Утечки персональных данных. Электронные торговые площадки
В этот раз речь пойдёт об утечках персональных данных на электронных торговых площадках. Прежде чем публиковать эту часть исследования я передал их РБК для публикации без технических подробностей и чтобы у электронных площадок было время на то чтобы отреагировать на суть проблемы.
Напомню, в первой части публикацию об утечках персональных данных в удостоверяющих центрах,
В этот раз речь пойдёт об утечках персональных данных на электронных торговых площадках. Прежде чем публиковать эту часть исследования я передал их РБК для публикации без технических подробностей и чтобы у электронных площадок было время на то чтобы отреагировать на суть проблемы.
Статью в РБК можно прочитать по ссылке https://www.rbc.ru/politics/29/04/2019/5cc2df569a7947c83b69b0d5
Анализ проводился в отношении 6 уполномоченных на размещение электронных аукционов площадок:
- Реестр поставщиков на площадке Сбербанк АСТ
- Реестр аккредитованных участников площадки ZakazRf
- Реестр участников площадки РТС Тендер
- Реестр участников площадки Росэльторг
- Реестр участников Национальной электронной торговой площадки
- Реестр участников ЭТП РАД
В общей сложности из электронных торговых площадок доступно 2,2 миллиона записей с персональными данными которые можно поделить на 2 группы.
1. Паспортные данные из решений об одобрении крупных сделок.
Эти документы должны публиковаться по закону и нормативной-базе 44-ФЗ, "Закона по контрактной системе". По практике российской подготовки подобных документов, в них, часто содержатся паспортные данные учредителей.
2. ФИО, место работы, должность, email, ИНН и СНИЛС из файлов электронной подписи
После применения файлов электронной подписи в файлах .sig после их декодирования можно получить метаданные сертификата который использовалься для подписи. Эти метаданные содержат ФИО, место работы, должность, email, ИНН, СНИЛС и иногда и другую информацию о персоне.
Подробное исследование со скриншотами и оценками по каждой площадке можно скачать по ссылке
http://files.begtin.tech/f/18ec197cd4f5481481fb/?dl=1
Что привело к подобной ситуации:
- Несоответствие регулирования практикам документооборота.
- Отсутствие активных действий электронных площадок по предотвращению публикации сканов решений с паспортными данными.
- Отсутствие внутреннего мониторинга у электронных торговых площадок на предмет раскрытия персональных данных.
- Низкая квалификация законодателей, регуляторов и операторов систем приведшая к массовому раскрытию персональных данных из электронных подписей.
Связаться со мной проще всего по электронной почте [email protected] и https://t.me/begtin в Телеграм.