У РЖД произошла утечка персональных данных через мобильное приложение для покупки билетов на поезда дальнего следования, запущенное компанией всего неделю назад. В разделе «мои заказы» покупатели могли увидеть списки заказов других пассажиров - с указанием фамилий, электронной почты, даты отправления поезда, номера вагона и пр.
В РЖД объявили о том, что у пассажиров поездов дальнего следования ОАО «ФПК» («дочка» ОАО «РЖД») появилась возможность пользоваться бесплатным мобильным приложением для покупки железнодорожных билетов 24 января этого года. Пресс-служба перевозчика сообщала, что, загрузив «ЖД Билеты» на свой смартфон под управлением iOS или Android, пользователь в любом месте и в любое удобное время может просмотреть расписание, оформить заказ и приобрести железнодорожные билеты, оплатив их банковской картой. После подтверждения оплаты на мобильный телефон пассажира приходит SMS-сообщение, а на адрес электронной почты – письмо с электронным билетом. Дополнительным удобством. по заявлению разработчиков, являлась возможность удаленно пройти электронную регистрацию в личном кабинете приложения. Там же сохраняется история заказов.
Тем не менее, вчера, впервые загрузивший приложение пользователь, заходя в пустой раздел «мои заказы», находил там список заказов совершенно посторонних людей. Причем с указанием их ФИО, e-mail, проведенных сум оплаты, датами отправления поезда, номерами вагонов и мест, а также с номерами оплаченных купонов. На момент подготовки материала этот список не обновлялся, однако данные на несколько сотен пассажиров, купивших билет «на будущее», по-прежнему там отображались.
В РЖД официально не смогли прокомментировать сложившуюся ситуацию. Работающий там источник TelecomDaily лишь отметил, что запущенное недавно мобильное приложение разрабатывалось компанией «Универсальная финансовая система». На сайте компании указано, что «все действия, связанные с предоставлением персональной информации и оплаты проездных документов, производятся с использованием современных технологий защиты информации». В отделе клиентской поддержки компании TelecomDaily пока не ответили на вопрос, каким образом персональные данные попали в сеть, пообещав разобраться в ситуации.
В 2011 году РЖД уже становился участником скандала, связанного с утечкой персональных данных пассажиров. В частности, в поисковике «Яндекс» оказались доступна информация о покупателях электронных билетов на поезда и копии приобретенных ими билетов. В сеть попала информация о пассажирах, заказавших билеты через сайты TuTu.ru и Railwayticket.ru. В РЖД тогда сняли с себя ответственность, заявив, что эти сайты не имеют отношения к перевозчику.
Со вчерашней утечкой так сказать будет сложно. Разработчик мобильного приложения, через которое данные попали в сеть, работает с РЖД по прямому договору, а ФПК сама сообщала о введении у себя новой мобильной услуги.
«В том виде, как сейчас сформулировано понятие персональных данных, любая информация, относящаяся к физическому лицу, рассматривается в качестве персональных данных, - сообщил TelecomDaily адвокат Александр Титов. - Размещенная в системе РЖД информация позволяла идентифицировать как пассажира по его фамилии, имени, отчеству, так и поезд следования, вагон и место пассажира. Таким образом, можно говорить о факте распространения персональных данных».
Однако, как отмечают юристы, никакой серьезной ответственности РЖД не понесет. «Статья 13.11 КоАП предусматривает предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей, - поясняет независимый эксперт в области связи Антон Богатов. - Теоретически, РЖД будет обязано возместить вред, причиненный субъектам персональных данных, но материальный вред практически невозможно доказать, а моральный вред возмещается отечественными судами в совершенно незначительном размере - настолько незначительном, что обращение в суд не имеет никакого практического смысла».
