Оборотный штраф смягчит компенсация

Олеся Афанасьева 30 Ноября 2022 - 09:14

Корпорации

Государство

Утечки информации

Умышленные утечки информации

Кража данных

Соответствие законодательству РФ

...

Компании получат минимальный оборотный штраф, если выплатят компенсацию большинству пострадавшим от утечки. Такое предложение обсуждают в Минцифры. Против оборотных штрафов выступает Ассоциация больших данных.

О смягчившейся позиции Минцифры по оборотным штрафам за утечку пишет РБК. Речь о законопроекте, над которым министерство работает с весны этого года. Разработка началась на фоне крупных утечек в “Яндекс.Еда”, Delivery Club и медицинской лаборатории “Гемотест”. Сервисы доставки тогда оштрафовали на 60 тыс. рублей, а персональные данные из медцентра оценили в 0,2 копейки за клиента.

По словам главы ведомства Максута Шадаева, главная сложность заключается в том, чтобы прописать в законопроекте конструкцию, которая будет предусматривать минимальный и максимальный проценты оборотного штрафа.

“Мы пытаемся сказать, что смягчающим обстоятельством для назначения минимального порога будет урегулирование вопросов с пострадавшими, — объясняет Шадаев. — Это самое сложное, такой конструкции просто нет. Мы говорим: двум третям тех граждан, чьи данные утекли, пожалуйста, компенсируйте ущерб. Если вы подписали соглашение, что вы урегулировали с ними вопросы, то идете по нижней планке”.

В Минцифры не пояснили, каким образом будут рассчитывать число пострадавших, которым компенсировали ущерб.

“Компания в добровольном порядке сможет выплатить компенсации и сообщить об этом в Роскомнадзор. Если данные подтвердятся в суде, штраф [за утечку] будет снижен”, — говорит Шадаев.

По словам министра, это существенное послабление, так как в текущей версии законопроекта размер фиксированного штрафа для первого случая утечки может составлять до 10 млн руб.

Минцифры весной заявило о намерении ввести оборотные штрафы для компаний, допустивших утечку персональных данных.

В первой редакции законопроекта предлагалось штрафовать компанию на 1% от годовой выручки за сам факт утечки и на 3%, если она не сообщила о ней вовремя. В последней редакции документа такой порядок штрафа предусматривается только для компаний, допустивших утечку более 100 000 записей.

Против этих мер выступает Ассоциация больших данных (АБД), в которую входят интернет-компании, операторы связи и банки, критикует поправки в законопроект. Свои замечания ассоциация направила в Минцифры. Бизнес просит министерство пересмотреть размеры штрафов в сторону их уменьшения.

Следующая главная новость »

Российские системы виртуализации — подробнее в эфире AM Live. Регистрируйтесь! »

Екатерина Быстрова 02 Февраля 2026 - 09:34

Уязвимости сайтов Утечки информации Случайные утечки Случайное разглашение данных Домашние пользователи

Закрытые аккаунты Instagram раскрывали фото без аутентификации

Исследователь по кибербезопасности обнаружил странную и довольно неприятную уязвимость в Instagram (принадлежит Meta, признанной экстремистской организацией и запрещённой на территории РФ): в ряде случаев закрытые профили сливали фотографии, которые оказывались доступны без аутентификации.

Речь идёт о приватных аккаунтах, контент которых по идее должны видеть только одобренные подписчики.

В обычной ситуации неаутентифицированный пользователь видит стандартное сообщение «Этот аккаунт закрыт».

Но, как показало исследование, при заходе с некоторых мобильных устройств сервер Instagram всё равно возвращал в HTML-ответе ссылки на фотографии и подписи к ним — просто «прятал» их в коде страницы.

Об этом рассказал исследователь Джатин Банга. Он показал, что в HTML закрытых профилей появлялся объект polaris_timeline_connection, внутри которого были закодированные CDN-ссылки на изображения, доступ к которым не должен был открываться. Банга опубликовал видеодоказательство и репозиторий с подробным разбором, а также переписку с Meta (признана экстремистской организацией и запрещённой на территории РФ).

По его словам, он тестировал проблему только на собственных закрытых аккаунтах или профилях, на которые у него были права. Даже в таком ограниченном наборе около 28% профилей возвращали подписи и ссылки на закрытые фото. То есть это был не единичный сбой, а вполне воспроизводимая история — при определённых условиях и заголовках запроса.

Meta сначала назвала происходящее проблемой кеширования CDN, но Банга с этим не согласился и настаивал, что речь идёт о серверной ошибке аутентификации: бэкенд просто не проверял права доступа перед формированием ответа. Он подал повторный отчёт, однако после нескольких дней обсуждений баг был закрыт со статусом «неприменимо».

Российские системы виртуализации — подробнее в эфире AM Live. Регистрируйтесь! »