Что делать, если в Сеть слили вашу личную информацию: как происходят утечки персональных данных и можно ли себя обезопасить

Россия столкнулась с цифровой эпидемией: крупные компании переживают утечки персональных данных пользователей. Самым громким стал прецедент «Яндекс.Еды»: в марте 2022 года в интернете оказались данные около 7 миллионов людей. Этим все не ограничилось: за прошлый год было зафиксировано 710 случаев раскрытий информации у больших компаний. Разбираемся, как происходят утечки данных и как можно обезопасить себя.

По-разному. Условно их можно разделить на два вида: сливы и хакерские атаки. К первым относят ситуации, когда работники компании сообщают злоумышленникам конфиденциальные данные. До 2022 года преобладали такие раскрытия. Более чем в половине случаев своими полномочиями злоупотребляли именно рядовые сотрудники. Это явление породило характерный стиль спам-звонков от «службы безопасности банка» о «попытке несанкционированного снятия средств».

В 2022 году все изменилось: базы данных крупных компаний стали атаковать хакеры. Из-за них происходили наиболее масштабные утечки: СДЭК в феврале 2022-го, «Яндекс.Еда» — в марте, Delivery Club — в мае, «Гемотест» — в июле, Госуслуги — в октябре 2023 года. Такие сливы часто носят демонстративный характер: после утечки «Яндекс.Еды» был создан сайт с картой, на которой пострадавшие пользователи могли найти свои ФИО, номер телефона и адреса, на которые делали заказы. Позже сайт заблокировали, но данные остались в интернете.

Внимание мошенников к чувствительной информации неслучайно. В даркнете — части интернета, скрытой от общего доступа, — цветет бизнес по продаже данных. Популярны индивидуальные «пробивы», данные мигрируют между скам-проектами — все теми же «сотрудниками безопасности», разыгрывающими в трубке у жертв сложносочиненные сценки. То есть цель компрометации частной информации одна — предоставить ее в распоряжение скамеров. Разумеется, не за бесплатно.

Однако уже сейчас едва ли есть смысл платить за «пробивы»: досье по номеру телефона с деталями вплоть до данных паспорта можно получить по запросу в соответствующих телеграм-ботах. Разве что завсегдатаи даркнета способны предоставить заказчикам более конкретные сведения об объекте внимания, например о цвете занавесок на его кухне.

Как случаются утечки? Все ли системы безопасности несовершенны? В целом да. Успешным атакам в разное время подвергались ЦРУ, ФСБ, Министерство обороны США, а также компании-гиганты с мощной технологической защитой: Facebook, YouTube, WhatsApp, Tinder. Несовершенство здесь не синоним некорректной работы или ошибок: базы данных представляют собой сложную систему, а исходный код — постройку поистине исполинскую и, что важнее, детализированную и запутанную.

Понятно, что в таких головоломных структурах бывают дыры. Специалисты по кибербезопасности называют такие технические недостатки уязвимостями и классифицируют их. Но стараются и злоумышленники: есть целый инструментарий средств, нацеленных на взлом сайтов и приложений. Один из самых популярных способов — SQL-инъекции, то есть вмешательства в запросы к базе данных, позволяющие хакеру просматривать информацию с ограниченным доступом.

Это не отменяет того, что порою компании относятся к данным халатно. Так, определенная часть утечек происходила из-за того, что сервисы, в которых пользователи регистрировались с паролями, использовали для их хранения неактуальные алгоритмы или складировали в незашифрованном виде. Есть здесь и доля вины пользователей: практика показывает, что в топе популярных по-прежнему остаются незамысловатые шифры вроде 1234 и qwerty123, кроме того, юзеры предпочитают вводить один и тот же пароль для разных сервисов.

Ложка меда в этой бочке дегтя присутствует. Утечки, даже самые масштабные, бывают бессмысленными. Например, по запросу злоумышленника база данных возвращает ему один только пароль без привязки к логину. Или наоборот. К тому же чем популярнее сайт или приложение, тем больше там бездействующих аккаунтов, неактуальной информации или ботов. Так что есть шанс, что крупица информации о вас просто-напросто затеряется в разверзшейся пропасти.

Проблема избыточного сбора персональных данных уже несколько лет актуальна на Западе. Особенно не любят «Гугл»: считается, что он давно перешел все границы дозволенного и передает информацию о пользователях третьим лицам, например Правительству США. В России контуры проблемы пока только очерчиваются. Периодически вопросом озадачиваются представители власти, тогда появляются новости о законопроектах, призванных унифицировать процесс сбора данных. По мнению их авторов, это должно минимизировать риски от утечек, если они все же будут случаться.

Интересен опыт «Яндекс.Еды». Сначала произошедшую утечку не хотели предавать огласке: сделали скромную рассылку с заголовком «Безопасность ваших данных». В ней не было сказано ничего, например, о сливе физического адреса. Спустя время руководитель сервиса Роман Маресов под давлением общественности опубликовал статью в блоге «Яндекса» и раздал понесшим убытки клиентам промокод на 5-10%. Еще спустя какое-то время «Яндекс.Еда» позволила пользователям удалять историю заказов.

Некоторые компании вообще не считают нужным уведомлять пользователей об утечках. В марте этого года в Сети оказались 54 миллиона строк данных клиентов «СберСпасибо». Сбербанк, однако, не объявлял об этом в собственном телеграм-канале, где обычно постит актуальные новости. Похожее было у «Вкусно — и точка»: тогда в интернет попали данные 300 тысяч соискателей компании. Бренд решил ничего с этим не делать, ограничившись комментариями пресс-службы в СМИ.

Почему фирмы ведут такую политику? Масштабные утечки личных данных в общий доступ не шутка, но законодательно регулируются довольно мягко: компаниям назначают штраф от 60 до 100 тысяч рублей по статье 13.11 КоАП. Уголовной ответственности за такое нет, она наступает лишь в случае, когда компании собирают данные незаконно или когда раскрытая информация составляла коммерческую, налоговую или банковскую тайну. Большинство сливов под эти рамки не подпадает.

Предполагаемое решение, впрочем, уже есть: некоторые эксперты утверждают, что на ситуацию может повлиять внедрение оборотных штрафов (исчисляются из общей выручки компаний за год) за утечки — тогда бизнес начнет взращивать культуру охраны персональных данных. Практика уже есть в Европейском союзе, где штрафы за раскрытие личной информации могут доходить до 20 млн евро.

Как мы поняли, спасение утопающих — дело рук самих утопающих. По некоторым прогнозам, ситуация в будущем будет еще более безрадостной: компании будут атаковать все чаще, а может, и вовсе шантажировать раскрытием данных ради денег.

Если слив вас еще не коснулся, лучше соблюдать цифровую гигиену: использовать сложные пароли (никаких qwerty123!), подключить двухфакторную аутентификацию там, где это возможно (выбрать либо проверку по номеру телефона, либо подключить приложение Google Authenticator). Еще из очевидного: не переходить по подозрительным ссылкам, не называть третьим лицам коды из SMS, проверять корректность адреса сайта, где вы вводите информацию.

Имеет смысл разделить персональные данные, которые вы отдаете на обработку. Для этого можно завести несколько сотовых номеров и не использовать, например, для двухфакторной аутентификации телефон, с которого вы звоните. На популярных сервисах или маркетплейсах лучше вообще указывать третий номер. Аккуратнее с почтой: не раскрывайте ее без необходимости, в крайнем случае пользуйтесь одноразовыми почтовыми ящиками.

Фильтруйте данные, которые оставляете в интернете. Какой бы манящей ни была перспектива получить заполненную учетку, не пишите нигде данные вроде номера паспорта, адреса регистрации, ИНН и СНИЛС. Без необходимости не указывайте свое реальное имя или номер телефона. Мониторьте приложения, которым предоставляете доступ к записной книжке на телефоне, не делайте это просто так.

Если вы поняли, что ваши данные утекли, оцените их чувствительность. Смените пароли даже в тех сервисах, что не попали в слив, особенно в случае, если где-то они совпадают. Также можно изменить номер телефона или платежные данные. Например, если скомпрометированы банковские данные, заморозьте счета. В случае же с физическим адресом или, например, ИНН, увы, ничего не сделать. Впрочем, утешение есть: рядовому скамеру, как мы уже знаем, до них нет дела.

Короче, совет один — крепитесь. Лихорадка персональных данных пока в зачаточной стадии, и минует ли она кого-то из нас, неизвестно. Лучше соблюдать классические меры предосторожности. И не поддаваться на провокации, как было, например, с картой «Яндекс.Еды», — вбивать свои адрес и номер телефона в окошко поиска не стоит. Так вы делаете лишний кивок в сторону мошенников, подтверждая актуальность попавшей в интернет информации.