Как узнать информацию о владельце квартиры: ФИО, задолженность, субсидия и т.д.
Ранее на AIN.UA выходил материал о том, что на площадке для онлайн-оплаты услуг ЖКХ можно узнать долги ваших соседей, метраж чужих квартир и многое другое. На самом деле, ситуация сложнее: узнать можно намного больше информации. Багхантер Артем Бобок рассказал AIN.UA о других уязвимостях.
Уязвимости подвержен не только указанный сервис cks.com.ua, а и сайты gioc.kiev.ua и gerc.ua, каждый из которых позволяет добавить квартиру в личный кабинет и следить за ее коммунальными начислениями. Проблема актуальна, кстати, не только для жителей столицы – последний сайт предназначен для жителей Одессы, Киева, Белгорода-Днестровского, Рени, Черноморска и Южного.
Впервые я обнаружил уязвимости еще в январе 2017 года. Традиционно, попытался связаться с сотрудниками, подробно расписав всю суть ситуации, не говоря о проблемах публично:
Кто-угодно без каких-либо ограничений может добавить любой адрес – и, соответственно, узнать по любому адресу:
- ФИО владельца квартиры;
- размер квартиры в кв. м;
- количество человек, прописанных в квартире;
- стоимость каждого из платежей по этому адресу;
- когда и в какое время были оплачены предыдущие счета;
- платежеспособность владельца – есть ли задолженность, оформлена ли субсидия и т.д.
В сервисах была (а, возможно, и присутствует сейчас) и другая проблема: при регистрации не проверяется телефон. В основном, сервисы отправляют SMS, код из которого нужно ввести на сайте для того, чтобы подтвердить номер телефона. Здесь же не проверяется и email – на него должно отправляться письмо с ссылкой на подтверждение регистрации. Таким образом, можно зарегистрироваться даже с несуществующими имейлом и телефоном.
После этого я общался по телефону с их сотрудниками безопасности, также в 2017 году была переписка с сотрудниками одного из коммунальных сервисов, где, среди прочего, был получен ответ:
«Мы знаем о наших проблемах, но не со всеми согласны. К примеру, ФИО мы не можем убрать, так как существуют коммуны или л/с, оформленые на разных нанимателей и во избежание ошибок при оплате, ФИО должна быть. Площадь и количество проживающих, льготу мы специально оставили по требованию пользователей, чтобы они могли сверить информацию и проверить расчеты. На сайте стоит ограничитель на 4 объекта – оставили по просьбе пользователей сайта. Многие платят за квартиры родителей, родственников. Спасибо за ваши замечания и предложения, они взяты в работу. Если руководство что-то решит, мы вам сообщим».
Позже, исходя из анализа того, что одни из популярных платежных сервисов (Portmone, iPay, EasyPay, сервисы «ПриватБанка») не показывают информацию по адресу – для просмотра нужно ввести код (личный счет), а не домашний адрес, – а другие не показывают ФИО владельца квартиры и иную личную информацию, мной были предложены различные варианты решения ситуации.
И после обращения на одном из сайтов проблема была исправлена следующим образом: теперь для добавления квартиры обязательным стал ввод кода, который печатается на квитанции, что исключает возможность смотреть информацию о чужих квартирах, не имея к ним доступа.
Остальные сайты проблему до сих пор не исправили.
После выхода указанной статьи, я повторно отправил несколько писем в указанные компании, однако никакого ответа до сих пор не получил. Как я уже указывал выше, проблема существует как минимум полтора года. Из-за этого любой может узнать реальное ФИО владельца квартиры, ее метраж и вашу платежеспособность и т.д.
Комментарии | 6
Когда мы уже от этого совка избавимся. Запомните — в нормальной стране любой человек может смотреть такие данные по любой квартире. А при покупке эти же данные просто необходимы, причем именно покупателю. А тут какой-то тестировщик из-за своего совкового мышления ставит крест на концепции открытых данных.
Даа? А закон «Про защиту персональных данных» только совке остался? В нормальных странах его давно отменили?
Нужно отличать данные которые вы сами сообщили от «персональных данных» в терминах этого закона. Потому как данные «Valeriy Nefed» ими не являются, какой бы адрес к ним не был привязан, а «Нефед Валерий Романович, род. 28 октября 198* в г. Киеве, ИНН 3171******» это уже оно когда вместо звездочек правильные цифры стоят.
Установление того, какая идентифицирующая информация о лице будет считаться «персональными данными» в понимании Закона, требует некоторого субъективного суждения. Если любые данные о лице указаны вместе с его именем и фамилией, они будут считаться персональными данными. Например, это адрес, дата и место рождения, образование, семейное и имущественное положение, национальность, вероисповедание, состояние здоровья.
Не надо забивать в гугл «персональные данные» и копипастить здесь то, что выдал поисковик. В законе есть четкое определение его и придерживайтесь — в трактовке оно не нуждается.
Визначення поняття персональні дані наводиться в абзаці восьмому статті 2 Закону, відповідно до якого персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Законодавством України не встановлено і не може бути встановлено чіткого переліку відомостей про фізичну особу, які є персональними даними, задля можливості застосування положень Закону до різноманітних ситуацій, в тому числі при обробці персональних даних в інформаційних (автоматизованих) базах та картотеках персональних даних, що можуть виникнути у майбутньому, у зв’язку зі зміною в технологічній, соціальній, економічній та інших сферах суспільного життя.