13 января 2023 года Роскомнадзор сообщил СМИ, что ведомство проверит информацию об утечке персональных данных клиентов сервиса Mail.ru.
«Роскомнадзор проверит информацию о возможной утечке персональных данных клиентов сервиса Mail.ru», — сообщили в ведомстве. Регулятор напомнил, что по закону о персональных данных оператор ПД в течение суток с момента факта утечки должен уведомить о ней Роскомнадзор.
В пресс-службе почтового сервиса заявили СМИ (1, 2, 3), что опубликованные в открытом доступе данные пользователей «Почта Mail.ru» утекли в начале 2022 года с другого сервиса, а почтовый сервис защищён и его взлома не было.
Какой именно сервис допустил утечку ПД, в Mail.ru не пояснили.
«Пользователям Почты ничего не угрожает, сервис надёжно защищён. Результаты проверки показали, что опубликованные данные связаны с утечкой стороннего сервиса в начале прошлого года. Специалисты дополнительно проводят тщательную проверку», — пояснили СМИ в Mail.ru по поводу инцидента.
Ранее неизвестные хакеры опубликовали в открытом доступе данные 3,5 млн пользователей Mail.ru.
В утечке находится база данных со списком пользователей, включающая 3 505 918 строки с информацией:
- ID в системе;
- фамилия и имя пользователя;
- никнейм пользователя;
- номер телефона (1 647 711 уникальных номера);
- адрес электронной почты (3 412 253 уникальных адреса) на доменах mail.ru, bk.ru, inbox.ru и list.ru, включая 199 адресов в домене corp.mail.ru.
Эксперты сервиса DLBI пояснили, что выборочная проверка случайных записей из этого дампа через форму восстановления доступа на сайте account.mail.ru показала, что зарегистрированные номера телефонов пользователей совпадают (в открытой их части) с тем, что указано в дампе.
В 2022 году в общий доступ попали данные десятков миллионов пользователей разных сервисов из российских компаний. Штрафы за эти утечки сейчас составляют по ч. 1 ст. 13.11 КоАП РФ (за нарушение законодательства в области персональных данных) от 60 тыс. рублей до 100 тыс. рублей. Фактически операторы персональных данных сейчас ничем не рискуют, если потеряют базы данных тысячи и более пользователей.
Компании после подтверждения факта утечек не выплачивают пострадавшим пользователям компенсации. Роскомнадзор считает, что клиенты компаний, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке.
