Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
Утечка данных Mail.ru.
Несколько дней назад русскоязычное медиа-пространство всколыхнула новость об утечке данных пользователей почтового сервиса Mail.ru. По данным некоторых источников, речь идет о персональных данных 3,5 миллионов пользователей. Звучит достаточно масштабно.
Давайте разбираться, что произошло и каковы последствия для сервиса и его клиентов.
Итак, 13 января 2023 года в сети Интернет неизвестными были опубликованы данные 3 505 918 пользователей почтового сервиса Mail.ru. Публикация содержала следующую информацию о пользователях: ID в системе; фамилия и имя пользователя; никнейм пользователя; номер телефона (1 647 711 уникальных номера); адрес электронной почты.
«Пользователям почтового сервиса ничего не угрожает, сервис надёжно защищён. Результаты проверки показали, что опубликованные данные связаны с утечкой стороннего ресурса в начале прошлого года».
Заявила пресс-служба почтового сервиса Mail.ru.
Каковы последствия?
Что касается последствий для субъектов данных, единственное, что пока можно с точностью отметить – это своего рода депсевдонимизация в сервисе, а вот степень негативного влияния на пользователей очевидно будет разниться, поскольку всецело зависит от степени и характера активности конкретного пользователя в сервисе.
Как вы все знаете, Mail.ru – это не просто почта. На сервисе можно осуществлять разные активности, например обсуждать разные вопросы, в том числе и провокационные. Так степень и характер активности конкретных пользователей станет причиной того, что на некоторых пользователей можно будет собрать целое досье, возможно, с компрометирующей их информацией (использовать ее может кто-угодно и с какой-угодно целью), некоторые же никак не пострадают.
Говоря же о последствиях для самого сервиса, первые последствия мы уже можем наблюдать. Согласно п. 1 ч. 3.1 ст. 21 Федерального закона «О персональных данных» (ФЗ-152), оператор обязан в случае утечки данных уведомить уполномоченных орган в течении 24 часов с момента обнаружения факта утечки данных, уполномоченным органом постановлением правительства был определен Роскомнадзор. Однако любопытным является факт, что медиаресурс Интерфакс, собирая информацию об инциденте, обратился к Роскомнадзору за комментарием и позже написал: «В Роскомнадзоре “Интерфаксу” позже сообщили, что проверят информацию о возможной утечке, и напомнили, что в соответствии с законодательством о персональных данных оператор должен уведомить РКН об инциденте в течение суток с момента происшествия». Так, исходя из имеющихся фактов и ответа госоргана, следует, что почтовый сервис Mail.ru не уведомил Роскомнадзор об утечке.
Далее, согласно ФЗ-152 события должны разворачиваться по следующему сценарию:
📎 Роскомнадзор проведет проверку на предмет принятия оператором необходимых мер по обеспечению безопасности персональных данных при их обработке, в соответствии со ст.19 закона, и, более того, если кто-то из пользователей решит, что потерпел моральный вред, расследование будет и по факту этого заявления. От результатов расследования будет зависеть, понесет ли Mail.ru ответственность за свои действия, в том числе, возникнет ли обязательство возместить пользователям моральный ущерб.
📎 Mail.ru столкнется с последствиями своего нарушения (неуведомление Роскомнадзора) в соответствии со ст.24 ФЗ-152.
Как видно, перспективы пока не очень радужные. Именно поэтому позже в наших статьях мы поговорим о том, какие меры следует предпринимать бизнесу для того, чтобы свести к минимум саму возможность такого рода происшествий.
