Слив базы «Гемотеста» приведет к волне шантажа. Важно вспомнить о безопасности и забыть о стереотипах
Эксперт РОЦИТ Парфентьев: нужно отказаться от цифровизации чувствительных данных
В даркнет попала база данных сети медицинских лабораторий «Гемотест». По некоторым данным, мошенники продают более 30 миллионов строк персональных данных россиян — от имен и адресов до номеров документов и результатов анализов. Специалисты посоветовали быть внимательнее к подозрительным звонкам и сообщениям и вспомнить о правилах цифровой гигиены.
В интернете выставили на продажу базу данных медицинской лаборатории «Гемотест». Об этом сообщил сервис поиска утечек и мониторинга даркнета DLBI (Data Leakage & Breach Intelligence).
Сначала появилась информация о базе более чем с 30 миллионами строк, где указаны полные паспортные данные, включая серийные номера документов, а также адреса, номера телефонов, электронные почты и даже результаты анализов, за которыми пациенты обращались в лаборатории.
Данные якобы могли «утечь» из-за уязвимости в IT-системе медицинской лаборатории. При этом, по данным DLBI, база могла быть выгружена в конце апреля, в таком случае уязвимость в системе «Гемотеста» все еще может оставаться открытой.
Позднее появилось сообщение о второй базе данных пациентов «Гемотеста» — более чем на 500 миллионов строк. В них информация якобы восходит еще к 2012 году. В «Гемотесте» заявили, что уже начали собственное внутреннее расследование, и пообещали ужесточить технические меры безопасности.
Приготовиться к мошенническим атакам
Координатор Центра безопасного интернета, ведущий аналитик РОЦИТ Урван Парфентьев объяснил «360», что такие данные мошенники могут использовать самыми разными способами. Самый безобидный из них, по мнению эксперта, уточнение рекламных кампаний через полученные данные, в том числе и о медицинских запросах.
«Как максимум данные могут использовать для вымогательства, шантажа. Например, [если человек захочет] скрыть некую информацию о социально резонансных диагнозах — допустим, о том же ВИЧ. Либо просто о факте, что человек обращался за проведением анализа — дескать, если обращался, тебе есть что скрывать», — сказал Парфентьев.
Стоит приготовиться и к активизации уже привычных телефонных мошенников, которые могут представляться сотрудниками банков, а также правоохранительных органов. Не стоит забывать и про мошенничество в интернете — в том числе при регистрации на различных сайтах и при переходах по фишинговым ссылкам.
«Стоит очень внимательно относиться к тому, что происходит вокруг у вас. Если у вас есть предположение, что кто-то пытается провести некую потенциально мошенническую операцию в отношении вас, конечно, сразу же нужно на это реагировать. Например, уведомлять тот же банк. Но не по тем координатам, которые вам прислали мошенники, а по тем, которые вы возьмете с сайта банка», — подчеркнул он.
Также специалисты напомнили о том, что сотрудники полиции не звонят гражданам, а в случае необходимости присылают официальную повестку. Также и сотрудники служб безопасности банков никогда сами не связываются с клиентами финансовых организаций.
При этом главный вывод из очередной утечки данных, по мнению Парфентьева, должны сделать законодатели. Эксперт подчеркнул, что им стоит задуматься о необходимости хранения подобных чувствительных данных в необезличенном формате в целом.
Тотальная цифровизация в таких вопросах, по словам Парфентьева, не оправдана и несет больше рисков для россиян, чем какой-либо пользы.
Компенсация маловероятна
Роскомнадзор уже направил в прокуратуру запрос о проведении проверки. В ведомстве отметили, что пострадавшие от утечки могут требовать от виновного компенсации как в судебном, так и в досудебном порядке. Однако, по словам юриста Андрея Лухина, этот процесс может оказаться проблематичным, если конкретное ответственное за утечку лицо не будет установлено.
«Если это окажется, допустим, какой-то конкретный сотрудник, благодаря которому данная информация была слита, либо какая-то очевидная дыра в безопасности, то решение суда будет достаточно легко — потому что будет виновный, в отношении него будет приговор, соответственно, можно будет взыскивать с него убытки», — объяснил он.
Однако даже если виновника поймают и осудят, не факт, что пострадавшие смогут получить компенсацию, так как у человека может просто не оказаться денег для выплат.
«С другой стороны, если это была какая-то целенаправленная хакерская атака и компания сделала все возможное для защиты персональных данных, тем не менее она была получена кем-то, допустим, за границей, будет значительно сложнее привлечь кого-то к ответственности, потому что как минимум нужно будет установить, кто это сделал», — заключил юрист.
Важно помнить
В числе прочего, по некоторым данным, мошенники заполучили и информацию о результатах анализов россиян на ВИЧ. Некоторые специалисты уже предполагают, что этой информацией мошенники могут воспользоваться, например, для шантажа.
В таком случае, по словам Лухина, стоит сразу же обращаться в полицию — за распространение незаконно обнародованных сведений о частной жизни человека можно привлечь к ответственности.
Также россиянам стоит вспомнить и базовую информацию о ВИЧ, которую должен знать каждый. Например, что ВИЧ не передается при разговоре, поцелуях, а также через рукопожатия, объятья и бытовые предметы.
Получить вирус иммунодефицита человека можно только через незащищенный половой контакт, при переливании крови или грудном вскармливании, а также при использовании одних предметов личной гигиены, например зубных щеток.
При этом важно помнить, что ВИЧ-положительные родители могут дать жизнь здоровому ребенку.