Что делать, если мои персональные данные попали в открытый доступ после утечки?
Еще несколько месяцев назад я обнаружил свой адрес, номер телефона и историю заказов на карте утечки сведений о пользователях «Яндекс-еды». Особых мер я не принимал.
Но недавно мои данные снова оказались в сети, уже после утечки с другого сервиса. Что вообще делать после этого? Как следить, куда попадает информация обо мне? Слышал, собирают коллективные иски — может, мне присоединиться?
К сожалению, вопрос утечки персональных данных встает перед жителями России острее с каждым месяцем. По оценкам Роскомнадзора, с начала 2022 года произошло уже более 40 крупных утечек баз с персональными данными россиян. Пожалуй, самая заметная — как раз утечка данных клиентов «Яндекс-еды». Тогда злоумышленники еще и опубликовали всю информацию на сайте — имена, адреса и номера телефонов можно было посмотреть на интерактивной карте.
Схема простая: чем больше мы сидим в интернете, тем больше отдаем данных сервисам и компаниям и тем выше риски, что эта информация всплывет в очередной утечке. Расскажу, как не пропустить момент, когда сведения о вас оказались в открытом доступе, что делать после этого и как обезопасить себя от дальнейших сливов.
Какие масштабы проблемы
С каждым годом масштабы утечек растут, в том числе и в России. По данным аналитической фирмы InfoWatch, в РФ только за первое полугодие утекли 305 баз данных, что почти на 50% больше, чем за тот же период 2021 года. Объем похищенной информации увеличился в 16 раз и достиг более 187 млн записей — в этом результаты InfoWatch расходятся с Роскомнадзором. Россия занимает второе место в мире по объемам утечек данных в сети — выше только США.
По данным Group-IB, в 2022 году количество утечек в России растет каждый месяц. В мае и начале июня в даркнете обнаружили рекордное количество баз данных российских компаний — более 50. Для сравнения: в апреле их было 32, а в марте — всего 16.
Если называть конкретные компании: в конце февраля 2022 года стало известно об утечке данных клиентов СДЭК, в марте — «Яндекс-еды», в мае — «Деливери-клаба», в июне — GeekBrains и «Ростелекома», в июле — «Гемотеста», в августе — «Теле-2».
Какие данные наиболее подвержены утечке
Утекшие данные соцсети будут значительно отличаться от информации из интернет-магазина или службы доставки. А еще часть слитых данных могут оказаться обезличенными: к примеру, у злоумышленников оказывается ваш пароль, а к какому аккаунту он подходит — непонятно. В других случаях данные могут попасть к мошенникам в зашифрованном виде.
Команда антивируса McAfee выделила несколько типов данных, которые чаще всего оказываются в сети:
- связка «логин-пароль»;
- адрес электронной почты;
- номер телефона;
- адрес, место работы;
- данные о подключенных устройствах;
- дата рождения;
- пол, возраст, рост, вес;
- платежные данные;
- архив сообщений;
- история покупок.
Отдельная утечка может практически не коснуться вас — злоумышленники узнают, к примеру, только логин в сервисе, и ничего с этим не смогут сделать. Но чем больше утечек, тем выше вероятность появления «обогащенной» базы данных. Так говорят, когда из нескольких разных слитых баз составляют одну большую и подробную.
Например, сама по себе утечка «Яндекс-еды» и так была крупная. А затем ее дополнили данными из ГИБДД, «Авито», «Деливери-клаба», ВТБ, «Вайлдберриз», «Вконтакте», «Пикабу» и других источников. Так уже можно сформировать портрет конкретного пользователя, чтобы потом атаковать его.
Самая очевидная опасность исходит от сливов банковских данных — их могут использовать мошенники довольно понятным способом. Однако, согласно отчету InfoWatch за 2021 год, платежная информация почти не попадает в сливы — на нее приходится 0,4% от всех утечек. Почти 90% — категория «персональные данные».
Как проверить, скомпрометированы ли ваши данные
Сайт Have i been pwned? — его еще в 2013 году основал консультант по веб-безопасности Трой Хант. Сервис отслеживает и коллекционирует утечки данных и позволяет проверить, скомпрометированы ли ваши аккаунты. Просто введите адрес электронной почты или номер телефона — сайт не только подскажет, были ли ваши данные в известных утечках, но и укажет источник слива.
Have i been pwned? — самый авторитетный тематический ресурс с данными о сотнях взломанных сайтов. Периодически Трою Ханту информацию об утечках передают правоохранительные органы США, Британии и других стран.
В разделе Notify Me можно оставить адрес почты — вам придет письмо, если аккаунт окажется скомпрометирован.
Из минусов — на Have i been pwned? не всегда попадают утечки с российских сайтов и сервисов. Если речь идет о российском профиле, то лучше вводить адрес электронной почты, а не номер.
Менеджеры паролей обычно помогают не только безопасно хранить пароли, но и отслеживать, попали ли они в какую-то из утечек данных. Такая функция есть, например, у сервисов 1Password, Keeper и Dashlane.
Встроенные инструменты браузеров. Они есть почти во всех современных браузерах. Вот некоторые примеры.
Firefox Monitor поможет узнать, была ли скомпрометирована ваша приватная информация. Чтобы включить инструмент, щелкните по иконке щита рядом с адресной строкой и выберите «Панель состояния защиты» → «Следите за утечками данных» → «Подпишитесь на оповещения об утечках».
Firefox Monitor берет данные из базы Have i been pwned?. Если не пользуетесь браузером от Mozilla, то не проблема — сервис доступен и без этого.
У Safari есть настройка отслеживания утечки паролей. Зайдите в настройки браузера → пароли. Убедитесь, что стоит галочка у пункта «Выявлять украденные пароли». Если один из них окажется в утечке — вам придет уведомление.
В Google Chrome тоже есть встроенная проверка уязвимостей. Перейдите в настройки → «Конфиденциальность и безопасность» → «Проверка безопасности». Там можно проверить безопасность паролей, защиту от потенциально опасных расширений и обновиться до актуальной версии браузера.
Что делать, если оказались в слитой базе данных
Проверьте достоверность утечки. Все чаще объявления об утечке данных используют мошенники для фишинга: они присылают панические сообщения о скомпрометированных данных и побуждают действовать на эмоциях. Главное — успокоиться и оценить ситуацию.
Часто компании, пусть и с задержкой, но сами признают факт утечки — сообщают о ней на своем сайте или в рассылке. Либо же о них пишут авторитетные СМИ. Ориентируйтесь на официальные источники.
Оцените, какие именно данные скомпрометированы. От этого зависит, какие именно действия предпринимать. Одно дело — просто попавший в публичное поле адрес электронной почты или даже номер телефона. Совсем другое — платежные данные или физический адрес с подробностями.
Если слитой базы данных нет в публичном доступе — например, ее продают в даркнете — то оцените риски самостоятельно. В случае с «Яндекс-едой» или СДЭК вы, вероятно, понимаете, что указывали при заполнении профиля или оформлении доставки.
Еще один способ — посмотрите активность в скомпрометированных аккаунтах. Приходили ли вам непонятные письма на электронную почту? Пытается ли кто-то авторизоваться с помощью вашего номера телефона? Хочет ли кто-то оформить перевод средств с вашей карты? Вероятно, вы увидите следы этого в приложениях и с помощью уведомлений.
Еще важно узнать, насколько актуальные данные в утечке. Чем старее слитая база — тем меньше опасности для вас, особенно если вы регулярно меняете пароли.
Не вводите свои данные в сторонние сервисы проверки. Некоторые масштабные утечки сопровождаются публикацией клиентской базы в наглядном виде, как это было в случае с «Яндексом». Многие тут же решали проверить на сайте, попали ли их данные в общий список — и вводили свои имена и номера телефонов. Лучше этого не делать: таким образом злоумышленники могут только пополнить свой каталог или подтвердить актуальность полученной информации.
Приготовьтесь к наплыву мошенников. После попадания в открытый доступ номеров телефонов и личной информации ожидайте волны звонков или писем якобы из банков, правоохранительных органов и прочих учреждений.
В такой ситуации рекомендации не отличаются от уже привычных мер предосторожности: скептически относитесь к любым звонкам, не делитесь дополнительной информацией по телефону. Если звонки злоумышленников не прекращаются, скорее всего, придется поменять номер телефона. У нас есть курс «Как защититься от мошенников» — там можно найти подробные рекомендации и советы.
Иногда хакеры предлагают удалить опубликованные данные за определенную плату. Полагаться на добросовестность мошенников не стоит. Тем более что даже если они выполнят обещание, данные уже могли скопировать другие пользователи, а сама база — оказаться на «черном» рынке или стать основной для «обогащения». В этом случае вы и деньги потеряете, и данные не защитите.
Смените пароли — не только для профилей, попавших в утечку. Вполне вероятно, что вы не придумываете уникальные пароли для каждого сервиса, а используете ротацию из нескольких, которые помните и считаете надежными. В таком случае лучше сменить все совпадающие пароли, а не обойтись одним профилем.
Проверить, насколько уникальные пароли вы используете, можно, к примеру, в диспетчере паролей Google Chrome.
Если утечка затронула банковские данные — заморозьте счета. Если хакеры получили доступ к банковским данным, это лучший выход. Однако если утечка произошла внутри банка, он, скорее всего, сам примет меры — узнать об этом можно в том же официальном сообщении или в службе клиентской поддержки.
Что с наказанием за утечку персональных данных
По российским законам, компании ответственны за утечку персональных данных, но наказание за это не очень большое. Часть 1 статьи 13.11 КоАП РФ предусматривает штраф от 60 до 100 тысяч рублей.
Минцифры хочет пересмотреть размер штрафов за утечку персональных данных. Летом 2022 года ведомство предложило такой вариант: за первую утечку — фиксированная сумма штрафа, которая зависит от масштабов слива. При повторной утечке — оборотный штраф.
Также клиенты могут объединиться и подать коллективный иск, чтобы потребовать компенсацию от компании. Такие подали к «Яндекс-еде» и СДЭК — в обоих случаях заявители потребовали 100 тысяч рублей каждому. По мнению юристов, у пользователей есть шансы выиграть дело, но они могут получить гораздо меньшую компенсацию. Так что большого смысла присоединяться к подобным искам нет.
Как обезопасить себя от дальнейших утечек данных
Соблюдайте стандартные меры предосторожности. Эти советы знают почти все: используйте разные пароли для разных аккаунтов, убедитесь, что они достаточно сложные, своевременно обновляйте приложения и сервисы — разработчики регулярно совершенствуют системы безопасности и исправляют предыдущие критичные ошибки.
Включите двухфакторную аутентификацию везде, где это возможно. По возможности пользуйтесь не дополнительной проверкой по номеру телефона, а другими способами — например, Google Authenticator. Такой вариант более защищенный — коды генерации хранятся на вашем устройстве, а коды по смс гораздо легче перехватить.
Скройте реальный адрес электронной почты. Адрес сливается чаще всего — его указывают при авторизации, вместо логина или для подписки на уведомления. Но есть несколько способов сделать публикацию имейла безопаснее.
Самый очевидный — заведите почту только для взаимодействия с конкретными сервисами. Более продвинутый вариант — пользуйтесь анонимайзерами или «одноразовыми» почтовыми ящиками вроде генераторов 10 Minute Mail (сайт недоступен из РФ) и TrashMail.
Альтернатива для пользователей техники Apple — авторизация с помощью кнопки «Вход с Apple». В этом случае сайты получают только имя и адрес электронной почты, который можно скрыть. Для этого генерируется уникальный случайный адрес электронной почты — уже с него сообщения пересылаются на ваш реальный адрес. Сторонние анонимайзеры работают по схожему принципу.
Минимизируйте свой «цифровой след». Чем меньше вы отдаете данных — тем меньше информации попадет в потенциальную утечку. Проще всего сократить количество персональных данных, которые вы предоставляете сервису. Не подписывайтесь реальным именем, не оставляйте номер телефона, если он не требуется. Закажите доставку еды или других товаров не на точный реальный адрес проживания, а до ближайшего пункта самовывоза или только к подъезду.
Если использовать разные номера телефонов и аккаунты, а также не указывать часть информации о себе, вы жертвуете удобством экосистемы крупных компаний. Однако в этом случае каждый должен определить, что ему важнее — комфорт при использовании сервиса или снижение рисков в случае масштабных утечек.
Вы в любом случае ни от чего не застрахованы. Можно принять любые средства предосторожности, но все равно стать жертвой утечки. В первую очередь, потому что она происходит не на вашей стороне, а на стороне компании, которой доверяете данные. В интернете крайне сложно вообще не «отсвечивать»: вы все равно авторизуетесь под настоящими именем и фамилией, оставите реальный адрес почты, закажете товар на домашний адрес, где-то промелькнет номер телефона.
Помните, что в утечке вы — одна строка из миллионов похожих. Это все еще серьезно, но, вероятнее всего, поправимо. Особенно если вы не медийная личность. Главное — вовремя среагировать на ситуацию, оценить актуальность данных и защититься от последствий.