РЖД допустили утечку информации о более чем 1,3 млн участников программы «РЖД бонус». Файл с базой данных сотрудники компании оставили прямо в корневом каталоге сервера этой программы, и он получил очень широкое распространение в интернете.
В интернете оказались персональные данные 703 тыс. из 732 тыс. сотрудников РЖД. Через несколько часов администратор сайта, опубликовавший эти данные, закрыл к нему доступ, но это вряд ли помешает их дальнейшему распространению
После появления информации об утечке персональных данных более 700 тыс. сотрудников «Российских железных дорог» (РЖД) объявили о начале проверки, сообщил представитель компании. «Готовятся материалы для передачи в правоохранительные органы», — добавил он. Представитель РЖД заверил, что персональные данные пассажиров похищены не были: «Система продажи билетов имеет защиту персональных данных высокой степени надежности».
Информация о 703 000 сотрудников ОАО «Российские железные дороги» оказалась в открытом доступе. Компания в этой связи намерена обратиться в правоохранительные органы.
Фамилия, имя, отчество, дата рождения, адрес, страховой номер индивидуального лицевого счёта (СНИЛС), фотография, должность в системе РЖД и номер телефона — такие сведения можно было получить из опубликованной в интернете базы данных, которую обнаружил пользователь Habr ashotog.
Точный источник данных до сих пор не установлен, но отмечается, что им могла быть служба безопасности РЖД. На это указывает формат фотографий — такого типа снимки используются для оформления пропусков сотрудников РЖД.
При этом автор поста, который обратил внимание на утечку персональных данных, сомневается, что даже блокировка сайта, на котором были обнаружены сведения, Роскомнадзором поможет остановить распространение информации.
«По моим прогнозам, данная “база РЖД” появится в открытом доступе в виде Excel-файла и/или в формате “Кронос” в течение одного-двух дней», — подчеркнул ashotog.
27 августа 2019 в 00:23
Утечка персональных данных предположительно сотрудников ОАО «РЖД»
Неизвестные, опубликовали в свободном доступе персональные данные 703,000 человек, предположительно сотрудников ОАО «РЖД».
На сайте (ссылку на сайт не привожу специально) есть надпись: “Спасибо ОАО РЖД за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников.”
Среди свободно доступных данных:
Откуда произошла утечка — неизвестно, но есть предположение, что это база данных службы безопасности. Судя по формату фотографий, это снимки на пропуска.
По моим прогнозам, данная «база РЖД» появится в открытом доступе в виде Excel-файла и/или в формате Кронос в течение одного-двух дней.
Т.е. даже если Роскомнадзор прикроет доступ к сайту, на котором размещены страницы с персональными данными, то это никаким образом не повлияет на доступность уже утекших данных.
Новости про утечки информации и инсайдеров всегда можно найти на моем Telegram-канале «Утечки информации».
досье №1037739877295 от 13.07.2023
Краткое досье
ОТКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО “РОССИЙСКИЕ ЖЕЛЕЗНЫЕ ДОРОГИ”
Обратите внимание
Полное наименование организации: ОТКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО “РОССИЙСКИЕ ЖЕЛЕЗНЫЕ ДОРОГИ”
Место нахождения: 107174, г. Москва, ул. Новая Басманная, 2/1 стр. 1
Вид деятельности: Деятельность железнодорожного транспорта: грузовые перевозки (код по ОКВЭД 49.20)
Статус организации: коммерческая, действующая
Организационно-правовая форма: Непубличные акционерные общества (код 12267 по ОКОПФ) (до 29.09.2022 – Публичные акционерные общества)
Регистрация в Российской Федерации
Организация ОТКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО “РОССИЙСКИЕ ЖЕЛЕЗНЫЕ ДОРОГИ” зарегистрирована в едином государственном реестре юридических лиц 19 лет назад 23 сентября 2003.
Средний возраст юридических лиц для вида деятельности 49.20 “Деятельность железнодорожного транспорта: грузовые перевозки” составляет 7 лет. Данная организация уже существует дольше.
Налоговый орган, в котором юридическое лицо состоит на учёте: Инспекция Федеральной налоговой службы № 8 по г. Москве (код инспекции – 7708).
Регистрационный номер в ПФР: 087106025890 от 23 июня 2004 г.
Регистрационный номер в ФСС: 773801400177381 от 24 сентября 2003 г.
Чем занимается организация, виды деятельности
Основной вид деятельности организации: Деятельность железнодорожного транспорта: грузовые перевозки (код по ОКВЭД 49.20).
До 25.05.2021 основным видом деятельности организации значился “Деятельность железнодорожного транспорта: междугородные и международные пассажирские перевозки” (код по ОКВЭД 49.1).
Дополнительно организация заявила следующие виды деятельности:
Организация включена в реестр зарегистрированных средств массовой информации Роскомнадзора как учредитель (соучредитель) следующих СМИ:
ОАО “РЖД” имеет лицензии на право заниматься следующими видами деятельности:
Организация имеет 82 зарегистрированных товарных знака: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , .
Организация включена в реестр Роскомнадзора как оператор, осуществляющий обработку персональных данных.
Где находится ОАО “РЖД”, юридический адрес
ОАО “РЖД” зарегистрировано по адресу: 107174, г. Москва, ул. Новая Басманная, 2/1 стр. 1. (показать на карте)
Филиалы и представительства
Организация имеет 57 филиалов и 7 представительств, находящихся по адресам:
Ранее у организации имелись обособленные подразделения по следующим адресам:
Кто владелец (учредитель) организации
Поскольку организация является акционерным обществом, список акционеров в ЕГРЮЛ не содержится. Для получения выписки из реестра акционеров следует обратиться к регистратору АО “СТАТУС”.
Данные об учредителях ОАО “РЖД” на 13.07.2023 в ЕГРЮЛ отсутствуют; ранее учредителем значился:
Кто руководит ОАО “РЖД”
Руководителем организации (лицом, имеющим право без доверенности действовать от имени юридического лица) с 28 августа 2015 г. является генеральный директор-председатель правления Белозёров Олег Валентинович (ИНН: 781306504007).
Кем руководит и владеет организация (числится учредителем)
На данный момент ОАО “РЖД” значится учредителем в следующих организациях:
В прошлом организация числилась учредителем в:
Финансы организации
Уставный капитал ОАО “РЖД” составляет 3,2 трлн руб.
До 31.03.2023 уставный капитал составлял 3 трлн руб., до 15.12.2022 – 3 трлн руб., до 01.09.2022 – 2,7 трлн руб.
Облигации (58 выпусков) ОАО “РЖД” торгуются на Московской бирже.
Чистые активы ОАО “РЖД” по состоянию на 31.12.2021 составили трлн руб.
Результатом работы ОАО “РЖД” за 2021 год стала прибыль в размере млрд руб. Это в раза больше, чем в 2020 г. Обратите внимание, данные о финансовых результатах приведены за 2021 год; за 2022 год данные отсутствуют.
Организация не применяет специальных режимов налогообложения (находится на общем режиме).
Полная информация о составе имущества и обязательств организации, финансовых результатах доступна в бухгалтерской отчетности ОАО “РЖД”.
Организация не имела налоговой задолженности по состоянию на 01.10.2021.
Согласно записи в базе данных ФНС отчетность организации за 2021 год была проверена аудиторской фирмой ООО “Эрнст энд Янг” (ИНН 7709383532, ОГРН 1027739707203). Результаты проверки можно видеть в аудиторском заключении, размещенном на сайте ГИР БО. Подробную информацию об аудиторе можно получить в реестре аудиторских фирм.
На основе данных единого государственного реестра юридических лиц прослеживаются следующие взаимосвязи лиц, имеющих прямое или косвенное отношение к организации:
Хронология основных событий
Уставный капитал увеличен с 3 трлн руб. до 3,2 трлн руб..
Уставный капитал увеличен с 3 трлн руб. до 3 трлн руб..
Организационно-правовая форма изменена с “Публичные акционерные общества” на “Непубличные акционерные общества”.
Уставный капитал увеличен с 2,7 трлн руб. до 3 трлн руб..
Организационно-правовая форма изменена с “Непубличные акционерные общества” на “Публичные акционерные общества”.
Уставный капитал увеличен с 2,7 трлн руб. до 2,7 трлн руб..
Уставный капитал увеличен с 2,5 трлн руб. до 2,7 трлн руб..
Уставный капитал увеличен с 2,5 трлн руб. до 2,5 трлн руб..
Юридический адрес – г. Москва, ул. Новая Басманная, 2/1 стр. 1.
больше не числится в ЕГРЮЛ учредителем.
Уставный капитал увеличен с 2,4 трлн руб. до 2,5 трлн руб..
Изменился основной вид деятельности: “Деятельность железнодорожного транспорта: междугородные и международные пассажирские перевозки” (код по ОКВЭД2 49.1) на “Деятельность железнодорожного транспорта: грузовые перевозки” (код по ОКВЭД2 49.20).
Уставный капитал увеличен с 2,4 трлн руб. до 2,4 трлн руб..
Уставный капитал увеличен с 2,3 трлн руб. до 2,4 трлн руб..
Уставный капитал увеличен с 2,3 трлн руб. до 2,3 трлн руб..
Уставный капитал увеличен с 2,2 трлн руб. до 2,3 трлн руб..
Уставный капитал увеличен с 2,2 трлн руб. до 2,2 трлн руб..
Внесены сведения об учредителе – .
Последние изменения в ЕГРЮЛ
ЕГРЮЛ не содержит в открытом доступе контактные данные организации. Если вы имеете отношение к данной фирме, мы можем добавить здесь координаты для связи с организацией – пришлите нам письмо от имени юридического лица (в такой форме).
Указана дата изменения в ЕГРЮЛ (может не совпадать с фактической).
Представленные на этой странице данные получены из официальных источников: Единого государственного реестра юридических лиц (ЕГРЮЛ), Государственного информационного ресурса бухгалтерской отчетности (ГИР БО), с сайта Федеральной налоговой службы (ФНС), Минфина и Росстата. Указанные данные подлежат опубликованию в соответствии с законодательством РФ.
Разработкой программного обеспечения и обработкой информации занимается ООО “Профсофт” (ИНН 3906992381). Используется информация только из официальных открытых источников. Если вы заметили ошибку или некорректную информацию, пожалуйста, свяжитесь с разработчиком.
Печать
MS Word
Отключить мобильную версию
Новая утечка в РЖД
В свободном доступе в интернете оказалась база с персональными данными пользователей системы «РЖД бонус», принадлежащей компании РЖД. Об этом сообщил основатель сервиса поиска утечек и мониторинга даркнета «DLBI» Ашот Оганесян в своем Telegram-канале «Утечки информации». По его информации, первым сведения об этой утечке опубликовал Telegram-канал DC8044 F33d.
Ашот Оганесян рассказал CNews, что в Сеть попала резервная копия MySQL-дампа этой базы данных (БД). Объем слитого файла составил 2,4 ГБ, и изначально он был выложен администратором сайта «РЖД Бонус» прямо в корневом каталоге.
Утечка произошла 6 ноября 2020 г. около 15:00 по Москве. Файлы были неоднократно скачаны прежде, чем их удалили из корневого каталога, в котором они находились приблизительно до 19:00 того же дня по Москве.
Где были опубликованы персональные данные сотрудников
Основатель и технический директор компании DeviceLock, специализирующейся на предотвращении утечек данных с корпоративных компьютеров, Ашот Оганесян во вторник, 27 августа, сообщил в своем Telegram-канале «Утечки информации» и блоге на сайте Habr.com, что неизвестные выложили в свободный доступ персональные данные 703 тыс. человек. При этом злоумышленники добавили к публикации примечание: «Спасибо ОАО «РЖД» за предоставленную информацию путем бережного обращения с персональными данными своих сотрудников».
Согласно отчету по РСБУ за первое полугодие 2019 года, списочная численность работников РЖД составила 732 тыс. человек, таким образом, в открытом доступе оказалась информация о 96% сотрудников.
Данные работников РЖД были опубликованы на сайте «Инфач» под заголовком «Рабы РЖД». Около 14:00 мск администратор сайта закрыл к нему доступ — при попытке зайти на сайт выдается ошибка 403, «доступ запрещен». Домен infach.me был зарегистрирован в феврале 2018 года, он позволял пользователям анонимно публиковать персональные данные других людей. Среди данных сотрудников РЖД, опубликованных на сайте, были их имена, номера телефонов, должности, фотографии в форме и снимки СНИЛС.
Как утекают персональные данные
По мнению председателя Ассоциации участников рынков данных Ивана Бегтина, утечки персональных данных происходят по трем основным сценариям. «В первую очередь, это утечки непосредственно из баз данных компании, когда хакеры подключаются к ним удаленно, взламывая системы безопасности. Во-вторых, это утечки, происходящие по вине инсайдеров. Зачастую бывшие сотрудники, у которых остался доступ к базам данных, могут их продавать или выставлять в публичный доступ, чтобы отомстить компании», — указывает эксперт.
Третий вариант — это когда обнародование данных необходимо по закону, однако из-за несовершенства защитных систем в открытом доступе оказывается больше информации, чем было необходимо изначально, добавил Бегтин. Примером такой утечки может послужить недавний случай, когда на электронных торговых площадках в открытом доступе было обнаружено не менее 2,24 млн записей с паспортными данными, номерами СНИЛС и сведениями о трудоустройстве россиян. Документы об одобрении тех или иных крупных сделок, которые электронные площадки обязаны публиковать, содержали информацию о тех, кто эту сделку одобрил, а также об их представителях.
Руководитель отдела аналитики и спецпроектов InfoWatch Андрей Арсентьев также обратил внимание на то, что к утечкам зачастую приводят случайные нарушения, вызванные действиями персонала компании: «Именно случайные нарушения приводят к самым масштабным случаям компрометации персональных данных. В основном такие утечки вызваны некорректными настройками хранилищ и багами на сайтах». По данным InfoWatch, во втором квартале 2019 года три четверти всей информации утекло как раз в результате случайных нарушений.
О каких крупных утечках данных известно
Это не первая масштабная утечка персональных данных россиян в этом году: в июне DeviceLock также обнаружила в открытом доступе данные клиентов ОТП-банка, Альфа-банка и ХКФ-банка (имена, телефоны, паспорта и место работы), всего это коснулось примерно 900 тыс. россиян.
В отчете InfoWatch за 2018 год отмечалось, что самая большая утечка информации в России произошла из-за уязвимости на сайте Рособрнадзора, когда скомпрометированной оказалась база данных о 14 млн бывших студентов.
Что содержится в БД
Ашот Оганесян сообщил CNews, что в настоящее время БД получила широкое распространение в интернете – по его словам, она находится в свободном доступе на многих профильных форумах.
Ашот Оганесян сказал CNews, что с большой долей вероятности эту базу можно считать резервной копией «рабочей» базы сайта.
Комментарий РЖД
Как сообщило РИА «Новости» в РЖД считают, что утечка БД программы «РЖД бонус» связана с попыткой взлома, обнаруженной специалистами компании. «6 ноября 2020 г. зафиксирована попытка взлома программы лояльности “РЖД бонус”, в ходе которой злоумышленнику удалось получить доступ только к служебному файлу, содержащему в зашифрованном виде адреса электронной почты пользователей. Система безопасности предотвратила доступ к персональным данным участников. Инцидент не угрожает сохранности личных данных пользователей, а также баллов на счетах клиентов», – заявили представители РЖД.
По их словам, после атаки специалисты провели «защитные мероприятия», не уточнив, что именно подразумевается под этим. Они добавили также, что «в настоящий момент времени ведется служебное расследование, по результатом которого будет принято решение о передаче материалов в правоохранительные органы», и уточнили, что работа программы «РЖД бонус» будет восстановлена к вечеру 7 ноября 2020 г. Между тем, по состоянию на 12:00 9 ноября 2020 г. по Москве сайт программы работал нестабильно и открывался в течение двух-трех минут в Chrome, Opera, Edge и Vivaldi, в том числе и через VPN.
Как злоумышленники могут использовать персональные данные
Активность киберпреступников после утечки зависит от типа и спектра информации пользователей. В лучшем случае жертвам утечки станет приходить больше электронного спама и навязчивых предложений по телефону, а в худшем — их данные могут использоваться в мошеннических целях: для получения услуг на основе чужих персональных данных, оформления кредитов, перевыпуска сим-карт для последующего мошенничества и другие варианты, объяснил Арсентьев.
По словам Бегтина, если персональные данные сами по себе достаточно ценны (как, например, медицинские данные), то их могут просто продать. Однако чаще преступники используют информацию для кражи денег — взлома мобильных банков, переоформления имущества или для того, чтобы взять кредит. Он считает, что утекшая информация может быть также использована для слежки. А организованные преступные группы могут использовать данные более масштабно. «Известные примеры — это банковское мошенничество по телефону, когда человеку звонит злоумышленник, представившись сотрудником банка. Благодаря уже имеющемуся минимальному набору утекшей информации о клиенте банка он может с помощью социальной инженерии выспросить остальные необходимые данные, чтобы воспользоваться банковским счетом пострадавшего», — объяснил Бегтин.
Кто слил данные в Сеть
«Откуда произошла утечка — неизвестно, но есть предположение, что это база данных службы безопасности. Судя по формату фотографий, это снимки на пропуска», — отметил Оганесян в своем блоге. Он предполагает, что даже блокировка сайта уже не поможет предотвратить дальнейшее распространение оказавшихся в открытом доступе сведений.
Еще в прошлом году РЖД объявили о запуске интранет-портала для сотрудников под названием my.rzd.ru, к которому планировалось подключить всех работников компании. В личном кабинете они могли заказывать справки, оформлять билеты на поезд, редактировать данные о себе. Судя по отзывам пользователей, в последнее время у них были проблемы с доступом к порталу (вход по номеру СНИЛС и паролю), что они связывали с его взломом. В РЖД не ответили на запрос РБК об утечке данных с этого портала.
Гендиректор РЖД Олег Белозеров говорил в конце 2018 года о планах компании направить на цифровизацию 150 млрд руб. до 2025 года. В стратегии цифровой трансформации РЖД, в частности, уделяется внимание повышению информационной безопасности, использованию российского программного обеспечения, переводу в частное облако вычислительных ресурсов компании с возможностью хранения 12,5 петабайт данных, накоплению и обработке данных с 25 млн объектов железнодорожной инфраструктуры.
Хакеры против РЖД
РЖД неоднократно оказывались в центре внимания хакеров. К примеру, в декабре 2019 г. CNews писал о присуждении многолетних сроков киберпреступникам, разработавшим гигантскую мошенническую схему с билетами на поезда. Хакеры успели «поработать» в Алтайском крае, Владимире, Москве и Московской области, а также в Новосибирске, Санкт-Петербурге и Уфе. В их преступной схеме, сами того не желая, участвовали организации, осуществляющие продажу электронных билетов – хакеры рассылали им письма с вредоносным ПО, и в случае его запуска на компьютерах сотрудников этих компаний получали доступ к аккаунтам их кассиров.
В личном кабинете кассира преступники вводили заведомо поддельную информацию о пассажирах в электронную квитанцию, после чего проводили платежи за счет самой организации. Следующим шагом было обналичивание билетов через сдачу билетов в кассы.
За два года своей деятельности преступная группировка сфабриковала свыше 5000 билетов, однако неизвестно, сколько их них хакеры успели обналичить. Итоговый размер их «заработка» за весь период деятельности превысил 17 млн руб.
В августе 2019 г. РЖД столкнулись с утечкой персональных данных более 700 тыс. своих сотрудников – в Сети оказались их ФИО, даты рождения, номера СНИЛС, фотографии, телефоны, адреса прописки и др. Позже выяснилось, что они были украдены в результате хакерской атаки, совершенной в июне 2019 г. жителем Краснодарского края. Его удалось вычислить в результате расследования, проведенного службой безопасности РЖД совместно с управлением «К» МВД России.
6 декабря 2019 г. следователи Московского межрегионального следственного управления на транспорте СК России предъявили краснодарцу обвинение в киберпреступлении. «Следствием установлено, что в июне 2019 г. молодой человек, используя для авторизации незаконно добытые учетные записи двух пользователей работников ОАО
Существует ли защита от утечек
По словам Арсентьева, защита от утечек предполагает проведение комплекса технических мероприятий: внедрение систем блокировки атак и предотвращения утечек, системы поведенческой аналитики, контроль привилегированного доступа и другие. Важны также и организационные мероприятия — прежде всего это тренинги для сотрудников и стремление повысить культуру обращения с данными.
Бегтин также напомнил, что, для того чтобы защитить персональные данные, хранящиеся в компании, необходимо вводить специальные регламенты обращения с данными, их переноса, а также регламенты обеспечения безопасности данных. Он добавил, что компаниям необходимо более внимательно относиться к закону «О персональных данных».