Если вы находитесь в России или планируете в нее возвращаться, вам нельзя репостить наши материалы в соцсетях, ссылаться на них и публиковать цитаты.
Подробнее о том, что можно и нельзя, читайте в карточках.
Что это за гайд?
«Я осознала объем слитых данных, когда нашла боты по пробиву информации в телеграме. Там даже есть адреса, где я могла быть всего один раз и просто заказывала доставку еды. После этого я начала следить за тем, как часто указываю номер телефона и фамилию. Но, конечно, уже поздно, потому что вся эта информация есть в открытом доступе», — говорит Катя* о том, как обнаружила свою персональную информацию в открытом доступе.
С каждым годом контролировать свои данные становится все сложнее: утечек становится все больше, а корпорации платят мизерные штрафы за сливы миллионов записей в открытый доступ. В разных случаях это может угрожать профессии, сбережениям, личной безопасности и вашим близким.
В совместном гайде DOXA и проекта «Секьюрно» рассказываем, как защитить себя и свои данные от утечек информации.
В 1–й карточке мы рассказываем о том, как часто происходят утечки данных, во 2 и 3 — информация о том, как происходят сливы и какая информация может оказаться под угрозой, в 4–6 вы узнаете о том, как не стать жертвой сливов и что делать, если это все же произошло.
* имена респонденто:к изменены для их безопасности
Как часто в России утекают данные?
В России только в 2022 году число утекших записей с персональными данными в 4,5 раза превысило население страны и составило 667 миллионов. Число утечек непрерывно растет: всего за первое полугодие 2023 года в открытый доступ утекли уже 705 миллионов записей.
Среди последних крупных утечек в сеть попали данные пользователь:ниц «Яндекс.Еды», «СДЭК», Wildberries, «Билайна», «Сбер.Логистики», «Почты России» и других сервисов. Часть из них впоследствии объединили в единую базу, которую нанесли на карту. По ней злоумышленни:цы могли по номеру телефона найти адреса жертв и узнать больше слитой информации. Сами компании при этом получили штрафы, не превышающие и 80 тысяч рублей.
Как происходят утечки?
1. Кибератаки и взломы. Злоумышленни:цы могут использовать различные методы, чтобы получить доступ к системам и базам данных, где хранятся личные данные пользователь:ниц. Чаще всего взлом происходит посредством «социального инжиниринга»Манипуляция людьми с целью совершения определенных действий или разглашения конфиденциальной информации.. К примеру, собеседни:ца в сети может выдавать себя за другого человека, чтобы втереться в доверие, а затем начать шантажировать, требуя данные или вымогая деньги. Так произошло с Артемом*, который стал жертвой шантажа в результате общения в приложении Pure.
«Мы переписывались и скидывали нюдсы, а потом договорились перейти в телеграм и оказалось, что это был скам: мои соцсети пробили, с меня начали требовать деньги и шантажировать. Но я ни в какую не шел, потому что если переведу деньги, то с меня не слезут. В какой-то момент они отстали, но после этого я стал внимательнее относиться к людям, с которыми общаюсь, и завел второй телеграм-аккаунт», — рассказывает DOXA Артем об угрозах злоумышленни:ц слить его фотографии.
2. Утеря или кража устройства. Если ваш телефон или компьютер не зашифрован и надежно не защищен, то данные с устройства могут попасть в открытый доступ или стать предметом шантажа.
3. Недостаточная защита. Для доступа к данным злоумышленни:цы могут использовать уязвимости системы или приложений. Например, ненадежную систему хеширования Преобразование информации в уникальный набор символов, которое обеспечивает безопасность данных.и шифрования.
4. Несоблюдение правил безопасности. Утечка данных может произойти из-за использования слабых паролей или после нажатия на вредоносную ссылку. К примеру, злоумышленни:цы могут имитировать сообщения банка, сервисов, которыми вы регулярно пользуетесь, или даже ваших знакомых.
Шпионская программа Pegasus когда-то начинала с фишинговых ссылокПредставьте, что злоумышленники получили доступ к вашим перепискам и интимным фото
Именно это произошло с людьми, чьи телефоны заразили шпионской программой Pegasus. Вот их истории
5. Внутренние угрозы. Источником утечек могут быть сами сотрудни:цы компании, передающие информацию третьим лицам. Например, летом 2022 года бывший сотрудник «Ростелекома» организовал масштабную утечку базы клиентов своего сервиса.
Какие данные могут утечь и нужно ли переживать о «незначительной информации»?
Утечь могут любые данные, оставленные в сети. К примеру, это могут быть:
- ФИО,
- адреса,
- номера телефонов,
- электронные почты,
- банковские данные,
- логины и пароли,
- медицинские данные,
- коммерческая и корпоративная информация,
- фото и видео.
Все это — чувствительная информация, с помощью которой можно идентифицировать человека. Фрагменты информации из разных источников могут привести злоумышленни:ц к вашим логинам, паролям и банковским картам, если они надежно не защищены. К примеру, если ваши пароли повторяются и утекли всего с одного сайта, вы можете потерять все учетные записи, в том числе и те, к которым привязана ваша банковская карта.
«Люди часто говорят: "Мне нечего скрывать". Но важно понять, что речь идет не о сокрытии, а о защите данных. Мы не делаем ничего постыдного или незаконного. Мы защищаем свою частную жизнь от несанкционированного доступа и использования против себя и других. Ведь часто утечка персональных данных может навредить не только вам, но и вашим друзьям, коллегам и партнерам. Следует помнить и об обратном: проблемы с информационной безопасностью у кого-то из ваших близких могут навредить и вам. Например, могут утечь ваши переписки», — рассказывает эксперт из проекта «Секьюрно».
Как обезопасить свои данные, чтобы не стать жертвой утечки сенситивной информации?
- Создавайте надежные пароли. Создавайте сложные комбинации из букв, цифр и специальных символов для каждого аккаунта и меняйте их хотя бы раз в четыре месяца.
- Используйте менеджер паролей. Так вам будет проще создавать сложные.
- Включите шифрование на устройствах. Чтобы в случае утери или кражи устройства ваши данные не оказалисть в уязвимом положении — зашифруйте компьютер и телефон. В этом случае у злоумышленни:ц будут минимальные шансы воспользоваться вашей персональной информацией. Помимо этого установите на свою сим-карту пин-код. Тогда злоумышленн:ицы не смогут использовать ее, чтобы получить доступ к вашм аккаунтам и банковским счетам.
- Настройте двухфакторную аутентификацию. Это значительно снижает вероятность взлома аккаунта.
- Остерегайтесь фишинга. Это самый распространенный способ взлома аккаунтов, который ведет к утечкам. Не открывайте подозрительные ссылки, не скачивайте программы из ненадежных источников и не отвечайте на подозрительные электронные письма.
- Устанавливайте обновления. Компании-разработчи:цы регулярно ищут уязвимости на устройствах. Чем новее версии ваших операционных систем и приложений — тем меньше вероятность утечки информации.
- Делайте резервные копии. В случае взлома ваших аккаунтов у вас будет возможность их восстановить.
- Заведите специальный адрес почты. Создайте отдельный адрес, на который вы сможете регистрировать не очень важные сервисы. Также существуют специальные сервисы (например, DuckDuckGo email Protection), с помощью которых можно генерировать разные адреса, привязанные к одному аккаунту. В идеале создайте отдельный адрес для каждого сервиса. Это позволит понять, с какого сервиса произошла утечка. Так в случае утечки будет понятно, откуда она была. То же самое можно сделать и с номером телефона — например, завести одноразовый номер Hushed.
- Не предоставляйте полную информацию. Не все данные необходимы при регистрации, избегайте их излишнего размещения.
Как узнать об утечке?
- Проверяйте безопасность учетных записей примерно раз в три месяца. Обычно это можно сделать через настройки аккаунтов.
- Проверьте адреса электронных почт в базе утечек паролей HaveIBeenPwned.
- Проверяйте на предмет подозрительных транзакций свои банковские счета и приложения операторов мобильной связи.
- Заведите привычку проводить селфдоксинг — поиск информации в интернете о само:й себе. Это поможет узнать, какую информацию о вас могут найти злоумышленни:цы, чтобы затем удалить или скрыть ее в настройках приватности.
- Если вы начали получать большое количество звонков с неизвестных номеров или спам-писем, вероятно, ваши данные могли быть в слитых базах.
- Следите за новостями. Об утечках систематически пишет, например, «Роскомсвобода». Также новости об утечках получают пользователи «Секьюрно» через телеграм-бот @securnobot.
Что делать в случае утечки?
- Замените логины и пароли, которые могли быть украдены. Затем обновите пароли в остальных учетных записях, которые могут как-то быть связаны со взломанными.
- Оповестите всех, кого может затронуть утечка ваших данных: клиенто:к, партнеро:к, родственни:ц и друзей.
- Если вы заметили несанкционированный доступ к своей учетной записи, свяжитесь с владел:ицами сайта и сообщите им о факте утечки. Если вы уверены, что ваши данные были скомпрометированы через определенную компанию, свяжитесь с ней и сообщите о случившемся.
- Если вы обнаружили неизвестные транзакции на своем банковском счете, немедленно свяжитесь со своим банком и расскажите об этом.
- Обратитесь к эксперт:кам по безопасности. Если вы подозреваете, что ваши данные были скомпрометированы, вы можете получить консультацию и помощь в защите своих данных в телеграм-чате «Секьюрно».
- РедакторРедакторАнтон Дуанель
- 13 декабря 2023 г.