Утечка персональных данных: почему это происходит и как от этого защититься

Хакеры против Tele2

Фото - © пресс-служба Tele2

Восьмого августа Tele2 заявил о начале служебного расследования из-за информации о возможной утечке данных пользователей. Представители мобильного оператора отметили, что ответственность за утечку лежит на стороне IT-партнера, который подвергся хакерской атаке. Из-за этого в сети, по данным СМИ, могли оказаться ФИО, мобильные номера, а также адреса электронной почты абонентов Tele2.

В компании подчеркнули, что контроль за потенциально доступными данными менее защищенных подрядчиков будет усилен. В то же время аналитики Tele2 заявили, что данные, попавшие в сеть, не представляют угрозы для клиентов. «По сути, это перекомпиляция сведений, которые доступны онлайн из других источников», – резюмировали в пресс-службе.

Впрочем, уже на следующий день, 9 августа, Роскомнадзор запросил у Tele2 детальную информацию о возможной утечке.

«Роскомнадзор направил в ООО «Т2 Мобайл» запрос с требованием предоставить детальную информацию о возможной утечке персональных данных клиентов компании», – говорится в сообщении регулятора.

Эволюция обмана: как телефонные мошенники пускают в ход новые схемы>>

«Утекающий» тренд

Фото - © М. Денисова/Сайт мэра Москвы

История с возможной утечкой данных абонентов Tele2 в нынешнем году стала лишь одной из многих. Так, в конце минувшего февраля Telegram-каналы сообщали об утечке данных компании СДЭК: речь шла об одном файле, содержащем 466 миллионов строк с ID и телефонами, и другом, из 822 миллионов строк, с ID, ФИО и адресами e-mail. СДЭК официально подтвердила факт утечки, но отметила, что в оказавшейся в сети базе нет номеров документов и другой важной персональной информации, в том числе платежной.

В середине июля эксперты сообщили о новой утечке данных в СДЭК, которая могла коснуться 25 миллионов пользователей и 30 тысяч контрагентов. Помимо СДЭК, в 2022 году масштабные утечки данных фиксировали у таких сервисов, как «Яндекс.Еда», Tutu.ru и Delivery Club. У «Яндекс.Еды» в сеть попали 6,8 млн уникальных номеров телефонов клиентов. В компании заявили, что причиной утечки стали недобросовестные действия одного из сотрудников.

Для «Яндекс.Еды» эта ситуация обернулась неприятными последствиями: в конце апреля суд в Москве оштрафовал сервис на 60 тысяч рублей из-за утечки данных. 12 июля на компанию составил протокол Роскомнадзор, что грозит ей штрафом до 100 тысяч рублей. А в начале августа стало известно, что Следственный комитет России (СКР) возбудил уголовное дело по факту утечки данных пользователей «Яндекс.Еды». Параллельно в середине апреля клиенты «Яндекс.Еды» подали коллективный иск в Замоскворецкий суд Москвы, потребовав компенсацию за моральный вред в размере 100 тысяч рублей на каждого.

В плане утечек данных отметился и сервис Delivery Club – основной конкурент «Яндекс.Еды». В конце мая Telegram-канал In4security сообщил об утечке базы заказов Delivery Club, где содержались ФИО и адреса пользователей, а также информация об их покупках. В Delivery Club признали утечку данных о некоторых заказах пользователей, но отметили, что банковские реквизиты не были скомпрометированы, и не стали раскрывать причины инцидента.

Наконец, в мае произошла утечка данных сети клиник «Гемотест» – в компании объявили о начале внутреннего расследования.

От микрозаймов до сайтов знакомств: самые распространенные виды мошенничества в России>>

Инструмент для аферистов

Фото - © Pixabay

Как говорит в беседе с РИАМО эксперт в области кибербезопасности и права в IT Евгений Царев, основная причина недавних утечек персональных данных кроется в коммерческом интересе. Дело в том, что относительно «свежую» базу персональных данных можно выгодно продать, а также нанести организации репутационный ущерб. Чаще всего в утечках такого рода виноваты сотрудники организаций – это «внутренний враг», с которым очень сложно бороться.

«Когда утекают ФИО, телефоны или электронная почта, они в большинстве случаев попадают в базу спамеров, которые будут звонить и слать письма. Это неприятно, но не страшно. Если же их начнут использовать злоумышленники, это уже может быть опасно: они будут слать фишинговые письма и совершать мошеннические звонки, представляясь службой безопасности банков или сотрудниками правоохранительных органов», – рассказывает преподаватель-эксперт Академии информационных систем Сергей Боронин.

Как отмечает Боронин, если человека удастся вывести из равновесия, используя методы социальной инженерии, он может назвать свои банковские данные и у него спишут деньги. Эту угрозу не стоит преуменьшать: сейчас такими схемами профессионально занимаются целые подразделения мошенников. Но сами по себе телефон и e-mail человека достать несложно, поэтому такие утечки не особенно страшны.

«Куда хуже, если «утекут» данные, представляющие банковскую тайну, или биометрия — их могут использовать для кражи банковской информации. Также опасна утечка так называемых специальных категорий персональных данных», – объясняет Сергей Боронин. К последним относятся политические и религиозные взгляды человека, подробности его интимной жизни, данные о судимостях и медицинские данные. Это можно использовать напрямую против человека: к примеру, применять в качестве компромата для шантажа.

Благотворительность или фейк: как отличить фонд от мошенников>>

Механизмы защиты

Фото - © Алексей Мальгавко/РИА Новости

Сложность в истории с персональными данными состоит в том, что не оставлять их практически невозможно: на них «завязаны» различные услуги, сервисы доставки и сетевые магазины. Однако, как отмечает в беседе с РИАМО инженер по безопасности хостинг-провайдера и регистратора доменных имен REG.RU Артем Мышенков, в некоторых случаях можно оставлять на сервисах минимум необходимых данных или использовать ненастоящие данные.

По словам Мышенкова, основа безопасности – это надежные пароли, причем чем длиннее пароль, тем лучше. Пароль лучше всего составлять на основе фраз или генерировать случайный пароль специальными программами. Хранить пароли также следует надежно – к примеру, в менеджере паролей. При этом все пароли должны быть уникальными: нельзя использовать один пароль на двух разных сайтах или сервисах.

«Везде, где есть такая возможность, следует использовать двухфакторную аутентификацию. Это может быть одноразовый пароль по SMS или приложение для аутентификации, например, «Яндекс.Ключ» или Google Authenticator», – отмечает эксперт.

Если же персональные данные все же попали в сеть, потерпевший может обратиться в суд для компенсации морального или материального вреда при наличии достаточных оснований, говорит Евгений Царев. Но стоит помнить, что формально российское законодательство не предусматривает компенсации ущерба от утечек для субъектов персональных данных.

При этом, по словам Сергея Боронина, новых утечек данных в будущем ожидать «обязательно стоит»: гарантировать полную безопасность данных не может никто. Даже если в компании действует самая продвинутая система защиты, в миллионах строк ее программного кода все равно может найтись уязвимость – это довольно частый вектор атаки на предприятия.

Пока об уязвимости в ПО не узнает служба безопасности, хакеры могут спокойно эксплуатировать эту уязвимость, и компания никак не может от этого защититься. Защита всегда на шаг позади, и с этим нельзя ничего сделать – такова природа IT-систем.

«С другой стороны, никакая защита не поможет, если речь идет о человеческом факторе – сотрудника всегда могут банально подкупить или обмануть. Предотвратить это не получится даже с помощью детектора лжи. Сегодня он пройдет проверку, а завтра у него появятся проблемы с выплатой кредита и он пойдет на обман. Моральный стержень человека может дрогнуть под давлением», – заключает Боронин.

Мобильные альтернативы: как платить телефоном без Apple Pay и Google Pay>>