зачем фотографироваться с паспортом в руках
Стоит ли опасаться утечки данных, если курьер делает фото клиента с паспортом. Три способа себя обезопасить при заказе банковской карты на дом
– Когда заказываешь доставку банковской карты курьером, он всегда фотографирует человека с развёрнутым паспортом. Не опасна ли такая утечка личных данных? Могут злоумышленники воспользоваться этой информацией?
– Фото клиента с паспортом – распространённая сейчас практика для многих банков, оказывающих онлайн-услуги. Но, с точки зрения закона, к таким действиям есть вопросы.
📸 Причины, по которым делают фото клиента с паспортом
Дополнительно эта мера является и проверкой самой курьерской службы. Служба безопасности самого банка должна контролировать и курьеров – сотрудник может оказаться злоумышленником и по сговору передать карту другому лицу. В этом случае фотография доказывает, что вручение прошло правильно.
❌ Отказ от фотографирования. Может ли курьер не отдать карту
Позиция банка понятна, однако, есть один нюанс: в России действует Федеральный закон «О персональных данных» №152-ФЗ от 2006 года. Согласно ст. 6 этого закона, обработка персональных данных должна вестись только с согласия субъекта. Допускается обработка данных, если субъект является стороной по договору – но тут уже начинает работать п. 5 ст. 5 того же закона: данные не должны быть избыточными для цели обработки.
Что это означает применительно к банку? Это означает, что банку нужна идентификация клиента. С этой целью он имеет право хранить у себя копии паспорта. Однако здесь уже может встать вопрос о том, не является ли такая информация избыточной.
Требуется ли дополнительное фото с паспортом – вопрос открытый. Курьеры, требуя фото, всегда ссылаются на внутренние регламенты банков – но они касаются только собственных сотрудников финансовых организаций.
В целом же ситуация с точки зрения закона выглядит так:
❗ Риски. Могут ли фото паспорта использовать злоумышленники
Опасность того, что копия паспорта будет использована для мошенничества или иных нарушений закона, существует. Поэтому в банках, ответственно относящихся к защите данных своих клиентов, заранее принимаются меры. Обычно курьерам выдаются специальные устройства для фотографирования взамен обычных смартфонов: в этом случае фото сразу идёт в базу данных банка без возможности сохранения или редактирования. Однако эта гарантия не на 100%: курьер-злоумышленник может обмануть клиента, выдав личный смартфон за банковский.
В дальнейшем распечатки копий паспортов используются следующим образом:
Просят выслать фото с паспортом в руке. Зачем? Как избежать риска?
Все мы знаем, что со своими персональными данными следует очень осторожно обращаться, ведь они могут представлять серьезный интерес для мошенников.
Для чего же может понадобиться ваше фото с паспортом в руке, причем так, чтобы можно было разобрать все данные паспорта? Попробуем разобраться, а в конце – о том, как обезопасить себя. Где именно могут попросить предоставить фото с паспортом в руке?
1. На сайте или сервисе для подтверждения личности при регистрации.
2. Работодатель может попросить сделать такое фото при приеме на работу.
3. При крупной покупке в интернете.
4. При аренде квартиры, автомобиля.
5. В букмекерских конторах.
6. На сервисах онлайн-кредитования и т.д.
Прежде всего, следует внимательно отнестись к тому, кто именно просит у вас о таком фото, ведь не просто так собирается подобная информация и потом обрабатывается. Если, к примеру, об этом просит работодатель, то прежде он обязан взять согласие на обработку персональных данных, где обязательно прописаны условия обработки и хранения такой информации. Если это крупная, известная компания, то можно не волноваться по, но, если речь идет о компании неизвестной, либо о непроверенном работодателе с сайта фрилансеров, то стоит подумать, оправдан ли будет риск.
Как бы там ни было, прежде чем такого рода информацию отправлять, следует поинтересоваться, для чего она нужна, и какую ответственность будет нести принимающая сторона. Очень важно узнать об условиях передачи ваших личных данных третьим лицам. Если вы обнаружили строки о том, что личные данные могут быть переданы третьим лицам, то это уже не очень хорошо. Исключением может быть, разве что случай, когда запрос делают правоохранительные органы.
Стоит быть внимательным и предоставляя свои данные в сети. Так, букмекерские конторы, каршеринги, сервисы онлайн-кредитования и многие другие ресурсы могут требовать фото с паспортом. Но все дело в том, что здесь можно попасть и на поддельный сайт, который именно для сбора персональных данных и создан.
Не смотря на незаконность, сканы паспортов и других документов можно купить в интернете. Нам трудно себе даже представить, какие незаконные схемы проворачиваются с использованием таких данных. Это и сомнительные денежные переводы, и обналичивание денег, и регистрация аккаунтов, SIM-карт. К примеру, кто помешает недобросовестному сотруднику салона сотовой связи заключить договор по этим документам?
Как себя обезопасить? Да, как минимум – следует соблюдать осторожность. Но, если все же нужно отправить информацию, можно наложить водяные знаки на все изображение паспорта, но, не закрывая требуемую информацию. Для этого подойдет почти любой графический редактор. А также, можно написать, для какого конкретно сервиса или сайта сделано это фото. Убрать такого рода водяные знаки без следов, практически невозможно.
Всем отличного настроения! Жду ваших оценок и комментариев!
Гик паранойя: чем опасно фото с паспортом в руках?
Делаете ли вы фотографии своих данных, селфи с паспортом в руках и т.д, когда сервисы просят это? Например каршеринги, букмекерские конторы и тд?
Я считаю, что в России такие данные часто перетекают к злоумышленникам, где используются для оформления кредитов, восстановления доступов и тд. Согласны ли вы с этим?
Оценить 3 комментария
конкретно на каршеринги фото делается из приложения, где редактировать нельзя 🙂
Делаете ли вы фотографии своих данных, селфи с паспортом в руках и т.д, когда сервисы просят это?
Я считаю, что в России такие данные часто перетекают к злоумышленникам
серьезные сервисы подтверждают скайпом или вообще спец чатами, с видео, разумеется
> Делаете ли вы фотографии своих данных, селфи с паспортом в руках.
> Я считаю, что в России такие данные часто перетекают к злоумышленникам.
> Согласны ли вы с этим?
Не располагаю такими данными. Но это и не имеет значения, ибо практика сама по себе злостная, и поощрять ее не следует.
В некоторых случаях фото с паспортом может служить в качестве онлайн-подтверждения вашей личности при заключении онлайн-договора. В общем случае это не опаснее, чем просто копия вашего паспорта, которую делают почти все, с кем вы заключаете договор: банки, гостиницы, классические каршеринги и пр.
Идиократия или теория заговора? Зачем делают селфи с паспортом?
Волею судеб остался я без автомобиля. Когда разрешится ситуация, неизвестно. Поглядываю на сервис каршеринга Делимобиль. Звонил спецом в контору, пообщался, позадавал неудобненькие вопросы. Вроде ок. Прошла еще пара недель, решил зарегистрироваться.
Когда дошел до пунктов с прикреплением сканов фото, меня очень смутило следующее:
Сайт даже подсказывает, как надо делать селфи с паспортом, чтобы им было хорошо все исследовать и сверять.
Судя по количеству пользователей каршеринга, перепись идиотов прошла успешна, и вот почему. Набрав несложный запрос в яндекс-картинках, я увидел следующее:
Нет времени объяснять, давайте-ка вернемся к условиям по работе с личными данными. В процессе регистрации вы найдете pdf, в котором есть следующий пункт:
Форум торговцев вашими селфи с паспортом находятся в топ-10 яндекса по тому же запросу, что и блок с фотками из раздела яндекс-картинок.
Путем несложных операций копировать-вставить, за 10-15 секунд гуглится информация в открытом источнике по ИНН компании, и выясняется:
Всем добра. Берегите себя. Никому и никогда не передавайте свои личные данные через сеть, не фотографируйтесь вместе с паспортом, отключайте интернет от мобильных устройств, когда это не нужно. Остались без тачки? Катайтесь на велике, ходите пешком, пользуйтесь общественным транспортом, используйте такси.
Какие юридически-значимые действия можно совершить от имени человека, имея вот такую фотографию?
Приведите, пожалуйста примеры. Желательно, со ссылкой на судебные решения, где в качестве основной улики выступает фото с паспортом.
Вопрос не праздный, и вот почему: лично знаю обратные примеры, когда имея паспортные данные человека на него пытались навесить липовый кредит, но обломались, когда встал вопрос о подлинности подписи на договоре (даже до суда дело не дошло).
Передача данных третим лицам разрешена только в рамках договора и для целей указанных в договоре.
Сумма уставного фонда не значит ровным счетом ничего.
Стандартная форма на множестве зарубежных сайтов. В России пока не очень распространена. Позволяет отсеять многих мошенников.
Стоп, а разве тот, кто собирает персональные данные, разве не несёт ответственность за их сохранность и обработку.
Т.е. всё что они написали в договоре аннулируется в том случае, если оно противоречит действующему законодательству. Правда нарушение хранения надо доказать.
Знатоки поясните пожалуйста.
Какой бред.
Видимо автор бережёт свои мега секретные данные не зная что они и так есть во всех базах.
МВД, мед полисы, ГАИ, операторы связи и десятки других.
Зону ответственности ООО ограничена уставным капиталом?
Да ты шооо.
Я с делимобилем заключил договор, когда они еще не допилили регистрацию в приложении и на подписание приехал курьер, попробуй может еще актуально?
Ты еще в документах в ВК, можешь набрать «паспорт» и увидеть еще больше идиотов
Это требование ввели относительно недавно, чтобы уменьшить число «рисованных» или чужих паспортов.
Достать скан/фото левого паспорта куда проще, чем фото «паспорта + селфи»
Чем меньше народу в каршеринг сунется, тем лучше.
По выходным вообще машин свободных нет, и к вечеру все по спальникам растаскивают.
Здравствуйте.
У нас в организации уставной капитал тоже 10 т.р. на всех юр. лицах у нашего боса так.
Но это не мешает иметь оборот
10кк рублей в неделю по всем организациям.
Что тут такого?
В России такая процедура регистрации на сайтах продаж появляется все чаще. Во всем мире такое практикуется. На «Мешке», к примеру, я ешё в 2015-ом году так проходил верификацию. На площадках, где много продавцов, это весьма помогает при отсеве мошенников. Продавцы вряд ли будут кого-то кидать, если знают, что полиция сможет по запросу получить их данные.
Не хочешь фоткаться, езжай в офис и подписывай договор, для твоего же удобства всё сделано.
Паранойя зашкаливает настолько, что не даёт возможности ознакомиться с деталями регистрации на сайте и выбрать другую форму подписания
Купил пару лет назад скан чувака из Забайкалья.
Сейчас у него активный счет в одной из платежных систем, а еще он работает московской компании и получает ЗП. и переводит мне все свои деньги=)))
п.с. чувака не подставлял и не собираюсь, да и не смогу никак если на то пошло.
Интересный ты такой, прям вот всем нужны твои данные для мохинаций. Надо будет, и так найдут, ведь все продается/покупается. А лично подписать можно в «Открытии» или ином филиале. Пост объебанский, есчесно. Курьеры в ТКС и Рокет тоже фоткают. Любые такие сделки без посещения офисов проходят.
Мда. Сколько же людей из комментов забыли, в какой стране они живут! Лично я не уверен в непорочности суда, почерковедческой экспертизы и прочих, что либо решающих, ТК у нас тут главное деньги, а не правда или мифическая справедливость.
Да и нужен ли невинному человеку все эти хождения в суд и доказывания, что кредит взял не он?
фоткался один раз с просроченным загран паспортом, все прокатило =D
Видать паранойя зашкаливает настолько, что не даёт возможности ознакомиться с деталями регистрации на сайте и выбрать другую форму подписания
и т.д. Люди вообще рехнулись со своими заморочками. Насмотрятся зомби-ящика и ходят, всего шарахаются.
Надо у ГРАМОТНЫХ юристов узнать, не нарушает ли закон О защите персональных данных, моё мнение СИЛЬНО нарушает, а если так надо, то пусть собственноручно подписывает согласие, лицензионное соглашение и отсылает.
У Стансилава Игоревича с последней фотки фамилия говорящая 😀 10р в уставном капитале
там на фотках половина фейков, образцов и просроченных паспортов.
Интереснее искать в синей соцсети. А то что продают за деньги — это совсем другая история ))
Не знаю почему у автора такая паника, больше похоже на заказ. Чтобы опорочить репутацию организации.
Работал с этими ребятами не раз. При мне чирканули автомобиль, сообщил. Поблагодарили.
В момент паркинга-аренды авто поцарапали вандалы тележкой. Простили.
Таким отношением доволен.
Ни разу не звонили с других сервисов с рекламой.
Хотел бы спросить у автора, написал ли он протокол разногласий? Чтобы предотвратить такое положение вещей, и чем ответили?
Защита личных данных
Меня всегда поражает как народ с легкостью отдает паспорта или иные документы третьим лицам. Например в том же каршеринге надо морду лица с паспортом высылать. Такие фото хрен знает куда потом могут уйти. Потом вон пишут про то что их паспорта всплывают где-то. Тут куча таких постов.
Я по теме личных данных вообще люто параною, даже номер телефона кому попало не даю. Если вам очень надо пишите в телегу или на почту. На крайняк есть симка, к которой вообще ничего не привязано и которую в любой момент можно закрыть и забыть про нее. Может это слишком, я хз, но мне так просто спокойнее.
Расскажу как делаю в случаях когда просят скан паспорта
Сверху на скан кладу бумажку, на которой написано в какую контору, для кого идет этот скан и дата. Примерно так:
Думаю понятно. Разворот паспорта, сверху кусочек бумажки. Все данные видны.
Было на памяти пару контор, которые в залупу полезли типа «А мы такова принять не можем патамушта я овца тупая и т.д. «
Всегда получается объяснить, что она овца и пусть это говно согласовывает там сама потому другой скан она хрен получит.
В глаза текст поверх не бросается, но прочитать что написано можно. Просто немного настройками изображения поиграть:
Даже если этот скан попадет мошенникам, то доказать будет проще, что не вы баран и концы найти откуда ноги растут.
Скан паспорта из википедии если что. Ссылка.
Очень странные дела при подаче объявлений на ЦИАН
UPD. Как и писал в конце поста – если мне покажут, где я ошибся, я посыплю голову пеплом.
Нужно отдать должное специалистам Циан – очень быстро отреагировали и разложили все по полочкам. Привожу их объяснения без изменений:
Олег Масленников, Архитектор ИБ Циан:
«Занимаюсь безопасностью в Циан, хочу обратить внимание на пару фактических и технических ошибок в статье. Во-первых, утверждается, что данные «улетают» и обрабатываются заграничным сервисом. Это не так. Мы используем компанию Sumsub, это глобальная организация с HQ в Лондоне и офисами в тч в России, работающая в соответствии с законодательством Российской Федерации.
Российские паспорта обрабатываются российским юридическим лицом компании, ООО «Технологии цифровой безопасности» ( sumsub.ru ).
Информация о хранении:
— Ссылка на соответствующий раздел сайта: sumsub.ru/security
— Хранение по требованиям РКН: в соответствии с уведомлением, отправленным в РКН, персональные данные хранятся в ЦОДе компании «Селектел», в базе данных, доступ к которой разграничен средствами защиты информации, сертифицированными ФСТЭК России.
— ООО «Технологии цифровой безопасности» внесена в реестр Операторов ПДн Роскоомнадзора под регистрационным номером 78-17-003488 10.03.2017.
Во-вторых, про то, что данные уходят на сервер, который физически находится в Америке. Для защиты сайтов и сервисов Sumsub использует систему CloudFlare. CloudFlare является прокси, поэтому у них всегда один IP, но маршрут данных, при этом, идет в ближайший ДЦ. В России таких ДЦ два – в Москве и Санкт-Петербурге. Вы можете легко проверить этот маршрут с помощью traceroute.»
Добавлю, что подразделение безопасности cian.ru оказалось на удивление открытым и готовым обсуждать вопросы по безопасности.
TL;DR При загрузке паспорта на сайт cian.ru он «улетает» к заграничному сервису распознавания лиц на api.sumsub.com
И снова здравствуйте. Возможно шапочка из фольги снова давит голову, но есть вопросы и подозрения, которыми хотелось бы поделиться с вами. В одном из прошлых постов была показана странная и спорная «фича» в почтовике mail.ru. Новый день принёс новые открытия. На этот раз доброжелатель пожелал остаться анонимным. Но всё равно спасибо ему за то, что поделился фактурой.
Cian.ru – сайт, позиционирующийся как «достоверная база данных о продаже и аренде жилой, загородной и коммерческой недвижимости» и принадлежащий «ЦИАН. Групп». Ресурсы этой компании довольно популярны. Компания заявляет, что она – «Лидер онлайн-недвижимости России (по количеству посещений сайта cian.ru пользователями сети Интернет по данным LiveInternet в разделе «Недвижимость» по состоянию на 12 марта 2020 г.). Всё это есть в подвале сайта. Интересно другое.
Тем не менее, пользователи выказывали опасения (раз, два, три и т.д.), т.к. набор данных состоит как минимум из паспортных данных + скан паспорта РФ + фото с раскрытым паспортом в руке. Это для физлиц. Если вы ИП или Юрлицо, данных нужно ещё больше.
Но довольно лирики. Посмотрим, что будет, если пользователь просто подаёт объявление на продажу квартиры.
Смотреть действия будем через нашу DLP. Интерес в первую очередь представляет перехват с модулей HTTPController и MonitorController. Думаю, из названия понятно, что каждый из них перехватывает. Заранее прошу прощения за качество скринов. На данный момент никто из сотрудников квартиру не продаёт, поэтому полностью воспроизвести кейс у себя не смогли. Показывать и пояснять будем на «боевой» системе.
Итак, отсортируем перехват с двух каналов по времени, чтобы чётко видеть хронологию действий.
Сразу же можно, не отходя от кассы, посмотреть вложение, которое улетело к cian.ru. Убеждаемся, что грузятся фото интерьера квартиры.
Перехват MonitorController’a (строка №10) всё подтверждает. Виден браузер, видны 4 загруженных фото, видны эти же фото в теле объявления.
Некоторые читатели возможно задаются вопросом, а как это так удачно и в нужное время система скрины делает? Всё просто. У MonitorController’a есть опция «Делать скрин при смене активного окна». Здесь мы видим как раз такую ситуацию: человек нажимает кнопку, чтобы добавить фото, открывается окно, система реагирует. Никакого колдунства.
Взглянем на скрин поближе.
Осталась последняя надежда. Может этот сервис обрабатывает изображения в России? Хотелось бы драматически бросить в зал доказательства, но если быть честным, то надо быть им до конца. В данном случае наша DLP в качестве IP получателя фиксировала адрес прокси-сервера.
Поэтому предлагаю самим вам убедиться, когда улетают ваши паспорта при подаче объявлений. Со своей стороны могу в команду «ping –a», которая выдала «104.26.10.41».
В целом, в этот светлый сисадминский праздник, который к тому же ещё и пятница(!) хотелось бы верить в то, что я где-то ошибся или недопонял. Что ж, в таком случае, готов буду посыпать голову пеплом, публично извиняться и учить матчасть. А пока, призываю сообщество самостоятельно проверить изложенные факты и по возможности поделиться результатами.
P.S. Мой оригинал поста на Хабре.
UPD к посту имеются вопросы: #comment_176036026
Просят выслать фото с паспортом в руках. Зачем?
Ваше фото с паспортом в руках может понадобиться в нескольких случаях. Например, для регистрации или подтверждения личности на каком-либо сайте или сервисе, также это может запросить работодатель. Кроме того, запрашивать такое фото могут и в частном порядке, например, при съеме квартиры или крупной покупке с рук по интернету.
Здесь в первую очередь всегда нужно обращать внимание, кто именно у вас просит такой документ. Дело в том, что персональная информация не может собираться и обрабатываться просто так. Работодатель при устройстве на работу должен взять согласие на обработку персональных данных, в котором в том числе прописаны условия обработки и хранения такой информации.
Если запрос исходит от крупной проверенной компании, то, скорее всего, волноваться не о чем. Если же это неизвестная компания или, например, непроверенный работодатель с сайта фрилансеров, то стоит задуматься, оправдан ли риск.
В любом случае перед отправкой своих данных, нужно узнать, зачем эта информация нужна, и какую ответственность будет нести принимающая сторона. Особенно стоит обратить внимание на условия передачи данных третьим лицам. Если указано, что данные могут быть переданы третьим лицам, то это не очень хорошо. Исключение здесь, конечно, составляет запрос правоохранительных органов.
То же самое справедливо и для различных операций в Сети. К примеру, букмекерские конторы, каршеринги, сервисы онлайн-кредитования и другие, все могут требовать фото с паспортом. Помимо этого, можно нарваться и на поддельный сайт, который создан специально для сбора персональных данных.
Несмотря на то что это незаконно, сканы паспортов и других документов продаются в Сети. В каких именно незаконных схемах могут участвовать такие данные, предугадать сложно. Сомнительные денежные переводы, обналичивание денег, регистрация аккаунтов или SIM-карт. К примеру, ничто не помешает недобросовестному сотруднику салона сотовой связи заключить договор по этим документам.
Для того чтобы хоть как-то защитить свои данные, можно наложить водяные знаки на изображение с паспортом. Сделать это можно практически в любом графическом редакторе. Разместить их нужно по всему изображению, но так, чтобы они не закрывали требуемую информацию. Стоит написать, для какого сервиса или сайта сделано фото. Убрать такие водяные знаки без следов, как правило, проблематично.