На днях в даркнете опубликовали данные более тридцати миллионов клиентов сети лабораторий “Гемотест”: результаты анализов крови и мочи на венерические заболевания — вместе с именами и номерами телефонов. Специалисты по IT-безопасности указывают: персональная информация в России защищена из рук вон плохо. В случае утечки компания выплачивает копеечный штраф, а пострадавшие даже не знают, куда обращаться. РИА Новости разбиралось в ситуации.
Медицинская тайна на продажу
О сливе сведений о клиентах одной из крупнейших лабораторий страны стало известно 3 мая — первым об этом написал Telegram-канал, специализирующийся на утечках информации. Как рассказал РИА Новости создатель ресурса Ашот Оганесян, на одном из теневых форумов для продажи выложили базу с фамилиями, адресами, номерами паспортов и телефонов клиентов медучреждения. Всего 31 миллион строк.
В тот же день другой пользователь начал предлагать уже результаты анализов “Гемотеста”, которые проводили с 2012-го — в базе не меньше 550 миллионов строк. В скрине, прикрепленном “поставщиком” в качестве примера, помимо исследований мочи и крови, есть данные о заболеваниях, передающихся половым путем, в частности хламидиозе. Также, по сообщениям СМИ, в Сеть выгрузили и тесты на ВИЧ.
Посетитель у стойки регистрации в медицинской лаборатории “Гемотест” в Москве
За доступ к массиву информации киберпреступники просили от полутора до двух миллионов рублей. Как предполагает Оганесян, возможность выкачать базы появилась у хакеров благодаря уязвимости лабораторного ПО.
В “Гемотесте” сразу начали служебное расследование, лаборатория усилила меры по защите персональной информации. Роскомнадзор обратился в прокуратуру с запросом о проведении проверки. Но, несмотря на это, спустя три дня после слива данных базы все еще продавали. И предложений стало даже больше.
Пострадавшим — по 10 тысяч
За последние три месяца это не первый случай утечки персональной информации из крупной компании. Сервис “Яндекс.Еда” 1 марта заявил, что хакеры выложили в Сеть имена, фамилии, адреса и телефоны тысяч заказчиков. В качестве причины тогда назвали “недобросовестные действия одного из сотрудников”. Роскомнадзор ограничил доступ к ресурсу, где торговали базой, в конце апреля суд оштрафовал компанию на 60 тысяч рублей. Впрочем, юристы говорят, что подобное наказание для конторы такого уровня — чистая формальность.