Утечки данных в интернете затрагивают все больше россиян. Как гражданам защитить себя и стоит ли надеяться на государство

«Меня шокировала детализация информации»

Александр [герой попросил не указывать его фамилию] из Ростовской области два года пользовался «Яндекс.Едой». Заказывал блюда по особым случаям и с промокодами. В марте 2022 года он прочитал в СМИ, что данные пользователей «Яндекс.Еды» утекли в сеть. Он нашел в слитой базе свои фамилию, имя и отчество, домашний адрес, информацию о заказах, потраченных деньгах и предпочтениях в еде.

— Я проверил данные близких и знакомых [в слитой базе]. Сложилось впечатление, что утекли данные всех пользователей сервиса. Меня шокировала детализация информации. Я привык, что утечки обычно ограничиваются именем, фамилией, почтой, номером телефона, но в этот раз была информация по тратам и предпочтениям человека в еде, — рассказал «7х7» Александр.

Ранее его данные, поделился молодой человек, похожим образом утекали из сервисов «СДЭК» и «Госуслуги». После утечек Александр начал пользоваться менеджером паролей, чтобы обезопасить учетные записи от взлома. Все пароли он поменял на рандомные. Если пароль с одного сервиса утечет, злоумышленники не смогут получить доступ к другим его аккаунтам.

Теперь Александр надеется, что его медицинская история не попадет в интернет, а уже слитые данные — к злоумышленникам. Судиться с компаниями, которые не сохранили его конфиденциальность, он не стал:

— Иски идут годами, и в случае победы компенсация ничтожная и не оправдывает потраченные время и силы.

Весной 2022 года, после начала военных действий в Украине, в сеть попали 73 базы данных россиян. Летом количество утечек выросло вдвое, писал «РБК».

— Самые крупные утечки были зафиксированы у компаний, работающих в сферах доставки — 192 млн строк, онлайн-видео — 43 млн строк, медицинских услуг — 30 млн строк, — привел «РБК» данные компании Group-IB.

Как понять, есть ли личные данные в слитых базах

Можно использовать сервис «Меня уже слили?»: вбить свой телефон или адрес электронной почты.

10 заметных сливов данных после начала военных действий в Украине

«СДЭК», февраль и июль 2022 года, данные 25 млн пользователей, 30 тыс. контрагентов

Эксперты считают две утечки компании «СДЭК» «рекордом на российском рынке». В феврале в сеть попали файл с 466 млн строк с ID и телефонами клиентов и еще один с 822 млн строк с ID, ФИО и адресами электронной почты. Клиенты СДЭК 7 июня подали коллективный иск к компании на 2,2 млн руб. о взыскании компенсации за утечку персональных данных, — сообщали «Ведомости».

Июльская утечка содержала ФИО, адреса электронной почты, почтовые адреса и телефоны. В ней было 120 тыс. строк информации. К 14 июля этот архив скачали более 150 раз, писал Telegram-канал in2security.

«Гемотест», май 2022 года, 30 млн строк или более 300 ГБ персональных данных

В мае в даркнете появилась база данных клиентов лабораторий «Гемотеста» с их ФИО, датами рождения, адресами, мобильными телефонами, сериями и номерами паспортов. Потенциально там могла быть и чувствительная информация о здоровье, например, данные анализов на ВИЧ. Злоумышленники хотели продать базу за $2000. Позже они предложили на продажу в даркнете не только базу, но и информацию об уязвимости системы «Гемотеста».

Компания признала только факт хакерской атаки, но не то, что недостаточно обезопасила информацию. После проверки Роскомнадзора суд признал «Гемотест» виновным в нарушении закона «О персональных данных» и назначил штраф 60 тыс. рублей.

DNS, сентябрь 2022 года, 16 млн строк данных

По данным канала «Утечки информации», в слитой базе магазина были имена и фамилии, адреса электронных почт, телефоны пользователей. Компания признала факт утечки и заявила, что это следствие атаки хакеров: «Взлом производился с серверов, расположенных за пределами РФ». DNS заверил покупателей, что пароли и данные их банковских карт не утекли. Компания пообещала усилить информационную безопасность и провести расследование.

«Почта России», июль 2022 года, 10 млн строк данных

Слитая база данных «Почты России» включала трек-номера отправлений, ФИО, телефоны получателей, города, индексы, вес и статусы отправлений, их даты и время. Компания сообщила, что это следствие хакерской атаки и что слитая база не несет опасности для клиентов.

OneTwoTrip, август 2022 года, предположительно, данные 7 млн пользователей

На данные компании в открытом доступе обратил внимание журналист, исследователь безопасности Боб Дьяченко: «Точное количество данных пассажиров посчитать трудно, поскольку они были частью среды протоколирования объемом 12 ТБ, однако, по моим наблюдениям и анализу, я предполагаю, что пострадала вся клиентская база».

Компания подтвердила утечку и обвинила во всем «изменения» программного кода, которые вызвали уязвимость в системе.

Иллюстрация «7х7»

«Яндекс.Еда», весна 2022 года, данные более 6,8 млн пользователей

Руководство «Яндекс.Еды» узнало об утечке данных клиентов 28 февраля. В слитой базе было несколько миллионов строк — адреса, номера телефонов, имена, даты, время и стоимость заказов. На следующий день компания разослала письма тем, кто оказался в базе, с предупреждением об утечке и перечислением слитых данных. По версии «Яндекс.Еды», слив произошел «в результате недобросовестных действий одного из сотрудников».

В конце весны в сети оказалась еще одна база на 1,2 млн строк — с данными курьеров сервисов «Яндекс.Еда» и Delivery Club. «Яндекс.Еда» пыталась опровергнуть информацию, что произошла вторая утечка: «Речь идет о той же утечке, о которой мы сообщили 1 марта».

«Роскомсвобода» и «Сетевые свободы» помогли пострадавшим сформировать коллективный судебный иск против «Яндекс.Еды». К нему присоединились 903 человека, судебное разбирательство продолжается. За оба нарушения сервис в сумме получил штраф 120 тыс. рублей.

Tutu.ru, июль 2022 года, 2,5 млн строк данных

Сервис подвергся хакерской атаке, таблица из раздела «автобусы» с фамилиями, именами, телефонами и почтами пользователей оказалась в открытом доступе. Представители компании пообещали, что проведут внутреннее расследование.

В своем блоге сервис написал, что, возможно, причина слива — «национально-политический вопрос»: сайт регулярно с 24 февраля подвергался атакам. Компания разослала клиентам письма с предупреждением об утечке и оповещением, что пароли к учетным записям сброшены.

Delivery Club, весна-лето 2022 года, 2,2 млн записей с заказами

Delivery Club сообщил о первой утечке данных в мае. В слитой базе содержалось более 1 млн строк — ФИО, адреса, номера телефонов, составы заказов и их стоимость. Летом произошел второй слив — 1,19 млн строк с таким же набором данных.

Компания утверждала, что это результат первой утечки. Суд, рассмотрев административное дело о нарушении законодательства о персональных данных, назначил Delivery Club штраф 80 тыс. руб.

GeekBrains, лето 2022 года, более 105 тыс. строк с ФИО, почтами и номерами

Источник, который, по версии сервиса DLBI, опубликовал базу данных Delivery Club, выложил в даркнет и частичную базу данных образовательного портала GeekBrains. Компания подтвердила факт утечки информации «о некоторых приобретенных курсах».

Ozon, июль 2022 года, данные нескольких заказов

Скриншоты переписок с клиентами выложил на анонимный форум 2ch сотрудник Ozon. «На них [скриншотах] пользователи жалуются в службу поддержки на проблемы с заказами и возвратами, некоторые клиенты употребляют в переписке ненормативную лексику. На скриншотах видны ники пользователей, их ID, а также номера и сумма заказов», — писал «РБК». Ozon заблокировал доступ своего сотрудника к системе и извинился перед клиентами.

Последствия утечек данных для компаний

— Репутационные потери — клиенты станут осторожнее обращаться за услугами.

— Материальные потери — судебные тяжбы, штрафы, компенсации.

— Организационные последствия, если причина утечки — взлом систем компании.

Виновники утечек

Специалисты «Роскомсвободы» считают, что часто в утечках виноваты сотрудники компаний, желающие заработать. Люди крадут персональные данные, чтобы продать их на теневых форумах и в даркнете. По информации «Роскомсвободы», база данных «Гемотеста» продавалась за 1,5 тыс. долларов США.

Адвокат и старший партнер «Сетевых свобод» Станислав Селезнев говорит, что наборов персональных данных у организаций становится все больше, а компетентных специалистов для их охраны нет:

— Подавляющее большинство интернет-ресурсов разнообразных организаций защищены из рук вон плохо. Любую информацию этой организации, коммерческую тайну в том числе, и персональные данные клиентов получить для специалиста в этой области не представляет никакого труда.

«РБК» после утечки базы «СДЭКа» писал: «С начала специальной военной операции российские компании регулярно подвергаются кибератакам. Их проведением в том числе занимается так называемая IT-армия Украины, которая, как считается, состоит из волонтеров со всего мира, которые готовы атаковать российские объекты, исходя из своих убеждений».

— Возможности хакера не безграничны. Хакер всегда пользуется ошибкой какого-то конкретного исполнителя. Либо того, кто не закрыл какой-то порт [порт — номер для идентификации каждой из множества программ и процессов, имеющих доступ к сети на одном IP-адресе], либо того, кто вовремя не обновил программное обеспечение. В любом случае это вина конкретного исполнителя, который настраивал архитектуру этой системы защиты данных, — объяснил Станислав Селезнев.

Судьба слитых данных

После сливов данных человек, чьи информация утекла в сеть, может получить спам на телефон или электронную почту. Ему могут звонить с неизвестных номеров. Кроме анкетных данных — ФИО, электронной почты, номера телефона — в слитой базе данных может оказаться чувствительная информация.

— Самый опасный слив — это утечка чувствительных данных, или, с точки зрения закона, специальных категорий персональных данных. Например, при утечке ФИО человек может ничего не заметить, а вот если в утечке будет информация о его ВИЧ-статусе, то это уже другие последствия, — пояснили специалисты «Роскомсвободы».

На основе медицинских данных, данных о поведенческих особенностях и потребительских предпочтениях можно составить цифровой портрет пользователя сервисов, — писал «Коммерсант». Затем этот портрет можно использовать для буллинга, мошенничества, диффамации.

По словам Станислава Селезнева, по цифровому портрету можно проследить жизненный путь человека.

— База персональных данных, обогащенная несколькими источниками, позволяет следить за вашими предпочтениями ретроспективно: в какой момент времени вы начали заказывать [доставки], увеличилась ли у вас сумма [трат], куда вы ездили на такси, изменились ли ваши перемещения на такси, стали ли вы обращаться в какой-то момент в медицинские учреждения, в какие и с какими запросами.

Такие цифровые портреты достаточно интересны, злоумышленники могут их монетизировать: продавать или использовать самостоятельно против вас. Например, сливать сталкерам, — говорит адвокат.

После утечки базы «Гемотеста» в интернете можно найти комментарии пострадавших клиентов.

«Через пару дней после сдачи анализов мне написали мошенники. Просили 2т [2 тыс. руб.], угрожали микрокредитами, козыряли моими персональными данными», — написал под материалом про утечку на vc.ru один из пользователей.

Как государство защищает данные россиян

Основной российский закон, связанный с персональными данными, принят в 2006 году. За соблюдением законодательства о персональных данных обязан следить Роскомнадзор, а за соблюдением требований, которые касаются безопасности этих данных, — ФСБ.

Эксперты «Роскомсвободы» рассказали «7х7» об известных делах по утечкам данных в мировой судебной практике. Так, в 2018 году компания Twitter получила штраф 450 тыс. евро [более 30 млн рублей на тот момент] за нарушение регламента по защите данных. В 2020 году в Германии компания H&M получила штраф на 35 млн евро [более 2 млрд рублей на тот момент] за то, что данные сотрудников компании оказались в открытом доступе.

— В России практика взыскания морального вреда находится в удручающем состоянии. В порядке вещей суд может назначить компенсацию морального вреда в 1 тыс. руб. Штрафы за утечку данных невелики — до 100 тыс. руб., хотя за нелокализацию данных [локализация — препятствие распространению слитой информации, минимизация ущерба] штраф исчисляется миллионами. В мире практика иная. Пользователи могут получить миллионные компенсации за то, что их данные оказались в открытом доступе, — говорят эксперты «Роскомсвободы».

После слива «Яндекс.Еды» программист Елисей [герой попросил не указывать его фамилию] из Санкт-Петербурга увидел, что адрес, по которому он живет, попал в общий доступ. Он рассказал «7х7», что отказался от доставок еды. В суд он обращаться не стал:

— Выгоды было бы мало с этого процесса. Три тысячи [рублей] заплатить адвокату, и, возможно, ты выиграешь десять тысяч [рублей компенсации].

Станислав Селезнев говорит, что люди, которые не идут судиться, «правы с точки зрения практики»:

— Наши суды не придают какого-то серьезного значения персональным данным. Возможно, потому что они просто не понимают ценности этой информации в современном мире. Суды наши так или иначе все равно смотрят на государственную политику. И если, прямо скажем, будет государственный заказ на защиту персональных данных, на защиту владельцев персональных данных, суды моментально перестроятся и начнут внимательно рассматривать эти дела, взыскивать необходимые компенсации.

Иллюстрация «7х7»

Новая инициатива Минцифры

После масштабных утечек данных в первой половине 2022 года Минцифры разработало законопроект об оборотных штрафах для бизнеса. Его последняя редакция завершилась в начале октября.

Если российские власти примут закон, компании, допустившие утечки персональных данных, будут получать штрафы в 1% от их годового оборота. При попытке скрыть слив размер штрафа вырастет до 3%. Сейчас, согласно законодательству, штрафы за утечку данных предусмотрены только для юрлиц — от 60 тыс. до 100 тыс. руб., при повторном правонарушении — до 500 тыс. руб.

Что нового предлагает Минцифры

Штрафы от 200 до 400 тыс. руб. для руководителя компании, которая допустила утечку данных от 10 тыс. до 100 тыс. человек.

За такой же объем утекших данных штраф для ИП и юрлиц составит 0,02% от оборота, но не менее 1 млн руб.

Если компания допустила утечку свыше 100 тыс. записей персональных данных, штраф для нее будет в размере 1% от годовой выручки или до 3%, если компания не сообщила об утечке Роскомнадзору.

Оборотные штрафы будут применяться, если утечка базы данных объемом от 10 до 100 тыс. записей позволит установить принадлежность этих данных не менее чем 1 тыс. конкретных людей, а в случае, если объем утечки превысит 100 тыс. записей, то если будут установлены реальные данные 10 тыс. человек.

Если утечка коснулась менее 10 тыс. человек, то штраф будет фиксированным.

— Штрафы определенно привлекут внимание к проблеме, но это не панацея для решения проблем, — говорят эксперты «Роскомсвободы». — Тут нужен комплексный подход: прозрачное законодательство, при котором стороны понимают свои права, возможности и обязанности, неизбежность наказания, использование групповых исков и увеличение компенсации за моральный ущерб.

Летом 2022 года Минцифры обсуждало с крупными IT-компаниями идею создания фонда материальной компенсации жертвам утечек. «Наполнять его планируется средствами, полученными в качестве штрафов от компаний, допустивших утечки», — писал «Коммерсант».

Юрист «Роскомсвободы» Евгений Кравченко считает, что в России уже есть механизм возмещения морального вреда — через суды и групповые иски. Однако он добавил, что суды не знают, как работать с групповыми исками, из-за высокой нагрузки у них нет времени разбираться с проблематикой персональных данных. Создание фонда, по его мнению, требует дополнительных издержек, а сама процедура назначения выплат кажется непрозрачной.

— В судебной процедуре все ясно: те, кто обратился, и смогут получить компенсацию в случае успеха в суде. Тут же предполагается внесудебная процедура. Фонд каким-то способом будет определять, кому выплачивать, а кому нет. Представляем, что после этого будут дела, где люди будут судиться с фондом из-за того, что его данные утекли, но пользователи компенсации не получили, — сказал он.

В октябре Ассоциация больших данных (АБД), куда входят «Яндекс», VK, «Сбербанк», «Ростелеком» и другие IT-компании, критиковала инициативу Минцифры о создании фонда материальной компенсации.

«Ассоциация полагает, что компаниям было бы целесообразнее инвестировать в аудиты своих информсистем, нежели переводить средства в фонд», — цитировал позицию организации «Коммерсант».

Для предотвращения сливов информации пользователей и сотрудников компании должны:

усиливать систему безопасности мест, где хранятся данные;

нанимать охрану и службу информационной безопасности. Они могут делать ограничение и логирование доступа, разделение доступа сотрудников к разным данным, защиту устройств сотрудников;

проходить внешние и внутренние проверки, нанимать белых хакеров, чтобы находить поломки и уязвимые места;

обновлять программное обеспечение и следить за тем, где хранятся резервные копии.

В компаниях могут работать десятки сотрудников, которые занимаются защитой персональных данных. Специалистов по компьютерной безопасности, которые находят и устраняют уязвимости систем и ресурсов, называют белыми хакерами. В отличие от обычных хакеров, они используют свои возможности только на пользу компаниям.

Белый хакер Павел [по просьбе героя имя изменено] рассказал «7х7», что организации привлекают специалистов по информационной безопасности со стороны, чтобы проверять системы на безопасность и взломоустойчивость:

— Как правило, все происходит на договорной основе и с заранее оговоренным сценарием проверок. Крупные сервисы типа соцсетей, сервисов бронирования отелей тоже участвуют в программах вознаграждений за найденные уязвимости. Они могут выплачивать взломщикам, которые их находят, довольно внушительные суммы. Суть таких программ в том, чтобы у исследователей был стимул сообщать об уязвимостях владельцам сервиса, а не продавать их на «подпольных» форумах злоумышленникам.

Иллюстрация «7х7»

Чек-листы

Личные данные, которые нужно защищать в первую очередь

Адрес регистрации.

Адрес фактического проживания. Доставки можно заказывать на работу или в соседний подъезд.

Электронную почту. Заведите отдельные ящики: для общения с государственными органами, для рабочих вопросов, для чувствительных сервисов, для коммерции и спама.

Настоящие имя и фамилию. Не указывайте их или пользуйтесь псевдонимами.

Как минимизировать риск слива своих данных

Удалите необязательную информацию (ту, в поле для которой нет звездочки) во всех сервисах, при регистрации не указывайте ее.

Проверьте настройки приватности в сервисе или приложении и установите максимально возможные ограничения, чтобы никто не мог видеть ваши данные, кроме тех, кому они действительно нужны для работы.

Не регистрируйтесь в сервисе или программе лояльности магазина, если вы пользуетесь им единожды или редко.

Пользуйтесь сервисами, которые дорожат репутацией. Такие, как правило, достаточно открытые, публикуют понятные оферты и политики конфиденциальности. Чем сложнее и непонятнее договор, тем больше шансов, что компания недобросовестная.

Используйте сервисы, которые используют сквозное шифрование — они хранят меньше данных. Например, мессенджеры Signal, Viber и WhatsApp работают со сквозным шифрованием. В Telegram и Facebook* Messenger переписки хранятся на серверах компаний, если только вы не используете функцию «секретный чат».

Выбирайте сервисы, которые не собирают и не распространяют данные о вас. Они обеспечивают шифрование данных. Вот список подобных сервисов.

Оставляйте о себе неверную информацию там, где это возможно — неправильную дату рождения, другое имя.

Оставляйте в разных сервисах разную информацию — хорошо, если у вас будут разные номера телефона (можно использовать электронные симкарты) и разные почты для каждого или почти каждого сервиса. Заказывайте удаление ненужных собранных данных, где это возможно через меню.

Что делать, личные данные утекли в сеть

Заблокируйте сайт, где выложены данные. Для этого напишите жалобу в Роскомнадзор. Как это сделать.

Попытайтесь изменить некоторые персональные данные. Например, номер телефона, паспорт, место регистрации.

Обратитесь в суд, чтобы получить моральную компенсацию.

Как судиться с компанией, если она допустила слив данных

Зафиксируйте, что вы пользователь сервиса. Например, сделайте скриншоты страницы личного кабинета.

Сделайте скриншот с нарушением, где ясно видна информация о вас. Делайте снимок экрана с компьютера так, чтобы были видны дата и время. Рекомендуем использовать комбинацию «CTRL+P» и сохранить все открытые страницы.

Обратитесь в «Роскомсвободу». Ее сотрудники помогают гражданам, чьи данные оказались в открытом доступе. Еще одна команда, которая помогает жертвам утечек — «Сетевые свободы».

В подготовке материала принимали участие юрист «Роскосмвободы» Евгений Кравченко и эксперт по безопасности, основатель Privacy Accelerator, Станислав Шакиров, а также Станислав Селезнёв, адвокат и старший партнер проекта «Сетевые свободы».

Подробнее читайте на 7x7-journal.ru ...