«Ломают всех, кого могут»

На модерации Отложенный

Число утечек персональных данных россиян в 4,5 раза превысило население страны.

В открытый доступ попало более 667 млн записей персональных данных и платежной информации, что в 2,67 раза больше, чем годом ранее, свидетельствуют данные исследования ГК InfoWatch «Россия: утечки информации ограниченного доступа в 2022». Согласно выводам аналитиков, каждая утечка в 2022 году по объему выросла на треть и содержала около 940 тыс. записей. При этом примерно 80% утечек имели «гибридный вектор воздействия», то есть в краже информации участвовали как внешние, так и внутренние нарушители.

Число утечек, касающихся коммерческой тайны, выросло в два раза. В сфере оптовой торговли было зафиксировано в пять раз больше утечек, в промышленных, транспортных и энергетических компаниях – почти в три раза. На малый бизнес пришлось более 20% всех утечек, что вдвое больше, чем год назад.

Общий объем скомпрометированной в прошлом году персональной информации может быть выше оценок InfoWatch более чем в два раза, отмечают в Group-IB. По подсчетам компании, количество утекших записей в прошлом году в десять раз превысило население России. В Сеть попадали имена клиентов, их телефоны, адреса, даты рождения, пароли от мобильных приложений, включая банковские, паспортные данные, подробности заказов и т. д. «Общее количество строк данных пользователей в утечках 2022 году составило 1,4 млрд, для сравнения: в 2021 году их насчитывалось всего 33 млн», – говорит гендиректор Group-IB в России и СНГ Валерий Баулин. По его словам, от утечек не защищена ни одна сфера российского бизнеса и никто из россиян. Подавляющее большинство баз данных компаний были выложены в 2022 году и начале 2023-го в публичный доступ бесплатно.

«Это означает, что у киберпреступников был мотив не заработать, а нанести репутационный или экономический ущерб российскому бизнесу и его клиентам», – отмечает Баулин. Он прогнозирует, что в 2023 году антирекорд будет побит.

«Утечек, безусловно, будет больше. Но говорить о том, что мишенью станет какая-то отрасль, нельзя. Хакеры ломают всех, кого могут», – говорит основатель сервиса разведки утечек данных и мониторинга DLBI Агот Оганесян.

По его словам больше всего объявлений о продаже баз персональных данных было обнаружено на форумах и в Telegram. При этом массовая публикация объявлений шла именно в мессенджерах.

Персональные данные – это любая информация о человеке, которая связана с ним, позволяет идентифицировать его в полной мере, получить иные сведения о нем, совершать какие-либо посягательства на тайну его личной жизни или на имущество. В группе риска утраты важной информации при проведении обработки персональных данных оказываются многие люди, среди них граждане, пользующиеся банковскими картами; получающие медицинские услуги; владельцы пенсионных накоплений; вкладчики банков; владельцы недвижимости.

Последний год-два редкий из моих знакомых и родственников не рассказывал, что ему звонили интернет-мошенники. При этом точно называли имя и фамилию, адрес проживания, клиентом какого банка он является, марку и номер автомобиля на котором ездит, и прочее, что не должно быть доступно для посторонних.

В интернете масса сообщений о том, как мошенники, завладев персональными данными, «разводят» россиян, заставляя их перечислять деньги со своих банковских карт на счета жуликов. Схемы разводов настолько многочисленны, что рассказ о них займет не одну газетную полосу.

Утечки персональных данных россиян обеспечили нужной информацией мошенников, применяющих методы, в том числе и социальной инженерии, поделился в соцсетях гендиректор компании Smart Engines, кандидат технических наук Владимир Арлазаров.

Уже не первый год мошенники практически про любого россиянина знают достаточно, чтобы попробовать его обмануть, используя методы социальной инженерии, подчеркнул эксперт. «Все уже привыкли, что это происходит чуть ли не ежедневно. Конечно, ситуация вопиющая. Есть банки, которые крайне халатно относятся к защите персональных данных. Аналогичная ситуация встречается в страховых компаниях и интернет-сервисах, а одна из самых крупных утечек произошла в магазине спорттоваров «Спортмастер», – добавил кандидат технических наук.

Наши с вами телефоны по несколько раз в день атакуют рекламодатели. С большинством их них никто никогда не имел раньше дела.

Откуда у них наши номера телефонов? В социальных сетях находят объявления от желающих заработать на подобных сливах. На черном рынке такие услуги варьируются в среднем от 4 до 8 рублей за контакт. Продают любые базы. Как когда-то произнес незабвенный Михаил Задорнов: «У нас кто что охраняет, тот то и имеет!» В том числе регистрационные данные ГИБДД, номера телефонов и адреса электронной почты для «холодных обзвонов». Журналист одного из региональных изданий Сибири в качестве эксперимента попробовал купить базы персональных данных россиян. Оказалось, что база пенсионеров, в которую входят фамилия, имя, отчество гражданина, его домашний адрес, электронная почта и номер пенсионного свидетельства, стоит всего 6,47 рубля за контакт. За эти деньги вам могут сделать выборку по региону, учитывая пол, возраст людей, наличие образования или даже их предпочтения (по ключевым словам). Примерно столько же стоят базы данных клиентов инвестиционных бирж, где вращаются огромные суммы. Узнать, реальны ли эти данные, почти невозможно, поскольку тестовое пользование тоже платное и не самое дешевое. Правда, если хорошо попросить, можно получить скан регистрационных данных какого-то гражданина наугад.

«Пробить» данные на автомобиль можно в среднем за 600 рублей. За 4–8 тыс. рублей можно получить записи с видеокамер ГИБДД по отслеживанию автомобиля в течение месяца. Причем данные по Москве, Московской области и Санкт-Петербургу стоят в два раза дешевле, чем по другим регионам страны. Продавец сообщил, что данные ему приходят от сотрудников компаний и бывших сотрудников правоохранительных органов.

Все попытки выстроить систему защиты персональных данных в итоге оказываются бесплодными. Весной прошлого года глава Минцифры Максут Шадаев анонсировал разработку законопроекта, который введет оборотные штрафы для компаний за утечку персональных данных. Пока серьезность исков о возмещении морального вреда, связанного с утечкой конфиденциальной информации, компаниями серьезно не рассматривается. Даже если судом установлен такой факт, размер присужденных сумм редко превышает несколько десятков тысяч рублей даже в столице. Более серьезными становятся ситуации, когда в спор вмешиваются регуляторы и доводят ситуацию до возбуждения уголовного дела.

Эксперты считают, что существует единственный способ защитить персональную информацию от сливов – престать пользоваться мобильной связью, интернетом, отказаться от всех приложений и социальных сетей.

На фоне настойчивых попыток власти привязать всех нас к порталу госуслуг, без которых мы уже не можем записаться на прием к врачу, оформить очень многие документы и получить необходимые справки, мы вынуждены все чаще и чаще задаваться вопросом, могут ли наши персональные данные, в том числе паспортные, уйти мошенникам через портал госуслуг. «Мы нигде не защищены. Я не могу дать рекомендацию, какой сервис надежнее других. Причем мошенникам даже не нужно напрягаться. Достаточно договориться со специалистом по работе с клиентами. Обыкновенный промышленный шпионаж», – заявляют практически все эксперты.

«Для повышения качества жизни граждан, обеспечения конкурентоспособности России, развития экономической, социально-политической, культурной и духовной сфер жизни общества, совершенствования системы государственного управления» – так возвышенно обозначены цели госпрограммы «Информационное общество».

Но все мы видим, что получилось как раз наоборот.

Крупные утечки 2022 года

В марте прошлого года в соцсетях начала распространяться ссылка на сайт, на котором были личные данные пользователей «Яндекс.Еды» в виде карты, там были указаны адрес доставки, телефон, электронная почта, сумма заказов за последние полгода. По данным Telegram-канала «Утечки информации», в Сеть было выложено около 49 млн строк.

В мае об утечке данных клиентов также сообщил сервис доставки еды Delivery Club. По информации Telegram-канала In4security, утекшая база заказов содержит 250 млн строк с персональными данными пользователей, включая имена, адреса и информацию о заказах.

В прошлом году также стало известно об утечках СДЭК. Сначала, в конце февраля, Telegram-каналы сообщали об утечке данных о клиентах доставки, которая содержала файл с 466 млн строк с телефонами и еще один с 822 млн строк с именами и адресами электронной почты. СДЭК официально подтвердила факт утечки, но заявила, что в базе нет номеров документов и иной важной персональной информации, в том числе платежной.

Анатолий ТАРАСОВ

По сообщениям информагентств и соцсетей