Утечки персональных данных: Реальность, которая с нами навсегда?
Обозреватель Владимир Герасименко специально для 78.ru рассказал, как и почему происходят утечки персональных данных, и есть ли способы себя обезопасить.
Масштабная утечка данных клиентов сервиса Яндекс.Еда уже месяц не уходит из инфополя. Не первая и не последняя крупная утечка, не самая масштабная, тем не менее, она вызвала волну негодования людей по всей стране. Причина этого в том, что слитые данные были выложены в открытый доступ, позволив любому пробить своего соседа или знакомого на предмет его трат на заказ еды. Неприятно, мягко говоря, но во многом неизбежно. Поэтому давайте поговорим об утечках информации из сервисов и ответим на три вопроса: как, зачем и что делать.
Утечки данных: Как?
Первое, что стоит понять — абсолютно безопасной системы хранения данных не существует. Сегодня за человеком тянется огромный цифровой след, мы оставляем наши личные данные в десятках и сотнях сервисов, которые делают нашу жизнь чуточку удобнее. И всегда существует шанс того, что из одного из них ваши личные данные могут утечь. Основные причины утечек:
- Внешняя утечка — хакерская атака. Из последних громких случаев — кража данных из внутренней сети Apple в прошлом году или совсем свежий взлом внутренних сетей Microsoft. В обоих случаях целями злоумышленников были не данные пользователей, а техническая информация.
- Внутренняя утечка — копирование информации сотрудником. Примером может быть нашумевшая в 2019-м история: начальник сектора управления прямых продаж Московского филиала Сбера воспользовался правами администратора и скачал файл из внутренней сети о 5000 клиентах кредитных продуктов. Кроме того многие базы данных абонентов сотовых операторов имеют ту же природу. Общим больным местом таких утечек является то, что их совершают люди с легальным доступом к базе. Судя по информации из сети, именно так и утекли базы данных Яндекс.Еды.
- Случайный слив из-за ошибки или невнимательности. Здесь часто причиной выступают неправильные настройки, из-за чего доступ во внутреннюю сеть открывается любому пользователю (классика жанра это заводские логин-пароль «admin-admin», которые просто забывают поменять). Например, на прошлой неделе исследователи безопасности нашли в открытом доступе сервер с SMS-сообщениями от различных сервисов и банков. Среди отправителей (поле sender) были найдены Google, Тинькофф, Аэрофлот, Юла, Microsoft и т. п. Номера телефонов получателей скрыты, но вот содержание сообщений с кодами для двухфакторной авторизации и восстановления пароля, доступны. И эта база продолжает обновляться.
Наиболее часты всё же внешние и внутренние утечки, а из-за повышения активности хакеров и различного рода мошенников на фоне спецоперации риски столкнуться с такими случаями увеличились.
Утечки данных: Зачем?
Большинство умышленных утечек баз данных осуществляется с целью получения прибыли. Это либо шантаж владельца, либо продажа в сети. Реже случаются атаки с целью отомстить или нанести репутационный ущерб (хактивизм). В интернете существуют площадки, где можно продать и купить различные базы данных. Базы данных могут использоваться в зависимости от содержания с совершенно разными целями. Информация из баз данных может быть использована для мошеннических рассылок или обзвонов. Есть также сервисы, предоставляющие всем желающим «пробивку людей» — сводку данных из разных утечек, имеющихся у сервиса, и открытых источников. Утечки паролей от аккаунтов могут использовать для взлома и использования для мошенничества или в качестве ботов.
Стоит понимать, что далеко не все утечки, о которых трубят в интернете и СМИ это действительно утечки. Так как на торговле информацией можно заработать, то в этой сфере есть свои мошенники. Первым вариантом мошенничества является выдача данных из открытых источников за слив. Так, например, распарсив (сведя в вид базы данных) данные из соцсети можно вытащить ФИО, телефон, электронную почту, адрес и ещё множество сведений. Эти данные могут быть интересны мошенникам, но сливами не являются, так как доступ к ним открываем мы сами.
Кстати, тут нельзя не упомянуть, что вот такой вот анализ страничек в соцсетях активно используется рекламщиками и пиарщиками. Особенно громко несколько лет назад выстрелило дело Cambridge Analytica — фирмы, которая по открытым данным сумела выстроить систему пропаганды, которая помогла Трампу победить на выборах.
Вторым вариантом мошенничества с утечками является компиляция старых баз данных для выдачи за новую. В этом случае мошенник может маскировать ее, сливая лишь отдельные поля или внося данные из открытых источников. В любом случае это тоже не новая утечка.
Утечки данных: Что делать?
Стоит сразу понять, что, отдавая свои личные данные стороннему сервису, мы в большинстве случаев теряем контроль над ними, и защита этих данных более от нас не зависит. Более того, если данные уже утекли, то вычистить их из интернета невозможно, обязательно где-то они сохранятся. Но можно соблюдать простые правила цифровой гигиены, чтобы минимизировать риски для себя:
- Не доверяйте свои данные сомнительным сервисам.
- Не используйте одинаковые связки логин-пароль на разных сервисах!
- Заносите минимум необходимой информации о себе, чтобы минимизировать последствия утечки.
- У многих сервисов сейчас есть возможность контроля имеющихся у него данных о вас и их удаления. Например, такая функция есть в Яндекс.Паспорт. Также в некоторых сервисах есть возможность удаления аккаунта вместе со всей информацией в нём, но это не гарантирует, что данные будут удалены полностью.
Следите за теми данными, которые вы выкладываете в открытый доступ, нередко они могут содержать куда больше сведений о вас, чем вам бы хотелось.