Лучшее за неделю
1 сентября 2022 г., 15:30

Беззащитные данные. Почему в России выросло количество утечек персональной информации

Читать на сайте
Фото: David rangel / Unsplash

29 августа стало известно, что в открытый доступ попали данные клиентов курьерской службы оперативной доставки CDEK. В компании заверили, что хакерам не удалось получить номера документов, удостоверяющих личность, и данные банковских карт, но им в руки попала другая личная информация пользователей: номера телефонов, электронная почта и ФИО.

Всего в первой половине 2022 года хакеры в России слили 305 баз данных, такие данные приводит компания InfoWatch. Как минимум шесть из них — результат взлома баз данных крупных онлайн-сервисов. В марте в открытый доступ выложили данные клиентов «Яндекс.Еды». На основе полученной информации хакеры составили интерактивную карту с именами, адресами, номерами телефонов и суммой трат за месяц. После этого инцидента суд оштрафовал «Яндекс.Еду» на 60 тысяч рублей за нарушение законодательства в сфере персональных данных, а сами пользователи подали на компанию в суд, потребовав компенсацию за моральный вред. 

Позже под удар попала и база данных Delivery Club. Хакеры выложили на продажу в даркнете 250 миллионов строк. В мае появилась информация о продаже данных клиентов «Гемотеста». Злоумышленники запросили $2000 за имена, паспортные данные, адреса, мобильные телефоны и дату рождения посетителей диагностической лаборатории. «Гемотест», как и «Яндекс.Еду», оштрафовали на 60 тысяч рублей. Это минимальная сумма штрафа при первом нарушении закона о персональных данных. Во второй раз компанию ждет штраф до 500 тысяч рублей.

Почему в последнее время происходит так много утечек 

Основные причины массовых утечек — увеличение масштабов цифровизации и рост количества данных, которые пользователи предоставляют разным ресурсам, говорит эксперт по цифровой среде и профессор Свободного московского университета Александр Исавин. При этом цифровые информационные системы пока менее надежны, чем бумажные картотеки: в онлайне много «открытых дверей» для мошенников, а большинство компаний, собирающих информацию, относятся к ней довольно халатно, утверждает Исавин. 

Хакерам, как рассказал «Снобу» эксперт, проще всего украсть адрес электронной почты, потому что его используют при регистрации почти на всех платформах, а также при получении доступа к рассылкам. E-mail — это ключ к остальным данным: «Получив его, мошенники могут найти прикрепленные к аккаунту профили в социальных сетях, а после — составить портрет пользователя и определить его социальный статус, доход и интересы, чтобы рассчитать стратегию для дальнейших атак и, возможно, шантажа». Чем больше баз данных сливают, тем проще недоброжелателям без особых усилий достать нужную информацию.

Узнать, попали ли в утекшие списки паспортные данные или платежная информация, можно, только если компания сама публично признается, что произошла утечка. Но можно и самостоятельно проверить, слиты ли логин и пароль. Например, говорит Дмитрий Галов, эксперт по кибербезопасности в «Лаборатории Касперского», через сервис Have I Been Pwned. Достаточно ввести свой номер телефона или почту, после чего сайт покажет, утекли ли данные в открытый доступ. Другой вариант — установить в настройках браузера систему проверки утечек. Сделать это можно в разделе «Безопасность», активировав функцию оповещения об утечке пароля или логина. Пароли и логины лучше поменять, причем во всех аккаунтах, где есть идентичные данные входа, добавил Александр Исавин.

Если пароль и логин оказались в открытом доступе, Дмитрий Галов советует не переходить по сомнительным ссылкам, чтобы проверить наличие там своих данных, — это может привести к «заражению» устройства вирусами или потере данных: «В новостях часто появляются сообщения о том, что на том или ином форуме или сайте якобы выложили утекшие данные пользователей. Мы не рекомендуем проверять эти сведения: скачивать архивы с потенциально утекшими данными или переходить на ресурсы, где с такими данными предлагают ознакомиться».

Избежать утечек полностью не получится, но можно обезопасить себя, если следовать простым правилам цифровой гигиены: 

  1. Не стоит хранить важные файлы, например скан паспорта, в папке без пароля. 
  2. При регистрации на разных ресурсах лучше всего использовать уникальные данные для каждого профиля. 
  3. Пароли должны содержать от 12 знаков с буквами в разном регистре, цифрами и спецсимволами. Периодически данные стоит менять. 
  4. Для хранения паролей лучше пользоваться менеджерами паролей. В таких системах они хранятся в зашифрованном виде, и их нельзя расшифровать без мастер-пароля. Доступ к мастер-паролю может получить только тот, кто обладает доступом к самому устройству. 
  5. Лучше настроить двухфакторную аутентификацию в тех сервисах, которые позволяют это сделать. 

Какой закон позволит контролировать утечки 

Сейчас за утечку данных компаниям ничего не грозит, кроме небольшого штрафа, как в случае с «Яндекс.Едой», говорит Исавин. Для бизнеса это скорее репутационные риски. В Минцифре обсуждают меру для контроля обработки и хранения персональных данных — ввод оборотных штрафов (1% или 3% от годовой выручки) для компаний, допустивших утечку. Такое наказание бизнес понесет, если пострадают более 10 тысяч граждан.

Подготовила Дарья Масленко

Обсудить на сайте