Пользователь
0,0
рейтинг
11 декабря 2014 в 17:59

Разработка → Роскомнадзор сам нарушает 152 ФЗ РФ? из песочницы

Началось все с того, что управляющая компания прислала мне пароль. Мой новый сгенерированный пароль из 20 символов в открытом виде. Не тот, который она сама для меня сгенерировала год назад для первого входа.

image

image

Первоначальный пароль для первого входя состоял из 6 символов, 0-9 и a-Z.

Спустя почти год обратил внимание на:

image
image

Там я увидел знакомую комбинацию генератора моих паролей. Не поверив своим глазам, я полез проверять в KeePass. Там был пароль, который я сменил 17.02.2013 3:19:50:

image

Полез в гугл читать о 152 ФЗ РФ и делах о ЖКХ. В итоге, как выяснилось, в основном люди подавали заявления о том, что ЖКХ раскрывает персональные данные: ФИО, адрес, размер квартиры, количество проживающих и т.п. В этих историях суд выносил решение, согласно которому ЖКХ невиновно в раскрытии данных в листках об оплате и все вообще по закону. Но в моём случае речь о раскрытии изменённого пароля.

В других регионах, чтобы получить этот пароль необходимо самостоятельно прийти в ЖКХ вместе с паспортом для получения пароля. В нашем регионе пароль высылают в конвертах.

Итак, решив обратиться за разъяснением в Роскомнадзор или ФСТЭК, неожиданно нагуглил следующие ссылки:
inurl:/personal-data/forms/extract/ site:rkn.gov.ru
inurl:pd.rkn.gov.ru/operators-registry/notification/form/
inurl:rkn.gov.ru/it/forms/fgis/?action=
inurl:rkn.gov.ru/personal-data/forms/p333/?action=
pastebin.com/LA8yJzhq

image

В итоге можно получить доступ к паспортным данным граждан прямо на сайте Роскомнадзора:

image

Получается, теперь нужно на Роскомнадзор жаловаться в Роскомнадзор?
Бабичев Игорь @HiMiC
карма
22,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (56)

  • +103
    Роскомнадзор оштрафовал Роскомнадзор за нарушение 152 ФЗ РФ — да это ж просто сказка была бы! :)
    • +10
      Мелковато как-то, из одного кармана взял, в другой положил.
      • +14
        Зато какой заголовок для СМИ! :)
      • +4
        … а руки-то жирные! (с)старый анекдот
        • +10
          Первая ссылка по поиску в гугле утверждает, что этот анекдот свежий.
      • 0
        Да, и почему-то во втором кармане окажется только 25% от первоначальной суммы…
    • 0
      Мечтой и останется ((
    • +4
      У меня веселая история с ними была. Пожаловался на незаконное использование персональных данных в SMS, но почему-то забыл указать номер телефона, на который эта SMS пришла. Они подождали ровно месяц, потом написали, что номер не указан. Я им номер сообщил. Они подождали еще примерно 2 месяца и ответили, что прошло 3 месяца — дело возбуждать уже поздно. Но та же компания прислала мне SMS еще раз за этот период, я им об этом сообщил. Они там тоже сколько-то времени подождали, потом сообщили, что факт нарушения есть и переслали дело в Прокуратуру. Эти мне ответили, что ничего сделать не могут, т.к. (1) у них нет номера, на который была получена SMS (скриншота SMS у них тоже почему-то не оказалось, но его-то они запросили у меня по e-mail), (2) нужно согласие на обработку персональных данных (угу, ФЗ 152 они даже не читали).

      Еще из интересного в этой истории — Прокуратура на жалобу на бездействие Роскомнадзора (отвечать они должны в течение 30 дней) ответила, что по каким-то техническим причинам они мой e-mail с номером телефона не сразу получили. Весело.

      Так что — никто никого не накажет.
  • +11
    Жаловаться надо, если я ничего не путаю, в Роспотребнадзор
    • +25
      Главное чтобы Роскомнадзор не закрыл пользователю доступ в Роспотребнадзор:)
      • +37
        Эти две организации возможно были унаследованы от одного родительского класса Росабстрактнадзор. Кажется я начинаю понимать структуру нашего государства.
    • +28
      я думаю, что надо жаловаться в спортлото, это самый верный способ в России! (Как в тексте Высоцкого, если кто не в курсе)
      • 0
        В России очень много всяческих *надзоров, многие из них голодные. Поэтому жалобы нередко работают.
        • 0
          Ну да, только от этого жалобы НЕ работаю. Точнее жалобы не работают для того, кто жалуется, они работают только на обогащение сотрудников надзорного органа. Все на безлимитке с абонентской платой.
          • 0
            Да нет, я не раз жаловался успешно.
            Хотя, признаюсь, зачастую и безуспешно.
    • +19
      Какая-то мощная организация этот Роспотребнадзор — контролируют и суицид и перс.данные и зелёный горошек.
      (что за этим стоит?)
    • +11
      В Прокуратуру нужно. Нарушение ФЗ.
  • +15
    ну, данные вы получите, скажем так, не на всех граждан и юриков, а на тех кто намерен(или вынужден) обрабатывать персональные данные и собственно подал на это заявление. Но все равно, неприятно конечно.

    p.s. Вы только сильно не торопитесь жаловаться, я еще парсер не заточил под сайт.
  • 0
    причем всех их можно найти вот здесь: rkn.gov.ru/personal-data/register/
    Другое дело, где гугл нашел прямые линки… хм… Ушел думать.
    • 0
      почта или браузер?
      сомнительно что люди стали бы сами размещать такие ссылки в паблике
    • 0
      google chrome
  • +30
    «Роскомнадзор запретил Роскомнадзор»
    Такой финал меня бы устроил
    • +3
      Это уже пропаганда суицида. Роскомнадзор запретит такое.
      Роскомнадзор запретит роскомнадзору запрещать роскомнадзор.
    • +16
      Имея один Роскомнадзор можно запретить всё, кроме самого Роскомнадзора.
      Имея два Роскомнадзора можно запретить вообще всё!!!
      • 0
        Главное чтобы не было как в Windows 95 с взаимоблокировкой процессов.
        «Роскомнадзор попытался заблокировать другой Роскомнадзор и стал жертвой взаимоблокировки»
  • +2
    Нужно запретить гугл, хакеры с его помощью воруют личные данные граждан!!! sputnik.ru наше всё!
    • +1
      А ещё Google помогает хакерам ломать министерства, которые пароли на своих сайтах в открытом виде выкладывают. Сегодня, кстати, как раз ответ от министерства по этому поводу пришёл, с нарушением срока на 2 недели.
    • 0
      Да да, и духовные скрепы в порядке будут.
    • 0
      Тихо, не подсказывайте идею.
  • 0
    Натыкался на эти линки еще пол года назад. Пришел к выводу, что линков этих в Google не так уж много, да и большая часть данных потом попадает в открытый реестр.
  • +4
    ИМХО стоит добавлять в таких темах упоминание пользователя Ksenzov
    Хоть Максим Юрьевич и обиженный на нашу братию за то… в общем за то, но высока вероятность что ему придет сообщение, и он прокомментирует.
  • 0
    Кажись убрали уже. Сейчас по ссылкам только данные операторов.

    Надо было сразу нотариально заверять скриншоты и писать в Прокуратуру. Потроллить их стоило бы.
  • +3
    Разогнать надо всю это шарагу.

    Давно известно, что большие учреждения, как живые организмы — сами создают себе работу.

    Вместо развития роскомнадзора надо было повышать возможности полиции и прокуратуры, и все проблемы были бы решены. Вместо этого создали кровоточащую рану, которая будет вечно кормить государство и граждан новыми сложностями — просто, чтобы выжить. Зато пиара-то, воплей — на три партии хватит!
    • +3
      надо было повышать возможности полиции и прокуратуры
      Чем они лучше?
      • +1
        Решать эти задачи — их работа. Люди учатся, совершенствуются, развиваются целые институты.

        А «надзоры» и «агентства», как правило, не профессиональны. За доказательствами далеко ходить не надо — они публикуются на этом сайте практически каждый день.
  • +1
    Думаю дорк
    site:rkn.gov.ru inurl:key

    имеет больший охват
  • +11
    Погодите-ка. Так это же значит что они пароли хранят в открытом виде!!!
    • +17
      Так ведь их читать намного удобнее.
    • 0
      … либо используя обратимое шифрование, что почти то-же самое.
  • +1
    В Екатеринбурге персональные данные (вплоть до серии номера и места выдачи) печатают аж на автобусных билетах.
  • +2
    Значит и пароль «сбросьтаблицу» тоже прокатит?
    • +1
      Возможно, с Уральскими Авиалиниями можно тоже попробовать.
      • +1
        А почему Вы решили, что он храниться в открытом виде?
        • 0
          Ну даже если он хранится в обратимимом хэше не особо облегчает мне жизнь.
          • +1
            Ну, он может храниться и в «необратимом хэше» =) Если операция отправки почты и сохранения пароля не разнесены по времени.
            • 0
              Возможно, проверил «восстановление пароля», прислали ссылку на восстановление с токеном, а не пароль.
  • +1
    В случаях, когда известно, кто нарушитель и как нарушил, можно писать не жалобу в Роскомнадзор, а в Прокуратуру заявление о привлечении к административной ответственности по ст. 13.11 КоАП РФ, поскольку только прокуратура может составлять такие протоколы. Если будет отказ, вышлют определение, которое можно будет обжаловать в суде. Можно написать такое заявление и на любой госорган.
  • 0
    Пароль не является «персональными данными» же.
  • 0
    Роскомнадзор отвечает тут по сабжу — что они не при делах.

    Также напоминаем, что логины и пароли для доступа в какие-либо информационные системы не являются персональными данными.
    • 0
      а по этому логину/паролю разве в ЛК не отображаются мои персональные данные?
      • 0
        А это уже неправомерный доступ.
        Т.е. продажа ножа не преступление, а зарезать человека — преступление.
    • –1
      Еще как являются. И данные все можно узнать без проблем
  • 0
    Отдельно логин и пароль не являются персональными данными, как ответил Роскомнадзор, точно также как и номер телефона или адрес не известно кому принадлежащие. В случае, если можно прямо или косвенно соотнести логин и пароль к какому-либо лицу и установить для какого ресурса предназначены, логин и пароль подпадают под определение «Персональные данные» 152-ФЗ и являются персональными данными.
  • –1
    Первая часть статьи — ничего не понял. Листики, пароли. Ну, пароль одинаковый в Сентябре и Октябре 2014 года. Ну, вы меняли пароль в феврале 2013. Как это связано с раскрытием данных?
    • 0
      Смущает то, что они заданный пользователем пароль на бумажной квитанции в открытом виде печатают.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.