользователей за их данными собираемыми веб-сайтами
и многие другие проекты.

По моему опыту наблюдения за проектами в рамках Европейской исследовательской программы Horizon 2020 они редко превращаются в практические системы/стартапы/продукты, но очень часто прямо или косвенно влияют на выработку госполитики и регулирование в Евросоюзе.

Ссылки:
[1] https://www.trusts-data.eu/
[2] https://cordis.europa.eu/project/id/871481
[3] https://cordis.europa.eu/programme/id/H2020_ICT-13-2018-2019
[4] https://cordis.europa.eu/project/id/871473
[5] https://cordis.europa.eu/project/id/871370

#privacy #personaldata #eu

В Великобритании Department for Business, Energy & Industrial Strategy опубликовал три исследования по теме "Умных данных" (Smart Data), регулирования того как потребитель может влиять на то как и кто может использовать его данные.
Эти исследования по направлениям:
- Smart Data research - consent [1] - согласие
- Smart Data research - liability [2] - ответственность
- Smart Data research - authentication [3] - аутентификация

Все три исследования подготовленными исследовательским центром Dgen [4] специализирующемся на "децентрализованном поколении". Документы очень любопытные, с попыткой описать некую идеальную экосистему расширяющую GDPR до действий в реальном времени.

Ссылки:
[1] https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/909363/Dgen_and_BEIS_-_Smart_Data_-_Consent.pdf
[2] https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/909364/Dgen_and_BEIS_-_Smart_Data_-_Liability.pdf
[3] https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/909365/Raidiam_Authentication_Research_Response.pdf
[4] https://www.dgen.org

#privacy #personaldata #regulation

В The Bell вышла заметка про стоимость расследования отравления Навального [1] с оценками того что как и сколько стоит на чёрном рынке купить информацию о человеке [1]. Всё это, не так дорого, в общей сложности сбор данных на 11 человек обошёлся чуть более миллиона. Что, впрочем, в любом случае было с нарушением российского законодательства, но показательно то насколько доступны эти данные и насколько отечественные правоохранители не способны предотвращать доступ к ним.

И здесь же, специально для тех кто считает что рядовому человеку ничего не грозит, в Lenta.ru время от времени проскакивают любопытные лонгриды и один из них «Тюрьма — это самый дорогой отель» [2] про профессионального мошенника. Чтение весьма познавательно и, если людям с небольшими доходами опасаться (возможно) почти нечего, то людям с доходами выше среднего ещё как есть чего бояться.

Я сам очень не люблю приводить примеры того как можно злоупотреблять персональными данными, но тут раз уж опубликовано, то почитайте.

Ссылки:
[1] https://thebell.io/million-za-vseh-skolko-stoilo-rassledovanie-bellingcat-o-navalnom
[2] https://lenta.ru/articles/2020/12/14/baltazar/

#privacy #crime #personaldata

Хуже утечек персональных данных у российских госорганов - это сотрудники органов власти и госучреждений публикующих списки людей с их паспортными данными, адресами, номерами СНИЛС и так далее в открытом доступе.

Вот к примеру в одном из муниципальных районов официально выложен на сайте "СПИСОК ГРАЖДАН СОСТОЯЩИХ НА УЧЁТЕ В КАЧЕСТВЕ НУЖДАЮЩИХСЯ В ЖИЛЫХ ПОМЕЩЕНИЯХ, ПРЕДОСТАВЛЯЕМЫХ ПО ДОГОВОРАМ СОЦИАЛЬНОГО НАЙМА" в виде Excel файла.

В других случаях выложены договоры, паспортные данные ИП получившего лицензию на транспортные перевозки или граждан получающих социальные выплаты из муниципального бюджета или победителей спортивных соревнований.

Мало в каких странах в таких объёмах требуют персональные данные гражданина и одновременно так халатно к этому относятся.

#privacy #personaldata

Я приведу всё же ещё несколько ещё более конкретных примеров в качестве иллюстрации.

Реестры требований кредиторов также бывают в открытом доступе что можно увидеть своими глазами на примере сайта союза «Межрегиональный центр арбитражных управляющих» [1].

У сайта неактуальный сертификат, не скачиваются часть документов, но среди тех что доступны есть подробные файлы отчетов арбитражных управляющих и реестры кредиторов. В некоторых реестрах кредиторов только юр. лица, но во многих есть списки работников перед которыми не закрыты трудовые обязательства, вот к примеру [2].

Или вот пример как Департамент строительства и транспорта Белгородской области публикует реестры пострадавших граждан при долевом строительстве [3]. Видимо полагают что граждане пострадали недостаточно.

В аналогичном реестре в Республике Марий-Эл нет полных ФИО и паспортных данных [4], а в ростовской области только ФИО без иной идентифицирующей информации [5] и в Ленинградской области реестр вообще даже без ФИО [6]

В других регионах такие реестры просто не общедоступны.

Можно обратить внимание что часто объектами раскрытия данных являются не преступники, не те кто был уведомлен что их данные опубликуют, а рядовые граждане, виктимизируемые лишь тем что госорганы и иные организации в одностороннем порядке решили разместить их данные в открытом доступе.

А я не перестаю напоминать что это массовое явление за пределами фокуса интереса Роскомнадзора.

Ссылки:
[1] http://npmcau.ru
[2] http://www.npmcau.ru/upload/debsfiles/MAT_000000059_000001123_RTK%20Khitrinoy%20V.D..doc
[3] http://www.belgorodstroy.ru/media/uploads/%D0%A0%D0%95%D0%95%D0%A1%D0%A2%D0%A0_%D0%9F%D0%9E%D0%A1%D0%A2%D0%A0%D0%90%D0%94%D0%90%D0%92%D0%A8%D0%98%D0%A5_%D0%93%D0%A0%D0%90%D0%96%D0%94%D0%90%D0%9D_%D0%BD%D0%B0_%D1%81%D0%B0%D0%B9%D1%82.xls
[4] http://mari-el.gov.ru/minstroy/DocLib52/171123_01.xls
[5] http://www.bldnadz.donland.ru/Data/Sites/42/media/%D1%80%D0%B5%D0%B5%D1%81%D1%82%D1%80%D0%B3%D1%80%D0%B0%D0%B6%D0%B4%D0%B0%D0%BD/%D1%80%D0%B5%D0%B5%D1%81%D1%82%D1%80_%D0%B3%D1%80%D0%B0%D0%B6%D0%B4%D0%B0%D0%BD_%D0%B4%D0%BB%D1%8F_%D0%BE%D1%82%D0%BA%D1%80%D1%8B%D1%82%D0%BE%D0%B3%D0%BE_%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0_22.02.2019.xls
[6] http://expert.lenobl.ru/media/content/docs/6833/%D0%A0%D0%B5%D0%B5%D1%81%D1%82%D1%80%20%D0%B3%D1%80%D0%B0%D0%B6%D0%B4%D0%B0%D0%BD%2C%20%D0%BD%D0%B0%2001.10.2018.xls

#privacy #PersonalData

Аэрофлот при входе запросил согласие на обработку персональных данных, а там полный спектр организаций
ООО Иннодата
ООО Базис
и ещё и Авиакомпания Победа

Причём запрашивают они это согласие безальтернативно, нельзя отказаться и не передавать персональные данные какой-либо компании, но хотя бы все хорошо подсчитаны и понятно кому слать запросы на отзыв согласия на обработку данных и кого проверять на предмет наличия права на такую обработку данных.

#privacy #personaldata

Я рассказывал ранее что госорганы крайне халатно относятся к персональным данным граждан, особенно граждан которые вступают с ними в любые взаимоотношения, например, трудовые или договорные. Ещё один наглядный пример федерального уровня, Минобороны России продаёт высвобождаемое имущество и публикует протоколы торгов включая паспортные данные представителей компаний. Их довольно легко "нагуглить" запросом 'паспорт серия site:mil.ru/files filetype:pdf' [1]

Удивительно что никто из граждан так и не засудил представителей Минобороны за такое.

И это один пример из тысяч и не все они находятся так просто, но пытливые умы могут найти многое.

Ссылки:
[1] https://www.google.com/search?q=паспорт+серия+site:mil.ru/files+filetype:pdf

#leaks #milru #government #privacy #personaldata

По поводу "легальных" утечек персональных данных, я хочу напомнить о материалах которые публиковал пару лет назад.

В 2018 году я проводил анализ нескольких десятков государственных информационных систем и систем регулируемых государством и выяснил что на них публикуют данные граждан: паспортные, СНИЛС, и иную идентифицирующую гражданина информацию. Почти всё это публикуется по причине "нормотворческой неграмотности" и реже, халатности при разработке этих систем и ошибок проектирования. Иначе говоря "не украли, а продолбали". Историю этого я описал в 2019 году об удостоверяющих центрах [1], о электронных торговых площадках [2], о государственных информационных системах [3]. А также вышла статья на РБК [4] и другие публикации куда я отдал эти материалы эксклюзивом.

А предыстория этого такова что ещё в 2018 году это исследование я направлял в прокуратуру, в Роскомнадзор (через прокуратуру) и даже одному зам. министру цифрового развития федерального уровня. Реакция была ожидаемо - никакая. После публикаций в СМИ многие зашевелились, но и то до сих пор далеко не всё о чем я писал тогда было исправлено. Я и сейчас знаю удостоверяющие центры раскрывающие весь реестр сертификатов, к примеру.

Что я хочу этим сказать, то что когда вопрос стоит о контроле государства за государством, госорганов за госорганами, то работает только "медийный рычаг". Он работает, при этом, тоже плохо, многие перестали реагировать даже на такие публикации, но хоть как-то ещё возможен.

Вот сейчас у меня на руках черновик постоянно откладываемого повторного доклада на ту же тему легального раскрытия перс данных граждан органами власти. Примеров множество и то что я упомянул Минобороны с их раскрытием паспортных данных в протоколах торгов - это иголка в стогах сена. Самые большие случаи раскрытия перс данных в поисковиках не найдёшь, но они есть.

Я считал и считаю что в государстве сейчас за контроль персональных данных никто не отвечает. Несмотря на многочисленные публикации системной государственной реакции на это нет, политики публикации данных на официальных сайтах и информационных системах не поменялись и так далее. Всё это, конечно, в адрес Роскомнадзора и Минцифры в первую очередь.

P.S. Если Вы знаете случаи когда органы власти и госучреждения публикуют перс данные граждан онлайн, напишите мне, добавлю в примеры готовящейся новой версии отчета.

Ссылки:
[1] https://begtin.tech/pdleaks-p1-uc/
[2] https://begtin.tech/pdleaks-p2-etp/
[3] https://begtin.tech/pdleaks-p3-govsys/
[4] https://www.rbc.ru/politics/29/04/2019/5cc2df569a7947c83b69b0d5

#privacy #personaldata