В МГТС масштабная утечка персональных данных

На сайте МГТС произошла утечка персональных данных. В открытый доступ попали резюме кандидатов, претендовавших на работу в компании.

Оператор «Московская городская телефонная сеть» (МГТС) допустил утечку данных с собственного сайта. Специалисты по информационной безопасности заметили, что в результатах поисковых запросов на сайте МГТС (mgts.ru) по некоторым фамилиям находится большое число резюме соискателей, а также информация о сотрудниках компании. По словам Дениса Зенкина, директора по маркетингу Perimetrix, система поиска сайта выводит не только персональные данные сотрудников и кандидатов, но и документы, возможно, представляющие коммерческую тайну.

«Названия файлов говорят о наличии в них сведений о бизнес-планах, коммерческих предложениях, сведений об эмиссии ценных бумаг, внутренних нормативных документов, - рассказывает Зенкин. - Инцидент оставляет много открытых вопросов. Как долго сведения находились в общем доступе? Какие из перечисленных данных действительно представляли конфиденциальные сведения? Как это случилось?». «Персональные данные сотен кандидатов на трудоустройство в компанию МГТС были опубликованы в прямом доступе по меньшей мере с начала года», - говорит Рустэм Хайретдинов, заместитель генерального директора InfoWatch.

По словам Ильи Шабанова, управляющего партнера Anti-Malware.ru, у МГТС произошла классическая утечка персональных данных через корпоративный сайт. Причиной утечки, по его словам, стала «простая халатность ответственных лиц и пренебрежение элементарными нормами работы с персональными данными». Точный объем утечки не известен, но по оценке Дениса Зенкина в открытом доступе оказались несколько тысяч резюме. Илья Шабанов говорит о нескольких сотнях файлов.

По запросу "Иванов" поиск на сайте МГТС показывает не одну страницу доступных резюме

В пресс-службе МГТС на момент обращения CNews оказались не в курсе проблемы. В ответ на просьбу прокомментировать ситуацию, был получен следующий ответ: "Уважаемые коллеги, то, что вы приняли за конфиденциальную информацию - это лишь часть старых архивов МГТС. Все документы, попавшие в архив, когда-то размещались в открытом доступе на сайте и в данный момент представляют лишь исторический интерес. В резюме не содержится ни адресов, ни паспортных данных и наличие их на сайте говорит только о том, что некий человек хотел в некий период времени устроиться на работу в МГТС. Все данные сайта публичны и ни в коем случае не стыкуются с внутренними информационными ресурсами компании. Равно как публична информация об эмиссиях компании".

Соискатели, с которыми удалось связаться CNews, получив номера их мобильных телефонов из размещенных на сайте МГТС резюме, сообщили, что не давали свое согласие на публикацию их резюме в открытом доступе и не знали о том, что эта информация была доступна с сайта МГТС. «Любой человек должен быть защищён от произвола, когда любая персональная информация будет доступна всем желающим без его согласия, - говорит Рустэм Хайретдинов. - Оставляя свои данные в какой-то государственной или коммерческой организации, мы должны быть уверены, что они не будут переданы каким-то третьим лицам без нашего согласия, например, для коммерческих или криминальных целей».

"В отношении персональных данных произошло раскрытие информации, на которое, очевидно, не было получено разрешения соответствующих физических лиц - обладателей этих данных, что, в общем случае, может являться нарушением ФЗ "О персональных данных", - комментирует Виктор Наумов, партнер юридической фирмы Salans. - Помимо нарушения режима конфиденциальности персональных данных возникает вопрос о том, имело ли место правонарушение, связанное с нарушением неприкосновенности частной жизни. Ответ на него зависит от содержания информации, а также действий (или бездействия) ответственных лиц, которые допустили данный случай".