19 января 2023 года Роскомнадзор сообщил СМИ, что ведомство проверит информацию об утечке персональных данных клиентов сервиса сервиса «1С: Урок».
«Компания уведомила Роскомнадзор об инциденте в установленные сроки. После получения информации об итогах внутреннего расследования Роскомнадзор проведёт проверку в отношении компании на предмет нарушения законодательства», — сообщили СМИ в РКН.
Ведомство напомнило, что в соответствии с законодательством о персональных данных оператор, допустивший утечку данных, обязан в течение 24 часов самостоятельно сообщить об инциденте в РКН, а в течение 72 часов предоставить в ведомство результаты внутреннего расследования с указанием причины и виновных лиц.
13 января Роскомнадзор сообщил о проверке информации об утечке персональных данных 3,5 млн клиентов сервиса Mail.ru.
17 января компания «1С» подтвердила утечку данных зарегистрированных пользователей своего образовательного сервиса «1С: Урок».
По информации сервиса обнаружения утечек данных и мониторинга даркнета DLBI, в открытый доступ попал файл с базой, содержащей 189 833 строки с данными:
- адрес электронной почты (185 тыс. уникальных адресов);
- хешированный (MD5 с солью и SHA512-Crypt) пароль;
- ФИО пользователя;
- номер телефона (7,5 тыс. уникальных номеров);
- дата создания профиля и последнего входа в систему (с 21.08.2020 по 12.01.2023).
«По результатам предварительного анализа, утечка данных с сайта urok.1c.ru имела место. В открытом доступе опубликованы ФИО пользователей, их неверифицированные адреса электронной почты и небольшое количество неверифицированных телефонов», — рассказали в компании.
Представитель «1С» пояснил СМИ, что в компании продолжают изучать ситуацию по этому инциденту. «Пароли и другая более критичная информация в открытый доступ не попали. Причины утечки на данный момент устранены. Мы приносим искренние извинения всем пользователям сайта urok.1c.ru», — рассказал СМИ представитель «1С». В компании не раскрыли, как именно произошла утечка.
Сервис «1С: Урок» предназначен для использования электронных образовательных ресурсов учителями при подготовке к урокам и проведении занятий с учащимися начальной и средней школы, а также для самостоятельного освоения предложенного материала школьниками дома.
В 2022 году и в начале 2023 года в общий доступ попали данные около ста миллионов пользователей разных сервисов из российских компаний. Штрафы за эти утечки сейчас составляют по ч. 1 ст. 13.11 КоАП РФ (за нарушение законодательства в области персональных данных) от 60 тыс. рублей до 100 тыс. рублей. Фактически операторы персональных данных сейчас ничем не рискуют, если потеряют базы данных тысячи и более пользователей.
Компании после подтверждения факта утечек не выплачивают пострадавшим пользователям компенсации. Роскомнадзор считает, что клиенты компаний, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке.
