/ Privacy

Утечки персональных данных. Электронные торговые площадки

Напомню, в первой части публикацию об утечках персональных данных в удостоверяющих центрах,

В этот раз речь пойдёт об утечках персональных данных на электронных торговых площадках. Прежде чем публиковать эту часть исследования я передал их РБК для публикации без технических подробностей и чтобы у электронных площадок было время на то чтобы отреагировать на суть проблемы.

Статью в РБК можно прочитать по ссылке https://www.rbc.ru/politics/29/04/2019/5cc2df569a7947c83b69b0d5

Анализ проводился в отношении 6 уполномоченных на размещение электронных аукционов площадок:

  • Реестр поставщиков на площадке Сбербанк АСТ
  • Реестр аккредитованных участников площадки ZakazRf
  • Реестр участников площадки РТС Тендер
  • Реестр участников площадки Росэльторг
  • Реестр участников Национальной электронной торговой площадки
  • Реестр участников ЭТП РАД

В общей сложности из электронных торговых площадок доступно 2,2 миллиона записей с персональными данными которые можно поделить на 2 группы.

1. Паспортные данные из решений об одобрении крупных сделок.
Эти документы должны публиковаться по закону и нормативной-базе 44-ФЗ, "Закона по контрактной системе". По практике российской подготовки подобных документов, в них, часто содержатся паспортные данные учредителей.

2. ФИО, место работы, должность, email, ИНН и СНИЛС из файлов электронной подписи

После применения файлов электронной подписи в файлах .sig после их декодирования можно получить метаданные сертификата который использовалься для подписи. Эти метаданные содержат ФИО, место работы, должность, email, ИНН, СНИЛС и иногда и другую информацию о персоне.

Подробное исследование со скриншотами и оценками по каждой площадке можно скачать по ссылке
http://files.begtin.tech/f/18ec197cd4f5481481fb/?dl=1

Что привело к подобной ситуации:

  1. Несоответствие регулирования практикам документооборота.
  2. Отсутствие активных действий электронных площадок по предотвращению публикации сканов решений с паспортными данными.
  3. Отсутствие внутреннего мониторинга у электронных торговых площадок на предмет раскрытия персональных данных.
  4. Низкая квалификация законодателей, регуляторов и операторов систем приведшая к массовому раскрытию персональных данных из электронных подписей.

Связаться со мной проще всего по электронной почте [email protected] и https://t.me/begtin в Телеграм.

Ivan Begtin

Ivan Begtin

I am focused on Open Data, Procurement, e-Government, Open Government, Data, Public Budgets, Privacy and other tech, data and government stuff

Read More