В открытый доступ попали персональные сведения, предположительно, из базы данных НБКИ. Об утечке 14 марта сообщили два профильных телеграм-канала: «Data1eaks | Утечки баз данных» и «Утечки информации». Файл с персональными данными содержит без учета дублирующих строк 42 млн записей и 18,6 млн уникальных номеров телефонов. Сведения, опубликованные в пробнике, относятся к 2024 году, в них также указаны: полные имена, даты рождения, реквизиты документа, телефонные номера, суммы кредита, город и регион.
В Национальном бюро кредитных историй «Телеспутнику» опровергли информацию об утечке. Позднее пресс-служба НБКИ распространила официальное заявление. «Бюро провело внутреннее расследование, включающее анализ опубликованной информации. Его результаты подтвердили, что основания считать источником утечки АО “НБКИ” отсутствуют. Для всех очевидно намеренное использования авторами слива известного бренда в качестве источника данных, желание словить на этом определенный хайп», — подчеркнули в компании.
При этом представители НБКИ отметили, что «это не означает, что появившиеся в открытом доступе данные являются ложными». Также в организации добавили, что степень защиты информации у компаний-посредников, участвующих в системе розничного кредитования, «не всегда соответствует установленным требованиям». Таким образом был сделан намек на то, что информация могла попасть на черный рынок персональных данных через микрофинансовую организацию, кредитора, кредитного брокера, агрегатора данных или лидогенератора.
В сервисе разведки уязвимостей, утечек данных и мониторинга мошеннических ресурсов в даркнете DLBI предположили, что информация была выгружена хакером из микрофинансовой организации (МФО) и она не была ни поддельной, ни склейкой или компиляцией. По их словам, точная дата выгрузки — 4 февраля 2024 года.
«Опубликованный фрагмент данных (499 тыс. строк) является частью полного дампа (снимок информации, — прим. ред.), содержащего заявки на онлайн-займы, которые потенциальные клиенты нескольких МФО оставляют через один из сайтов. Данные в этом полном дампе и в опубликованном фрагменте характеризует то, что они хранятся именно в том виде, в котором их вводили сами пользователи — без какой-либо валидации со стороны сервиса», — говорится в сообщении телеграм-канала «Утечки информации», который принадлежит DLBI.
По правилам Центробанка РФ, микрофинансовые организации и кредитные брокеры запрашивают сведения из НБКИ для оценки платежеспособности клиентов. Согласно информации телеграм-канала «Утечки информации», в феврале 2024 года в Сети появлялась информация о сливах в двух микрофинансовых организациях.
НБКИ с 2005 года занимается сбором, хранением и предоставлением записей о кредитах, сведенных в кредитные истории. В 2022-м в государственный реестр бюро кредитных историй включена информация о признании бюро кредитных историй АО «НБКИ» квалифицированным. В бюро содержится 600 млн записей о кредитах, 100 млн заемщиков в базе, 4500 кредиторов-партнеров.
В «Лаборатории Касперского» и F.A.C.C.T. на запрос «Телеспутника» не ответили.
По словам старшего юриста практики разрешения споров юридической компании «ССП-Консалт» Анны Ермолаевой, организации, допустившие утечку персональных данных, несут административную ответственность на основании части 1 статьи 13.11 КоАП РФ. Таким образом, максимальный размер штрафа для юрлиц составит до 100 тысяч рублей, при повторном совершении административного правонарушения — до 300 тысяч рублей.
Кроме этого, сам факт допущения утечки персональных данных дает гражданам как потребителям право на защиту их нарушенного права. При доказанности вины организации, допустившей утечку, гражданин вправе рассчитывать на взыскание в судебном порядке компенсации морального вреда, независимо от наличия имущественного ущерба, а в случае, если такая утечка привела к возникновению у гражданина убытков — и их возмещения. Возможна также подача коллективного иска, либо со стороны истцов может выступить Роскомнадзор, отметила Анна Ермолаева.
Судебная практика по таким спорам активно формируется в связи с участившимися эпизодами утечки охраняемых законом данных. Так, в результате утечки у сервиса «Яндекс.Еда» компания выступает в качестве ответчика как минимум по двум коллективным искам потребителей, а несколько индивидуальных исков уже прошли стадию апелляционного обжалования, где решения о присуждении потребителям компенсации морального вреда были оставлены в силе. Также коллективный иск подан гражданами по эпизоду утечки данных у сервиса экспресс-доставки СДЭК.
«С учетом правовой действительности РФ, говорить о высоком размере компенсации морального вреда для данной категории дел не приходится. Однако именно поэтому важно, чтобы истцы при подаче подобных исков способствовали формированию единообразия требований в вопросе оценки размера причиненного им ущерба, поскольку иски с невысоким размером требований будут снижать шансы на взыскание более высоких сумм по заявлениям остальных потребителей», — добавила Анна Ермолаева.
В «ССП-Консалт» считают, что усиление мер административного наказания позволит обратить внимание операторов персональных данных — представителей крупного, среднего и малого бизнеса — на необходимость серьезнее отнестись к информационной безопасности своих предприятий, направить на это часть своих ресурсов.
23 января депутаты Государственной Думы приняли в первом чтении поправки в Кодекс об административных правонарушениях и Уголовный кодекс об усилении ответственности за утечку персональных данных. Эти законопроекты вводят оборотные штрафы для компаний, допустивших утечку личной информации граждан. Они будут составлять до 3 % выручки. Кроме того, предусмотрена уголовная ответственность.
За нарушение, допущенное впервые, должностных лиц могут оштрафовать на сумму до 2 млн рублей, юридических — до 15 млн рублей. Размеры штрафов дифференцированы в зависимости от масштаба утечек. Одновременно вводится уголовная ответственность за использование, передачу, сбор и хранение персональных данных, полученных незаконным путем, а также за создание информационных ресурсов, распространяющих такие данные. Максимальный срок лишения свободы предусмотрен до 10 лет. Законопроект еще находится на рассмотрении в Госдуме.