Pull to refresh

Как пенсионный фонд сливает персональные данные

Information Security *
Для начала хотелось бы сделать небольшое лирическое отступление. Давным давно (хотя можно иногда до сих пор встретить), молоденькие девочки и мальчики на должности оператора ПК, различные продажники и пр. делали email рассылки своим клиентам довольно простым способом — одно письмо и все клиенты в получателях. Кто-то жаловался что его адрес таким образом светится, кто-то радовался живой базе конкурентов. Но тем не менее данные рассылки можно встретить значительно реже.

На днях по электронному документообороту прилетела массовая рассылка от местного отделения пенсионного фонда. Массовая — это значит, что получили все страхователи, зарегистрированные в этом фонде одинаковые сообщения. Во вложении был вордовский файл с описанием сути письма



Самые сообразительные я думаю уже догадались что было во втором файле.

Важный UPD 3 под катом




(картинка кликабельна, строки посередине скрыл для наглядности всего объема)

Да, да. Во втором файл список с персональными данными, включая СНИЛС, адрес регистрации и места работы, дата рождения 17 752 человек!

Не могу сказать, что это лень или глупость. Но факт остается фактом.

UPD Небольшие исследования полученного файла

Письмо было получено 09.06. Файл с табличкой был создан намного раньше, и я подозреваю что в нем были изначально застрахованные по всем отделениям пенсионного фонда. Судя по всему 09 июня из файла были удалены лишние строки со страхователями других отделений ПФ. Поэтому я вполне закономерно подозреваю что данные застрахованных как минимум по Москве и Московской области были таким образом разосланы по предпринимателям



UPD 2



UPD 3

Я просто обязан сделать это дополнение, ввиду абсолютно бредового комментария официального представителя ПФР

Утечка могла произойти у провайдера.

Пенсионный фонд Москвы отрицает свою вину в утечке персональных данных 17 тысяч человек. Каким образом web-разработчик Сергей Дерябин получил на свою почту файл с таблицей Excel с номерами СНИЛС, адресами регистрации, местами работы, а также датами рождения 17 752 человек, сейчас выясняют. Об этом ИА «Политика Сегодня» рассказала начальник отдела по взаимодействию со СМИ отделения Пенсионного фонда РФ по городу Москве и Московской области Марина Густова.


Напомню, что рассылка пришла не на почту, а по электронному документообороту:

image

Соответственно есть ЭП отправителей, проверка целостности отправления и прочие приятности, доступные при электронном документообороте. Да и провайдер данных не заинтересован быть крайним, поэтому при возникновении вопросов в свою очередь так же быстро развеял бы данный миф.

На всякий случай еще раз, на почту (электронную, email) мне не высылали, отправили как любят говорить по защищенному каналу данных. Здесь все хорошо, только вот ни я, ни остальные 90% работодателей не должны были его получить. А тот кто должен был получить, те должны получить список исключительно со своими сотрудниками.
Tags:
Hubs:
Total votes 110: ↑109 and ↓1 +108
Views 70K
Comments Comments 230