2022 год, кажется, стал рекордным по масштабам слива пользовательских данных из online-сервисов. Данные утекают у самых крупных компаний, и масштаб проблемы таков, что уже проще махнуть рукой и быть “готовым ко всему”. Попробуем осознать масштаб проблемы, перспективы и методы защиты.
Утекают данные по-разному – выносят сотрудники, ломают хакеры, админы забывают закрыть публично-доступные сервисы типа Elastics, данные уходят при слиянии / разделении компаний и тд. Одним словом, течёт всеми возможными способами.
Причем если ранее утекали базы в тысячи строк – сейчас уже миллионами и десятками миллионов. И почти каждую неделю.
- Примеры утечек в 2022 году
- Систематизация и обогащение данных
- Что делать?
- Законодательство, регулирование
- Как проверить что про вас знает Интернет?
- Агрегаторы
- Личный опыт: что про меня известно агрегатору
- Есть ли надежда?
Примеры утечек в 2022 году
…
Март 2022. Яндекс.Еда. 49 млн. записей (25 млн уникальных). ФИО, телефон, адрес, комментарии к доставкам.Март 2022. Вкусные Суши (СПб). 67 тыс. ФИО, email, телефон, адрес.
Март 2022. Фотострана. 800тыс. ФИО, дата рождения, телефон, IP-адрес, ссылки на профили в соцсетях.
Май 2022, Гемотест, 30 млн, ФИО, телефон, почта, адрес, данные документов.
Май 2022, Сколково, 623тыс. ФИО, телефоны, почта, адрес, место работы и должность, другая информация.
Май 2022, Delivery Club, 1 млн. В таблице более 500 полей, например адрес доставки с кодом домофона.
SkyEng, МирТесен, GeekBrains, Корпоративная база сотрудников Ростелеком, «Умный Дом» (тоже Ростелеком), база сотрудников РЖД, Яндекс.Практикум, ТУТУ.ру (включая 32 млн записей по заказу билетов – дада, с номерами документов), СДЭК, DNS, ЕСИА, Whoosh, Дом.ру, МЭШ (17млн, включая СНИЛС – это про детей!), Ситимобил, СпортМастер.
2022й был “громким”, но 2023й уже бьёт все рекорды:
Январь 2023, база пользователей Mail.ru, 3,5млн., ФИО, почта, телефон.
Январь 2023, СогазЖизнь (страховая компания), 700тыс., ФИО и персональные данные.
Февраль 2023, платежная система Best2Pay, 350тыс, ФИО и персональные данные + платежи и некоторые цифры банковских карт.
Февраль 2023, несколько утечек магазинов Puma, Бристоль, Дикси (данные покупателей)
Февраль 2023, СберЛогистика, 600тыс, ФИО, почта, телефон.
Март 2023, “Навигатор поступления” (сервис помощи поступающим в ВУЗы), 500тыс., ФИО, почта, школьный класс.
Март 2023, СберПраво, 116 тыс., ФИО, почта, телефон, дата рождения.
Март 2023, СберСпасибо, 49 млн. записей. ФИО, телефоны, дата рождения.
Масштаб утечек поражает, а уровень сервисов говорит, что в Интернете вообще нет никакой защищенной информации. Всё что когда-то попало в Сеть – может быть доступно широкому кругу лиц.
Систематизация и обогащение данных
Одна, даже пусть самая большая утечка, на самом деле не так уж и страшна: вы понимаете какие данные стали доступны и можете примерно понять какие риски вы несёте и как от них защититься.
Но дальше можно объединить базы данных от различных утечек.
Допустим, вы получили какую-то одну базу данных. Это, скорее всего, таблица с данными. В ней – строки (пользователи) и столбцы (конкретные данные, например почта или телефон). А дальше…. Вы берёте такую же таблицу из второй утечки и пытаетесь сравнить данные из первой и второй. Какие-то данные совпадут, например номер телефона или email. И скорее всего, в итоге вы получите ещё более подробную и полную объединённую таблицу. По совпадению телефонного номера вы дополните строки email-ами и адресами. По совпадению почты – логинами в соцсетях. И так далее. И каждая следующая утечка данных даёт вам ещё более полную информацию о конкретном человеке: ФИО, телефон, почта, адрес, номер паспорта, медицинские данные, должность и компания, СНИЛС, девичья фамилия матери, ваши фотографии из соц.сетей…
В общем, когда начинаешь осознавать масштабы слитых данных и вероятные объёмы баз данных про каждого из нас – становится страшновато.
Что делать?
Первое:
– принять мысль, что про вас в Интернете известно всё. Вообще всё. И речь сейчас не про спецслужбы.
– не думать, что вы защищены, потому что «небезопасный сервис разорится, так как потеряет доверие пользователей» – это ошибочная мысль. Яндекс Еда, кажется, даже не пошатнулась. СДЭК как работал, так и продолжает. Ростелекому вообще всё равно.
– принять мысль, что любая буква, написанная вами на каком-то ресурсе в Сети может быть прочитана, сохранена, структурирована и положена в ваше личное досье агрегатором утечек или просто частным лицом.
– принять мысль, что злоумышленники могут использовать вообще любую информацию о вас при общении с вашими друзьями, работодателем, сервисами, банком и тд.
Осознание проблемы = половина её решения.
Второе:
– определить для себя приемлемый состав данных, которыми вы можете поделить с online-сервисами. Телефон? Email? Номер паспорта?
– определить насколько вы вообще готовы «жить в Сети», насколько ваш профиль деятельности соответствует этой задаче.
Третье: попытаться разделить «значимое» и «общественно-доступное»:
– использовать только уникальные пароли, причем автоматически сгенерированные;
– использовать разные номера телефонов для значимого (банки, финансы, госсервисы) и для публично доступного (соцсети, почта, еда, доставки…)
Четвёртое (самое важное):
– уповать на лучшее, но быть морально готовым к худшему, а именно – к использованию ваших данных другими людьми и к возможному противостоянию этому.
То есть должен вообще перестать существовать вопрос “Откуда вы это про меня знаете?!”. Помните, что все данные о вас известны.
– указывать уникальные логины, ФИО и другие данные – где это возможно. Например, для не особо значимых сервисов рассылки указывать ФИО не реальное, на, например «Артём МагазинОдежды»;
Законодательство, регулирование
Законодательство в отношении хранения и обработки персональных данных функционирует в России с 2006 года. Хранение персональных данных регулирует 152ФЗ. Законом и подзаконными актами регулируются правила создания систем сбора и хранения данных, степень и процедуры их защиты и тд. Часто эти процедуры – формальные, ради “соответствия”.
Ответственность за утечку данных регулируется ст. 13.11 КоАП РФ. Максимальный штраф – 500 тыс. рублей с организации.
Сравните масштабы перечисленных выше утечек, масштабы организаций и размер максимального штрафа.
Проблема поднималась многократно, в том числе про введение оборотных штрафов. Согласно поручению Президента, правительство РФ должно до 01 июля 2023 разобраться с вопросом оборотных штрафов в этой сфере.
Таким образом, приходим к выводу, что на сегодняшний день законодательство фактически не работает. Защиты от утечек нет, ощутимых мер наказания – тоже.
Цена утечки на сегодняшний день существенно ниже, чем комплекс мероприятий, обеспечивающий безопасное хранение данных.
Как проверить что про вас знает Интернет?
Никак. Если вы – не профессиональный участник рынка личных данных (разумеется, это незаконно и уголовно наказуемо), то вряд ли вы сможете найти вариант проверки. Да и нет на самом деле, такого единого места или организации, где это можно проверить.
В Сети есть куча ресурсов, которые типа дают возможность «без регистраций и смс» или «всего за 100 рублей» проверить какая ваша информация доступна. Но тут надо помнить, что пользуясь таким сервисом вы добровольно предоставляете дополнительные данные о себе. Например, при проверке через Telegram-бот вы, как минимум, даёте о себе данные: имя пользователя, имя в Телеграм, уникальный идентификатор… То есть в общей базе данных к вашей записи вполне может быть добавлена ещё пара-тройка полей. Ну а если сервис платный, то ещё и платёжные данные.
Агрегаторы
В сети действительно есть агрегаторы утечек, основная задача которых – предупредить пользователя о том, что их данные были украдены:
HIBP (haveibeenpwned.com) – один из самых известных международных сервисов. Поиск по телефону и email.
Firefox Monitor – организация Mozilla, создатель одноименного браузера, запустила свой сервис проверки email адресов.
DeHashed – сервис поиска по широкому набору данных (телефоны, почта, ip-адреса и тд).
Заметим: систематизированные данные об утечках могут быть, в том числе, украдены с ресурса агрегатора. Так сказать, сразу оптом. По этой причине перестал существовать сервис PwnedList – из-за уязвимостей, позволявших искать данные пользователей.
DataLeaks – российский агрегатор и Telegram-канал об утечках персональных данных.
Личный опыт: что про меня известно агрегатору
Для эксперимента я попытался проверить в каких именно утечках фигурировал мой номер мобильного телефона. Результат меня поразил, хотя и вполне ожидаемо:
📱 Телефон найден в 23 утечках:
💧️ asi.ru [12.2021]
💧️ avito.ru [2015]
💧️ cdek.ru [07.2022] 🇷🇺 | 📦
💧️ cdek.ru [2021] 🇷🇺 | 📦
💧️ corbina.net [2021]
💧️ gemotest.ru [2021] 🇷🇺 | 💉
💧️ jivo.ru [11.2020]
💧️ letovo.ru [08.2022]
💧️ mail.ru 🇷🇺 | 🌐
💧️ numbuster.com [2018] 🇷🇺 | 📱
💧️ ok.ru [11.2021]
💧️ parking.mos.ru [01.2019] 🇷🇺 | 🚗
💧️ parking.mos.ru [11.2018] 🇷🇺 | 🚗
💧️ parking.mos.ru [2014-11.2017] 🇷🇺 | 🚗
💧️ sberbank.ru [2021] 🇷🇺 | 💰
💧️ school.mos.ru [08.2021] 🇷🇺 | 🏫
💧️ skolkovo.ru [09.2021] 🇷🇺 | 🏫
💧️ skyeng.ru [2021] 🇷🇺 | 🏫
💧️ spasibosberbank.ru [02.2022] 🇷🇺 | 💰
💧️ spb.rt.ru [2016]
💧️ sportmaster.ru [10.2013-05.2018] 🇷🇺 | 🏃♂️
💧️ vkontakte.ru [2012] 🇷🇺 | 🌐
💧️ whoosh-bike.ru [11.2022] 🇷🇺 | 🛴
Судя по списку сервисов и примерно понимая какие именно данные утекли в сеть, могу сказаться что про меня известно примерно всё: от работы до медицинских данных.
Понятно, что имея такую информацию, можно попробовать вполне успешно решить задачу обмана меня или, например, банка от якобы моего имени средствами социальной инженерии.
Например, в статье WashingtonPost уже описывают случаи подделки с помощью нейронных сетей голосов ваших родственников, которые якобы звонят с просьбой о помощи.
А вот тут статья о том, как энтузиаст с помощью генерации голоса вполне успешно осуществил авторизацию в банке по голосу. Акцент: энтузиаст в домашних условиях. Утверждается, что нейросети достаточно короткой записи вашей речи, чтобы выполнить успешное обучение.
И это ровно то, о чем я писал в посте про технологии, которые нас уничтожат “Армагеддон будет тихим“.
Будущее уже на пороге.
Все будет хорошо. Готовьтесь.
Есть ли надежда?
Разумный вопрос: есть ли вообще надежда на исправление ситуации? Кажется, что проблема сейчас выглядит как лавина – остановить процесс утечек не может никто.
Очень похоже, что путь исправления будет долгим и сложным. Вполне может быть, что некоторым компаниям придётся действительно закрыться – в случае, если действительно будет принято законодательство об оборотных штрафах, мало того – если оно ещё и исполняться будет.
Построение систем защиты информации – это весьма дорогостоящее мероприятие. И пока будет дешевле платить штрафы ничего принципиально не изменится.
Но стоит обратить внимание на один момент:
До сегодняшнего дня не было информации о сливах банковской информации: состоянии счетов, банковских проводках, переводах. То есть все таки можно…
