Главная » ФИНАНСЫ » Данные почти всех сотрудников РЖД оказались в открытом доступе

Данные почти всех сотрудников РЖД оказались в открытом доступе

Фoтo: Вaлeрий Шaрифулин / ТAСС

Пoслe пoявлeния инфoрмaции oб утeчкe пeрсoнaльныx дaнныx бoлee 700 тыс. сoтрудникoв «Рoссийскиx жeлeзныx дoрoг» (РЖД) oбъявили o нaчaлe прoвeрки, сooбщил прeдстaвитeль кoмпaнии. «Гoтoвятся мaтeриaлы интересах пeрeдaчи в прaвooxрaнитeльныe oргaны», — дoбaвил oн. Прeдстaвитeль РЖД зaвeрил, чтo пeрсoнaльныe дaнныe пaссaжирoв пoxищeны нe были: «Систeмa прoдaжи билeтoв имeeт зaщиту пeрсoнaльныx дaнныx высoкoй стeпeни нaдeжнoсти».

Гдe были oпубликoвaны пeрсoнaльныe дaнныe сoтрудникoв

Заводитель и технический директор компании DeviceLock, специализирующейся держи предотвращении утечек данных с корпоративных компьютеров, Ашот Оганесян умереть и не встать вторник, 27 августа, сообщил в своем Telegram-канале «Прибыль информации» и блоге на сайте Habr.com, чего неизвестные выложили в свободный доступ персональные способности 703 тыс. человек. При этом злоумышленники добавили к публикации ссылка: «Спасибо ОАО «РЖД» из-за предоставленную информацию путем бережного обращения с персональными данными своих сотрудников».

По отчету по РСБУ за первое семестр 2019 года, списочная численность работников РЖД составила 732 тыс. двуногий, таким образом, в открытом доступе оказалась рэнкинг о 96% сотрудников.

Данные работников РЖД были опубликованы для сайте «Инфач» под заголовком «Рабы РЖД». Рядом 14:00 мск администратор сайта закрыл к нему дорога — при попытке зайти возьми сайт выдается ошибка 403, «посещение запрещен». Домен infach.me был зарегистрирован в феврале 2018 годы, он позволял пользователям анонимно публиковать персональные материал других людей. Среди данных сотрудников РЖД, опубликованных получи и распишись сайте, были их имена, номера телефонов, должности, фотографии в форме и снимки СНИЛС.

Афиша на РБК www.adv.rbc.ru

Кто слил данные в Перестав

«Откуда произошла утечка — (бог, но есть предположение, что это трест данных службы безопасности. Судя по формату фотографий, сие снимки на пропуска», — отметил Оганесян в своем блоге. Спирт предполагает, что даже блокировка сайта сделано не поможет предотвратить дальнейшее распространение оказавшихся в открытом доступе сведений.

До сего часа в прошлом году РЖД объявили о запуске интранет-портала к сотрудников под названием my.rzd.ru, к которому планировалось присоединить. Ant. выключить всех работников компании. В личном кабинете они могли строго-настрого запрещать справки, оформлять билеты на поезд, готовить к печати данные о себе. Судя по отзывам пользователей, в последнее эра у них были проблемы с доступом к порталу (ход по номеру СНИЛС и паролю), что они связывали с его взломом. В РЖД безлюдный (=малолюдный) ответили на запрос РБК об утечке данных с сего портала.

Гендиректор РЖД Олег Белозеров говорил в конце 2018 годы о планах компании направить на цифровизацию 150 млрд руб. перед 2025 года. В стратегии цифровой трансформации РЖД, в частности, уделяется направлять (глаза) повышению информационной безопасности, использованию российского программного обеспечения, переводу в частное барашки вычислительных ресурсов компании с возможностью хранения 12,5 петабайт данных, накоплению и обработке данных с 25 млн объектов железнодорожной инфраструктуры.

(как) будто утекают персональные данные

По мнению председателя Ассоциации участников рынков данных Ивана Бегтина, потери. Ant. доход персональных данных происходят по трем основным сценариям. «В первую кортеж, это утечки непосредственно из баз данных компании, идеже хакеры подключаются к ним удаленно, взламывая системы безопасности. Кайфовый-вторых, это утечки, происходящие по вине инсайдеров. Почасту бывшие сотрудники, у которых остался доступ к базам данных, могут их имущество) расходится или выставлять в публичный доступ, чтобы отмстить компании», — указывает рецензент.

Третий вариант — это подчас обнародование данных необходимо по закону, вместе с тем из-за несовершенства защитных систем в открытом доступе на поверку больше информации, чем было необходимо изначально, добавил Бегтин. Примером таковский утечки может послужить недавний случай, поздно ли на электронных торговых площадках в открытом доступе было обнаружено приставки не- менее 2,24 млн записей с паспортными данными, номерами СНИЛС и сведениями о трудоустройстве россиян. Документы об одобрении тех сиречь иных крупных сделок, которые электронные площадки обязаны выпускать, содержали информацию о тех, кто эту сделку одобрил, а вдобавок об их представителях.

Руководитель отдела аналитики и спецпроектов InfoWatch Андрюня Арсентьев также обратил внимание на в таком случае, что к утечкам зачастую приводят случайные нарушения, вызванные действиями персонала компании: «Не иначе случайные нарушения приводят к самым масштабным случаям компрометации персональных данных. В основном такие прибыль вызваны некорректными настройками хранилищ и багами возьми сайтах». По данным InfoWatch, в втором квартале 2019 года три четверти всей информации утекло якобы раз в результате случайных нарушений.

О каких крупных утечках данных избито

Это не первая масштабная утечка персональных данных россиян в этом году: в июне DeviceLock в свой черед обнаружила в открытом доступе данные клиентов ОТП-литровка, Альфа-банка и ХКФ-банка (имена, телефоны, паспорта и околоток работы), всего это коснулось примерно 900 тыс. россиян.

В отчете InfoWatch ради 2018 год отмечалось, что самая большая вытекание информации в России произошла из-за уязвимости для сайте Рособрнадзора, когда скомпрометированной оказалась трест данных о 14 млн бывших студентов.

В первом полугодии 2019 лета самая крупная утечка данных в мире произошла, если в Сети был обнаружен незащищенный сервер компании Verifications.io, занимающейся электронным маркетингом, напомнил Арсентьев. В результате утекло 2 млрд записей персональных данных, в томище числе 800 млн электронных адресов с паролями. Отчасти раз в масштабных утечках персональной информации обвиняли Facebook. Вот хоть, в апреле 2019 года данные миллионов пользователей соцсети оказались в открытом доступе бери других платформах, а также в облачном хранилище Amazon. В марте 2019 возраст пароли миллионов пользователей были обнаружены хранящимися в незашифрованном виде получай серверах Facebook. Сообщалось, что без защиты оказались «сотни миллионов пользователей Facebook Lite, десятки миллионов других пользователей Facebook и десятки тысяч пользователей Instagram».

Существует ли оплот от утечек

По словам Арсентьева, экранирование от утечек предполагает проведение комплекса технических мероприятий: интрузия систем блокировки атак и предотвращения утечек, системы поведенческой аналитики, ревизия привилегированного доступа и другие. Важны также и организационные мероприятия — древле всего это тренинги для сотрудников и зуд повысить культуру обращения с данными.

Бегтин как и напомнил, что, для того чтобы загородить персональные данные, хранящиеся в компании, необходимо закапывать специальные регламенты обращения с данными, их переноса, а тоже регламенты обеспечения безопасности данных. Он добавил, кое-что компаниям необходимо более внимательно относиться к закону «О персональных данных».

Ровно злоумышленники могут использовать персональные данные

Интенсивность киберпреступников после утечки зависит через типа и спектра информации пользователей. В лучшем случае жертвам прибыль станет приходить больше электронного спама и навязчивых предложений по части телефону, а в худшем — их показатели могут использоваться в мошеннических целях: для получения услуг в основе чужих персональных данных, оформления кредитов, перевыпуска этим-карт для последующего мошенничества и другие варианты, объяснил Арсентьев.

Ровно по словам Бегтина, если персональные данные самочки по себе достаточно ценны (как, примем, медицинские данные), то их могут скромно продать. Однако чаще преступники используют информацию на кражи денег — взлома мобильных банков, переоформления имущества река для того, чтобы взять кредит. Симпатия считает, что утекшая информация может вестись также использована для слежки. А организованные преступные группы могут пустить в ход данные более масштабно. «Известные упражнения — это банковское мошенничество в области телефону, когда человеку звонит умышлятель, представившись сотрудником банка. Благодаря уже имеющемуся минимальному набору утекшей информации о клиенте литровка он может с помощью социальной инженерии узнать остальные необходимые данные, чтобы воспользоваться банковским в количестве пострадавшего», — объяснил Бегтин.

Авторы:
Лана Бурмистрова, Евгения Баленко

При участии:
Дада Линделл

Оставить комментарий