Мировой суд Москвы оштрафовал на 60 тыс. рублей компанию «Гемотест» за утечку 300 ГБ данных с персональной информацией миллионов клиентов. Компания получила по делу №05-0564/287/2022 административное наказание по ч. 1 ст. 13.11 КоАП РФ, по которому штраф может быть от 60 до 100 тыс. рублей.
Согласно постановлению суда, Роскомнадзор выявил утечку в размере 300 ГБ с персональными данными клиентов «Гемотеста». По мнению ведомства, инцидент произошёл из-за того, что доступ к учётной записи сотрудника компании был скомпрометирован злоумышленниками, которые потом смогли выгрузить и скопировать на сторонние ресурсы большой объём данных без ограничений со стороны системы информационной безопасности медицинской компании.
На суде представители «Гемотеста» признали факт хакерской атаки. Они уточнили, что выгрузка из базы данных компании происходила небольшими фрагментами, не превышающими 3 ГБ. Защита «Гемотеста» пояснила, что компания не признала вину за этот инцидент и «просила прекратить дело ввиду отсутствия состава правонарушения».
3 мая 2022 года по информации сервиса поиска утечек и мониторинга даркнета DLBI, утекла база данных клиентов медицинской лаборатории «Гемотест». Данные клиентов лаборатории продавали на нескольких теневых форумах. В утечке более 30 млн строк с персональными данными и 554 млн строк заказов с данными: ФИО, год рождения, дата и состав заказа. Согласно заявлению продавца, в базе данных миллионы строк со столбцами, содержащими ПД: ФИО, дата рождения, домашний адрес, номер телефона, электронная почта, данные паспорта. В утечке представлены данные о клиентах разных регионов РФ, включая Москву и МО.
Эксперты DLBI уточнили, что данная база уже появлялась ранее в закрытом доступе у очень ограниченного числа лиц. По их информации, утечка произошла из-за обнаруженной хакерами уязвимости в работе IT-системы лаборатории. Анализ тестового образца данных показал, что продаваемая сейчас база была выгружена из информационной системы лаборатории не раньше 22 апреля 2022 года. По их мнению, из-за бага в работе информационной системы «Гемотеста» все франчайзинговые партнёры медкомпании имели доступ ко всей базе, включая персональные данные и медицинские данные. Кто-то из сотрудников или даже несколько решили скачать скопом эту информацию и продать на теневом рынке.
4 мая «Гемотест» начал расследование инцидента с возможной утечкой базы данных клиентов, а Роскомнадзор обратился по поводу этой утечки в прокуратуру.
18 мая «Гемотест» подтвердила взлом базы данных, который произошёл по факту 22 апреля. В компании заверили клиентов, что утечка не такая большая, как пишут в интернете.
12 июля Минцифры предложило увеличить штрафы компаниях за утечки ПД, причем соразмерно объёму слитой информации. В случае повторной утечки компаниям будут грозить серьёзные оборотные штрафы. Вместо 100 тыс. рублей за первую утечку предлагается штраф в 500 тыс. рублей для юридических лиц. За повторные утечки предлагается ввести оборотные штрафы.
