Чем грозит утечка личных данных в открытый доступ?

В интернет попали данные о почти девяти миллионах нынешних и бывших клиентов «Билайна». Речь в первую очередь о пользователях домашнего интернета – теперь в Сети при желании можно найти их ФИО, домашние адреса, а также мобильные и домашние телефоны. Незадолго до этого стало известно о массовой утечке данных клиентов Сбербанка – СМИ сообщали о 60 миллионах человек, в самом банке заявили всего о двух сотнях. Это были уже данные о картах, лимитах по ним, о прошедших и запланированных переводах, о наличии средств. Пин- и CVV/CVC-кодов там не было.  

О каких данных обычно идет речь при утечках?

Обо всех, что вы сохраняли где-либо в Сети. Это могут быть данные о посещении вами сайтов (если взломали ваш аккаунт в браузере, например), ваши адреса: фактический и электронной почты, пароли, данные карт, договоров, номера телефонов – все что угодно. 

Все сильно зависит от первоисточника слива – у банка в базах данных будет информация по вашим счетам и переводам, а вот пароль от личной почты – вряд ли.

Если утекли данные вместе с логинами и паролями от сайтов – это опасно?

Все не так страшно, если сайт или сервис не содержит практически никакой информации о вас либо принадлежащего вам имущества – фотографий, купленных фильмов, книг, музыки, компьютерных игр, а также если там нет данных вашей банковской карты. В этих случаях вам может быть нанесен прямой ущерб, в первую очередь материальный. 

Во всех прочих риски могут быть прежде всего репутационными – кто-то, например, получил доступ к вашей переписке, к вашему аккаунту в соцсети – и может скомпрометировать вас чисто из личных побуждений. Но такое бывает крайне редко – и будет означать, что ваша информация оказалась даже не в публичном, а в личном доступе, и не в результате «слива», а после целенаправленной атаки конкретного человека или группы людей конкретно на вас. 

Обычно данные попадают в Сеть большими объемами, как в случаях со Сбербанком, «Билайном» или OZON, 450 тысяч паролей и e–mail пользователей которого обнаружили в июле на одном из сайтов с утечками. Это означает, что по большому счету до информации о конкретном человеке хакерам никакого дела нет – соответственно, и переживать насчет каких-либо манипуляций с вашим аккаунтом тоже особенно не стоит, это никому не нужно. 

И в чем тогда опасность?

Главный риск – что подобные базы кто-либо сведет в один большой массив, в котором будут содержаться и почтовые адреса, и телефоны, и данные карт со счетами, номера паспортов, сведения о местах работы. И такие массивы уже существуют – более того, на форумах и в соцсетях даже предлагают создать специальную базу по запросу заказчика, где будут содержаться нужные ему сведения. По сути, в умелых руках из подобной информации легко можно будет создать полноценную электронную личность – и заменив где надо пароли, даже сделать ее вполне независимой от «первоисточника».

Мелкие базы практически не несут в себе угрозы сами по себе – в большинстве случаев даже наличие паролей к сайтам с привязанными к ним банковскими картами не позволит мошенникам опустошить ваш кошелек – попросту не позволит двухфакторная аутентификация через смс-коды. Но даже небольшой массив из нескольких таких баз данных может развязать руки определенным группам лиц. 

На эту тему
• Стало известно об утечке данных нескольких миллионов клиентов «Билайна»
• Сотрудник Сбербанка признался по делу об утечке данных
• Роскомнадзор потребовал у Ozon разъяснений из-за утечки данных клиентов

«В первую очередь подобные данные могут использовать разнообразные мошенники. Представляясь, например, сотрудниками банка, они могут обманным путем выведывать у пользователей какую-то информацию или принуждать к каким-то действиям. Обычно у них уже есть какая-либо стартовая информация о пользователе, с помощью которой пытаются втереться к нему в доверие и получить доступ к остальным данным», – говорит эксперт по информационной безопасности Тарас Татаринов.

Мошенники, работающие посредством так называемой социальной инженерии (когда звонящие представляются сотрудниками банка или, например, следователями, «задержавшими вашего ребенка и готовыми закрыть дело за 20 тысяч рублей»), действительно являются главными пользователями подобных массивов. Но есть и другие, более безобидные и более назойливые. 

Это рекламщики. А если точнее, сотрудники колл-центров, занимающиеся агрессивным маркетингом. «Такие базы актуальны и для спамеров, но спам несет гораздо меньше рисков, чем мошенничество, чем какой-либо фишинг – они более опасны для конечных пользователей», – считает Татаринов.

К тому же со спамом есть действенные способы борьбы.

Как узнать, есть ли мои данные в открытом доступе?

Сразу надо сказать, что какие-то наверняка есть. Например, у автора этой статьи оказались скомпрометированы пароли на 75 сайтах, в 12 случаях хакеры знали пару логин-пароль. Кроме того, данные обо мне также есть в печально известной «Коллекции № 1». Это крупнейший массив данных, который был слит в Сеть в январе 2019 года. Тогда в общем доступе оказался 1,1 млрд уникальных комбинаций логин-пароль, или 87 Гб данных. 

Как обычно узнают о взломе – либо сайт, сервис или банк сам объявляет о нем и призывает пользователей срочно сменить пароли, либо эти данные уже постфактум находят на файлообменниках или форумах. Увы, универсальных сервисов, которые подскажут, есть ли в открытом доступе ваш телефон, паспортные данные, ФИО, адрес – нет. Но есть хотя бы по логинам и паролям. Например, подобную проверку позволяет сделать Google, если вы пользуетесь ее браузером. Есть ряд сервисов, например haveibeenpwned.com или avast.com/hackcheck, которые проанализируют известные утечки и скажут, был ли среди «слитых» адресов e-mail ваш. Если был, то, вероятно, и пароль утек вместе с ним. Есть сервисы вроде isithacked.com, через который можно узнать, взломан ли интересующий вас сайт.