«Ростелеком» оштрафован на 60 тыс. рублей за утечку персональных данных клиентов и работников оператора связи18.04.2023 21:16

Мировой суд в Петербурге оштрафовал «Ростелеком» на 60 тыс. рублей за утечку персональных данных клиентов и работников оператора связи.
Компании был назначен административный штраф в размере 60 тыс. рублей за нарушение законодательства в области персональных данных по ч. 1 ст. 13.11 КоАП РФ.

Согласно материалам дела, в июне 2022 года ПАО «Ростелеком» «предоставило неправомерный доступ к информационным системам, повлёкший распространение неограниченному кругу лиц данных персональных клиентов и работников оператора в телеграм-канале и на сайте», сообщила пресс-служба суда. В частности, в выставленных на продажу базах были данные пользователей, в том числе совпадающие с информацией из системы «Умный дом» сервиса «Ростелеком». По информации пресс-службы суда, адвокат ПАО «Ростелеком» просил прекратить дело в связи с отсутствием состава, но компания факт утечки данных не оспаривала.


22 июля 2023 года Роскомнадзор передал в суд протокол на «Ростелеком» за утечку персональных данных. «По итогам проверки служба выявила нарушения законодательства в сфере оборота персональных данных клиентов. Роскомнадзор составил и передал в суд административный протокол по ч. 1 ст. 13.11 КоАПа», — сообщил СМИ представитель РКН.

7 июня Роскомнадзор запросил у «Ростелекома» информацию о возможной утечке контактных данных сотрудников компании.

6 июня сервис поиска утечек и мониторинга даркнета DLBI пояснил, что в открытый доступ попала база данных контактов, вероятно, сотрудников компании «Ростелеком».

В файле с данными содержалось 109 300 строк с данными по сотрудникам, включая:

  • ФИО сотрудника;
  • адрес корпоративной электронной почты (все на домене rt.ru и его поддоменах);
  • логин для входа в корпоративную систему и домен;
  • контактные номера телефонов (домашний, рабочий, мобильный);
  • признаки уволенного и активного сотрудника;
  • дата создания записи (с 19.01.2021 по 15.12.2021);
  • должность сотрудника.


Судя по утёкшим данным, там есть данные контактов сотрудников разных региональных филиалов компании.

Компания подтвердила утечку и уточнила, что начала проверку по факту утечки данных внутренних аккаунтов сотрудников «Ростелекома», а возможность внешнего проникновения в инфраструктуру исключена. По предварительному анализу, инцидент произошел не из-за внешнего взлома, а из-за инсайда.

«Нам известно об информации, появившейся в Telegram-каналах. Проверяем на причастность к инциденту одного из бывших сотрудников, который в декабре 2021 года скопировал часть внутреннего телефонного справочника. Ведётся расследование. Речи о внешнем проникновении в системы компании не идёт», — сообщили СМИ в пресс-службе «Ростелекома».

8 июня «Ростелеком» подтвердила факт утечки части базы клиентов своего сервиса «Умный дом» — rt.ru/smarthome.

«Ростелекому» известно о появившейся в интернете информации об утечке данных клиентов сервиса компании «Умный дом», проводится проверка», — сообщил СМИ представитель «Ростелекома». В компании считают, что утечку данных клиентов, как и ранее сотрудников компании, организовал бывший сотрудник.

«Служба безопасности «Ростелекома» в курсе распространяемой в Telegram-каналах информации. Очевидно, что это продолжение предыдущей истории с публикацией данных, актуальных также на декабрь 2021 года. Расследование продолжается», — пояснили в «Ростелекоме». В компании не уточнили, что ещё было в компетенции этого сотрудника и куда он имел доступ.

В компании подчеркнули, что были приняты срочные меры, чтобы инцидент не сказался на оказании услуг клиентам и их интересы не пострадали. Были ли предупреждены клиенты, данные которых попали в утечку, в «Ростелекоме» не пояснили.

«Умный дом» от «Ростелекома» — это система управляемых датчиков и устройств, обеспечивающих безопасность жилья. Она распознаёт изменения обстановки, реагирует на них. Управляется система с помощью мобильного приложения.

image

По информации сервиса поиска утечек и мониторинга даркнета DLBI, в распространяемых в сети шести текстовых файлах из утечки клиентов сервиса «Умный дом» от «Ростелекома» находятся суммарно 712 999 строк, содержащих:

  • ФИО клиента;
  • адрес электронной почты;
  • номер мобильного телефона;
  • хешированный (bcrypt) пароль;
  • IP-адрес;
  • дату регистрации и последней активности (самая «свежая» 18.12.2021).


Эксперты DLBI подтвердили, что проверка случайных записей из этих файлов через функцию восстановления пароля на сайте lk.smarthome.rt.ru показала, что все проверяемые логины из утечки были действительные.

© Habrahabr.ru