Ски Плюс (Nordski)

Компания

Российский производитель спортивной одежды.
СМ. ТАКЖЕ (1)

Вся продукция под брендом Nordski разрабатывается и производится на территории России. Своей целью в компании считают создание в России функциональной спортивной одежды с характеристиками на уровне мировых брендов и с ценой, доступной каждому. По состоянию на 2024 год компания имеет 10 производственных площадок, более 360 оптовых партнёров и присутствует в 55 регионах страны.

2024: Утечка персональных данных

Как обнаружил TAdviser в сентябре 2024 года, мировой суд Ленинского района г. Пензы признал российского производителя спортивной одежды Nordski (ООО «Ски Плюс») нарушившим законодательство о персональных данных из-за утечки персональных данных пользователей и клиентов с его сайта. Компания объяснила инцидент наличием уязвимости в системе управления сайтом «1С-Битрикс», которую она использует.

Из опубликованного судебного постановления следует, что изначально утечку обнаружил Роскомнадзор. В ходе мониторинга интернета ведомство выявило факт распространения базы данных объёмом 22 тыс. строк, содержащей персональные данные пользователей и клиентов сайта nordski.ru, принадлежащего «Ски Плюс»: фамилии, имена, отчества, номера телефонов, email и адреса. База была размещена на хакерском форуме, а также в одном из Telegram-каналов.

В ответ на запрос Роскомнадзора «Ски Плюс» подтвердила утечку базы персональных данных. Причём уведомление об этом компания направила регулятору спустя почти два месяца после получения от него письма об обнаруженной утечке. В своём уведомлении «Ски Плюс» заявила, что утечка произошла в результате уязвимости системы управления сайтом «1С-Битрикс».

«
Резервная копия базы данных сайта за 2022 год была расположена в корневой папке сайта с правами администратора, которые, в свою очередь, запрещают просмотр и скачивание файла. Однако в результате взлома сайта, через ядро системы управления «1С-Битрикс» была нарушена структура сайта и права доступа к файлам и директориям, — приводится позиция «Ски Плюс» в судебном постановлении.
»

C сайта производителя спортивной одежды Nordski утекли персданные

Суд подтвердил в действиях «Ски Плюс» состав административного правонарушения по ч. 1 ст. 13.11 КоАП РФ (обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных), выразившегося в распространении персональных данных граждан неограниченному кругу лиц. Вина компании в совершении этого правонарушения полностью доказана материалами административного дела, исследованными и оглашенными в судебном заседании. TAdviser выпустил новую Карту «Цифровизация ритейла»: 280 разработчиков и поставщиков услуг 14.2 т

Вместе с тем, суд учёл в качестве смягчающего обстоятельства тот факт, что к административной ответственности компания привлекается впервые, и наказание за это ограничилось только предупреждением.

По умолчанию КоАП РФ предусматривает по этой части статьи наказание для юридических лиц в виде административного штрафа в размере от 60 тыс. до 100 тыс. рублей, а за повторное аналогичное нарушение — от 100 тыс. до 300 тыс. рублей.

В «1С-Битрикс», изучив материалы дела на сайте суда, поделились с TAdviser своей позицией касательно возможной причины утечки. Так, Роман Стрельников, руководитель направления информационной безопасности «1С-Битрикс», отмечает, что «Ски Плюс» самостоятельно сделала резервную копию и разместила её на корень сайта.

«
Это была плохая идея. Такие файлы легко скачать любому посетителю сайта, даже без авторизации. Встроенная система резервного «Битрикс» размещает резервные копии в облаке, — объясняет он.
»

Также можно сказать, что компания семь месяцев не устанавливала рекомендуемые «Битрикс» обновления безопасности. Можно предположить, что такие действия и привели к утечке персональных данных пользователей сайта. Но так как клиент не обращался в поддержку, сказать что-то дополнительно сейчас нет возможности, добавил Роман Стрельников.