Озаботился я одной проблемой,
как в интернет попадают персональные данные о директорах предприятий.
За сегоднящний день я обсуждал эту проблему с несколькими организациями, с нашим уважаемым провайдером и еще.. позвонил в гугл и не называя имен пожаловался на проблему, которая выглядела так:
как в интернет попадают персональные данные о директорах предприятий.
За сегоднящний день я обсуждал эту проблему с несколькими организациями, с нашим уважаемым провайдером и еще.. позвонил в гугл и не называя имен пожаловался на проблему, которая выглядела так:
Почему бы гуглу не прижучить "частное лицо", которое подписалось на гугл-рекламу, на основании нарушения федерального закона "о персональных данных". Если эти сайты существуют только для заработка на рекламе и подбора паролей зарегистрировавщихся, то гугл вправе
отказать "частному лицу" в обслуживании.
В стране существуют ряд федеральных служб, в обязанности которых входит проведение расследований по фактам нарушения закона о персональных данных: ФСБ, ФСТЭК, Минкомсвязь, Роскомнадзор. Кто-то в этой стране выдает провайдерам телематических услуг лицензии, значит можно призвать к ответственности и провайдера, и хостера и регистратора доменов.
Я позвонил в гугл. Со мной разговаривала очень милая девушка, порекомендовала форму взаимодействия с юридическим отделом гугл в Москве. Между делом я сказал, что выловить злоумышленника можно по номеру кошелька интернет рекламы.
В стране существуют ряд федеральных служб, в обязанности которых входит проведение расследований по фактам нарушения закона о персональных данных: ФСБ, ФСТЭК, Минкомсвязь, Роскомнадзор. Кто-то в этой стране выдает провайдерам телематических услуг лицензии, значит можно призвать к ответственности и провайдера, и хостера и регистратора доменов.
Я позвонил в гугл. Со мной разговаривала очень милая девушка, порекомендовала форму взаимодействия с юридическим отделом гугл в Москве. Между делом я сказал, что выловить злоумышленника можно по номеру кошелька интернет рекламы.
Думаю у Гугла и Яндекса достаточно возможностей, чтобы выкинуть всю информацию по этим сайтам из своих баз данных.
Интернет кошелек - это один шаг до злоумышленика, потому что для получения денег нужна прописка, банковский счет или кредитная карта. Мне кажется - это и есть прямой путь до выяснения личности подследственного.
Это список кошельков Google, за которыми есть живые адреса и живые люди, которые наживаются на вываливании в интернет ваших "персональных данных".
И поверьте это очень и очень малое количество людей: может оказаться, что этот человек всего один, остальные не виноваты. Судите сами насколько коррелируют кошельки интернет рекламы и способы регистрации и размещения серверов:
| google_ad_client | сайт |
|---|---|
| ca-pub-2023889461799885 | *.rusprofile.ru |
| ca-pub-2023889461799885 | *.b2b-project.ru |
| ca-pub-4190654857829062 | *.whsls.ru |
| ca-pub-4190654857829062 | comready.ru comready2.ru |
| ca-pub-4190654857829062 | quotecom.ru technau.ru |
| pub-4190654857829062 | *.uwholesale.ru |
google_ad_client = ca-pub-2023889461799885:
| Имена | DNS | reg | IP-адрес сервера. |
|---|---|---|---|
| www.b2b-project.ru | fastvps.ru | r01.ru | 176.9.136.147 |
| www.rusprofile.ru | fastvps.ru | r01.ru | 176.9.136.147 |
Ниже приведены сайты зарегистрированые на кошелек гугл-рекламы
google_ad_client = ca-pub-4190654857829062:
| Имена | DNS | reg | IP-адрес сервера. |
|---|---|---|---|
| aw73.ru | fastvps.ru | reg.ru | 176.9.26.217 |
| aw63.ru | fastvps.ru | reg.ru | 176.9.26.217 |
| *.retransp.ru | fastvps.ru | reg.ru | 176.9.26.199 |
| *.technau.ru | fastvps.ru | reg.ru | 176.9.26.199 |
| *.whotorg.ru | fastvps.ru | reg.ru | 176.9.26.199 |
| *.transpoz.ru | fastvps.ru | reg.ru | 176.9.26.199 |
| commfy.ru | fastvps.ru | reg.ru | 176.9.26.199 |
| comreport.ru | fastvps.ru | reg.ru | 176.9.26.199 |
| rusceo.com
uceo.ru | fastvps.ru | reg.ru | 176.9.26.199 |
| actez.ru | fastvps.ru | reg.ru | 176.9.26.216 |
| commfy78.ru | fastvps.ru | reg.ru | 176.9.26.217 |
| exacom.ru | fastvps.ru | reg.ru | 176.9.26.217 |
| querycom.ru proinf.ru | fastvps.ru | reg.ru | 46.4.78.210 |
| comready.ru comready2.ru | fastvps.ru | reg.ru | 46.4.77.34 |
| *.ralty.ru | fastvps.ru | reg.ru | 46.4.93.69 |
| *.uwholesale.ru | fastvps.ru | reg.ru | 46.4.93.69 |
| *.whsls.ru | fastvps.ru | reg.ru | 46.4.93.69 |
| *.uscience.ru | fastvps.ru | reg.ru | 46.4.93.69 |
| *.scnse.ru | fastvps.ru | reg.ru | 46.4.93.69 |
| *.tnspr.ru | fastvps.ru | reg.ru | 46.4.93.69 |
| comtact.ru | fastvps.ru | reg.ru | 46.4.93.69 |
| quoco.ru relacom.ru maxecom.ru forco.ru | fastvps.ru | reg.ru | 46.4.93.69 |
| *.utransportation.ru | fastvps.ru | reg.ru | 46.4.93.69 |
| egrul-piter.ru | fastvps.ru | reg.ru | 46.4.77.44 |
| infornix.ru | fastvps.ru | reg.ru | 46.4.77.44 |
| bizanaliz.ru | fastvps.ru | reg.ru | 46.4.77.44 |
| spbly.ru | fastvps.ru | reg.ru | 5.9.21.6 |
Я проверил, все указанные IP адреса из обоих списков принадлежат одному хостеру, все сайты лежат на арендованных Веб-серверах одного провайдера: Hetzner Online Ag (Германия, Бавария).
Именно эти коррелаяции: учетная_запись_гугл-DNS-регистратор-Хостер-стиль-актуализация_базы позволяют сделать вывод, что за вываливание этих баз в интернет несет ответственность одно лицо.
Есть еще ряд организаций, например, есть в Москве скандальная контора, DueDeligence, которая единственная в своем роде публикует эти данные в открытом виде, причем с использовнием той же технологии раскрутки сайтов:
ueblog.ru duediligencellc.blogspot.com
*.hush-hush.ru *.hhvssj.ru ddllc.ru duediligencellc.ru
b2bpoisk.ru ddti.ru *.unlimitededition.ru
БИЗНЕСРАЗВЕДКА.РФ org: DUE DILIGENCE
и еще парочка менее ярких:
globalstat.ru org:"First
Independent Rating Agency" ltd.
vzyskanie-dolgov.ru ООО «АС – Консалтинг»
creditnet.ru org: CJSC NATIONAL CREDIT BUREAU Национальное Кредитное бюро
vzyskanie-dolgov.ru ООО «АС – Консалтинг»
creditnet.ru org: CJSC NATIONAL CREDIT BUREAU Национальное Кредитное бюро
Я хочу показать этой статьей, что интернет - это не мусорная куча, очень малое количество людей превращает его в помойку для рекламы.
Сегодня достаточно поймать одного такого злоумышленика, чтобы на долгие годы небыло подобных прецедентов.
Думаете злоумышленику удсться разместить сайт на иностранном хостинге, нет не удасться потому, что на иностранном хостинге он будет использовать кредитную карту. При желании можно объяснить иностранному провайдеру, ссылаясь на его правительство. Вот пецедент
взаимодействия с иностранным государством по вопросам незаконной публикации персональных данных:
http://www.rsoc.ru/news/rsoc/news13901.htm
Согласно закону, а также ряду подзаконных актов и руководящих документов регулирующих органов (ФСТЭК России, ФСБ России, Роскомнадзор), операторы ПД должны выполнить ряд требований по защите персональных данных физических лиц (своих сотрудников, клиентов, посетителей и т. д.) обрабатываемых в информационных системах Компании, и предпринять ряд действий:
- Направить уведомление об обработке персональных данных (Закон № 152-ФЗ Ст. 22 п. 3)
- Получать письменное согласие субъекта персональных данных на обработку своих персональных данных (Закон № 152-ФЗ ст. 9 п. 4)
- Уведомлять субъекта персональных данных о прекращении обработки и об уничтожении персональных данных (Закон № 152-ФЗ ст. 21 п. 4)
Понятное дело, когда я нахожу подобный сайт со своей фамилией мне это может не нравиться, это может мешать бизнесу, это может раскрывать мои доходы при сопоставлении данных, это может создавать угрозу личной безопасности.
На изучении википедии не остановился. Вы привыкли что в базу ЕГРЮЛ надо подавать персональные данные и главного бухгалтера и директора, и думаете, что нормально, когда на заборе пишут про вас эти данные. Мне показалось это не нормальным. Я посмотрел федеральные законы и постановления правительства о порядке публикации данных из ЕГРЮЛ, см http://egrul.nalog.ru
Нашел перечеь полей, которые публикуются в вестнике государствнной регистрации и на оффицальном сайте. Нет там персоанальных данных. Так что утверждение, что эта информация берется из известных источников -- ложь. Существует порядок, по которому оператор персональных данных должен регистрировать свою деятельность и существует порядок взамодействия с субьектом персональных данных.
Приказ Министерства связи и массовых коммуникаций Российской Федерации (Минкомсвязь России) от 14 ноября 2011 г. N 312 г. Москва
"Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных"
http://www.rg.ru/2011/12/14/personal-data-site-dok.html
Об утверждении Административного регламента ФСБ России по исполнению государственной функции по осуществлению государственного контроля (надзора) за выполнением установленных Правительством РФ требований к обеспечению безопасности персональных данных (Кажется, еще не подписан, проект)
Перечень нормативных правовых актов, непосредственно регулирующих проведение проверок:
http://www.rsoc.ru/p582/p585/?special=Y
Кодекс Российской Федерации об административных правонарушениях.
Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных».
Федеральный закон от 26 декабря 2008 г. 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
Федеральный закон от 2 мая 2006 г. 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».
Федеральный закон от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Постановление Правительства Российской Федерации от 17 ноября 2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
Постановление Правительства Российской Федерации от 6 июля 2008 г. 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
Постановление Правительства Российской Федерации от 15 сентября 2008 г. 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Постановление Правительства Российской Федерации от 16 марта 2009 г. 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций».
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» (зарегистрирован Министерством юстиции Российской Федерации 3 апреля 2008 г., регистрационный 11462).
Приказ Министерства связи и массовых коммуникаций Российской Федерации от 7 апреля 2009 г. 51 «Об утверждении Типового положения о территориальном органе Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций» (зарегистрирован Министерством юстиции Российской Федерации 13 мая 2009 г., регистрационный 13919).»
Комментариев нет:
Отправить комментарий