Беззащитные данные. Почему в России выросло количество утечек персональной информации
С начала 2022 года число инцидентов с утечкой персональных данных в России увеличилось по сравнению с этим же периодом прошлого года в полтора раза. «Сноб» поговорил с экспертами о том, что делать пользователям, чтобы защитить личную информацию
29 августа стало известно, что в открытый доступ попали данные клиентов курьерской службы оперативной доставки CDEK. В компании заверили, что хакерам не удалось получить номера документов, удостоверяющих личность, и данные банковских карт, но им в руки попала другая личная информация пользователей: номера телефонов, электронная почта и ФИО.
Всего в первой половине 2022 года хакеры в России слили 305 баз данных, такие данные приводит компания InfoWatch. Как минимум шесть из них — результат взлома баз данных крупных онлайн-сервисов. В марте в открытый доступ выложили данные клиентов «Яндекс.Еды». На основе полученной информации хакеры составили интерактивную карту с именами, адресами, номерами телефонов и суммой трат за месяц. После этого инцидента суд оштрафовал «Яндекс.Еду» на 60 тысяч рублей за нарушение законодательства в сфере персональных данных, а сами пользователи подали на компанию в суд, потребовав компенсацию за моральный вред.
Позже под удар попала и база данных Delivery Club. Хакеры выложили на продажу в даркнете 250 миллионов строк. В мае появилась информация о продаже данных клиентов «Гемотеста». Злоумышленники запросили $2000 за имена, паспортные данные, адреса, мобильные телефоны и дату рождения посетителей диагностической лаборатории. «Гемотест», как и «Яндекс.Еду», оштрафовали на 60 тысяч рублей. Это минимальная сумма штрафа при первом нарушении закона о персональных данных. Во второй раз компанию ждет штраф до 500 тысяч рублей.
Почему в последнее время происходит так много утечек
Основные причины массовых утечек — увеличение масштабов цифровизации и рост количества данных, которые пользователи предоставляют разным ресурсам, говорит эксперт по цифровой среде и профессор Свободного московского университета Александр Исавин. При этом цифровые информационные системы пока менее надежны, чем бумажные картотеки: в онлайне много «открытых дверей» для мошенников, а большинство компаний, собирающих информацию, относятся к ней довольно халатно, утверждает Исавин.
Хакерам, как рассказал «Снобу» эксперт, проще всего украсть адрес электронной почты, потому что его используют при регистрации почти на всех платформах, а также при получении доступа к рассылкам. E-mail — это ключ к остальным данным: «Получив его, мошенники могут найти прикрепленные к аккаунту профили в социальных сетях, а после — составить портрет пользователя и определить его социальный статус, доход и интересы, чтобы рассчитать стратегию для дальнейших атак и, возможно, шантажа». Чем больше баз данных сливают, тем проще недоброжелателям без особых усилий достать нужную информацию.
Узнать, попали ли в утекшие списки паспортные данные или платежная информация, можно, только если компания сама публично признается, что произошла утечка. Но можно и самостоятельно проверить, слиты ли логин и пароль. Например, говорит Дмитрий Галов, эксперт по кибербезопасности в «Лаборатории Касперского», через сервис Have I Been Pwned. Достаточно ввести свой номер телефона или почту, после чего сайт покажет, утекли ли данные в открытый доступ. Другой вариант — установить в настройках браузера систему проверки утечек. Сделать это можно в разделе «Безопасность», активировав функцию оповещения об утечке пароля или логина. Пароли и логины лучше поменять, причем во всех аккаунтах, где есть идентичные данные входа, добавил Александр Исавин.
Если пароль и логин оказались в открытом доступе, Дмитрий Галов советует не переходить по сомнительным ссылкам, чтобы проверить наличие там своих данных, — это может привести к «заражению» устройства вирусами или потере данных: «В новостях часто появляются сообщения о том, что на том или ином форуме или сайте якобы выложили утекшие данные пользователей. Мы не рекомендуем проверять эти сведения: скачивать архивы с потенциально утекшими данными или переходить на ресурсы, где с такими данными предлагают ознакомиться».
Избежать утечек полностью не получится, но можно обезопасить себя, если следовать простым правилам цифровой гигиены:
- Не стоит хранить важные файлы, например скан паспорта, в папке без пароля.
- При регистрации на разных ресурсах лучше всего использовать уникальные данные для каждого профиля.
- Пароли должны содержать от 12 знаков с буквами в разном регистре, цифрами и спецсимволами. Периодически данные стоит менять.
- Для хранения паролей лучше пользоваться менеджерами паролей. В таких системах они хранятся в зашифрованном виде, и их нельзя расшифровать без мастер-пароля. Доступ к мастер-паролю может получить только тот, кто обладает доступом к самому устройству.
- Лучше настроить двухфакторную аутентификацию в тех сервисах, которые позволяют это сделать.
Какой закон позволит контролировать утечки
Сейчас за утечку данных компаниям ничего не грозит, кроме небольшого штрафа, как в случае с «Яндекс.Едой», говорит Исавин. Для бизнеса это скорее репутационные риски. В Минцифре обсуждают меру для контроля обработки и хранения персональных данных — ввод оборотных штрафов (1% или 3% от годовой выручки) для компаний, допустивших утечку. Такое наказание бизнес понесет, если пострадают более 10 тысяч граждан.
Подготовила Дарья Масленко