Современные реалии таковы, что теперь под угрозой кражи не только материальные ценности. Всё чаще и чаще появляется информация о том, как крупные компании допускают массовые утечки персональных данных своих клиентов. Последний такой случай произошёл этой весной: сервис Яндекс.Еда пал под осадой хакеров и слил в сеть несколько сотен тысяч адресов, фамилий, номеров телефонов и даже сумм, которые клиенты потратили на заказы. Казалось бы, что такого? Ну, данные и данные, паспорт-то на месте. Однако не всё так просто.
В первую очередь уровень рисков зависит непосредственно от самой информации, попавшей в открытый доступ. Например, если утёк адрес электронной почты и телефон — это гарантированно чревато спамом, рекламными звонками, надоедливыми рассылками. А если в «пакете общедоступных документов» будут данные паспорта, реальный адрес, информация о собственности, родственниках, месте работы — ставки резко вырастают.
Персональные данные — невероятно эффективный инструмент для огромного числа мошеннических действий. Обладая базовой информацией, преступники могут получить дополнительную, а затем манипуляциями лишить доверчивых и впечатлительных граждан собственных сбережений. Знаете же эти уже ставшие попсовыми звонки а ля «мама, я сбил человека» или «здравствуйте, служба безопасности банка, на вас пытаются брать кредит»? Обладая информацией, гораздо легче подтолкнуть человека к необдуманным импульсивным действиям.
Кроме того, паспортные данные и адрес могут банально попробовать использовать для реального получения кредита. Да, такой способ вряд ли пройдёт даже первоначальную проверку крупных банков, но всё ещё остаются микрофинансовые организации и более мелкие учреждения, которые к проверке личности подходят менее щепетильно. Безусловно, вероятность одобрения кредита на данные ваших документов невысока, но мошенники ничего не теряют в своих попытках, и через шесть раз на седьмой им удаётся достичь цели.
Ещё один вектор, где инструментом становятся слитые данные — более злободневный — создание фейков. Работает это чисто психологически: чем больше реальной информации в том или ином фейке, тем эффективнее он работает и тем сложнее вычислить обман. В фейковых новостях и документах могут использовать настоящие имена, адреса и номера телефонов — этого уже вполне достаточно, чтобы ввести в заблуждение одну часть общества и создать проблемы другой.
Причин и способов это осуществить несколько. Злоумышленники взламывают плохо защищённые серверы (или находят уязвимости путём долгой хакерской работы), либо получают доступ к устройствам кого-либо из сотрудников, а оттуда уже попадают в базу данных. Также недобросовестные сотрудники крупных компаний добровольно могут продавать этот доступ за огромные деньги. Или же вовсе намеренно сливать информацию в сеть в открытый доступ (после скандального увольнения, например).
Большие фирмы, корпорации и организации вкладывают огромные деньги в информационную безопасность. Крупнейшие игроки на рынке — такие как Apple и Google, например — и вовсе постоянно проводят открытый конкурс для всех желающих взломать их серверы. IT-специалисты, которым удастся найти уязвимости и сообщить об этом компаниям, получают баснословные гонорары. Однако все эти меры не всегда эффективны. В случае утечки компании сразу же публикуют официальное заявление об этом.
После кражи информация обычно попадает либо в открытый доступ, либо на чёрный рынок. Есть невероятное множество незаконных ресурсов, которые продают слитые данные.
Можно проверить, утекли ли ваши данные в сеть, но это неизбежно связано с риском, что при проверке вы сами лично подарите их мошенникам. Архивы со слитыми данными в открытом доступе могут быть накачены вредоносным ПО, проверка через посредников гарантированно повлечёт потерю и данных, и денег за «услугу», специальные сайты с базами тоже могут быть фишинговыми или работать не так, как ожидают пользователи.
Исходя из этого специалисты Роскачества настоятельно рекомендуют никогда не вводить свои персональные данные на любых сайтах, которые как-то относятся к проверке этих самых данных на предмет утечки. Таким образом, специально узнать о факте слива не получится. А вот если вы обнаружили свои данные случайно где-то в открытом доступе или на ресурсе, где вы точно не давали на это согласие — нужно обратиться в Роскомнадзор с требованием заблокировать сайт.
Утечка персональных данных — не просто проступок, это повод для административного и уголовного преследования. В заключении расскажем о трёх самых масштабных случаях в России, которые понесли за собой чудовищные репутационные потери и финансовый ущерб.
В 2019 году произошла утечка данных клиентов Сбербанка, всего якобы (как сообщал «Коммерсант») около 60 миллионов записей. Они включали уникальные идентификаторы держателей карт, паспортные данные, ФИО, сведения о картах и операциях по ним. Всё это ушло на продажу в телеграм-каналах и незаконных ресурсах. Сбербанк н подтвердил утечку в интернет данных по картам только 200 клиентов, отметив, что их средства в безопасности.
В то же году, по данным «Известий», с сервера ОФД «Дримкас» утекло более 104 миллионов записей с данными о юридических и физических лицах, фискальных сведениях с указанием порядкового номера транзакции, ФИО продавца, стоимости товара и уплаченных налогах.
Третий лидер пьедестала — языковая школа SkyEng, которая, как снова сообщает «Коммерсант», проворонила 5 миллионов записей с информацией о своих учениках, преподавателях и сотрудниках. Очень многие из пострадавших стали жертвами мошеннической социальной инженерии и фишинговых сайтов.