Мэрия опровергает очевидную утечку данных из московских школ

В Департаменте информационных технологий Москвы заявили, что проверили данные об утечке из столичных школ и не нашли подтверждений. По информации журналистов, накануне в Сеть выложили базу МЭШ на 17 млн строк. Многие нашли в ней себя.

О крупной утечке написало несколько профильных Telegram-каналов. По данным "Утечек информации", в свободном доступе оказался архив Московской электронной школы (МЭШ) на 17 млн строк.

База содержит персональные данные столичных учителей, школьников и их родителей, в том числе ФИО, мобильные телефоны, даты рождения, адреса электронной почты, СНИЛС и другую информацию.

Канал Data1eaks добавляет, что в архиве — 3,3 млн уникальных номеров сотовых телефонов пользователей. База актуальна на август 2021 года.

Департамент информационных технологий Москвы поспешил выпустить опровержение.

“Анализ показал, что опубликованные материалы не имеют отношения к реальным данным пользователей Московской электронной школы. Сервисы МЭШ работают в штатном режиме, данные пользователей находятся под защитой", — сообщили в пресс-службе ДИТ.

Это заявление уже возмутило профильных журналистов.

“В опубликованном в открытом доступе файле находятся реальные данные наших детей (то есть детей сотрудников нашей компании) и их учителей из разных московских школ. Как минимум, это говорит о том, что опубликованы настоящие данные, а не подделка (или тестовые записи)”, — подтверждает “слив” канал “Утечки информации”.

Помимо этого, в файле находится 25 тыс. записей с информацией о тех пользователях, чьи адреса расположены в домене edu.mos.ru (Департамент образования и науки города Москвы).

Первые записи дампа датируются 2015 годом, они содержат адреса электронной почты, расположенные в домене edu.mos.ru. Обычно первыми всегда идут записи внутренних пользователей (сотрудников), уточняют эксперты.

Корреспондент Anti-Malware.ru также обнаружила свои данные, привязанные к московскому номеру телефона на school.mos.ru.

“Московская электронная школа” (МЭШ) — цифровая экосистема, объединяющая школьные образовательные учреждения Москвы. В МЭШ можно посмотреть расписание, узнать домашнее задание и оценки.

“В рассматриваемом случае, вероятно, речь идет не только об утечке персональных данных, но и о невыполнении обязанности по обезличиванию персональных данных согласно приказу Роскомнадзора”, — комментирует новость для “Ъ” руководитель направления “Разрешение IT & IP-споров” юридической фирмы “Рустам Курмаев и партнеры” Ярослав Шицле.

В соответствии с действующей редакцией закона о защите персональных данных мэрия должна уведомить Роскомнадзор о произошедшей утечке. Сейчас за нарушение порядка обработки и хранения персональных данных грозит штраф до 100 тыс. руб.

В Роскомнадзоре сообщили, что проверяют информацию о возможной утечке.

Последний раз МЭШ подвергался хакерской атаке в сентябре. Тогда часть сервисов системы была недоступна больше недели.

Официально мэрия связывала сбои с техническими работами, но источники на рынке кибербезопасности утверждали, что сервис подвергся DDoS-атаке и атаке программ-вымогателей, из-за чего было зашифровано два сервера.

Это не первый случай крупной утечки данных из инфраструктуры мэрии.

В декабре 2020 года в свободном доступе оказались данные 100 тыс. пациентов московских больниц, переболевших коронавирусом. А в июле того же года писали о продаже доступа ко всем видеокамерам сети наблюдения Москвы.