С начала 2022 года в России, по данным Роскомнадзора, произошло не менее 90 крупных утечек баз персональных данных. В результате утечки «Яндекс.Еды» в сеть попали адреса проживания клиентов сервиса, из-за утечки данных «Московской электронной школы» хакеры получили доступ к СНИЛС и телефонным номерам московских учеников и их родителей. Чем опасны такие утечки и как можно защитить свою приватность, рассказал «Холоду» управляющий партнер юридической фирмы Digital Rights Center Саркис Дарбинян.
Первая опасность — спам-атаки
Когда данные пользователей утекают в сеть, этим пользуются спамеры и сотрудники колл-центров, которые занимаются навязчивым продвижением товаров и услуг. Пользователю могут начать приходить рекламные сообщения. А ссылка из такого, якобы рекламного сообщения на почте может привести пользователя на фишинговый сайт — так называют ресурсы, крадущие логины и пароли. Если пользователь переходит по такой ссылке на устройстве (например телефоне или ноутбуке), на нем появляется вирус, позволяющий украсть данные.
Вторая опасность — доступ к аккаунтам
Пароли к аккаунтам пользователя можно не только украсть, но и подобрать. Для этого мошенники применяют так называемый брутфорс (от английского brute force — грубая сила) — метод взлома учетной записи путем подбора пароля к ней. Утечки персональных данных ускоряют и упрощают этот процесс.
«Утечка данных всегда содержит какое-то количество информации, которое обогащает другие, слитые ранее базы данных», — говорит Саркис Дарбинян. То есть, когда в открытом доступе в результате утечки оказываются даты рождения и адреса электронных почт, эти данные «сливаются» с другими, которые уже были в открытом доступе ранее, — это позволяет хакерам взламывать аккаунты. Имея много личных сведений о человеке, можно подобрать те, которые он, вероятно, мог «зашить» в свой пароль.
Третья опасность — доксинг, или раскрытие личной информации
Доксингом называют сбор и публикацию в сети личных данных пользователя без его разрешения. Например, в результате слива базы данных медицинской лаборатории «Гемотест» в мае 2022 года в сеть утекла информация о результатах анализов клиентов, а также их паспортные данные.
По словам Саркиса Дарбиняна, если соотнести данные утечки «Гемотеста» с данными утечки «Яндекс.Еды», среди которых были адреса клиентов сервиса, то можно вскрыть большое количество личных, любовных и деловых связей. Например, если два человека регулярно делают заказы в «Яндекс.Еде» из одного места, это может быть первым шагом к раскрытию личной жизни человека. А если клиент был известным человеком, то такое раскрытие информации о его связях с другими людьми или данных его анализов, например генетических или на ВИЧ, может нести для него репутационные потери.
Четвертая опасность — кража денежных средств
Чем больше информации о человеке получают злоумышленники, тем проще им атаковать этого человека с помощью психологического воздействия. В этом случае жертва сама предоставляет доступ к своим данным.
Например, мошенник, представившись сотрудником банка, может сказать человеку, что его счет заблокирован и для разблокировки ему необходимо назвать данные банковской карты. Если злоумышленник имеет доступ к слитым данным о человеке, то при разговоре он может назвать его имя, фамилию, адрес. Это вызывает доверие у жертвы, и ее легко убедить, что звонящий — действительно сотрудник банка.
Пятая опасность — шантаж и угрозы
После утечки данных «Яндекс.Еды» у мошенников появился доступ к адресам клиентов сервиса. Зная фактическое место проживания человека, злоумышленники могут выследить жертву или ее родственников, а затем начать угрожать им.
В 2020 году житель Москвы скачал приложение для каршеринга — предположительно, «Делимобиль» — и, чтобы зарегистрироваться, загрузил в него свое фото с паспортом. Через несколько месяцев неизвестные, получив доступ к этим данным из-за их возможной утечки, которую сервис отрицал, начали требовать с мужчины деньги. Также мошенники взяли на его имя кредит в банке, а затем выложили в сеть его паспортные данные, добавив, что он находится в розыске за изнасилование шестилетней девочки. Кроме того, с анонимных аккаунтов ему стали приходить сообщения с угрозами избиения и убийством.
Могу ли я что-то сделать, чтобы мои данные не стали публичными?
Да. Нужно оставлять как можно меньше персональных данных.
Во-первых, как отмечает Саркис Дарбинян, следует иметь отдельный телефон для заказа товаров и услуг в интернете. Также при заказе можно указывать не свой адрес, а адрес, например, соседнего дома, и забирать товар у курьера самостоятельно.
Во-вторых, лучше удалить свои аккаунты в тех сервисах, которыми вы уже не пользуетесь. «Чем меньше мы “следим” в интернете, тем меньше оставляем шансов для того, чтобы кто-то воспользовался нашими данными, которые постоянно утекают, — рассказывает Дарбинян. — Удалив ненужные аккаунты, вы снизите шанс слива ваших данных, если в этом сервисе произойдут утечки».
