Утечка персональных данных: инцидент или бизнес?

Новости о новых случаях утечек персональных данных из различных сервисов, ИТ-платформ и баз данных становятся все более частыми. В чем заключаются их причины и как им можно противодействовать?

На днях интернет облетела новость о самой крупной утечке персональных данных за последнее время. По скромным подсчетам в сеть попали данные 533 миллиона пользователей Facebook, а именно телефонные номера, идентификаторы, полные имена, электронная почта, даты рождения и некоторые факты из биографии. Виною тому стали хакеры, которые еще в начале года создали специального бота в Telegram. Он позволял за определенную плату узнать номер телефона любого пользователя Facebook. Стоит отметить, что это не первая крупная утечка персональных данных. В декабре 2019 года в открытом доступе оказалась информация об 267 млн. пользователей, а в августе 2020 года -150 млн. пользователей.

Интересно то, что Facebook не собирается уведомлять пользователей о том, были ли именно их данные слиты в сеть. Однако, для этого уже придумали другие способы. Самым простым и популярным являются сервисы https://haveibeenpwned.com/ и https://www.thenewseachday.com/private-facebook-phone-numbers-us.

Сегодня появилась новость о том, что персональные данные 500 миллионов пользователей LinkedIn выставлены на продажу. В сеть попали электронная почта, номера телефонов, полные имена, пол, место работы и другое. Однако, представитель LinkedIn заявил, что эти данные не были взяты с платформы LinkedIn, а были собраны с других вебсайтов работодателей и компаний. Это было бы похоже на правду, если бы данные не были собраны именно путем проникновения в систему данной платформы. Аналогичная ситуация уже происходила в августе 2020 года.

Данные социальные сети стали жертвами масштабной кибератаки. Утечка персональных данных в августе 2020 г., где пострадали более 238 млн. пользователей. Социальные сети связывают утечку данных с компанией Deep Social, которую Facebook и Instagram заблокировали за хищение контента из аккаунтов пользователей. Она формально прекратила свою деятельность, но собранные данные не были удалены и распространились в интернете. Информация включала в себя логины, полные имена пользователей, данные о возрасте и поле, контактная информация, изображения, видео, статистика о числе подписчиков и прочее. Что интересно, никто не признал такое действие противоправным, так как по большей части там содержалась информация, указанная в профиле.

В августе 2020 г. стало известно о том, что в открытый доступ попали данные 200 млн. пользователей Twitter. Как сообщалось, в такой утечке виновата неправильная конфигурация Elasticsearch-серверов. При этом данные, попавшие в интернет преимущественно содержали в себе ту информацию, которая была в профиле пользователей. До этого, в январе 2019 г. была более крупная утечка данных, представители Twitter взяли на себя всю ответственность за данный инцидент. Комиссия по защите данных Ирландии объявила о присуждении штрафа в размере 450 тыс. евро за нарушение GDPR.

Казалось бы, технология VPN создана для того, чтобы защитить устройство от слежки, цензуры и злоумышленников. Но в начале марта стало известно, что на теневых форумах выставили на продажу базы данных 21 млн. пользователей бесплатных сервисов, таких как GeckoVPN, SuperVPN и ChatVPN. В открытом доступе оказались адреса электронной почты, логины и пароли пользователей.

Доверять свои данные нельзя даже государству. В декабре 2020 года появилась новость о том, что данные 300 тысяч московских пациентов, переболевших коронавирусом попали в сеть. А именно, ФИО, адрес, электронная почта, результаты анализов и различные анамнезы. Несмотря на то, что полиция завела уголовное дело, персональные данные никто не удалил и не убрал из открытого доступа.

Теперь граждан Российской Федерации предупреждают о новой готовящейся «кибератаке» на майские праздники. Хакеры собираются воспользоваться уязвимостью мобильной связи, которая даст возможность перехватывать СМС для авторизации в банковских приложениях. Однако, успокаивает то, что одних СМС кодов будет не достаточно. Эта «кибератака» связана тем, что в марте в даркнете появилось предложение о продаже доступа к коммутатору одного из операторов мобильной связи, подключение к нему позволяет перехватить контроль над системой сигнализации SS7, управляющей трафиком операторов мобильной связи. С его помощью мошенники смогут перехватывать звонки и SMS всех операторов, с которыми у владельца коммутатора есть соглашение о роуминге.

Во-первых, самым надежным способом будет не регистрироваться в социальных сетях вообще, но все понимают, что в условиях цифровизации это практически невозможно. Во- вторых, указывать как можно меньше информации о себе, например, вместо настоящего имени можно использовать псевдоним. В-третьих, как можно меньше «связывать» аккаунты. Чаще всего, при регистрации в социальных сетях указывают электронный адрес и получив доступ к одной только электронной почте злоумышленники смогут получить доступ ко всем аккаунтам, связанным с ней. В-четвертых, на данный момент существуют относительно безопасные социальные сети, например, те, что относятся к Fediverse. Это объединение децентрализованных сервисов, которые работают без участия государства или коммерческих корпораций. Имея аккаунт на одном сервисе, можно спокойно взаимодействовать с другими сервисами и перемещаться из одного сервиса в другой.

Если говорить о централизованных сетях, таких как ВКонтакте или Facebook, то нет стопроцентной гарантии, что Ваши данные не утекут. Более того, помимо телефона, почты и ФИО в сеть могут попасть Ваши паспортные данные. Так согласно п. 4.1.3 Правил Защиты информации о пользователях сайта ВКонтакте, администрация сайта может потребовать фотографию удостоверения личности для восстановления доступа к странице и если такое фото станет «жертвой» утечки, то что делать непонятно.

Именно поэтому, при регистрации в социальных сетях стоит читать пользовательские соглашения и правила пользования, минимизировать информацию о себе и не связывать аккаунты друг с другом.