Как персональные данные автовладельцев оказались в открытом доступе

Появление открытой базы автомобильных госномеров, где по номеру машины можно узнать номер телефона и данные владельца транспортного средства, раскололо автомобильную общественность на два лагеря. Правозащитники и адвокаты отправились штурмовать Московскую прокуратуру, Следственный комитет (СК) и даже Генпрокуратуру с требованием провести проверку в отношении ведомств, которые имеют непосредственный доступ к персональным данным автомобилистов. А именно – ГИБДД, «Московский паркинг», Московскую административную дорожную инспекцию (МАДИ) — на предмет незаконного доступа к персональной информации. Именно в их руках сосредоточены столь подробные данные об автомобилистах, оказавшиеся в свободном доступе.

Уже несколько дней на нашумевшем сайте autonum.info можно ознакомиться с этой информацией — в редакции «Газеты.Ru» некоторые сотрудники смогли обнаружить подобную подборку о себе. Сейчас сайт периодически подвисает и переезжает по разным адресам, к примеру, на autonumber.info. Периодически интересующие данные о водителях выдаются и в мессенджере Telegram. «Отправьте номер машины для получения контактов. Помощь водителям автомобилей. Предупреждение об эвакуации», — говорится в описании контакта «сервиса».

С пятницы, чтобы получить сведения об интересующем автомобиле, сервис стал предлагать и платную подписку стоимостью $3.

Точной информации о количестве размещенных на сайте номеров нет, можно лишь заметить, что периодически база обновляется. До окончательного переезда на новый адрес на сайте сообщалось, что при самом свежем обновлении было добавлено более восьми тыс. госномеров. Пока трудно понять, с чем связаны перебои в работе базы – с большой нагрузкой из-за внимания пользователей или действий Роскомнадзора – в ведомстве отказались комментировать происходящее с сайтом.

Найти виновных

Главный вопрос у противников публикации личных данных в том, кто именно и как мог допустить утечку конфиденциальной базы. Так, адвокат Марат Аманлиев сообщил «Газете.Ru», что

любое из названных ведомств могло подвергнуться хакерской атаке.

Также он не исключил, что информация могла быть скопирована и распространена кем-то из сотрудников. Однако он подчеркнул, что такие выводы можно будет делать только после проведения тщательной проверки.

«Я несколько раз протестировал базу – прямо в пути забивал номер впередиидущего автомобиля и получал номер, по которому можно связаться с его владельцем, и его имя, — рассказал Аманлиев «Газете.Ru». – Моему клиенту, к примеру, уже стали поступать звонки от микрофинансовых организаций, которые стали предлагать ему кредиты под залог автомобиля. Получается, базой может пользоваться в своих целях кто угодно, например, страховые компании. Но суть не в том, чтобы быстро закрыли сайт. А в том, кто проморгал эту информацию. Ведь в базе есть номера не только обычных автовладельцев. Так, я смог найти несколько машин, которые записаны на МВД.

Так что надо выяснять, что это было — халатность, хакерская атака или должностное преступление. Понять, кто допустил утечку — это вопрос безопасности информации.

Ведь сегодня это данные о госномерах, а завтра — больничные карты, личные счета».

Как стало известно «Газете.Ru», первый зампред конституционного комитета Госдумы Вячеслав Лысаков также направил в пятницу в Генпрокуратуру соответствующий запрос с требованием наказать виновных (имеется в распоряжении редакции).

«Никто не имеет права распространять такую информацию — создателей таких порталов надо наказывать, — поясняет «Газете.Ru» Лысаков.

— Это аналогично тому, как раньше на дисках базы продавали. Я борюсь с тем, чтобы АМПП перестали предоставлять доступ к базе МВД именно из-за угроз таких утечек».

Утечка могла произойти в ГИБДД, ЦАФАП и РСА

В свою очередь экс-гендиректор НПО «Призма», которое занималось установкой и обслуживанием дорожных комплексов, Сергей Ласкин полагает, что с большей вероятностью утечка данных могла произойти из региональных управлений ГИБДД. «Начальник в Госавтоинспекции в одном из регионов мне как-то сказал, что проводов у них много, а зарплата маленькая, поэтому и следят они за безопасностью хранения данных соответствующим образом, — говорит «Газете.Ru» Ласкин.

– Эти базы сливались всегда. Раньше, например, можно было прийти на Митинский рынок в Москве и купить диск с базой ГИБДД. Да и сейчас есть ресурсы, где информация об автовладельцах лежит в открытом доступе.

К примеру, уже много лет существует ресурс nomer.org, где в открытом доступе лежат данные об автовладельцах».

Руководитель одного из Центров автоматической фиксации административных правонарушений (ЦАФАП) в беседе с «Газетой.Ru» предположил, что слив мог произойти как раз из одного из таких центров.

«Но тогда в этой базе должны быть только те автомобили, владельцам которых выписывались штрафы на основании данных с автоматических комплексов фиксации нарушений ПДД, — рассказал «Газете.Ru» источник.

— Кроме того, утечка могла произойти и в Российском союзе автостраховщиков (РСА) — у страховщиков все эти данные, включая номера мобильных телефонов клиентов, тоже есть.

К тому же карточки на транспортное средство в базах ГИБДД содержат более полные сведения: номер водительского удостоверения владельца, номер двигателя ТС и другие. В то же время на новом ресурсе этих данных не было. Тем более что в любом мобильном офисе продаж полисов у сотрудников есть доступ к базе, в то время как в ГИБДД и МВД сейчас доступ к работе с персональными данными жестко контролируется».

В РСА «Газете.Ru» заявили, что не могут быть даже теоретически причастны к утечке. «Весь прошлый месяц нас проверял Роскомнадзор и подтвердил полное соответствие защищенности баз всем существующим требованиям, — рассказал «Газете.Ru» представитель РСА. — В системе РСА данные по собственникам и водителям хранятся в хешированном (кодированном) виде, а номер мобильного телефона указывается только при заключении е-полиса. Поэтому из базы слить такую информацию невозможно».

В пресс-службе ГИБДД России «Газете.Ru» сообщили, что утечки из базы ГИБДД произойти не могло благодаря высокой защите серверов и криптографической защите. «В ведомстве постоянно проверка систем баз данных сотрудниками технической службы безопасности и каких-либо взломов и проникновений не было. Если будет необходима дополнительная проверка, она будет проведена».

В свою очередь в ГКУ АМПП «Газете.Ru» заявили, что в своей работе неукоснительно соблюдает требования действующего законодательства в части защиты персональных данных граждан. «Все данные хранятся в зашифрованном виде, доступ к ним строго ограничен и находится под особым контролем. Стоит отметить, что вопросы информационной безопасности находятся в компетенции Департамента информационных технологий», — сообщили в пресс-службе ведомства.

Спасение от эвакуации

Между тем сам «сервис» у обычных автомобилистов вызвал скорее интерес, нежели раздражение. Некоторые из них при обсуждении открывшейся информации заявили, что такая база очень полезна и ее можно использовать для того, чтобы помогать автомобилистам спасаться от эвакуаторов. Так, автовладелец Дмитрий Тарасов в беседе с корреспондентом «Газеты.Ru» заявил, что ничего плохого в том, чтобы узнать имя владельца транспортного средства и его телефон, нет.

«С его помощью я «спас» четыре машины от эвакуации, — рассказал Тарасов. — Мой номер телефона лежит под лобовым стеклом, я его ни от кого не прячу.

А у машин, которые я не дал эвакуировать, его там не было. Все спасенные были очень благодарны мне и этому «сервису». При желании, номер телефона можно найти и другими способами. Так что этот инструмент создан против эвакуации».

Напомним, что о возможном неправомерном использовании персональных данных ранее уже писала «Газета.Ru». Так, в конце апреля в распоряжении «Газеты.Ru» оказались жалобы на МВД в Генпрокуратуру и Федеральную службу по техническому и экспортному контролю (ФСТЭК) от первого зампреда конституционного комитета Госдумы Вячеслава Лысакова. Парламентарий попросил, чтобы надзорные органы принудили МВД прекратить предоставление в ГКУ «Администратор московского парковочного пространства» (АМПП) информации о собственниках транспортных средств. Персональные данные из базы МВД учреждение использует, чтобы устанавливать собственников автомобилей для вынесения штрафов за неоплаченную парковку (ст. 8.14 КоАП Москвы — штраф 2,5 тыс. руб.). Как поясняли юристы, доступ не уполномоченных организаций к персональным данным опасен тем, что информация о гражданах может использоваться сотрудниками таких организаций в личных целях, включая незаконные. Однако ответа на запрос депутата до сих пор не последовало.