Прямой эфир

Крупнейшие утечки персональных данных в России: от номера телефона до номера паспорта

Маргарита Звягинцева
7 февраля 2023, 17:30
Правительство РФ одобрило концепцию законопроекта об ужесточении ответственности компаний за утечки персональных данных. Поправки предполагают не только увеличение штрафов, но и реальные сроки. Вспомним самые громкие случаи утечек в 2022 г.
Коллаж 78.ru: Jan Tepass/globallookpress.com, Photoagency Interpress/globallookpress.com, unsplash.com

Острая проблема кибербезопасности

Утечка персональных данных россиян из баз данных крупных компаний – одна из серьёзнейших проблем кибербезопасности нашего времени. Приводить такие утечки могут к самым разным последствиям. В одних случаях, если это были имена и телефоны, могут участиться звонки рекламного характера. В других, если база попала злоумышленникам, вас станут атаковать мошенники из «службы безопасности вашего банка». Но случается, что утекают данные банковских карт, детализации звонков и заказов и даже данные документов.

На данный момент за неправомерные действия с базами персональных данных виновникам утечек грозит лишь административная ответственность в виде штрафа, причём довольно небольшого: их размеры не превышают нескольких тысяч для физических лиц, а для юридических могут достигать максимум 100 тысяч на первый раз (и 500 тысяч при повторном нарушении). Для крупной компании 100 тысяч – пустяки, особенно если сравнивать с затратами на усиление мер безопасности и сохранности таких данных.

Есть ещё дисциплинарная ответственность – выговор. То есть сотрудника, который допустил слив базы данных с вашим телефонным номером, после чего вас круглосуточно стали донимать мошенники, могут просто пожурить. Правда, если утечка персональных данных привела к убыткам, виновники должны понести уже гражданско-правовую ответственность, возместив и эти убытки, и причинённый моральный вред.

Новый законопроект

Меры по усилению ответственности за утечку персональных данных, а также различные предложения по улучшению собственно защиты этой информации обсуждаются в Госдуме давно. К примеру, ещё в 2015 году депутаты внесли законопроект об удалении из поисковых систем ссылок на информацию о людях по запросу – но техническая сторона этого механизма не проработана до сих пор.

Фото: пресс-служба Государственной Думы
Фото: пресс-служба Государственной Думы

В декабре 2022 года на рассмотрение правительства РФ поступил законопроект об ужесточении ответственности за кражу персональных данных. Авторы документа предложили ввести штрафы от 300 тысяч до 2 млн рублей, а также наказание в виде лишения свободы до 10 лет. Таким образом, ответственность за персональные данные станет уголовной. В феврале текущего года правительство рассмотрело и одобрило концепцию этого законопроекта.

Эксперты опасаются, что меры предосторожности и ответственности, которые могут быть предусмотрены документом, окажутся неподъёмными для малого и среднего бизнеса. А «позволить» себе такое усиление безопасности смогут только крупные компании – у которых и происходят самые масштабные «сливы». Причём в последнее время – всё чаще и чаще.

Сливы в сервисах доставки

Только за 2022 год в стране разразилось несколько громких скандалов с масштабными утечками персональных данных клиентов самых разных крупных компаний. Так, 1 марта о такой утечке сообщили представители «Яндекс.Еды». Злоумышленники не только украли, но и выложили в открытый доступ в интернете информацию более чем 58 тысяч заказчиков. Среди обнародованных данных оказались Ф.И.О., адреса – физические и электронной почты, номера телефонов и информация о заказах.

Данные были выложены на стороннем сайте в виде карты с точками, за каждой из которых скрывался адрес реального человека. 23 марта Роскомнадзор заблокировал этот сайт, но в течение трёх недели каждый мог спокойно узнать, на какую сумму пообедал его сосед. К сожалению, выяснить, что в соседской тарелке, – обычно не главная цель злоумышленников. Как заявили в «Яндексе», данные утекли по вине одного из сотрудников.

Фото: pexels.com
Фото: pexels.com

Всего два месяца спустя, 20 мая об утечке информации о заказчиках сообщил конкурент «Яндекс.Еды» – сервис доставки Delivery Club. Как и в предыдущем случае, это была информация об именах и фамилиях, номерах телефонов, электронной почте и суммах заказов. Представители компании подчеркнули, что данные банковских карт нигде не засветились.

Две тысячи долларов за базу

В мае 2022 года в даркнете появилась ещё одна база персональных данных – на этот раз клиентов «Гемотеста», компании, осуществляющей различные анализы крови. Помимо Ф.И.О., номеров телефонов, адресов и дат рождения злоумышленникам (и всем желающим) оказались доступны такие важные данные, как серия и номер паспорта каждого пострадавшего и номер СНИЛС. Как сообщали СМИ, за доступ к базе злоумышленник просил всего две тысячи долларов.

Утечка, по заявлению представителей «Гемотеста», произошла из-за уязвимости в IT-системе компании. Сеть лабораторий, как и «Яндекс.Еду», оштрафовали по решению суда всего на 60 тысяч рублей. А вот сервис Delivery Club получил штраф размером 80 тысяч – и эти при том, что слиты были данные 2 млн заказчиков и 130 тысяч курьеров.

Ещё в феврале 2022 г. крупная утечка данных произошла у российского оператора экспресс-доставки СДЭК. Позже, в июле стало известно о второй такой утечке. Как заявили в СДЭК, слитые базы включали имена и фамилии, номера телефонов, адреса и электронную почту, но данных документов и банковских карт в них не содержалось. При этом «слив» затронул несколько десятков миллионов пользователей.

Утечки магазинов и банков

Опасность подстерегает и при оформлении обычной карты продуктового магазина. Так, в ночь с 8 на 9 декабря 2022 г. сотрудники «Вкусвилла» обнаружили, что в открытый доступ попали данные нескольких сотен тысяч клиентов. Утекла информация о номерах телефонов, электронной почте, датах и суммах заказов, а также последние цифры банковских карт.

Фото: Bulkin Sergey/globallookpress.com
Фото: Bulkin Sergey/globallookpress.com

Опасно стало и учиться на онлайн-курсах: 1 июня в утечке данных более ста тысяч своих студентов признались представители обучающей платформы Geekbrains. Но, конечно, опаснее всего нам представляются утечки данных из различных банков. Отметим, что данные клиентов «Сбербанка» за последние годы сливались несколько раз. Одна из крупнейших утечек в истории российских банков произошла в конце сентября 2019 года – тогда злоумышленники выложили на продажу базу с информацией о 60 млн клиентов этого банка.

Уже в феврале 2020 года в продажу на просторах даркнета поступили новые «лоты» – с информацией о 20 и 100 тысячах человек, пользующихся услугами «Сбербанка». Причём данные включали не только фамилию и телефон, но также номера и серии паспортов и номера счетов.

В середине июня зампред правления Сбербанка Станислав Кузнецов рассказал, что с начала СВО в результате хакерских атак были слиты данные ещё 65 млн россиян. В том числе оказались скомпрометированы 13 млн банковских карт, 1 млн из которых принадлежали «Сбербанку» и были, по заявлению Кузнецова, перевыпущены.

История с бесконечным продолжением

Всё это – далеко не полный список сливов и утечек нашей с вами личной информации. Немало таких неприятных краж данных произошло и за краткий срок с начала 2023 года, и не только в России: например, в начале января, сразу после каникул магазин «Спортмастер» заявил об утечке данных 260 тысяч клиентов в Казахстане.

О множестве подобных утечек рассказал Ашот Оганесян, основатель сервиса разведки утечек данных и мониторинга даркнета DLBI, в своём телеграм-канале. По информации Оганесяна, в конце января 2023 г. в открытый доступ попала база данных «Почты России». В слитой базе – Ф.И.О., адреса, телефоны, СНИЛС и ИНН, серия и номер паспорта и данные о том, кем и когда выдан документ. Всего утекли данные 140 тысяч человек. Предыдущий «прокол» «Почты России» состоялся всего полгода назад, в конце июля.