Персональные данные нарушителей режима самоизоляции в Москве оказались в свободном доступе на сайтах для оплаты штрафов по уникальному идентификатору начислений (УИН). Об этом сообщает «Коммерсант» со ссылкой на телеграм-канал «Нора Ежика».
Как убедился корреспондент издания, если ввести УИН на таком сайте, можно получить фамилию, имя, отчество и паспортные данные оштрафованного. Собрать данные вручную методом перебора УИН почти невозможно, зато программа в автоматизированном режиме сможет выполнить эту работу, утверждает начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд.
Он уточнил, что для защиты данных система должна блокировать попытки многократного введения УИН, а данные должны публиковаться в частично обезличенном виде. УИН состоит из 20 или 25 цифр, однако осуществить его перебор несложно, отметил основатель DeviceLock Ашот Оганесян. Кроме того, на сайтах для оплаты штрафов зачастую нет ни ограничения числа запросов, ни капчи — теста для определения, является ли пользователь системы человеком.
Как заявил заявил представитель Ассоциации юристов России Александр Журавлев, пострадавшие могут пожаловаться в Роскомнадзор на нарушение закона о персональных данных и добиваться компенсации через суд. Однако если штраф и будет назначен, то он пойдет в доход бюджета, а не пострадавшим. Взыскать убытки через суд за подобные нарушения за десять лет никому не удалось, добавил Журавлев. В Роскомнадзоре сообщили, что жалоб на утечку не получали.
Москвичей штрафуют на 4000 рублей, если они нарушают режим самоизоляции. На 10 мая было выписано 35 тыс. таких штрафов. За выполнением самоизоляции следят при помощи приложения мэрии «Социальный мониторинг» — ранее оно уже вызывало критику за то, что выписывает штрафы на пустом месте.