Сегодня редкий россиянин не находил себя в слитых базах персональных данных. Только за весну и лето 2022 года произошло более 14 крупных утечек в серьезных компаниях: от «Яндекса» до «СДЭКа».
Большое количество умышленных «сливов» информации — история для России не новая. По версии международного менеджера паролей NordPass, страна занимает первое место по количеству утечек: 19 шифров на человека. Для сравнения, в США на одного гражданина приходится только 5 слитых паролей. Академия электронного государственного управления Эстонии также невысоко оценивает кибербезопасность в России. В национальном индексе — National Cybersecurity Index — страна занимает только 28-е место из 160 государств.
Кто виноват в масштабных утечках и можно ли защитить свои данные от «сливов» — разбираемся в этом материале.
Как часто и какие данные утекают в интернет?
Утечки личной информации происходят постоянно: как правило, общество узнает только о самых крупных «сливах». По данным Роскомнадзора, с начала 2022 года в России было зафиксировано около 60 крупных утечек персональной информации. В результате киберинцидентов в сеть попало 230 миллионов записей с данными россиян. Государственный орган, вероятно, занижает масштаб катастрофы. Так, по оценкам экспертов Group-IB Threat Intelligence, только в мае и июне этого года злоумышленники выложили в даркнет более 50 баз данных российских компаний, общее количество строк которых составляет более 616 миллионов.
В июне 2022 года в сеть утекли данные пользователей образовательного портала GeekBrains. Злоумышленник выложил в открытый доступ имена, адреса электронных почт и номера телефонов более 200 тысяч пользователей. Такая же ситуация произошла со «СДЭКом»: хакеры бесплатно опубликовали персональную информацию нескольких десятков миллионов клиентов. По словам руководителя отдела исследования киберпреступности Group-IB Олега Дерова, в большинстве случаев мотив у злоумышленников не столько заработать, сколько нанести как можно больший ущерб компаниям.
Однако больше от сливов страдают не компании, а пользователи. Например, за масштабную утечку персональных данных клиентов суд оштрафовал «Яндекс.Еду» на смешные 60 тысяч рублей. В то же время, в бесплатном доступе оказалась очень «дорогая» для злоумышленников информация.
Дело в том, что ценность слитой информации на черном рынке определяется не количеством строк в базе, а количеством действующих учетных записей. Иными словами, чем больше пар «электронная почта — пароль», тем дороже данные.
Как правило, большинство крупных «сливов» содержат намного больше, чем нужно для взлома электронной почты. Практически все базы включают фамилии пользователей, телефоны, адреса и даты рождения. Часть из них содержат паспортные данные и даже результаты медицинских анализов. Последний тип данных стал особенно интересовать злоумышленников с началом пандемии. Так, в декабре 2020 года в открытом доступе появилась персональная информация 100 тысяч москвичей, переболевших COVID-19.
Кто виноват в утечках?
Как правило, утечки происходят из-за преступного умысла, реже — в результате технических ошибок. Несмотря на то, что большинство «слитых» баз данных все равно оказывается в открытом доступе, основным мотивом кражи все равно остается стремление заработать.
По данным аналитического центра компании InfoWatch, в 2021 году почти в 70 процентах случаев желание получить дополнительный доход к зарплате посещало самих сотрудников компаний-жертв. При этом большинство утечек произошло по вине непривилегированных работников. К этому типу можно, например, отнести служащих в салонах сотовой связи, которые «пробивают» информацию об абонентах по заказу. В апреле 2022 года за подобное преступление осудили жительницу Коврова: она искала пострадавших в базах МТС, фотографировала их персональные данные и отправляла снимки мошеннику.
Тем не менее, 90 процентов «сливов» в первом полугодии 2022 года произошли по вине хакеров, утверждает свежий доклад InfoWatch. В основном это связано с пробелами в кибербезопасности компаний. По словам президента группы компаний InfoWatch Натальи Касперской, в России очень быстро проходит цифровизация, постоянно появляются новые приложения и сервисы. При этом внедрение правил безопасности не успевает за этим процессом, индустрии не хватает времени, ресурсов, квалифицированных кадров. В результате многие компании используют для хранения данных устаревшие алгоритмы или вовсе держат их в текстовом формате.
Казалось бы, регулировать и наказывать за ненадежное хранение данных должно государство. Однако Минцифры, напротив, даже рассматривает вариант смягчения штрафов за «сливы» и отмену наказания за первый инцидент. Связан подобный шаг со сложившейся политической ситуацией, из-за которой экономика страны оказалась в сложном положении. Теперь власти вынуждены лавировать между требованиями общества и бизнеса. Пока что государство больше прислушивается к желаниям компаний — более крупных налогоплательщиков, чем обычные пользователи.
Что делать, если персональные данные все же попали в сеть?
Полностью защитить персональную информацию невозможно, однако некоторые меры предосторожности все же стоит принять.
- Использовать несколько отдельных почтовых ящиков: для работы, личного пользования и отдельных важных сервисов, таких как банки и госуслуги.
- Указывать минимальное количество персональных данных в анкетах для регистрации или оформления системы лояльности на сайтах, в интернет-магазинах и других сервисах.
- Создавать сложные пароли и не использовать одинаковые комбинации на разных площадках. «123456», «qwerty» и «привет» — слабые шифры.
- Во время загрузки приложения проверять, какие разрешения оно запрашивает.
- Использовать двухфакторную аутентификацию везде, где это возможно: SMS-код, отпечаток пальца или электронный ключ в дополнение к паролю обеспечат лучшую защиту.
Однако если данные уже оказались в открытом доступе, главное не навредить себе еще больше. Не стоит открывать ссылки со слитыми архивами, чтобы найти свое имя — это может привести к заражению устройства и потере другой персональной информации.
Проверить, утекли ли ваши личные данные можно с помощью специальных сервисов. Например, на сайте «Have I been pwned». Однако подобные приложения также стоит использовать осторожно: не вводить пароли и конфиденциальную информацию.
Если мошенники смогли добраться до ваших банковских аккаунтов и получить доступ к счетам, по закону банк обязан вернуть деньги. Главное сообщить о краже в течение суток и не нарушать правил безопасности. К сожалению, если вы самостоятельно передали мошенникам информацию, перешли по ссылке или установили вредоносное приложение, возвратить украденные средства будет очень непросто.