{"id":13474,"url":"\/distributions\/13474\/click?bit=1&hash=89dcb97d365dcd062aa67a23ebd7d587ac1ef67c2c12b41ed4fdb46a523d850d","title":"\u0420\u0411\u041a \u0437\u0430\u0434\u0443\u0434\u043e\u0441\u0438\u043b\u0438. \u0427\u0442\u043e \u0434\u0435\u043b\u0430\u0442\u044c, \u0447\u0442\u043e\u0431\u044b \u043d\u0435 \u0437\u0430\u0434\u0443\u0434\u043e\u0441\u0438\u043b\u0438 \u0432\u0430\u0441","buttonText":"","imageUuid":"","isPaidAndBannersEnabled":false}
Приёмная
Alexander

Omnidesk размещает файлы с ПД пользователей в свободном доступе

Обращаюсь прежде всего к компаниям - клиентам omnidesk.ru. А среди них много известных: Сdek, Avito, 2Gis. Тут более полный список:

Рекомендую этим компаниям срочно прекратить использование сервиса omnidesk и требовать удаления персональных данных ваших пользователей.

Omnidesk размещает файлы содержащие ПД пользователей компаний-клиентов в свободном доступе. Таким образом был выложен скан моего паспорта по адресу: azimuth.omnidesk.ru/attachment/download/{uuid}/{id}. И по настоящее время лежит там, несмотря на требование удалить файлы содержащие мои ПД.

Теперь подробнее: обратился я в авиакомпанию Азимут по e-mail с заявлением о возврате денежных средств за авиабилеты. По требованиям авиакомпании к заявлению необходимо приложить скан самого заявления(там указаны паспортные данные и пр.) и сканы 2-х страниц паспорта. Через несколько дней я получил e-mail с результатами рассмотрения (ответ положительный). Письмо содержало в том числе ссылки на отправленные мною файлы. Скачать файлы может кто угодно без авторизации/аутентификации. По мнению тех.поддержки omnidesk достаточно длинная ссылка сгенерированная случайным образом защищает мои персональные данные от неавторизованного доступа, сканирования поисковиками, ботами и пр.

Переписка с тех.поддержкой omnidesk к сожалению ни к чему не привела. Вот их первый ответ на мое требование удалить ПД из свободного доступа:

1) Вы обратились в поддержку azimuth.aero и отправили им свои данные.
2) Для обработки обращений клиентов, которые отправлены через почту, azimuth.aero использует наш сервис. Поэтому файлы были получены нашим сервисом. Вместе с azimuth.aero мы являемся операторами, которые осуществляют обработку персональных данных.
3) Ссылка, которую вы отправили, не индексируется поисковиками. Её нет в общем доступе. Вы её получили, так как у azimuth.aero активирована функциональность, которая позволяет добавлять в ответы их сотрудников историю переписки.Никто другой не получит доступа к этой ссылке, если вы самостоятельно её не отправите. Набор символов очень большой и сгенерировать его наугад нельзя.
4) Если вы хотите, чтобы эта ссылка перестала работать, напишите в поддержку azimuth.aero, чтобы они полностью удалили ваше обращение. В этом случае удаляются и все файлы, которые были в обращении, то есть ссылка перестанет открываться.

поддержка omnidesk

Хоть немного понимающие в IT безопасности люди понимают, что ссылка может утечь: через браузер, пересылку в мессенджеры, через утечку базы данных omnidesk / Азимут и пр. К сожалению все мои аргументы не были услышаны тех.поддержкой omnidesk, хотя сообщалось, что проводилась консультация с техническими специалистами перед написание ответа на мою претензию.

Повторюсь: компании которые используют omnidesk прекратите пользоваться этим сервисом и требуйте удаления персональных данных ваших пользователей. Компетентность IT специалистов/безопасников (если таковые имеются) компании omnidesk под вопросом.

Про нарушения закона о защите ПД можно еще пообщаться с omnidesk, но кажется смысла нет....

PS: omnidesk отказал мне в удалении ПД - сказали пусть Азимут удаляет. Азимут пока не ответил на аналогичное требование, хотя туда я отправил его в первую очередь.

UPDATE:

15:16 отправил им ссылку на публикацию на VC

15:43 Мы можем удалить конкретно этот файл, но вам в любом случае лучше дождаться ответа от Азимута. Иначе мы файл удалим, они ответят, что файл недоступен, и попросят вас снова отправить его.

18:40 omnidesk удалил файл

Ура, победа! Я был услышан!

0
Комментарии
Читать все 0 комментариев
null