В поисковой выдаче Google отображаются ссылки на сайты, где опубликованы паспортные данные тысяч россиян. Чтобы получить информацию о человеке, достаточно вбить правильный запрос. Daily Storm проанализировал поисковую выдачу и обнаружил паспортные данные советника главы РЖД, известного урбаниста, создателя московского аналога Диснейленда и даже экс-министра обороны Анатолия Сердюкова.
Десятки страниц с паспортами
Чтобы добраться до конфиденциальной информации, не обязательно быть специалистом в области кибербезопасности или хакером — достаточно воспользоваться поисковиком. По запросу «выдан отделением» (строгий запрос с использованием кавычек) Google отображает сайты, на которых размещены паспортные данные тысяч россиян.
Мы проанализировали 100 первых ссылок, выдаваемых Google. Ровно три четверти страниц, на которые предлагал перейти поисковик, оказалась действующими. Из них 58 сайтов — государственные. На них нам удалось обнаружить информацию о 829 гражданах. По подсчетам Daily Storm, в общей сложности в топ-100 индексируемых сайтов Google содержится персональная информация 1057 человек: номера паспортов, адреса прописок, а иногда и более подробные данные, например ИНН, СНИЛС и телефонные номера.
Об алгоритме поиска и нюансах поисковой выдачи можно прочесть в самом конце материала.
Районные администрации. Утечка паспорта экс-главы «Автодора» и Сердюкова
Среди государственных сайтов, как выяснилось, персональные данные чаще всего можно обнаружить на страницах, которые ведут муниципальные учреждения и администрации небольших городов и районов. Это 30 сайтов из 58.
Зачастую разглашение персональных данных на таких страницах — результат неумелого использования офисных программ или банальной лени со стороны исполнителей. Например, в некоторых документах паспортные данные спрятаны при помощи приема «черный текст на черном фоне» в документе Word. Но если скачать файл на компьютер и изменить цвет текста или фона, то можно спокойно просмотреть все, что было скрыто. В таких документах можно найти людей, занимающих высокие посты.
Так, на портале администрации Солнечногорского муниципального района Московской области нашлись паспортные данные и адрес прописки бывшего главы «Автодора», а ныне советника гендиректора ОАО «Российские железные дороги» Олега Белозерова — Сергея Кельбаха.
Но оказалось, что вопрос раскрытия персональной информации экс-главу «Автодора» волнует не сильно. «Ну и что?» — заявил Кельбах корреспонденту Daily Storm, когда узнал, что подмосковные чиновники слили в Сеть его паспортные данные.
В числе скомпрометированных персон нам удалось найти бывшего министра обороны Анатолия Сердюкова. Его паспортные данные мы обнаружили в одном из протоколов собрания ТСЖ «Грюнвальд». Сам документ опубликован на сайте территориального управления «Заречье» Московской области.
«Грюнвальд» — это элитный жилой комплекс, который находится неподалеку от технопарка «Сколково». О том, что Сердюков является его соучредителем, неоднократно писали в прессе, так как он вошел в состав ТСЖ еще в 2008-м.
Сам протокол собственников датирован 31 августа 2011 года. В нем раскрыта серия и номер паспорта бывшего министра и его место прописки — Санкт-Петербург (точный адрес мы не называем в целях сохранения конфиденциальности героя публикации).
Паспортные данные Сердюкова могут быть актуальными. Сейчас бывшему чиновнику 57 лет. Документы меняют при достижении 20 и 45 лет, поэтому последний раз экс-министр обороны должен был сменить паспорт в 2007 году. Однако, как следует из опубликованной информации, бывший министр мог заменить документ еще в 40 лет — в 2002 году. Помимо Сердюкова в протоколе ТСЖ «Грюнвальд» доступны данные семи десятков человек.
Крупные подрядчики московской мэрии
Кельбах — не единственный бизнесмен, информацию о котором нам удалось найти в открытой поисковой выдаче. В числе скомпрометированных попал предприниматель Амиран Муцоев, совладелец группы «Регионы» и холдинговой компании «Остров мечты».
Последняя строит в Москве одноименный парк развлечений стоимостью полтора миллиарда долларов: за эти деньги на территории Нагатинской поймы планируют возвести российский аналог Диснейленда.
На сайте ФАС была опубликована копия постановления об административном правонарушении, где фигурировал застройщик парка — ООО «ХК «Остров мечты». Вместе с юридическим лицом в документе упоминались и ее совладельцы — Амиран Муцоев и его брат Алихан.
Вероятно, перед публикацией документа специалисты ФАС забыли удалить часть информации, и сейчас в открытом доступе — серии и номера паспортов, а также места прописки бизнесменов.
Представители Муцоевых не смогли прокомментировать Daily Storm информацию об утечке паспортных данных.
Самые крупные сливы
В нашем списке сайтов — разносчиков персональных данных оказались страницы пяти учебных заведений. Они стали лидерами по объемам утечек в госструктурах — на них приходится 266 человек из 829. Первый и второй номера в этом списке — Омский государственный технический и Ставропольский государственный медицинский университеты.
Учебные заведения публиковали информацию целыми архивами. ОмГТУ разместил персональные данные 100 человек, а СтГМУ — 154. В последнем случае архив представляет из себя таблицу Excel, где указана точная информация о родителях студентов: их прописка, фактическое место жительства, серия и номер паспорта, мобильные телефоны и даже место работы.
Подлинность размещенной информации Daily Storm подтвердили несколько человек, чьи данные фигурируют в таблице. При этом некоторые собеседники издания не увидели в публикации ничего плохого, другие, наоборот, были неприятно удивлены «находкам» журналистов.
«У меня там ребенок учится. Эта публикация для меня — новость, и я, конечно, шокирована. Телефон-то ладно, но паспортные данные…» — говорит Daily Storm один из собеседников.
Хотя сайты госструктур с отрывом лидируют по объему раскрываемой персональной информации, сведения о паспортных данных россиян нам удавалось находить и на «частных» сайтах. Так, 17 из 75 ресурсов принадлежат негосударственным организациям. По подсчетам Daily Storm, индексируемые в топ-100 Google «частные» сайты хранят информацию о 228 россиянах.
Павел Гнилорыбов на Госзакупках
Госзакупки — еще один источник утечек персональных данных. Мы не включили портал в общую статистику, так как Google плохо индексирует этот сайт. Однако искать опубликованное на портале тоже можно через поисковик — для этого мы добавили к запросу слово «госзакупки» (запрос вводится в кавычках).
По первым 20 ссылкам доступны паспортные данные 65 человек. В 37 случаях это полные данные: серия и номер паспорта, прописка. В основном на портале закупок размещается информация о подрядчиках различных государственных организаций. В их числе мы нашли исполнителя по договору с «Москва Медиа» — журналиста Павла Гнилорыбова.
Опубликованный на сайте документ содержит не только паспортные данные Гнилорыбова, но и его ИНН, СНИЛС, адрес и телефон.
«Насколько я понимаю, это чаще всего встречается в текстовых документах, которые сопровождают те или иные государственные закупки. Это неприятно. Хотелось бы, чтобы закон о персональных данных соблюдался, но мы живем в те времена, когда особенности частной жизни, и в особенности некоторые персональные данные, при желании становятся доступны. Я сам неоднократно сталкивался с таким в отношении своих друзей, теперь вы меня с этим столкнули. Отношусь к этому с некоторой неприязнью, но понимаю, что дальше будет только хуже», — рассуждает Гнилорыбов в беседе с Daily Storm.
Он отмечает, что не планирует предпринимать каких-либо действий для удаления данных из открытого доступа.
Мнение Роскомнадзора
Пресс-секретарь Роскомнадзора Вадим Ампелонский рассказал Daily Storm, что надзорное ведомство в курсе сложившейся ситуации с публикацией персональных данных.
«Очень часто люди сами выкладывают в открытый доступ информацию — обмениваются ею в мессенджерах, пересылают по почте. Сейчас законодательство не унифицировано, и часто персональная информация должна размещаться на сайтах муниципалитетов, на госзакупках, но с точки зрения здравого смысла ее могло бы и не быть», — считает Ампелонский.
Он добавляет, что закон о персональных данных предусматривает исключения для ситуаций, когда информация выкладывается для отчетности. Поэтому говорить о правомерности публикации персональных данных можно, только изучив все обстоятельства, при которых они были размещены.
Специалисты в области безопасности персональных данных
Технический директор и основатель «Роскомсвободы» Станислав Шакиров заявил Daily Storm, что открытая публикация паспортных данных — преступление, которое должно наказываться соответствующим образом. Другое дело, что в России контролем за такой утечкой не занимается ни одно ведомство.
«Формально за это должен отвечать Роскомнадзор, но фактически непосредственно защитой персональных данных Роскомнадзор не занимается», — поясняет Шакиров.
Он подчеркивает, что в странах, где механизм защиты персональных данных работает, такие публикации караются большими штрафами, увольнениями и другими наказаниями.
«В России персональные данные часто публикуются сайтами государственных органов — по глупости или раздолбайству, но Роскомнадзор на это не реагирует», — заключает представитель «Роскомсвободы». По словам Шакирова, мошенники могут использовать данные паспортов для получения кредитов.
Как мы искали данные
Мы искали информацию в режиме «инкогнито» (чтобы максимально «обезличить» компьютер), вводя в поисковой строке «выдан отделением». В работу взяли первые 100 результатов, исключив продублированные.
Из двух самых популярных в РФ поисковиков мы выбрали Google, так как он индексирует паспортные данные лучше «Яндекса». Отечественный поисковик в большинстве случаев выдавал страницы с примерами оформления анкет, шаблоны и ссылки на СМИ.
Результаты поиска и подсчетов у тех журналистов и читателей, кто захочет повторить опыт Daily Storm, могут оказаться немного отличными от наших — алгоритм поисковой выдачи на разных компьютерах работает по-разному даже в режиме «инкогнито».