Паспортные данные оштрафованных на карантине россиян оказались в Сети
По официальным данным выписано уже более 35 тысяч штрафов за нарушение самоизоляции гражданами, которые обязаны ее соблюдать в связи с подозрением на заражение коронавирусной инфекции, либо проходящим лечение от COVID-19 на дому. Значительная часть постановлений создается на основе данных приложения «Социальный мониторинг», с помощью которого московские власти контролируют местонахождение пациентов.
Однако к самой программе существует масса претензий со стороны специалистов по кибербезопасности и жертв ее некорректной работы. Поначалу приложение почти сразу удалили из соответствующего «магазина» для смартфонов на операционной системе Android, но энтузиасты успели изучить его файлы. Обнаружилось, что все личные данные передаются в незашифрованном виде, а количество собираемой информации превышает все разумные пределы.
Кроме того, как сообщают многие пользователи, «Социальный мониторинг» нередко отправляет на сервер сообщения о том, что поднадзорный гражданин покинул место пребывания вопреки реальному положению дел. Естественно, это приводит к автоматическому выписыванию штрафа. Официальная позиция Департамента информационных технологий (ДИТ) Москвы — нет ни одного ошибочно созданного постановления.
Теперь, как пишет «Коммерсант», выяснилась и еще одна неприятная особенность этих штрафов. Из-за особенностей работы системы, любой желающий может легко получить паспортные данные каждого нарушителя. Для этого достаточно знать Уникальный идентификатор начисления (УИН), поэтому ни в коем случае нельзя публиковать в открытом доступе свои квитанции или сообщать его третьим лицам. Именно такие рекомендации распространяет столичная мэрия после публикаций об этой уязвимости в СМИ.
Важно заметить, что подобное пренебрежение к персональным данным является нарушением российского законодательства — получить номер паспорта в результате простого перебора пары десятков цифр идентификатора постановления должно быть невозможно. Хотя в ДИТ и настаивают, что если гражданин сам предоставил третьим сторонам свой УИН, то сам он во всем и виноват.
Однако даже сохранение УИН в секрете не защищает граждан от утечки своих персональных данных с привязкой к весьма щепетильному в сложившейся сейчас ситуации правонарушению. Которое, к тому же, в ряде случаев может быть ошибочным. Дело в том, что сама возможность получить эту информацию сохраняется, просто злоумышленникам или любопытствующим придется с помощью специализированного программного обеспечения (довольно примитивного, стоит заметить) перебрать 20 или 25 цифр идентификатора на любом сайте, предоставляющем сведения о штрафах.
В ДИТ о проблеме знают, но перенаправляют все запросы прессы в Государственную информационную систему о государственных и муниципальных платежах (ГИС ГМП), через которую и проходят эти данные. Аналогичная ситуация с потенциальной утечкой данных сложилась и для автомобильных штрафов, однако из них получить сведения нарушителя сложнее — в открытом доступе оказываются далеко не все паспорта. Судя по всему, ответственные структуры уже начали работу по «прикрытию» утечки.
