Хакеры щелкают серверы московской мэрии как семечки

В сети появилась информация об очередной масштабной утечке персональных данных. Группа хакеров сообщила в телеграм-канале о взломе серверов департамента информационных технологий (ДИТ) Москвы. Киберпреступники утверждают, что получили доступ к базам московской мэрии ещё год назад и смогли похитить 40 терабайт информации. Хакеры заявили, что у них есть персональные данные всех москвичей и сведения о пациентах, зарегистрированных в единой медицинской информационно-аналитической системе (ЕМИАС).

С 9 апреля хакеры начали публиковать в своём телеграм-канале базы данных, якобы украденные с серверов ДИТ. Злоумышленники сообщили, что смогли получить доступ к электронным ресурсам прошлой весной и в течение года беспрепятственно скачивали и анализировали размещённую на них информацию.

«Нам удалось взломать все технические ресурсы ДИТ, выгрузить 40 терабайт баз данных различных ресурсов Москвы, включая ЕМИАС, УДРВС, портал мэра Москвы, СУДИР и другие. У нас имеются данные на всех госслужащих Москвы за всё время. Персональные данные всех москвичей – паспорта, номера телефонов, почты и многое другое. Мы также не оставили без внимания разработки департамента», – заявили киберпреступники.

Подтвердить или опровергнуть эту информацию пока не представляется возможным. На запрос «Октагона» в пресс-службе столичного ДИТ не ответили.

Утечки с серверов департамента уже происходили. В 2020 году в сети появилась база, содержащая персональные данные 300 тысяч москвичей, переболевших COVID-19, а в 2022-м была взломана Московская электронная школа (МЭШ). Несмотря на то что второй эпизод в мэрии официально не признали, украденная база находится в открытом доступе в сети, а родители школьников подтверждают, что информация в ней соответствует действительности.

В сеть утекли персональные данные и медицинские анализы чиновников, судей и полицейских
В России разгорается очередной скандал, связанный с масштабной утечкой персональных данных. Россияне обнаружили в Telegram несколько чат-ботов, через которые бесплатно можно получить досье практически на любого гражданина, однажды оставившего за собой цифровой след. В открытом доступе оказались персональные данные как частных пользователей, так и базы государственных ресурсов.

Перейти к материалу

В январе Госдума приняла в первом чтении законопроект об усилении ответственности за утечку персональных данных: он предполагает увеличение размера штрафа для юридических лиц до 15 млн рублей, а также выплаты компенсаций пострадавшим лицам. 1 апреля документ получил положительный отзыв Правительства и сейчас дорабатывается перед вторым чтением.

– По действующему законодательству серьёзного наказания за нарушение при хранении персональных данных виновнику не грозит, – поясняет «Октагону» юрист Александр Востриков. – Если утечка из ДИТ подтвердится, то максимум, что можно взыскать с ведомства, – штраф до 100 тысяч рублей. Вероятно, будет также иметь место и невыполнение обязанности по хранению персональных данных в обезличенном виде.

Крупные базы данных становятся мишенью для киберпреступников

Несмотря на регулярные утечки персональных данных граждан с официальных ресурсов и рост случаев мошенничества, власти продолжают процесс укрупнения электронных баз. Из-за этого при взломе в руках преступников оказывается огромный объём конфиденциальной информации.

В марте Минцифры представило для общественного обсуждения проект приказа об установлении единых требований по взаимодействию федеральной государственной информационной системы «Моя школа» с региональными системами в сфере общего образования, среднего профессионального и дополнительного образования детей и взрослых. Предполагается, что все сведения о детях, педагогах и родителях, которые хранятся в региональных электронных журналах и дневниках, по онлайн-запросу с помощью технологии «витрина данных» будут доступны на портале Госуслуг.

В Минцифры заверяют, что к дополнительным рискам утечек это не приведёт, так как информация не будет храниться на федеральном портале, а после просмотра по онлайн-запросу она удаляется. Однако родители считают, что утечек избежать не удастся.

– Цифровизаторы говорят, что данные будут храниться и передаваться в обезличенном виде, но как можно обезличить СНИЛС и номер свидетельства о рождении или паспорта? – задаётся вопросом мама московских школьников Елена Соколова. – В последние годы были взломаны портал Госуслуг и Московская электронная школа, мало кто верит, что подобная участь не постигнет и систему «Моя школа». Объём персональных данных, которые в неё предлагается собирать, хотят максимально расширить. В том числе там будет медицинская информация, сведения о дополнительном образовании, участии в общественных движениях и исчерпывающие данные о родителях.

Родители обращают внимание на то, что инициатива отчасти реализует положения скандального законопроекта о системе «Контингент обучающихся», на который президент наложил вето ещё в 2016 году.

– Цифровизаторы поняли, что инициативу о сборе полного досье на детей и родителей нельзя протащить через федеральное законодательство, и теперь пытаются навязать её через создание собственных локальных актов. Если такая база будет украдена, в руках преступников окажется полная информация о большей части семей страны. К чему это может привести для каждого отдельного человека, страшно даже представить, – заключает Елена.

В 2023 году объём утёкших персональных данных в России вырос на 60 процентов по сравнению с прошлым годом и составил 1,12 млрд записей, такие данные приводятся в исследовании экспертно-аналитического центра компании InfoWatch.

Кроме того, резко – с 0,9 до 1,7 млн записей – возросло среднее количество персональных данных, похищенных за один раз.

– Разговоры о том, что большие базы данных намного привлекательнее для киберпреступников, ведутся постоянно, – говорит IT-специалист Игорь Лосев. – При этом на государственном уровне проводится политика укрупнения реестров персональных данных россиян. За большими массивами информации хакеры охотятся в первую очередь, поэтому во всём мире уходят от практики создания больших баз. Проблема ещё и в том, что государственные структуры не несут реальной ответственности за утечки и часто даже не признают их. Хотя во многих случаях утечки происходят не из-за взлома, а из-за слива информации сотрудниками госструктур. Помимо ужесточения ответственности, целесообразно проводить и политику ухода от сбора избыточных персональных данных граждан как коммерческими, так и государственными структурами.