Как данные смолян утекают в Сеть и попадают в руки мошенников? Разбирался корреспондент «ГТ» Андрей Степанов
Эксперты констатируют: за первое полугодие 2022 года персональные данные россиян мошенники стали похищать в два раза чаще. Как сообщает специализирующаяся на информационной безопасности российская компания InfoWatch, за это время в Сеть были слиты более 300 баз данных – почти на 46% больше, чем за первое полугодие 2021-го. Получается, что в 16 раз вырос объем украденной информации. В основном утечки происходят из разного рода крупных интернет-магазинов, компаний сферы банковских услуг, МФО, курьерских служб, бюро путешествий, различных медицинских организаций, сервисов доставки еды и так далее.
Все чаще, в частности, и смоляне находят в открытом доступе свои номера телефонов, адреса регистраций, результаты медицинских анализов, даже информацию о тратах на доставку еды.
В сентябре 2022 года 50-летней жительнице Смоленска Анастасии В. вдруг стали бодро названивать коллекторы с требованием погасить неизвестно откуда взявшиеся немаленькие долги перед микрофинансовой организацией. Причем одними звонками назойливые сборщики долгов не ограничивались: они нашли страницы «должницы» в соцсетях и принялись строчить там сообщения с оскорблениями, угрозами близким.
«Говорили, что опубликуют в сетях мои личные данные, а фото мужа вообще на сайт нетрадиционных знакомств угрожали закинуть, – с ужасом вспоминает Анастасия. – Первое время мы считали, что это какие-то мошенники «развлекаются». Но эти люди звонили и звонили, хотя я им кричала в трубку, что никаких кредитов не брала… Потом мужу все надоело, и он решил проверить мою кредитную историю в НБКИ. И что же! Выяснилось, что, действительно, в мае на мое имя кто-то оформил микрокредит на 15 000 рублей, причем под 3% в день! А еще раньше на мое имя были попытки оформления займов, как говорится, «по мелочи» – 3–5 тысяч рублей. Правда, эти попытки были неудачными, были отказы. Наш юрист спросил, где и кому я могла оставлять свои паспортные данные… Но я точно не могу сказать, ведь их где только не приходится вводить! И в отелях, и на сайтах покупки билетов, других каких-то услуг. Я часто бываю в командировках, так что, может, кто-то сфотографировал мой документ в отеле, например…»
Пока Анастасия меняет номер телефона и разбирается по данному вопросу с юристами и представителями самого злополучного МФО, смолянин Виктор С. (естественно, наши собеседники просят не называть их фамилий – как раз таки газета может им гарантировать безопасность личных данных. – Прим. ред.) пытается понять, кому и зачем понадобилось выкладывать в Сеть его личный… рацион меню.
«Я около двух лет пользовался одним известным сервисом доставки продуктов, кулинарных блюд, – вздыхает Виктор. – Конечно, мои заказы не были ежедневными: только по праздникам, как говорится, по случаю. При этом всегда пользовался промокодами. И как раз в апреле 2022 года узнал из новостей в «Телеграме», что данные этого сервиса доставки были слиты в Сеть. Каково же было мое удивление, когда я покопался пять минут в этой самой слитой базе и почти сразу там нашел свою фамилию и вообще все свои данные, включая домашний адрес, суммы потраченных на заказы денег и даже описание того, что именно я предпочитаю на ужин! Причем там же я нашел еще и данные своих знакомых. Шокирован тем, насколько детально была описана украденная информация! Есть ли смысл судиться с этим сервисом? Думаю, что нет. Не хочется тратить нервы, средства и здоровье в надежде на призрачную победу и ничтожную компенсацию».
На самом деле, рост цифр по кражам личной информации россиян в 2022 году действительно шокирует… Так, еще весной этого года в федеральных СМИ проходила информация о том, что после начала СВО в интернет каким-то образом были слиты более 70 баз данных россиян.
«Как раз в апреле мне на мобильный вдруг начали поступать звонки с многозначных номеров. У меня есть одна полезная привычка: никогда не отвечаю звонящим с незнакомых номеров, тем более пробил один из них по интернету – там код был явно украинский, – рассказывает 30-летний смолянин Сергей Ф. – Даже приходила какая-то короткая оскорбительная эсэмэска. У меня нет и не было знакомых из Украины. Так что явно произошел слив. Кто за это ответственен? Я предпочел не разбираться… Звонки вскоре сами прекратились».
Врезка:
Крупнейшие утечки информации произошли у компаний из сферы доставки – 192 млн строк, онлайн-видео – 43 млн строк, медицинских услуг – 30 млн строк, – пишет РБК.
Один из крупных российских туристических сервисов в июле также подвергся жесткой атаке хакеров: в Сеть утекло 2,5 млн строк данных. В частности, в открытый доступ попала таблица из раздела «автобусы», где были указаны фамилии, имена, телефоны, почтовые адреса клиентов. Компания заверила, что будет проведено внутреннее расследование, а в своем блоге ее сотрудники предположили, что вероятная причина слива – тот самый острополитический вопрос, открытый после 24 февраля. Также ее менеджеры сообщили, что своим клиентам они разослали оповещения об утечке информации и о том, что им сброшены пароли к учетным записям.
Почему «сливают» россиян
Все дело в том, что большинство интернет-ресурсов разнообразных организаций защищены крайне слабо. Любую информацию этой организации, коммерческую тайну в том числе, и персональные данные клиентов получить для специалиста в этой области не представляет никакого труда.
После сливов данных человек, чья информация утекла в Сеть, может получить спам на телефон или электронную почту. Ему могут звонить с неизвестных номеров. Кроме анкетных данных – Ф. И. О., электронной почты, номера телефона, в слитой базе данных может оказаться чувствительная информация.
При этом самый опасный слив, как утверждают эксперты – утечка так называемых чувствительных данных, специальных категорий персональных данных. Например, когда в открытом доступе оказывается информация человека о его ВИЧ-статусе. Зачастую мошенники пользуются данными медицинских анализов, чтобы шантажировать больных людей, вымогая деньги.
Буква закона
Основной российский закон, который связан с персональными данными, был принят еще в 2006 году. А за его соблюдением обязан следить Роскомнадзор.
При этом эксперты констатируют, что пока что наша практика взыскания морального вреда находится в плачевном состоянии. Зачастую суды на полном серьезе назначают компенсацию морального вреда всего лишь в 1 тыс. руб. Сами же штрафы за утечку данных тоже невелики и едва ли достигают 100 тыс. руб., хотя за нелокализацию данных [локализация – препятствие распространению слитой информации, минимизация ущерба] штраф исчисляется миллионами. При этом в мире практика такова, что пострадавшие от слива личных данных могут получать миллионные компенсации.
Стало быть, получается, наши суды не придают большого значения персональным данным. Возможно, не понимают ценности этой информации в современном мире? Впрочем, есть надежда, что если государство направит пристальное внимание на защиту персональных данных и защиту владельцев персональных данных, судам придется поменять свою точку зрения и свою практику в данном отношении.
Новая инициатива Минцифры
После масштабных утечек данных в первой половине 2022 года Минцифры разработало законопроект об оборотных штрафах для бизнеса. Его последняя редакция завершилась в начале октября.
Если российские власти примут закон, компании, допустившие утечки персональных данных, будут получать штрафы в 1% от их годового оборота. При попытке скрыть слив размер штрафа вырастет до 3%. Сейчас, согласно законодательству, штрафы за утечку данных предусмотрены только для юрлиц – от 60 тыс. до 100 тыс. руб., при повторном правонарушении – до 500 тыс. руб.
Суть инициативы такова:
- штрафы от 200 до 400 тыс. руб. для руководителя компании, которая допустила утечку данных от 10 тыс. до 100 тыс. человек;
- за такой же объем утекших данных штраф для ИП и юрлиц составит 0,02% от оборота, но не менее 1 млн руб.;
- если компания допустила утечку свыше 100 тыс. записей персональных данных, штраф для нее будет в размере 1% от годовой выручки или до 3%, если компания не сообщила об утечке Роскомнадзору;
- оборотные штрафы будут применяться, если утечка базы данных объемом от 10 до 100 тыс. записей позволит установить принадлежность этих данных не менее чем 1 тыс. конкретных людей, а в случае, если объем утечки превысит 100 тыс. записей, то если будут установлены реальные данные 10 тыс. человек;
- если утечка коснулась менее 10 тыс. человек, то штраф будет фиксированным.
Летом 2022 года Минцифры обсуждало с крупными IT-компаниями идею создания фонда материальной компенсации жертвам утечек. «Наполнять его планируется средствами, полученными в качестве штрафов от компаний, допустивших утечки», – сообщал «Коммерсант».
Личные данные, которые нужно защищать в первую очередь
- Адрес регистрации.
- Адрес фактического проживания. Доставки можно заказывать на работу или в соседний подъезд.
- Электронную почту. Заведите отдельные ящики: для общения с государственными органами, для рабочих вопросов, для чувствительных сервисов, для коммерции и спама.
- Настоящие имя и фамилию. Не указывайте их или пользуйтесь псевдонимами.
Что делать, если личные данные утекли в сеть
- Заблокируйте сайт, на котором опубликовали ваши данные. Для этого напишите жалобу в «Роскомнадзор».
- Постарайтесь изменить некоторые персональные данные. Например, номер телефона, паспорт, место регистрации.
- Обратитесь в суд, чтобы получить моральную компенсацию.
СОВЕТ
Как уменьшить риск слива данных
- Удалите необязательную информацию (ту, в поле для которой нет звездочки) во всех сервисах, при регистрации не указывайте ее.
- Проверьте настройки приватности в сервисе или приложении и установите максимально возможные ограничения, чтобы никто не мог видеть ваши данные, кроме тех, кому они действительно нужны для работы.
- Не регистрируйтесь в сервисе или программе лояльности магазина, если вы пользуетесь им единожды или редко.
- Пользуйтесь сервисами, которые дорожат репутацией. Такие, как правило, достаточно открытые, публикуют понятные оферты и политики конфиденциальности. Чем сложнее и непонятнее договор, тем больше шансов, что компания недобросовестная.
- Используйте сервисы, которые используют сквозное шифрование, – они хранят меньше данных. Например, многие мессенджеры работают со сквозным шифрованием. А в некоторых переписки хранятся на серверах компаний, если только вы не используете функцию «секретный чат».
- Выбирайте сервисы, которые не собирают и не распространяют данные о вас. Они обеспечивают шифрование данных.
- Оставляйте о себе неверную информацию там, где это возможно, – неправильную дату рождения, другое имя.
- Оставляйте в разных сервисах разную информацию – хорошо, если у вас будут разные номера телефона (можно использовать электронные сим-карты) и разные почты для каждого или почти каждого сервиса. Заказывайте удаление ненужных собранных данных, где это возможно через меню.
ФОТО: freepik.com