Данные пользователей «Московской электронной школы» попали в сеть

В сети распространяется информация о крупнейшей за последние годы утечке из инфраструктуры Московской мэрии. В свободном доступе, предположительно, оказался архив на 17 млн строк с персональными данными (ФИО, СНИЛС, номер телефона, дата рождения, адрес электронной почты), пользователей «Московской электронной школы» (МЭШ). В сентябре текущего года МЭШ уже подвергалась хакерской атаке и не работала несколько дней. В самой мэрии утечку отрицают, а эксперты допускают, что база могла быть скомпилирована из других утечек данных, случавшихся в текущем году. Но если инцидент подтвердится, мэрии грозит штраф до 100 тыс. руб.

Сегодня сразу несколько Telegram-каналов, специализирующихся на поиске скомпрометированной информации, сообщили об утечке данных из системы МЭШ. Так, по данным канала «Утечки информации», в свободном доступе оказался архив МЭШ, содержащий персональные данные столичных учителей, школьников и их родителей. База содержит 17 млн строк данных, в том числе ФИО, мобильные телефоны, даты рождения, адреса электронной почты, СНИЛС и так далее. Канал Data1eaks добавляет, что архив актуален на август 2021 года и в нем есть 3,3 млн уникальных номеров сотовых телефонов пользователей.

Сотрудники одной из компаний в сфере информационной безопасности по просьбе «Ъ» ознакомились с базой данных и проверили информацию из нее на предмет соответствия действительности.

Специалисты компании сообщили «Ъ», что персональные данные с привязкой к номеру телефона как минимум четырех сотрудников были обнаружены в этой базе.

В департаменте информационных технологий (ДИТ, выступает оператором МЭШ) Москвы «Ъ» заявили, что «опубликованные материалы не имеют отношения к реальным данным пользователей “Московской электронной школы”»: «Сервисы МЭШ работают в штатном режиме, данные пользователей находятся под защитой».

В Роскомнадзоре «Ъ» сообщили, что проверяют информацию о возможной утечке данных.

В сентябре сервера МЭШ подверглись серьезной хакерской атаке: с 17 по 20 сентября часть сервисов системы были недоступны для пользователей. Официально мэрия связывала сбои с техническими работами, но источники «Ъ» на рынке кибербезопасности утверждали, что сервис подвергся DDoS-атаке и атаке вирусов шифровальщиков, из-за чего было зашифровано два сервера.

Это не первый за последние несколько лет инцидент крупной утечки данных из инфраструктуры мэрии. В декабре 2020 года в свободном доступе оказались данные более 100 тыс. пациентов московских больниц, переболевших коронавирусом. ДИТ тогда подтвердил утечку, назвав ее причиной «человеческий фактор».

Как считает руководитель направления «Разрешение IT & IP-споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле, в рассматриваемом случае, вероятно, речь идет не только об утечке персональных данных, но и о невыполнении обязанности по обезличиванию персональных данных согласно приказу Роскомнадзора. В соответствии с действующей редакцией закона о защите персональных данных мэрия должна уведомить Роскомнадзор о происшедшей утечке, добавляет он: «В настоящий момент какой-либо серьезной ответственности за нарушение порядка обработки и хранения персональных данных законодательство не содержит. Речь ведется о штрафе до 100 тыс. руб.».

Никита Королев, Юлия Тишина, Татьяна Исакова