Телеком-оператор пытался скрыть утечку персональных данных клиентов

У немецкой T-Mobile после обновления ресурса открылся общий доступ в приложении к личной информации клиентов. Это в массовом порядке увидели другие пользователи. На двухнедельные обращения компания никак не реагировала.

В публичном доступе оказались имена клиентов, номера телефонов, адреса, данные об остатках на их счетах, а также информацию банковских карт, включая дату истечения срока действия и последние четыре цифры карты.

Представители T-Mobile уверяют, что причиной сбоя стала не кибератака, и системы компании не были взломаны. За последние пять лет компания пострадала от девяти утечек данных, включая слив информации о 37 млн пользователей в начале 2023 года и утечку ПД 49 млн человек в 2021 году. Примечательно, что в прошлом году хакерская группа Lapsus похитила у компании исходные коды.

Цифровизация добралась до выбора имени ребенка: «На портале Единого госреестра ЗАГС запущен новый интерактивный сервис, который поможет будущим родителям выбрать имя для ребенка. Подбор сформирован на основании 5 тысяч реальных уникальных имен детей, рождение которых зарегистрировано в реестре ЗАГС с 1 октября 2018 года. Сервис позволяет родителям подобрать имя с учетом различных критериев: пола ребенка, наиболее часто встречающегося сочетания имени и отчества, пожеланий к популярности или редкости имени, его первым буквам или длине, с учетом региональных и национальных особенностей. Вариант можно сгенерировать и случайным образом».
#юмор

🏛️Закон и сети: что сделано и планируется сделать для защиты россиян в интернете
🔸На законодательном уровне сделано многое, чтобы обезопасить россиян в сети. Однако количество угроз и вызовов растет, а схемы обхода закона становятся все хитроумнее. Председатель правления регионального общественного центра интернет-технологий (РОЦИТ), зампредседателя комитета Госдумы по информационной политике, информационным технологиям и связи Антон Горелкин считает, что в таких условиях необходимо держать руку на пульсе и постоянно совершенствовать законодательство.

🇮🇹 Штраф за непредоставление бывшему работнику доступа к отчету о дисциплинарном расследовании
🔸Кто: Garante per la protezione dei dati personali (Италия)
🔸Кого: AcegasApsAmga S.p.A.
🔸Когда: 2023.07
🔸За что: нарушение ст. 5(1)(a), 12, 15 GDPR
🔸Как: штраф €10,000
🔸Причина: бывший сотрудник компании AcegasApsAmga, не смог получить полный ответ на запросы о доступе к своим персональным данным, поданные после получения дисциплинарного взыскания, содержащего подробные ссылки на нерабочую деятельность, которая привела к увольнению сотрудника.
В ответ на несколько запросов субъекта компания AcegasApsAmga ответила, что запросы носят слишком общий характер и что необходимо подробно указать информацию, к которой запрашивается доступ. Только спустя почти год после первого запроса о доступе бывшему сотруднику стало известно о существовании и содержании отчета о расследовании, на основании которого было вынесено дисциплинарное взыскание.
Надзорный орган определил, что компания AcegasApsAmga должна была предоставить заявителю все данные, собранные в отчете о расследовании, включая информацию, которая не была включена в дисциплинарное уведомление, например, фотографии и данные GPS, в соответствии со статьями 12 и 15 GDPR. В этой связи Гарант подчеркнул, что незаконно утаенные данные могли бы быть полезны для осуществления права на защиту.

🎙️Не стоит доверять сервисам проверки и удаления из Сети сведений о вас
🔸Интернет-пользователям следует придумывать надежные пароли, не доверять сервисам проверки утечек персональных данных и быть аккуратнее при использовании VPN, а в идеале вообще забыть об этой технологии. Об этом в эфире еженедельных «IT-новостей» на сайте «Парламентской газеты» рассказал член Комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин. Он также оценил безопасность цифровых паспортов, возможные последствия от новых санкций Запада против России и рассказал о проекте Цифрового кодекса РФ.

🏛️Минцифры разработало проект постановления, которое определяет правила, по которым провайдеры хостинга должны будут устанавливать личность своих клиентов. Такая обязанность у них появится с 1 декабря 2023 года. Проект документа подразумевает четыре способа, которыми может осуществляться идентификация: через инфраструктуру «Госуслуг» и Единой биометрической системы, посредством использования усиленной квалифицированной электронной подписи (УКЭП), посредством перевода со счета в банке России или других стран ЕАЭС, а также предоставлением документов лично.

🏛️Минцифры РФ предлагает создать способ подтверждения личности граждан в Единой системе идентификации и аутентификации (ЕСИА) для пользователей, не достигших 14 лет, а также способ заочно подтвердить личность для всех несовершеннолетних россиян.

👀 Россияне, сдавшие свои биометрические данные в Единую биометрическую систему (ГИС ЕБС), в ближайшее время смогут оплачивать покупки лицом с помощью Системы быстрых платежей, рассказали в пресс-службе оператора ГИС ЕБС, Центре биометрических технологий (ЦБТ).
🔸При этом оператор ГИС ЕБС отметил, что каждый пользователь решает сам, стоит ли пользоваться такими способами идентификации. Распознавание лица и обработка биометрических данных проводятся только с согласия гражданина и добровольно.

🤖Ты ли это: как уберечься от вооружившихся ИИ кибермошенников и вымогателей
🔸Пять советов Форбс для того, чтобы защититься от афер с использованием искусственного интеллекта:
1. Обезопасьте учетные записи: для подтверждения своей личности при многофакторной аутентификации требуется вводить пароль и дополнительный код. 2. Активируйте многофакторную аутентификацию на всех своих финансовых аккаунтах.
2. Не болтайте лишнего: чтобы лучше сымитировать вас, мошенники пользуются персональной информацией в общем доступе из социальных сетей в частности или интернета вообще.
3. Фильтруйте звонки: не отвечайте на входящие вызовы с незнакомых номеров, советует Майк Стайнбах, руководитель отдела по финансовым преступлениям и предотвращению мошенничества в банке Citi.
4. Придумайте кодовые фразы: родственники могут убедиться, что говорят с близким человеком, спросив заранее согласованные слово или фразу. Малые предприятия могут внедрить контрольные коды для одобрения корпоративных операций типа перечисления средств по распоряжению высшего руководства. Не ведитесь на сообщения от начальников, который просят сделать покупки по подарочным картам ― это распространенная схема аферы.
5. Не давайте им расслабляться: если во время телефонного разговора появляются странные подозрения, попробуйте задать не относящийся к делу вопрос, например, какая у собеседника сейчас погода, или что-нибудь личное, рекомендует Фрэнк Маккенна, соучредитель фирмы PointPredictive, занимающейся пресечением мошеннической активности.

🇪🇺⚖️Немецкий суд: утрата контроля над персональными данными сама по себе не является основанием для возмещения нематериального ущерба согласно ст.82 GDPR
🔸Субъект данных являлся пользователем Facebook. В соответствии с настройками конфиденциальности, выбранными на момент совершения факта, номер его телефона мог быть использован третьим лицом для поиска профиля субъекта данных в Facebook, даже если сам номер телефона не был публичным. Соответственно, информация, касающаяся субъекта данных, может быть связана с его номером телефона любым лицом, обладающим таким номером.
🔸В 2021 году неизвестные "третьи лица" автоматически комбинировали телефонные номера и сопоставляли их с профилями в Facebook благодаря вышеупомянутой функции. Таким образом, телефонные номера могли быть присвоены идентифицированным пользователям. В результате произошла утечка данных, касающихся 533 млн. человек в 106 различных странах.
🔸Субъекты данных жаловались, что после утечки им стали поступать фишинговые электронные письма и звонки. В связи с потерей контроля над своими персональными данными субъект данных потребовал возмещения ущерба в соответствии со статьей 82 GDPR.
🔸Суд первой инстанции отклонил иск субъекта данных. Субъект данных обжаловал это решение в Высшем региональном суде Хамма (Oberlandesgericht Hamm). Суд оставил в силе решение первой инстанции и разъяснил, что для подачи иска по статье 82 GDPR требуется наличие трех необходимых элементов: нарушение одного из положений GDPR, фактический ущерб, нанесенный субъекту данных, и причинно-следственная связь между нарушением и ущербом.
🔸Что касается первого элемента, то суд предварительно указал на тот факт, что бремя доказывания отсутствия нарушения лежит на контролере. Такой вывод можно сделать на основании ст. 5(2) GDPR, которая возлагает на контролера обязанность доказывать соблюдение GDPR. Контроллер нарушил статью 6 GDPR. Кроме того, суд установил нарушение принципа конфиденциальности по умолчанию (ст. 25(2) GDPR) и общее отсутствие надлежащих мер безопасности для предотвращения скраппинга (ст. 32 GDPR).
🔸Однако второй элемент - наличие реального ущерба - суд посчитал неудовлетворительным. Что касается ущерба, а также причинно-следственной связи, то бремя доказывания лежит на субъекте данных. Предварительно суд сослался на решение CJEU по делу C-300/21 и пояснил, что для компенсации нематериального ущерба не требуется соблюдения какого-либо минимального порога серьезности. Тем не менее, по мнению CJEU, ущерб должен быть "фактическим и определенным" и четко отграниченным от нарушения, из которого он вытекает.

🇷🇺👨‍💻🔥 #рф #нпа #инициативы #регулирование
Обновление дайджеста значимых событий и инициатив (общее количество за три недели 128→139), влияющих на регулирование защиты персональных данных в РФ.

Добавлены пункты (отмечены как New):
12. Указ Президента РФ от 18.09.2023 № 695 о "цифровом паспорте"
36. Постановление Правительства РФ от 01.09.2023 № 1429 о внесении изменений в Положение о единой биометрической системе, в том числе о ее региональных сегментах
37. Постановление Правительства РФ от 01.09.2023 № 1430 о внесении изменений в некоторые акты Правительства РФ
76. Законопроект об аутсорсинге
информационных технологий и использовании облачных услуг финансовыми организациями
86. Проект постановления Правительства РФ об создании единого регистра пациентов для части болезней
87. Проект постановления Правительства РФ об идентификации клиентов хостинг-провайдеров
88. Проект постановления Правительства РФ об идентификации малолетних
94. Проект приказа Минцифры о требованиях к информационной безопасности хостинг-провайдеров
137. Инициатива разработки Цифрового кодекса
138. Инициатива замазывать лица пассажиров автомобилей при фотофиксации автоштрафов
139. Инициатива совершенствования системы коллективных исков

Обновлены пункты (отмечены как Update):
54. Законопроект об обезличивании персональных данных перед передачей
в НУСД
100. Инициатива о урегулировании использования
синтезированного ИИ голоса

✈️ Власти хотят получать больше данных о пассажирах при бронировании авиабилетов. Речь идет о сборе в централизованную базу персональных данных. Туда хотят вносить информацию в том числе о способе оплаты билета, багаже, изменениях в бронировании и другие сведения. Окончательный список категорий таких данных еще не определен.
🔸Речь идет об автоматизированных централизованных базах персональных данных о пассажирах (АЦБПДП), они входят в состав единой государственной информационной системы обеспечения транспортной безопасности (ЕГИС ОТБ). Оператором системы является подведомственный Минтрансу РФ ФГУП «Защитаинфотранс».
🔸Сейчас в эту систему передаются ФИО пассажира, дата рождения, данные документа, по которому оформлялась бронь, пункты отправления и назначения пассажира, дата поездки, пол и гражданство, номер телефона и адрес электронной почты,.
🔸В дальнейшем к этим категориям добавится новая информация. Например, данные о способе оплаты билета (наименование банка, последние четыре цифры номера счета или карты, с помощью которой производилась оплата), рассказал один из собеседников, знакомый с формированием новой нормативной базы. Также это могут быть данные учетной записи пассажира на сайте авиакомпании и адрес интернет-протокола (IP-адрес) компьютера, с которого передавалась информация при бронировании.

В ЕС вступил в силу закон об управлении данными

С 24 сентября 2023 года в Европейском союзе в полном объеме вступил в силу закон об управлении данными (Data Governance Act, DGA). Кроме прочего DGA:

- регулирует повторное использование персональных данных и коммерческой тайны, хранящихся в информсистемах государственного сектора;

- устанавливает требования к операторам данных;

- вводит правила трансграничной передачи данных;

- предусматривает создание совета по инновациям данных, который будет состоять из представителей Европейского совета по защите данных (EDPB), Европейского инспектора по защите данных (EDPS) и агентства ЕС по кибербезопасности.

Изображение: RSpectr, Adobe Stock

🏥 В ХМАО депутат обвинил больницу в раскрытии личных данных пациентов
🔸Депутат Урая (ХМАО) Леонард Насибуллин обвинил городскую клиническую больницу в халатности, повлекшей раскрытие личных данных. «Рядом с мусорными баками возле урайской городской больницы разбросаны медицинские направления. В документах указаны персональные данные пациентов, их диагноз, место жительства и работы. На контейнерной площадке множество подобных бумаг. При желании ими может воспользоваться злоумышленник. А как же врачебная тайна?» — заявил Насибуллин.
🔸В больнице ответили, что по данной ситуации проведут служебную проверку. «В настоящее время в БУ „Урайская городская клиническая больница“ ведение медицинской документации осуществляется в электронном виде. Медицинские карты и другая документация, оформленная ранее в бумажном варианте, уничтожается в условленном порядке по истечению сроков хранения», — сообщили в медучреждении.

🏦 В ближайшее время несколько крупных банков могут войти в реестр Минцифры по аккредитации для работы с данными из единой биометрической системы (ЕБС). ВТБ и Почта-банк подали заявку на получение аккредитации при Минцифры для работы с биометрией, планы аккредитоваться есть и у Тинькофф-банка. Это дает возможность использовать биометрические данные для предоставления удаленных услуг. Но требования для включения в реестр довольно жесткие. К тому же банкам потребуется получать согласие клиентов, которых они раньше не обслуживали, на получение их данных из ЕБС.
🔸В Центре биометрических технологий (ЦБТ; оператор ЕБС) отметили, что аккредитация позволяет продолжить оказывать услуги по лицу и голосу своим клиентам, а также другим компаниям, которые хотят использовать биометрические технологии, но не планируют самостоятельно получать аккредитацию. Если организация не планирует проходить аккредитацию в Минцифры, но хочет продолжать оказывать услуги по биометрии, она может подключиться к системам уже аккредитованных компаний или же работать напрямую с ГИС ЕБС. В последнем случае предполагается транзакционная модель взаимодействия с ЕБС, когда участник платит каждый раз за одну операцию сравнения, но не получает при этом вектор, а лишь результат сравнения.

⚡Российские власти проработают вопрос о возможности использования россиянами заграничных паспортов для получения госуслуг, заявил зампред Совета безопасности России Дмитрий Медведев.

🏛️Правительственная комиссия по законопроектной деятельности поддержала идею Минцифры о включении в законопроект об оборотных штрафах за утечки персональных данных положения о выплате компенсации пострадавшим. Согласно предложению Минцифры, которое поддержал кабмин, выплата таких компенсаций позволит компании снизить размер штрафа.

📸 Талибан (признан террористической организацией и запрещен в РФ) планирует создать масштабную сеть камер видеонаблюдения для крупных городов Афганистана. Возможно, для проектирования системы будет использован план, разработанный еще американскими специалистами до вывода войск в 2021 году.
🔸Талибан уже консультировался с китайской компанией Huawei относительно перспектив совместной работы. Хотя к окончательному соглашению стороны не пришли, появились некоторые устные договоренности. Система будет охватывать ключевые районы Кабула и других населенных пунктов, а ее полное внедрение займет около четырех лет.
🔸Текущая инфраструктура Кабула составляет 62,000 камер, подключенных к единому центру управления. Последнее крупное обновление системы было проведено еще в 2008 году.

Мой прогноз сбывается: WhatsApp не будет открывать для российских пользователей функционал публичных каналов. Правда, официального сообщения пока не было, а информацию предпочли слить через одну голландскую газету со ссылкой на неназванного представителя Meta*.

Обратите внимание, что в цитате содержится туманная оговорка «продукт не будет доступен в ближайшее время». На мой взгляд, это излишне оптимистичная позиция, ведь в ближайшее время статус экстремистской организации с Meta снимать никто не собирается.