Подробные персональные данные пользователей сайтов оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru неопределённое время находились в открытом доступе, сообщили D-Russia.ru в российской компании Devicelock, производителе средств защиты от утечек информации Devicelock DLP.
«В доступе оказались все подробности платежей: номер постановления о штрафе, государственный номерной знак автомобиля, номер исполнительного производства при платеже на сайте службы судебных приставов, первые и последние цифры банковских карт, через какой платёжный сервис произведена оплата и пр.», — говорит основатель и технический директор DeviceLock Ашот Оганесян.
Число записей о платежах Оганесян оценивает в сотни тысяч. Только в один случайно выбранный день апреля открытыми оказались сведения о 40 тысячах платежей.
Утечка случилась по вине казанской компании ООО «Простые платежи», разработчика программного обеспечения для приёма онлайн-платежей. Это ПО, как выяснилось, регистрирует в журналах («логах») все без исключения данные пользователей, даже если платёж завершился неудачно. Эти данные конфиденциальны, однако хранятся на серверах ООО «Простые платежи» без соблюдения каких бы то ни было мер предосторожности.
Для доступа к данным не требовался ни пароль, ни даже специальное ПО, было достаточно браузера и IP-адреса серверов. Излечение данных обеспечивала свободно распространяемая поисковая машина Elasticsearch.
После извещения Devicelock DLP об утечке ООО «Простые платежи» убрала логи с персональными данными граждан РФ из открытого доступа, не информировав общественность о случившемся.
[…] персональных данных пользователей сайтов оплатагибдд…, содержащих все подробности платежей: номер […]