В интернет попали данные о почти девяти миллионах нынешних и бывших клиентов «Билайна». Речь в первую очередь о пользователях домашнего интернета – теперь в Сети при желании можно найти их ФИО, домашние адреса, а также мобильные и домашние телефоны. Незадолго до этого стало известно о массовой утечке данных клиентов Сбербанка – СМИ сообщали о 60 миллионах человек, в самом банке заявили всего о двух сотнях. Это были уже данные о картах, лимитах по ним, о прошедших и запланированных переводах, о наличии средств. Пин- и CVV/CVC-кодов там не было.
О каких данных обычно идет речь при утечках?
Обо всех, что вы сохраняли где-либо в Сети. Это могут быть данные о посещении вами сайтов (если взломали ваш аккаунт в браузере, например), ваши адреса: фактический и электронной почты, пароли, данные карт, договоров, номера телефонов – все что угодно.
Все сильно зависит от первоисточника слива – у банка в базах данных будет информация по вашим счетам и переводам, а вот пароль от личной почты – вряд ли.
Если утекли данные вместе с логинами и паролями от сайтов – это опасно?
Все не так страшно, если сайт или сервис не содержит практически никакой информации о вас либо принадлежащего вам имущества – фотографий, купленных фильмов, книг, музыки, компьютерных игр, а также если там нет данных вашей банковской карты. В этих случаях вам может быть нанесен прямой ущерб, в первую очередь материальный.
Во всех прочих риски могут быть прежде всего репутационными – кто-то, например, получил доступ к вашей переписке, к вашему аккаунту в соцсети – и может скомпрометировать вас чисто из личных побуждений. Но такое бывает крайне редко – и будет означать, что ваша информация оказалась даже не в публичном, а в личном доступе, и не в результате «слива», а после целенаправленной атаки конкретного человека или группы людей конкретно на вас.
Обычно данные попадают в Сеть большими объемами, как в случаях со Сбербанком, «Билайном» или OZON, 450 тысяч паролей и e–mail пользователей которого обнаружили в июле на одном из сайтов с утечками. Это означает, что по большому счету до информации о конкретном человеке хакерам никакого дела нет – соответственно, и переживать насчет каких-либо манипуляций с вашим аккаунтом тоже особенно не стоит, это никому не нужно.
И в чем тогда опасность?
Главный риск – что подобные базы кто-либо сведет в один большой массив, в котором будут содержаться и почтовые адреса, и телефоны, и данные карт со счетами, номера паспортов, сведения о местах работы. И такие массивы уже существуют – более того, на форумах и в соцсетях даже предлагают создать специальную базу по запросу заказчика, где будут содержаться нужные ему сведения. По сути, в умелых руках из подобной информации легко можно будет создать полноценную электронную личность – и заменив где надо пароли, даже сделать ее вполне независимой от «первоисточника».
Мелкие базы практически не несут в себе угрозы сами по себе – в большинстве случаев даже наличие паролей к сайтам с привязанными к ним банковскими картами не позволит мошенникам опустошить ваш кошелек – попросту не позволит двухфакторная аутентификация через смс-коды. Но даже небольшой массив из нескольких таких баз данных может развязать руки определенным группам лиц.
«В первую очередь подобные данные могут использовать разнообразные мошенники. Представляясь, например, сотрудниками банка, они могут обманным путем выведывать у пользователей какую-то информацию или принуждать к каким-то действиям. Обычно у них уже есть какая-либо стартовая информация о пользователе, с помощью которой пытаются втереться к нему в доверие и получить доступ к остальным данным», – говорит эксперт по информационной безопасности Тарас Татаринов.
Мошенники, работающие посредством так называемой социальной инженерии (когда звонящие представляются сотрудниками банка или, например, следователями, «задержавшими вашего ребенка и готовыми закрыть дело за 20 тысяч рублей»), действительно являются главными пользователями подобных массивов. Но есть и другие, более безобидные и более назойливые.
Это рекламщики. А если точнее, сотрудники колл-центров, занимающиеся агрессивным маркетингом. «Такие базы актуальны и для спамеров, но спам несет гораздо меньше рисков, чем мошенничество, чем какой-либо фишинг – они более опасны для конечных пользователей», – считает Татаринов.
К тому же со спамом есть действенные способы борьбы.
Как узнать, есть ли мои данные в открытом доступе?
Сразу надо сказать, что какие-то наверняка есть. Например, у автора этой статьи оказались скомпрометированы пароли на 75 сайтах, в 12 случаях хакеры знали пару логин-пароль. Кроме того, данные обо мне также есть в печально известной «Коллекции № 1». Это крупнейший массив данных, который был слит в Сеть в январе 2019 года. Тогда в общем доступе оказался 1,1 млрд уникальных комбинаций логин-пароль, или 87 Гб данных.
Как обычно узнают о взломе – либо сайт, сервис или банк сам объявляет о нем и призывает пользователей срочно сменить пароли, либо эти данные уже постфактум находят на файлообменниках или форумах. Увы, универсальных сервисов, которые подскажут, есть ли в открытом доступе ваш телефон, паспортные данные, ФИО, адрес – нет. Но есть хотя бы по логинам и паролям. Например, подобную проверку позволяет сделать Google, если вы пользуетесь ее браузером. Есть ряд сервисов, например haveibeenpwned.com или avast.com/hackcheck, которые проанализируют известные утечки и скажут, был ли среди «слитых» адресов e-mail ваш. Если был, то, вероятно, и пароль утек вместе с ним. Есть сервисы вроде isithacked.com, через который можно узнать, взломан ли интересующий вас сайт.