Найти тему
TexTerra Daily

Все ваши данные украли уже несколько раз. И личности тоже

Стало известно, что, вроде как, были украдены даже биометрические данные граждан России, Беларуси и Казахстана, собиравшиеся с 2006 года.

Власти, впрочем, не подтвердили факт утечки биометрических данных пользователей. «Минцифры не подтверждает утечку данных из НИИ “Восход”. Сообщаем, что Минцифры проводит по этому поводу служебную проверку совместно с ФСБ», — говорится в сообщении министерства.

НИИ «Восход» — стратегический партнер государства в области информационных технологий с 1972 года, имеет исключительные компетенции и экспертизу в сфере разработки, внедрения и сопровождения автоматизированных информационных систем федерального значения. Подведомственное учреждение Минцифры.

Как объяснили в Минцифры, данные в сеть не выложены (это, видимо, должно как-то подтверждать или опровергать утечку):

«Была зафиксирована аномальная активность, в том числе — из внутренней сети предприятия. Данные хранятся в зашифрованном виде, ключ расшифровки хранится в Гознаке. Это в любом случае не позволит незаконно получить доступ к биометрическим данным».

Ранее появилась информация, что система выдачи электронных паспортов, включая подсистему обработки персональных данных и биометрии, была взломана. В сеть попала продуктивная база данных системы за весь период ее работы – с 2006 года. Одна из версий, гласит, что злоумышленник после увольнения воспользовался заложенными в систему уязвимостями, проник в систему и скачал продуктивную базу данных.

Может быть, что у базы есть покупатели, и поэтому ее не выкладывают, как обычно, в сеть? Напомним, что речь идет об отпечатках пальцев, отсканированных сетчатках глаз и о лицах. И может ли быть так, что ключа не было у человека, который, вероятно, программировал систему?

Позвольте немного бреда: ваш телефон разблокируется с помощью вашего отпечатка пальца и начинает по всем контактам рассылать какую-нибудь информацию. Это возможно и сейчас, так как отпечатки пальцев всех владельцев есть в базах Apple, Samsung, Huawei и так далее. Надо полагать, что на государственном уровне проблема, если она есть, будет решена быстро и однозначно. Да и повода для паники, кажется, нет:

«Биометрия – это не 100% идентификация, вместе с ней должно быть еще что-то. Биометрия имеет процент погрешности, поэтому полагаться на нее на 100% нельзя. Даже дактилоскопия, которая, теоретически, является 100-процентной идентификацией, при считывании сканером имеет погрешность. Тут далеко ходить не надо: сейчас почти все телефоны оснащены сканером отпечатков. Но он не всегда срабатывает, а это значит, что погрешности – норма. А представьте, что человеку нос (не дай Бог) сломают, или с ним поработает пластический хирург? Что тогда выдаст биометрия?», – рассказал Texterra на условии анонимности специалист из правоохранительных органов.

Но и без биометрии о нас с вами вероятным злоумышленникам давно известно всё, что только возможно.

Что уже украдено

Texterra несколько месяцев собирает информацию об утечках, чтобы показать масштаб катастрофы. И вот что у нас накопилось (это только те утечки, о которых было заявлено официально). При этом вы понимаете, что утечки были и два года назад, и пять, и десять – база постоянно обновляется и пополняется. Отметим, что безопасность данных пользователей следует закладывать еще на начальном этапе создания сайта.

  • Российский сервис вертикальных видео Yappy взломали в ноябре 2022 года. Были украдены таблицы на 2 млн строк. Это мобильные телефоны, даты регистрации, ФИО и некоторые другие личные данные пользователей.
  • В декабре данные пользователей портала Rabota.ru тоже были украдены – это 390 тысяч строк с указанием адресов электронной почты, телефонов, ФИО, возрасте и зарплатных ожиданиях.
  • «ВкусВилл» подтвердил в декабре утечку данных – номеров телефонов, адресов электронной почты, данных о купленных товарах, а также номеров банковских карт клиентов.
  • Тогда же были украдены и личные данные клиентов туристического сервиса Level.Travel:

«Зафиксирована утечка информации, в результате которой в интернете были опубликованы некоторые данные о пользователях, включая контактные телефоны и детали бронирований. Номера карт и пароли не хранятся сервисом и находятся в безопасности», — отметил представитель сервиса.

  • Тогда же появилось сообщение, что был взломан портал Госуслуг. Но Минцифры информацию опровергло. Проверив выложенные данные, министерство сообщило, что они не имеют связи с Госуслугами, а глава Минцифры Максут Шадаев заявил, что это лишь компиляция старой утечки «Почты России»: «Это опять база "Почты России", та утечка, которая в четвертый раз под этим видом [новой утечки] выдается. Компиляция. Это точно абсолютно».
  • В январе утечка из Почты России повторилась. Второй фрагмент файла содержал 141 211 строк, в которых были: ФИО, адрес (регистрации и фактический), телефон, адрес эл. почты (не у всех), СНИЛС/ИНН (не у всех), пол, дата рождения, серия/номер паспорта, кем и когда выдан.
  • В январе этого года Telegram-канал «Утечки информации» сообщил о сливе личных данных из соцсети Twitter. Хакерский файл весом 12 ГБ содержал данные 209,5 млн пользователей. Это адреса электронной почты, даты создания профилей, количество подписчиков, логины. Из двухсот миллионов строк 5,6 млн содержали адреса электронной почты на домене ru – россиян.
  • В феврале была публикация личных данных клиентов «СберЛогистики» в открытом доступе – клиентов и сотрудников компании. Говорят, что информацию разместил тот же источник, который ранее опубликовал конфиденциальную информацию клиентов «Почты России», образовательного портала GeekBrains, службы доставки Delivery Club и многих других. «Рекомендуем не обращать внимания», — так отреагировал Сбер на утечку.
  • «Спортмастер» и «Здравсити» вовсе стали лидерами по числу сворованных данных пользователей в этом году. Всего за первые два месяца этого года в сеть было выложено более 50 млн номеров телефонов россиян. «Крупнейшими утечками в этом году стали данные клиентов сети "Спортмастер" (13,4 млн уникальных адресов электронной почты и 45,89 млн телефонных номеров) и интернет-аптеки "Здравсити" (почти 9 млн номеров телефонов и 3,4 млн e-mail)», — рассказал основатель российского сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. Также в базе содержались имена клиентов, их даты рождения, номера телефонов и адреса электронной почты. Не проблема – заплатят по 100 тысяч штрафа и обнулятся.

И вот пошли карательные меры.

  • В марте онлайн-школу английского языка Skyeng оштрафовали за утечку пользовательских данных решением суда Таганского района Москвы. Утечка была в 2020 году (школа ее отрицает). На всеобщее обозрение были выставлены данные 5 млн учащихся сервиса. К слову, штраф, согласно ч.1 ст. 13.11 КоАП, составил 60 тысяч рублей.
  • На следующий день (2 марта) оштрафован за утечку был и сервис «Туту.ру» (на те же 60 тыс. рублей) тем же судом Таганского района Москвы и по той же статье. Утечка произошла в начале июля 2022 года – в сети появилась часть базы данных сервиса, где были данные о покупке билетов на автобусы – всего 2 627 166 строк. В строках содержались имя и фамилия, номер телефона и электронная почта.

Ваши данные все еще не в сети? Зря вы так думаете

Согласно отчету компании Thales, данные украдены уже у 33% пользователей интернета (во всем мире). При этом 82% обворованных жалуются на ухудшение качества жизни после потери конфиденциальных данных. Также Thales располагает информацией, что около 11% компаний медлят с тем, чтобы признаться в утечке, заявляя об этом примерно через полгода, а каждая двадцатая компания молчит до последнего.

Картина по России еще более удручающая. В сети на сегодняшний день оказались персональные данные 75% россиян – 85% трудоспособного населения. Такова статистика сервиса DLBI. Как отметил глава компании Ашот Оганесян, подтверждены 140 утечек – это 109 млн телефонных номеров и 99,8 млн е-мейлов. Основные источники утечек – сервисы, наподобие Яндекс.Еды, Delivery Club, «Гемотеста» и так далее, а также данные из малоизвестных компаний.

Глазами «Лаборатории Касперского» ситуация выглядит еще хуже. Всего в 2022 году в сеть было выложено 168 значимых (а сколько незначимых?) баз данных российских компаний. Это почти 300 миллионов пользовательских данных и около 48 миллионов паролей.

То есть, за год было опубликовано более 2 миллиардов записей! Виновником 64% утечек стал крупный бизнес. Среди лидеров – сфера доставки (34%) и ретейл (14%).

И это только начало – сливаемые базы будут постоянно обновляться, иначе в них не будет толку. Согласно прогнозу «Лаборатории Касперского», в 2023 году утечек станет больше на 20% (на 60 млн пользовательских данных). Напомним, что население России составляет чуть более 140 млн жителей.

Наверняка какие-то организации или частные лица накапливают воруемые данные и объединяют их в единую базу, в которой есть актуальные сведения практически обо всех гражданах России. Для чего это нужно? В первую очередь, для мошенничества.

Еще больше штрафов

Размер штрафов за утечку персональных данных может быть повышен до 500 млн рублей (минимальный штраф составит 5 млн). С такой инициативой в конце декабря 2022 года выступило Минцифры. Это должно подтолкнуть компании к усилению мер по защите данных. Но сами компании предупреждают, что это приведет к дроблению бизнеса на региональные подразделения, что снизит фиксируемые доходы и, соответственно, штрафы (штраф будет рассчитываться от размера суммы выручки компании за календарный год – 3%).

Итог

Все тайное становится явным. В конце концов, и игла Кощея оказалась не в самых надежных руках. Не останутся (остались) секретом и наши с вами персональные данные. Вопрос только в том, как их можно использовать, чтобы нам же и навредить.