Когда в сеть утекает наша личная информация, это может быть неприятно и даже опасно.
Читатели рассказали, какие данные они теряли или могли потерять, к чему это привело и как они изменили свое отношение к размещению информации в интернете. А мы собрали статьи и курсы, которые помогут усилить свою защиту, — переходить по этим ссылкам точно безопасно.
Это истории читателей из Сообщества. Собраны в один материал, бережно отредактированы и оформлены по стандартам редакции.
История 1
О попытке взлома аккаунта и сработавшей системе защиты
Однажды пытались взломать мои аккаунты, привязанные к странице в «Фейсбуке». Моей ошибкой было использовать один пароль на нескольких сайтах. Но никакого ущерба я не понес: быстро среагировала система защиты «Гугла» и «Эпла», я успел все спасти.
После этого случая я лучше защитил себя. Советую всем это сделать через телефон и дополнительные опции. А еще теперь я бережно отношусь к предоставленной мне информации и читаю мелкий шрифт.
💎 Ссылка-оберег: как придумать надежный пароль.
История 2
Об анкете на загранпаспорт, которая висела как образец заполнения
Спустя примерно год после того, как я получила новый загранпаспорт, кто-то из знакомых увидел на стенде в местном ОВИРе мою анкету. Ее повесили как образец заполнения, даже не замазав мои личные данные.
К счастью, ничем плохим для меня это не закончилось. Самым серьезным ущербом стало то, что по пути в ОВИР во время зимней гололедицы моя мама поскользнулась и сильно ударилась головой. На тот момент она не работала, и у нее нашлось время сходить и написать заявление, чтобы мою анкету убрали со стенда.
Если честно, потом никто из нас даже не смотрел, выполнили нашу просьбу или нет. По крайней мере, кредитов на меня не оформляли — я проверяла.
На мое отношение к персональным данным вся эта история никак не повлияла. Это скорее из разряда курьезов, чем серьезной утечки. Сомневаюсь, что кто-то стал бы переписывать мои паспортные данные со стенда с преступной целью.
💎 Ссылка-оберег: как уберечь свои паспортные данные.
История 3
О микрокредитах, которые не брал
Мои паспортные данные утекли из медицинского учреждения, в котором я проходил осмотр при устройстве на новую работу. В итоге через четыре года на меня взяли несколько микрокредитов, и в моей кредитной истории зафиксировалось порядка 30 отказов. Из-за этого мне так и не удалось взять льготную ипотеку.
Сменил паспорт. Написал заявление в полицию по факту мошенничества, но в возбуждении дела мне было отказано. Обратился в прокуратуру — безрезультатно. С ответом из полиции письменно, по телефону и по электронной почте обратился во все микрокредитные организации из моей истории. Почти все удалили записи. Еще обратился в Национальное бюро кредитных историй с просьбой убрать недействительные данные. По одному из кредитов до сих пор сужусь. Со всеми остальными разобрался в мировом порядке.
Однако мало что изменилось. Все равно мой паспорт светится в любом договоре при любой сделке. А еще я знаю сайты, где можно на какие угодно данные оформить микрозаймы, получить их на карту и остаться безнаказанным.
💎 Ссылка-оберег: как проверить кредитную историю.
История 4
О потере фотографий
Однажды я потерял флешку со своими фото. А в другой раз, спустя некоторое относительно долгое время фото украли у моей девушки, взломав ее аккаунт. Ущерб составил вроде бы до 10 000 Р.
Обратились из-за взлома в полицию — и ничего. Полагаю, результата нет не из-за самой полиции, но этого и следовало ожидать.
Я и до всей этой ситуации был аккуратен со своими данными: ставлю пароль на особые файлы в архивах. А вот моя девушка стала бдительнее. Усилилась по полной: установила везде разные и более сложные пароли, поставила двухфакторную аутентификацию.
💎 Ссылка-оберег: как сохранить деньги и репутацию, если украли ваши интимные фото.
История 5
О мошенниках, выведавших пароль от сайта госуслуг
Мне часто звонили мошенники с предложениями финансовых услуг и якобы из службы безопасности Сбербанка. Знали, что я зарегистрирована на сайте госуслуг. Видимо, кто-то из банков слил мои персональные данные.
Недавно они опять мне позвонили. Женщина средних лет уверенным голосом сказала, что кто-то отвязал мой мобильный от личного кабинета на сайте госуслуг и его нужно снова подключить. Она выманила у меня код из смс, зашла в мой личный кабинет, оттуда — на сайт Объединенного кредитного бюро (ОКБ) и озвучила отчеты по моей кредитной истории.
Я обратилась на сайты госуслуг и ОКБ, буду писать жалобу в Роскомнадзор. Лучше не доверять никаким звонкам в принципе.
💎 Ссылка-оберег: как понять, что вам звонит мошенник.
История 6
Об угрозах от радикальной зоозащиты
Меня преследует радикальная зоозащита. Впрочем, не только меня, но и многих других, кто выступает против бродячих собак. Стоит только написать, что ты за их эвтаназию, — все, клеймо живодера получено. Твои фотографии и ссылки на соцсети будут висеть в группах «охотников на живодеров».
У представителей радикальной зоозащиты есть предводители в соцсетях, которые бросают клич вроде: «Нужен адрес этого живодера». И адреса сливают — думаю, кто-то работает в банке, салоне сотовой связи или страховых компаниях и у него есть доступ к базе данных с поиском по ФИО. Злоупотребляет служебным положением.
Так начинается травля в социальных сетях с указанием домашнего адреса.
Поддержка такие посты удаляет медленно, а авторов и группы, их разместившие, не банит. Поэтому удаленные по запросу персональные данные спустя пару часов снова появляются на той же странице.
Мне тоже угрожают. А некоторым сторонникам усыпления бродячих собак радикальные зоозащитники даже исписывают подъезды краской, пытаются ломать двери.
Я уже поменяла все свои ники, удалила и закрыла страницы и впредь под своим именем не пишу комментарии. Помогают только жалобы в саппорт соцсетей. Но судя по тому, что злоумышленников не банят, придется обратиться в суд.
💎 Ссылка-оберег: все, что надо знать о персональных данных.
История 7
О том, как мошенники узнали ФИО, номер телефона и баланс
Как-то раз я сделал себе карточку в банке. Она нужна была мне только для получения зарплаты, и с ее помощью я собирался инвестировать. Карточку я получил, в течение недели на нее пришла первая зарплата, а еще через несколько дней я перевел часть суммы на другую свою карту в другой банк. Больше ничего я с этой карточкой не делал.
Спустя какое-то время мне позвонили якобы из службы безопасности первого банка. Представились, назвали меня по имени-отчеству и сказали, что я подавал заявку на кредит, которую мне одобрили. А также заявили, что эти 120 000 Р кредита пытались перевести с моей карты на имя гипотетического Васи Пушкина в городе, где я карту и открывал.
Ясно, что это был развод, и понятно, что эта «служба безопасности» была послана в пешее эротическое путешествие. Но сам факт: они знали мой телефонный номер, мои ФИО, город, где я открывал карту, и сумму на счете — точнее, ту, что была неделю назад и уже не соответствовала действительности.
При общении в чате с реальной службой безопасности всю ответственность пытались переложить на меня. Якобы я где-то или расплачивался этой карточкой, или засветил информацию. Но она лежала мертвым грузом, я ее фактически не использовал. А вот мои персональные данные утекли мошенникам. Спустя месяц они опять звонили с этим же разводом и были сразу посланы. Но мне понравилась их последняя фраза: «Ну ладно, не получилось».
Обошлось без ущерба, только нервов немного потратил. Я и раньше нигде не светил свои основные карты, но теперь сделал себе еще и электронные, выставил на них лимиты и везде расплачиваюсь только ими.
💎 Ссылка-оберег: как вовремя заметить подвох, когда звонят из «службы безопасности банка».
История 8
О слитых в интернет паролях и личных данных
Я входил в свой аккаунт во «Вконтакте» на сторонних сервисах для аналитики страницы и таким образом дал к нему доступ посторонним людям. С моей страницы подписывались на сообщества, рассылали рекламные сообщения моим друзьям и незнакомцам. В итоге поменял пароль, отписался от лишних групп и разослал извинительные сообщения людям, которых заспамили.
Еще однажды я нашел свои пароли в базе данных слитых паролей. После этого сменил их на нескольких аккаунтах, которые могли быть под угрозой, а также установил двухфакторную аутентификацию на свои системные аккаунты, в соцсетях, электронной почте и мессенджерах. Теперь для входа нужен одноразовый код, который я получаю через смс или приложение. Это как второй пароль, который постоянно меняется. Кроме того, время от времени проверяю свои почты через сервисы проверки слитых паролей — такие есть у «Файрфокса» и ботов в «Телеграме».
Также находил в сети свои личные данные. Пробил ФИО через Гугл и обнаружил сайты с информацией, которую я уже удалил или скрыл из моих соцсетей. Таким образом, кто-то смог посмотреть мои старые посты, фотографии и другие данные. Подал заявку на удаление личной информации прямо со сторонних сайтов. Это сделали быстро, без вопросов. В поисковиках тоже можно потребовать скрыть определенные результаты выдачи.
💎Ссылка-оберег: как хранить пароли и пины, чтобы не потерять деньги.
История 9
О поучительной потере денег из-за мошенников и о новом призвании
Однажды регистратор персонального аттестата системы «Вебмани» слил мои данные с карточки. По крайней мере, практически сразу после подтверждения регистрации мошенники, использовав уязвимость оператора «Мегафон», подобрали пароль от моего личного кабинета — тогда он был только цифровой и состоял именно из шести цифр. Затем они включили переадресацию смс — тут должен быть смайл «рукалицо», — а потом сменили пароль к электронной почте и через нее — к «Вебмани».
Потеря этих данных привела к ущербу в размере порядка 15 000 Р — или 500 $ по курсу 2012 года. А вот тут должен быть плачущий смайлик, но не от потерь, а как раз от курса доллара.
Отнес это к расходам на обучение.
Разобрался в проблеме и не стал более ничего предпринимать. Затем провел собственное расследование причин и способа получения несанкционированного доступа. Отвязал почту от номера известного телефона. Больше нигде не использую электронный адрес вместе с телефоном, на который завязано восстановление почты. По возможности указываю алиасы, а не основную почту. В системе «Вебмани» не держу крупных сумм, подключил двухфакторную авторизацию и вход по IP-адресу.
И вообще, на весьма продолжительное время сделал информационную безопасность своей работой: прошел переподготовку, получил необходимые знания и работал в этой сфере около пяти лет. Сейчас по мере возможности стараюсь быть в курсе новостей по теме информационной безопасности, слежу за публикациями о новых уязвимостях и способах мошенничества, а также делюсь этой информацией с друзьями.
💎 Ссылка-оберег: как повысить уровень цифровой защиты.
"Меня преследует радикальная зоозащита"
Ничего себе. Такое бывает? Неадекваты какие-то
Системный, бывает. Поищите группы вконтакте "охотники на живодеров" - там в каждом втором комментарии призыв к самосуду, призыв найти адрес и наказать по справедливости.
А тем временем с начала года собаки сожрали 7-летнюю девочку, дочь летчика, награжденного Путиным, мужчину и женщину. Перед новым годом бродячие собаки сожрали средь бела дня женщину-ученого в Якутске.
И стоит только сказать, что ты против бродячих собак вконтакте - вас могут избрать мишенью.
Про пароли один ответ: менеджер паролей. У меня в KeePass сейчас !600! учётных записей. Никакие памятки или правила генерации паролей не помогут, когда у тебя за 15 лет в интернете накопилось такое количество аккаунтов.
Я тоже долго не мог решиться на переход к менеджеру паролей, но в позапрошлом году взял себя в руки и за месяц поменял пароли везде где только можно. Сейчас сплю спокойнее, появление своего пароля в "хакерских базах" перестали волновать совершенно.
В хроме сейчас тоже встроенный менеджер паролей и генерация тоже есть, удобно )
Хотя наверное и его могут умельцы взломать...
LazyLady, я облачным менеджерам не доверяю, поэтому храню в KeePass.
LazyLady, а при смене устройства пароли сохраняются?
Script, и таких паролей - хотя бы пара десятков. Раз в 90 дней, ага)
Marina, давно можно получить электронным письмом, у ТЖ есть статья как это сделать
Хороший пароль должен содержать завязку, кульминацию и эпичный финал )
Нашла в сети сайт, где выложены персональные данные разных людей, причем с телефонами, адресами, похоже с какого-то сайта поиска работы.
Куда можно пожаловаться, чтобы с сайта убрали персональные данные? На сам сайт писала, бесполезно.
Анна, https://rkn.gov.ru/treatments/ask-question/
Йожег, сайт теперь не работает. ура!
Анна, ну, может быть они сами себя в блокировку внесли? :)
Йожег, спасибо, тоже нашла, уже написала обращение. Там и мои данные тоже ((
А телефонные мошенники - это уже у всех должно быть на подкорке, никому ничего не говорить!
Поставьте автоответ для них - бота Олега в приложении Тинькофф или у Сбера тоже есть подсветка номеров мошенников: проще всего вообще с ними не говорить.
Если это будет реально служба безопасности или следователи, поверьте, они вас найдут и без телефона )))
Есть же золотые стандарты парольных практик:)
Не меньше 14 символов включая спецсимволы, цифры и буквы в разных регистрах. Генерация пароля с помощью утилиты, а не PashAiVanov19! Обновление пароля раз в 90-180 дней Аутентификация по 2ФА.
Если пароль не будет слит, подбирать эти 14 символов будут ой как долго, успеете поменять. А если слит - получите сразу уведомление в смс
Script, "Обновление пароля раз в 90-180 дней"
Смешно. Очень трудоёмко
Script, если пароль не слит, обновление раз в 90 дней его не усилит.
Script, я годами и не меняю.
А может, не обнулит, а только приблизит к цели)
Script, если пароли разные и не было утечки, нет никакой необходимости менять пароль. В новых рекомендациях по безопасности (включая nist) уже об этом сказано не первый год
Marina, два раза в год можно бесплатно запросить свою кредитную историю на сайте Национального бюро кредитных историй
Script, если пароль 14 символов, то не все ли равно, что кто-то перебирает?
Script, а в каком банке или почте у нас можно брутфорсить по 100 паролей в минуту?) Надёжный менеджер паролей и уникальные пароли для каждого сервиса спасут отца русской демократии.
Vladimir, типа, если сейчас такой возможности нет - то вы прям уверены, что и завтра ее не будет?) если сейчас морда банка висит за waf’ом это не гарантирует что завтра и через неделю все будет также. И я не особо верю в то, что разрабы с девопсами точно никогда не выкатят обновление, в котором забудут включить счётчик попыток
Script, коротко мысль NIST и Microsoft о смене паролей:
Если вы знаете, что пароль украден, то его нужно менять незамедлительно, а не по окончанию срока действия.
Если вы не знаете, что пароль украли, то им скорее всего воспользуются раньше, чем истечёт срок действия.
Вывод: регулярная смена пароля не повышает безопасность, а доставляет неудобства; кроме того, безопасность может понизиться, если пароль хранить ненадёжно (на стикере у монитора) или ненадёжно обновлять (прибавлять цифру в конце, например).
Менеджер паролей и 14 (а лучше 18) символов с вероятностью, стремящейся к бесконечности, гарантирует защиту от брутфорса.
Vladimir, ну, в чистом виде они говорят что его нужно менять, но не слишком часто. И то, потому что смена может доставлять неудобства и снижать надежность вследствие несекурного хранения. Никогда вообще не менять пароли точно никто не рекомендует)
Но мнение в некотором роде адекватное, особенно при противопоставлении практики смены паролей раз в 30 дней
Script, NIST пишет, что требования по регулярной смене пароля, особенно в комплекте с обязательными требованиями по сложности приводят к использованию словарных паролей типа Pa$sw0rd
Никита, в тч, только выше я пишу об использовании генераторов при создании и смене пароля🤷♀️
Script, от банкинга... У меня одних банкингов 11, я только их одурею менять)
Вы серьезно?! Автор истории №8 проверяет свои пароли на сторонних ресурсах,да еще и через ботов?! И ТЖ это еще распространяет как лучшие практики?! А чего сразу не вывесить пароли в открытый доступ?
Тинькофф, у вас в безопасности полные дауны работают, которые пропускают такие профильные статьи с такими рекомендациями?
Eduard, в истории читателя написано, что он проверяет свои почты, а не пароли, как пишете вы. А мнение Т—Ж на счет персональных данных и как их защитить — в статьях по ссылкам после историй. И там мы очень серьезны.
Eduard, в заголовке же написано, что это истории о том как ПОТЕРЯТЬ персональные данные)
fobic, Тогда заголовок истории №8 надо изменить на "как я стал пополнять хакерскке базы данных своими паролями".
Eduard, что-то не могу перестать смеяться, уж простите))
fobic,
Алекс, чтобы подтвердить, что вы не робот введите код из смс. Мы спишем с вашей карты рубль и сразу же вернём его :)
Комментарий удален пользователем
Eduard, где написано "проверяет пароли"?
Написано - проверяет свои почтовые ящики, которые как правило являются логинами в разные системы. И смотрит, не появились ли они в базах утечек паролей и не пора ли их менять.
Вообще правильно менять пароли хотя бы каждые полгода (для домашнего обывателя), но человек ленив, поэтому хоть так.
А смысл в том, что отправив боту е-мейл, в ответ можно получить список скомпрометированных паролей (пароли там будут не целиком, чтобы злоумышленники не смогли ими воспользоваться), но пользователь способен их опознать и понять, на каком ресурсе нужно незамедлительно сменить пароль.
А в хроме и мозилле не показывает часть пароля, а сразу показывает ресурс и предполагаемую дату "слива". И если вы пароль устанавливали раньше этой даты - то надо незамедлительно его изменить.
Вообще сервис в телеграме был весьма интересный, там и по номеру телефона можно было поискать все что есть в сети на пользователя, включая данные о том, как этот человек записан в других телефонных книгах. Т.е. понятно, откуда у большинства сливов ноги растут.
Йожег, да вы смешны, сами отдаете мошенникам свои ПД и ещё другим советуете. Есть такое понятие у мошенников, как email reputation, т.к. действующие и проверенные емэйлы имеют хоть какую-то ценность, а не мутные и возможно заброшенные из слитых столет назад БД. Тоже самое и с телефонными номерами, есть даже боты, которые прозванивают номера, на проверку актуальности.
Единственный ресурс, которому можно доверять, это haveibeenpwned, автор , Трой Хант, бывший работник Майкрософт, с которым сотрудничают ФБР и прочие провластные структуры. Почитайте его блог, в котором регулярно сообщает, какие крупные организации и правительства стран были слиты.
Йожег, доступным языком на основе гайда NIST о том, почему не надо регулярно менять пароли: https://habr.com/ru/company/globalsign/blog/457036/
Какие же люди невежественные, не стоит верить на слово и тем более интернетам, то что слили какие то данные не означает опасность, опасность если будете реагировать и откроете ещё больше.
Digg, у Mozilla есть сервис, где можно подписаться (оставить почту), и при сливах будут приходить уведомления. Такому сервису вполне можно доверять.