Купи 3000 контактов до 20.07.2026 - получи 300 в подарокОставить заявку
LEADLIFE
Все материалы

Защита данных

Данные сотрудников: 3 канала утечки через сервисы с вашим доступом

Сторонние сервисы с вашим доступом - CRM, HR-платформы, корпоративный SaaS - могут передавать персональные данные сотрудников системам сбора данных. Разбираем три конкретных канала утечки.

19 июля 2026 12 мин чтения
Данные сотрудников: 3 канала утечки через сервисы с вашим доступом

Вы подключили к CRM телефонию. Добавили сотрудников в HR-платформу. Создали команду в корпоративном мессенджере. В каждом из этих случаев вы сами дали сторонним сервисам доступ к данным своих сотрудников - потому что иначе эти инструменты просто не работают.

Злого умысла у этих сервисов нет. Риск - в настройках по умолчанию: часть данных открыта так, что системы сбора читают их без взлома. Конкуренты, которые пользуются такими системами, получают доступ к вашей оргструктуре, контактам менеджеров и иногда к схеме ваших коммерческих связей.

Разберём три конкретных канала, через которые персональные данные сотрудников уходят в базы систем сбора - и как их закрыть.

Если вы уже слышали про риски открытых контактов сотрудников, но не разобрались с механикой - прочитайте сначала материал «Персональные данные сотрудников в открытом доступе: 4 риска для бизнеса». Там описаны последствия; здесь - конкретные точки входа для систем сбора.

Если вас интересует вопрос защиты - начните с bесплатного аудита периметра на сайте StopParsing: stopparsing.ru. Он показывает, какие данные о вашей компании уже видны системам сбора.

Почему разрешённый доступ - это тоже уязвимость?

Когда говорят об утечке данных, обычно имеют в виду взлом: кто-то пробрался в систему и похитил информацию. Это случается, но не так часто, как думают.

Гораздо чаще персональные данные сотрудников уходят наружу через совсем другой механизм: сервисы, которым вы сами дали доступ, хранят эти данные способом, который делает их доступными для автоматизированных систем сбора.

Схема такая. Вы подключаете облачный сервис. Он требует авторизации и доступа к вашим данным - это нормально, так он работает. Но параллельно часть этих данных попадает в открытые профили, API без авторизации или индексируемое облачное хранилище. Системы сбора данных обходят эти источники автоматически.

При этом ни вы ничего не нарушали, ни сервис - формально. Но результат тот же: персональные данные ваших сотрудников оказались в чужих базах.

Как системы сбора данных читают то, что вы открыли?

Системы сбора работают просто: программа обходит список URL или API-эндпоинтов, извлекает структурированные данные и сохраняет в базу. Они не взламывают пароли и не проникают в закрытые системы - только читают то, что открыто.

Под «открытым» понимается:

  • Страницы в интернете без авторизации
  • API-ответы, которые не требуют токена
  • Профили на платформах, настройки приватности которых стоят на «видно всем» по умолчанию
  • Агрегаторы контактов, куда данные попадают из десятков источников автоматически

В России работа с персональными данными регулируется 152-ФЗ. Законный сбор - это данные, которые человек сам разместил в открытом доступе. Незаконный - сбор данных, которые должны быть закрыты. Граница часто размытая, и системы сбора действуют именно в этой серой зоне.

StopParsing работает строго в правовом поле 152-ФЗ - закрывает только ваши данные, не собирает чужих.

Первый канал: CRM и телефонные интеграции

CRM и облачная телефония - стандартный инструмент отдела продаж. Интеграция удобна: звонок попал в систему, создался контакт, история сохранилась. Но за этим удобством стоит цепочка синхронизаций, которую большинство руководителей не отслеживают.

Что происходит с данными:

Когда менеджер звонит с рабочего номера через облачную АТС, номер этого менеджера виден абоненту. Это нормально. Но этот же номер оседает в системе провайдера телефонии. Часть провайдеров передаёт агрегированные данные в аналитические платформы - это прописано в их пользовательских соглашениях мелким шрифтом.

Параллельно: в самой CRM хранится список всех сотрудников с их рабочими номерами. CRM - это тоже облачный сервис. Если у него есть публичный профиль компании или API для партнёрских интеграций, часть этих данных может быть доступна без авторизации.

Что конкретно утекает:

  • Рабочие номера менеджеров, которые звонят клиентам
  • Имена и должности сотрудников из профилей CRM
  • Иногда - схема того, кто звонит и кому: сами разговоры системам недоступны, но факт соединения фиксируется

Телефоны менеджеров, попавшие в такие базы, используют для двух вещей: переманивания сотрудников и прямого спама по рабочим номерам. Ваш менеджер начинает получать звонки с предложениями работы от конкурентов - без всякого резюме с его стороны, просто потому что номер уже есть в базе.

Второй канал: HR-платформы и сервисы найма

Когда компания размещает вакансию на hh.ru или аналогичной платформе, в объявлении видно:

  • Название отдела («руководитель отдела продаж» - значит, у вас есть отдел продаж и есть его руководитель)
  • Иногда прямой контакт нанимающего менеджера или HR
  • Требования, по которым можно восстановить структуру команды

Это не секрет и не нарушение - платформы для найма по определению открыты. Но для систем сбора данных это готовая карта вашей оргструктуры. Пройдясь по вакансиям одной компании за год, можно восстановить всю иерархию и понять, кто за что отвечает.

Отдельный риск - HR-SaaS:

Если вы используете облачные сервисы для управления командой (онбординг, постановка задач, оценка сотрудников), у каждого сотрудника там есть профиль. Часть таких платформ создаёт публичные страницы по умолчанию - чтобы внешние подрядчики или соискатели могли видеть открытые профили.

Проблема в том, что «публичный профиль по умолчанию» часто содержит email, иногда телефон и должность. Большинство компаний не проверяют настройки приватности каждого нового SaaS после подключения.

Подробнее о том, что именно видно системам сбора из открытых источников - в статье «Что о вашей компании видно системам сбора данных».

Третий канал: корпоративные SaaS с открытыми профилями

SaaS-инструменты для командной работы строятся по одному принципу: у каждого участника есть профиль, доступный коллегам. Большинство таких сервисов также создают публичные версии этих профилей - на случай, если кто-то захочет найти коллегу из другой компании или подтвердить принадлежность человека к организации.

Пока этим пользуются единицы, всё нормально. Но системы сбора данных обходят такие профили автоматически и собирают контакты всех, кто не закрыл приватность вручную.

Что туда попадает:

  • Рабочий email (обычно в формате имя@компания.ru)
  • Имя и должность
  • Иногда телефон, если сотрудник сам добавил его в профиль при регистрации
  • Ссылки на другие соцсети и профессиональные аккаунты

Особенность этого канала: данные туда попадают через действия самих сотрудников при регистрации. Многие заполняют профиль честно, не зная, что он будет виден снаружи. Это не их ошибка - это настройки по умолчанию сервиса.

Кстати, если хотите понять, насколько ваша компания открыта для систем сбора - запросите бесплатный аудит периметра. Он показывает, какие конкретно данные о ваших сотрудниках и сайтах доступны прямо сейчас. Запросить аудит на stopparsing.ru

Что делают конкуренты с данными ваших сотрудников?

Когда система сбора получает контакты ваших сотрудников, данные используются несколькими способами.

Переманивание команды. Рекрутеры конкурентов звонят вашим менеджерам прямо на рабочий телефон - минуя LinkedIn и HeadHunter. Для этого не нужно, чтобы сотрудник сам искал работу. Достаточно, что его номер есть в базе. Менеджер по продажам, который чувствует себя недооценённым, получает звонок в нужный момент. Это не случайность - это работа систем подбора.

Спам по рабочим каналам. Рабочий номер менеджера попадает в базы рекламных звонков. Не личные звонки с предложениями работы - именно рекламные. Поставщики, дистрибьюторы, финансовые компании. Менеджер тратит время на отсев вместо работы с реальными клиентами.

Восстановление коммерческих связей. Если конкурент знает, кто именно в вашей компании занимается закупками и в каких компаниях ваши менеджеры числятся контактами - он может реконструировать вашу базу поставщиков или клиентов. Не точно, но достаточно, чтобы понять, в каком сегменте вы работаете и к кому стоит зайти первым.

Через незащищённые каналы конкурент может узнать, кому вы звоните, и выйти к вашим клиентам раньше вас. Это не паранойя - это механика, которая уже работает.

Как проверить свой периметр прямо сейчас?

Самостоятельный первичный аудит - это три проверки.

Проверка 1: сайт. Зайдите на свой сайт и поищите раздел «Команда», «Контакты» или «О нас». Если там указаны имена конкретных сотрудников с рабочими телефонами и email - эти данные уже индексируются. Это не обязательно плохо, но это надо знать.

Проверка 2: телефоны. Возьмите несколько рабочих номеров менеджеров и введите их в поиск. Что находится? Если номер засветился на площадках объявлений или в агрегаторах контактов - он уже в базах систем сбора.

Проверка 3: профили в SaaS. Войдите в настройки профиля в нескольких корпоративных сервисах (таск-трекер, вики, HR-платформа). Проверьте, что стоит в разделе «видимость» или «приватность». Если там «доступно всем» по умолчанию - закройте.

Это даст первое понимание ситуации. Полный аудит - отдельная история: там проверяется несколько десятков источников, в которые попадают данные большинства компаний.

Подробнее о том, как устроен профессиональный аудит периметра - в статье «С чего начинается защита от парсинга: аудит периметра за 4 шага».

Как закрыть эти каналы

После аудита становится понятно, какие данные уже открыты и через какие каналы они продолжают утекать. Дальше - план защиты.

Что закрывает StopParsing:

  • Сайты - от систем сбора данных: посетителей вашего сайта значительно труднее снять и передать в базы перехвата
  • Номера сотрудников - от парсинга: собрать оргструктуру и выйти на конкретных людей становится намного сложнее
  • Формы захвата - от перехвата заявок конкурентами

Схема работы такая: сначала аудит периметра (вы передаёте сайты и список телефонов - сервис показывает, что видно системам сбора). Следом - план с конкретными векторами. После - ваши домены и номера вносятся под защиту от парсинга. Дальше - мониторинг и поддержание периметра по мере роста компании.

Цена считается индивидуально по результатам аудита - зависит от числа сайтов, номеров и объёма данных под угрозой. Фиксированных пакетов нет.

Чего не стоит ожидать от защиты периметра?

Ни один сервис защиты данных не даёт гарантии «100% ваши данные не утекут никогда». Тот, кто обещает такое - вводит вас в заблуждение.

Реальный результат защиты периметра - другой: системы сбора переключаются на более доступные цели. Когда получить данные о вашей компании становится значительно сложнее, чем о соседнем конкуренте, автоматизированная система пойдёт туда, где легче.

Задача сервиса - сделать вашу компанию неудобной целью для автоматизированного сбора, а не стать щитом от всех угроз сразу.

Снижение риска - реальное, и оно работает. Абсолютного исключения - нет, и StopParsing об этом говорит прямо.

Источники

  • Федеральный закон № 152-ФЗ «О персональных данных», Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации. mindigital.gov.ru
  • Описание сервиса и механики защиты: stopparsing.ru
  • Материал по теме: Персональные данные сотрудников в открытом доступе: 4 риска для бизнеса
  • Материал по теме: Что о вашей компании видно системам сбора данных
  • Материал по теме: С чего начинается защита от парсинга: аудит периметра за 4 шага

Если хотите понять, что конкретно открыто о вашей компании прямо сейчас - начните с бесплатного аудита периметра.

Запросить аудит на stopparsing.ru

Частые вопросы

Почему разрешённый доступ - это тоже уязвимость?+

Угроза приходит не от взломщиков, а от настроек по умолчанию в сервисах, которым вы сами дали доступ. Системы сбора данных читают то, что открыто легально.

Как системы сбора данных читают то, что вы открыли?+

Это автоматизированные программы, которые обходят открытые источники и собирают контакты, должности и структуру компаний. Законность зависит от того, что именно собирается.

Что делают конкуренты с данными ваших сотрудников?+

Собранные данные используют для переманивания команды, прямого спама менеджерам и восстановления схемы ваших коммерческих связей. Каждое из этих последствий стоит денег.

Как проверить свой периметр прямо сейчас?+

Аудит периметра занимает 30 минут и показывает, что конкретно видно системам сбора. Делается по трём направлениям: сайт, телефоны сотрудников, открытые профили в сервисах.

Чего не стоит ожидать от защиты периметра?+

Абсолютной защиты не существует. StopParsing существенно усложняет сбор данных о вашей компании - обнулить его до нуля нельзя. Это честная позиция сервиса.

Цифры и формулировки - из практики и базы знаний LEADLIFE. Кейсы отражают результаты конкретных клиентов и не являются гарантией аналогичного результата.

Посчитаем, сколько клиентов вы теряете

Разбор под вашу нишу: сегменты, цена контакта, что делает отдел продаж. Без обязательств.

Получить расчёт и подарок
ПозвонитьЗаявка