pattern
logo
pattern
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
menulogo
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
ю вонт э скэндал нау?
Super

Что делать, если в Сеть слили вашу личную информацию: как происходят утечки персональных данных и можно ли себя обезопасить

Коллаж Super
Коллаж Super

Россия столкнулась с цифровой эпидемией: крупные компании переживают утечки персональных данных пользователей. Самым громким стал прецедент «Яндекс.Еды»: в марте 2022 года в интернете оказались данные около 7 миллионов людей. Этим все не ограничилось: за прошлый год было зафиксировано 710 случаев раскрытий информации у больших компаний. Разбираемся, как происходят утечки данных и как можно обезопасить себя.

РЕКЛАМА - ПРОДОЛЖЕНИЕ НИЖЕ

Как происходят утечки

По-разному. Условно их можно разделить на два вида: сливы и хакерские атаки. К первым относят ситуации, когда работники компании сообщают злоумышленникам конфиденциальные данные. До 2022 года преобладали такие раскрытия. Более чем в половине случаев своими полномочиями злоупотребляли именно рядовые сотрудники. Это явление породило характерный стиль спам-звонков от «службы безопасности банка» о «попытке несанкционированного снятия средств».

В 2022 году все изменилось: базы данных крупных компаний стали атаковать хакеры. Из-за них происходили наиболее масштабные утечки: СДЭК в феврале 2022-го, «Яндекс.Еда» — в марте, Delivery Club — в мае, «Гемотест» — в июле, Госуслуги — в октябре 2023 года. Такие сливы часто носят демонстративный характер: после утечки «Яндекс.Еды» был создан сайт с картой, на которой пострадавшие пользователи могли найти свои ФИО, номер телефона и адреса, на которые делали заказы. Позже сайт заблокировали, но данные остались в интернете.

Карта слива Яндекс Еды. Источник: соцсети
Карта слива Яндекс Еды. Источник: соцсети

Внимание мошенников к чувствительной информации неслучайно. В даркнете — части интернета, скрытой от общего доступа, — цветет бизнес по продаже данных. Популярны индивидуальные «пробивы», данные мигрируют между скам-проектами — все теми же «сотрудниками безопасности», разыгрывающими в трубке у жертв сложносочиненные сценки. То есть цель компрометации частной информации одна — предоставить ее в распоряжение скамеров. Разумеется, не за бесплатно.

Однако уже сейчас едва ли есть смысл платить за «пробивы»: досье по номеру телефона с деталями вплоть до данных паспорта можно получить по запросу в соответствующих телеграм-ботах. Разве что завсегдатаи даркнета способны предоставить заказчикам более конкретные сведения об объекте внимания, например о цвете занавесок на его кухне.

Личные данные, которые можно найти в телеграм-боте по номеру телефона. Источник: соцсети
Личные данные, которые можно найти в телеграм-боте по номеру телефона. Источник: соцсети

Как случаются утечки? Все ли системы безопасности несовершенны? В целом да. Успешным атакам в разное время подвергались ЦРУ, ФСБ, Министерство обороны США, а также компании-гиганты с мощной технологической защитой: Facebook, YouTube, WhatsApp, Tinder. Несовершенство здесь не синоним некорректной работы или ошибок: базы данных представляют собой сложную систему, а исходный код — постройку поистине исполинскую и, что важнее, детализированную и запутанную.

РЕКЛАМА - ПРОДОЛЖЕНИЕ НИЖЕ

Понятно, что в таких головоломных структурах бывают дыры. Специалисты по кибербезопасности называют такие технические недостатки уязвимостями и классифицируют их. Но стараются и злоумышленники: есть целый инструментарий средств, нацеленных на взлом сайтов и приложений. Один из самых популярных способов — SQL-инъекции, то есть вмешательства в запросы к базе данных, позволяющие хакеру просматривать информацию с ограниченным доступом.

Это не отменяет того, что порою компании относятся к данным халатно. Так, определенная часть утечек происходила из-за того, что сервисы, в которых пользователи регистрировались с паролями, использовали для их хранения неактуальные алгоритмы или складировали в незашифрованном виде. Есть здесь и доля вины пользователей: практика показывает, что в топе популярных по-прежнему остаются незамысловатые шифры вроде 1234 и qwerty123, кроме того, юзеры предпочитают вводить один и тот же пароль для разных сервисов.

Ложка меда в этой бочке дегтя присутствует. Утечки, даже самые масштабные, бывают бессмысленными. Например, по запросу злоумышленника база данных возвращает ему один только пароль без привязки к логину. Или наоборот. К тому же чем популярнее сайт или приложение, тем больше там бездействующих аккаунтов, неактуальной информации или ботов. Так что есть шанс, что крупица информации о вас просто-напросто затеряется в разверзшейся пропасти.

Последствия утечек

Проблема избыточного сбора персональных данных уже несколько лет актуальна на Западе. Особенно не любят «Гугл»: считается, что он давно перешел все границы дозволенного и передает информацию о пользователях третьим лицам, например Правительству США. В России контуры проблемы пока только очерчиваются. Периодически вопросом озадачиваются представители власти, тогда появляются новости о законопроектах, призванных унифицировать процесс сбора данных. По мнению их авторов, это должно минимизировать риски от утечек, если они все же будут случаться.

Протесты против «Гугла» в Вашингтоне, США, в 2022 году. Источник: Accountable Tech
Протесты против «Гугла» в Вашингтоне, США, в 2022 году. Источник: Accountable Tech

Интересен опыт «Яндекс.Еды». Сначала произошедшую утечку не хотели предавать огласке: сделали скромную рассылку с заголовком «Безопасность ваших данных». В ней не было сказано ничего, например, о сливе физического адреса. Спустя время руководитель сервиса Роман Маресов под давлением общественности опубликовал статью в блоге «Яндекса» и раздал понесшим убытки клиентам промокод на 5-10%. Еще спустя какое-то время «Яндекс.Еда» позволила пользователям удалять историю заказов.

РЕКЛАМА - ПРОДОЛЖЕНИЕ НИЖЕ
Сообщение о рассылке «Яндекс.Еды» после утечки персональных данных пользователей. Источник: соцсети
Сообщение о рассылке «Яндекс.Еды» после утечки персональных данных пользователей. Источник: соцсети

Некоторые компании вообще не считают нужным уведомлять пользователей об утечках. В марте этого года в Сети оказались 54 миллиона строк данных клиентов «СберСпасибо». Сбербанк, однако, не объявлял об этом в собственном телеграм-канале, где обычно постит актуальные новости. Похожее было у «Вкусно — и точка»: тогда в интернет попали данные 300 тысяч соискателей компании. Бренд решил ничего с этим не делать, ограничившись комментариями пресс-службы в СМИ.

Почему фирмы ведут такую политику? Масштабные утечки личных данных в общий доступ не шутка, но законодательно регулируются довольно мягко: компаниям назначают штраф от 60 до 100 тысяч рублей по статье 13.11 КоАП. Уголовной ответственности за такое нет, она наступает лишь в случае, когда компании собирают данные незаконно или когда раскрытая информация составляла коммерческую, налоговую или банковскую тайну. Большинство сливов под эти рамки не подпадает.

Предполагаемое решение, впрочем, уже есть: некоторые эксперты утверждают, что на ситуацию может повлиять внедрение оборотных штрафов (исчисляются из общей выручки компаний за год) за утечки — тогда бизнес начнет взращивать культуру охраны персональных данных. Практика уже есть в Европейском союзе, где штрафы за раскрытие личной информации могут доходить до 20 млн евро.

Как обезопасить себя от утечек

Как мы поняли, спасение утопающих — дело рук самих утопающих. По некоторым прогнозам, ситуация в будущем будет еще более безрадостной: компании будут атаковать все чаще, а может, и вовсе шантажировать раскрытием данных ради денег.

Если слив вас еще не коснулся, лучше соблюдать цифровую гигиену: использовать сложные пароли (никаких qwerty123!), подключить двухфакторную аутентификацию там, где это возможно (выбрать либо проверку по номеру телефона, либо подключить приложение Google Authenticator). Еще из очевидного: не переходить по подозрительным ссылкам, не называть третьим лицам коды из SMS, проверять корректность адреса сайта, где вы вводите информацию.

РЕКЛАМА - ПРОДОЛЖЕНИЕ НИЖЕ

Имеет смысл разделить персональные данные, которые вы отдаете на обработку. Для этого можно завести несколько сотовых номеров и не использовать, например, для двухфакторной аутентификации телефон, с которого вы звоните. На популярных сервисах или маркетплейсах лучше вообще указывать третий номер. Аккуратнее с почтой: не раскрывайте ее без необходимости, в крайнем случае пользуйтесь одноразовыми почтовыми ящиками.

Фильтруйте данные, которые оставляете в интернете. Какой бы манящей ни была перспектива получить заполненную учетку, не пишите нигде данные вроде номера паспорта, адреса регистрации, ИНН и СНИЛС. Без необходимости не указывайте свое реальное имя или номер телефона. Мониторьте приложения, которым предоставляете доступ к записной книжке на телефоне, не делайте это просто так.

Если вы поняли, что ваши данные утекли, оцените их чувствительность. Смените пароли даже в тех сервисах, что не попали в слив, особенно в случае, если где-то они совпадают. Также можно изменить номер телефона или платежные данные. Например, если скомпрометированы банковские данные, заморозьте счета. В случае же с физическим адресом или, например, ИНН, увы, ничего не сделать. Впрочем, утешение есть: рядовому скамеру, как мы уже знаем, до них нет дела.

Короче, совет один — крепитесь. Лихорадка персональных данных пока в зачаточной стадии, и минует ли она кого-то из нас, неизвестно. Лучше соблюдать классические меры предосторожности. И не поддаваться на провокации, как было, например, с картой «Яндекс.Еды», — вбивать свои адрес и номер телефона в окошко поиска не стоит. Так вы делаете лишний кивок в сторону мошенников, подтверждая актуальность попавшей в интернет информации.