«Гемотест» оштрафовали на 60 000 рублей после утечки данных клиентов

Мировой суд Новогиреево в Москве оштрафовал федеральную сеть лабораторий «Гемотест» на 60 000 рублей за утечку персональных данных объемом в 300 гигабайт, следует из постановления суда.

Суд пришел к выводу, что «Гемотест» совершил административное правонарушение, предусмотренное частью 1 статьи 13.11 Кодекса об административных правонарушениях (обработка персональных данных, не предусмотренная законодательством), размер штрафа для юрлиц по которой от 60 000 до 100 000 рублей. Решение было вынесено 8 июля.

«Гемотест» оспаривает постановление суда с целью получить от Роскомнадзора указания по устранению нарушений, сообщил представитель сети. По его словам, компания приняла дополнительные меры по усилению информационной безопасности и готова исполнить указания регулятора, но предписание Роскомнадзора по результатам проверки не содержит указаний, что именно и каким способом необходимо исполнить. «Согласно текущему статусу, компания признана нарушителем и получила административный штраф, невзирая на отсутствие состава для правонарушения в виде вины и умысла. В связи с этим лаборатория «Гемотест» обжалует в суде немотивированное предписание Роскомнадзора и постановление о привлечении к ответственности», — заявил представитель «Гемотеста».

В мае злоумышленники выставили на продажу в даркнете базу данных клиентов «Гемотеста», в которой содержалось более 30 млн строк информации о клиентах, в том числе фамилия, имя и отчество, дата рождения, адрес, мобильный номер, серия и номер паспорта. Автор предложения просил за эту базу данных $2000.

Первым об утечке сообщил Telegram-канал «Утечки информации». Его автор и основатель сервиса для поиска утечек DLBI Ашот Оганесян тогда рассказал Forbes, что каждая строка в базе, скорее всего, это одно обращение в лабораторию. Три человека, чьи персональные данные были указаны в образце базы данных, подтвердили Forbes подлинность своих данных и признались, что пользовались услугами «Гемотеста». 

Позднее злоумышленники предложили в даркнете не только саму базу данных «Гемотеста», но и информацию об уязвимости, с помощью которой был получен доступ к базе. Всего в базе хранится информация о 554 млн заказов в «Гемотесте», включая результаты анализов клиентов, в том числе на ВИЧ.

В середине мая Роскомнадзор провел внеплановую проверку деятельности сети «Гемотест», установив, что злоумышленникам удалось скачать более 300 ГБ информации с персональными данными клиентов.

Защитники «Гемотеста» признали факт хакерской атаки, отметив, что выгрузка из базы данных происходила небольшими фрагментами, не превышающими 3 ГБ. Вины лаборатории они не признали и просили прекратить дело ввиду отсутствия состава правонарушения.

В конце февраля от утечки персональных данных пострадали пользователи «Яндекс Еды», Avito, Wildberries, Delivery Club и других популярных платформ. В апреле суд оштрафовал «Яндекс Еду» на 60 000 рублей.