Вся продукция под брендом Nordski разрабатывается и производится на территории России. Своей целью в компании считают создание в России функциональной спортивной одежды с характеристиками на уровне мировых брендов и с ценой, доступной каждому. По состоянию на 2024 год компания имеет 10 производственных площадок, более 360 оптовых партнёров и присутствует в 55 регионах страны.
2024: Утечка персональных данных
Как обнаружил TAdviser в сентябре 2024 года, мировой суд Ленинского района г. Пензы признал российского производителя спортивной одежды Nordski (ООО «Ски Плюс») нарушившим законодательство о персональных данных из-за утечки персональных данных пользователей и клиентов с его сайта. Компания объяснила инцидент наличием уязвимости в системе управления сайтом «1С-Битрикс», которую она использует.
Из опубликованного судебного постановления следует, что изначально утечку обнаружил Роскомнадзор. В ходе мониторинга интернета ведомство выявило факт распространения базы данных объёмом 22 тыс. строк, содержащей персональные данные пользователей и клиентов сайта nordski.ru, принадлежащего «Ски Плюс»: фамилии, имена, отчества, номера телефонов, email и адреса. База была размещена на хакерском форуме, а также в одном из Telegram-каналов.
В ответ на запрос Роскомнадзора «Ски Плюс» подтвердила утечку базы персональных данных. Причём уведомление об этом компания направила регулятору спустя почти два месяца после получения от него письма об обнаруженной утечке. В своём уведомлении «Ски Плюс» заявила, что утечка произошла в результате уязвимости системы управления сайтом «1С-Битрикс».
Резервная копия базы данных сайта за 2022 год была расположена в корневой папке сайта с правами администратора, которые, в свою очередь, запрещают просмотр и скачивание файла. Однако в результате взлома сайта, через ядро системы управления «1С-Битрикс» была нарушена структура сайта и права доступа к файлам и директориям, — приводится позиция «Ски Плюс» в судебном постановлении. |
Суд подтвердил в действиях «Ски Плюс» состав административного правонарушения по ч. 1 ст. 13.11 КоАП РФ (обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных), выразившегося в распространении персональных данных граждан неограниченному кругу лиц. Вина компании в совершении этого правонарушения полностью доказана материалами административного дела, исследованными и оглашенными в судебном заседании.
Вместе с тем, суд учёл в качестве смягчающего обстоятельства тот факт, что к административной ответственности компания привлекается впервые, и наказание за это ограничилось только предупреждением.
По умолчанию КоАП РФ предусматривает по этой части статьи наказание для юридических лиц в виде административного штрафа в размере от 60 тыс. до 100 тыс. рублей, а за повторное аналогичное нарушение — от 100 тыс. до 300 тыс. рублей.
В «1С-Битрикс», изучив материалы дела на сайте суда, поделились с TAdviser своей позицией касательно возможной причины утечки. Так, Роман Стрельников, руководитель направления информационной безопасности «1С-Битрикс», отмечает, что «Ски Плюс» самостоятельно сделала резервную копию и разместила её на корень сайта.
Это была плохая идея. Такие файлы легко скачать любому посетителю сайта, даже без авторизации. Встроенная система резервного «Битрикс» размещает резервные копии в облаке, — объясняет он. |
Также можно сказать, что компания семь месяцев не устанавливала рекомендуемые «Битрикс» обновления безопасности. Можно предположить, что такие действия и привели к утечке персональных данных пользователей сайта. Но так как клиент не обращался в поддержку, сказать что-то дополнительно сейчас нет возможности, добавил Роман Стрельников.