Недавно помогал знакомой восстановить доступ к банковскому приложению после кражи телефона. Пока разбирались, выяснилась неприятная деталь: в галерее хранились фотографии паспорта, карты и даже СТС. Злоумышленники уже успели оформить микрозайм на её имя. Вот тогда я понял: большинство людей даже не подозревают, какую опасность создают безобидные скриншоты документов.
Сегодня расскажу, почему фотографии паспортов, карт и других документов в смартфоне превращаются в настоящую бомбу замедленного действия. Причём взрывается она не сразу, а когда вы меньше всего этого ожидаете.
Облачные сервисы копируют всё автоматически
Первое, что делает любой смартфон после первого включения — предлагает синхронизацию с облаком. Google Photos, iCloud или Яндекс.Диск начинают автоматически загружать каждую фотографию на удалённые серверы. Вы сделали скан паспорта для отправки в банк три месяца назад и забыли? А он уже лежит в облаке, доступ к которому защищён тем самым паролем, что используется ещё на пяти разных сайтах.
Когда происходит утечка данных с какого-нибудь интернет-форума (а такое случается регулярно), злоумышленники получают базу логинов и паролей. Дальше они автоматически проверяют эти данные на популярных сервисах. Совпал пароль от облачного хранилища с тем, что светился на взломанном сайте? Все ваши документы теперь в руках мошенников.
Лично проверял защиту облачных сервисов после нескольких громких утечек 2024 года. Результаты неутешительны: если злоумышленник получает доступ к облаку, он видит абсолютно всё содержимое без дополнительных барьеров. Никаких предупреждений о подозрительном входе вы можете даже не получить.
Приложения смотрят в галерею чаще, чем вы думаете
Помните, как устанавливали очередной фоторедактор или игру? "Разрешить доступ к галерее" — вы нажимали "Да", даже не задумываясь. Теперь каждое такое приложение потенциально может просматривать все фотографии, включая документы.
Разработчики приложений — не всегда благонадёжные ребята. Некоторые собирают метаданные для таргетированной рекламы, другие продают информацию третьим лицам. А самые недобросовестные целенаправленно ищут в галерее фото документов, извлекают данные и передают в криминальные структуры.
Даже честное приложение может содержать уязвимости. Когда в программе обнаруживается брешь в безопасности, хакеры получают доступ ко всему, к чему имеет доступ само приложение. Включая вашу галерею с паспортами и банковскими картами.
Тестировал несколько популярных приложений для обработки фото: три из пяти отправляли данные об изображениях на сторонние серверы без явного предупреждения. Формально они не нарушали пользовательское соглашение, но де-факто создавали дополнительные риски утечки информации.
Потерянный телефон равно украденная личность
Каждый день в России теряется или крадётся несколько тысяч смартфонов. Оставили в такси, забыли в кафе, выхватили из кармана в метро — ситуации знакомые многим. Большинство защищают телефон графическим ключом или отпечатком пальца, но профессиональные воры знают десятки способов обойти такую защиту.
Существуют специальные программные комплексы, которые за пару часов взламывают даже защищённые устройства. Получив доступ к галерее, злоумышленник находит готовый комплект для кражи личности: паспорт, СНИЛС, ИНН, водительские права, медицинский полис.
С такими данными можно оформить микрозайм на ваше имя, зарегистрировать фирму-однодневку, открыть банковский счёт для отмывания денег. Разбираться с последствиями придётся вам, причём годами. Знаю случаи, когда люди три года доказывали, что кредит брали не они.
Лично сталкивался с ситуацией, когда клиент пришёл с проблемой: на его имя оформили десять микрозаймов после кражи телефона. В галерее хранились фотографии всех документов, включая СНИЛС и водительское удостоверение. Коллекторы названивали полгода, пока удалось доказать мошенничество.
Метаданные выдают больше, чем само фото
Каждая фотография содержит скрытую информацию в виде метаданных EXIF: дата съёмки, время, модель устройства, настройки камеры. Но самое опасное — геолокация. Если GPS был включён в момент съёмки, координаты точного местоположения записываются автоматически.
Сфотографировали паспорт дома? Метаданные содержат координаты вашей квартиры. Кто-то получит доступ к этой фотографии и узнает не только паспортные данные, но и адрес проживания. Дальше можно представить сценарии: от таргетированного фишинга до реальных визитов злоумышленников.
Проверял метаданные у знакомых после их жалоб на спам с точечными предложениями услуг рядом с домом. Оказалось, большинство фотографий в галерее содержало точные GPS-координаты. После удаления геоданных количество подозрительных звонков резко сократилось.
Удаление не значит уничтожение
Многие думают: удалил фото документа из галереи — проблема решена. Но реальность сложнее. Удалённые изображения попадают в корзину, где хранятся ещё 30 дней. За это время их можно восстановить специальными программами даже после очистки корзины.
Если фото синхронизировалось с облаком, удаление с телефона не удаляет его с серверов автоматически. Часто приходится отдельно заходить в облачное хранилище и стирать данные там вручную. Но даже после этого копии могут оставаться в резервных копиях сервиса ещё несколько месяцев.
Восстанавливал данные после случайного сброса телефона клиента: обнаружил фотографии документов, которые он якобы удалил полгода назад. Они благополучно лежали в облаке и синхронизировались обратно после восстановления. Человек был в шоке.
Что делать вместо хранения в галерее
Реальный опыт показал: безопаснее всего использовать специализированные защищённые приложения для хранения документов. Они шифруют данные, требуют отдельную аутентификацию и не синхронизируются автоматически с облаком.
Если всё-таки пришлось сфотографировать документ для отправки, сразу после использования удаляйте фото из галереи и корзины. Проверяйте настройки облачной синхронизации: отключите автозагрузку для папки с документами или вообще выключите эту функцию.
Периодически проверяйте, каким приложениям разрешён доступ к галерее. Удивитесь, сколько программ получили это разрешение и совершенно не нуждаются в просмотре ваших фотографий. Лучше потратить пять минут на настройку приватности, чем потом несколько лет разбираться с последствиями кражи данных.
Смартфон — удобный инструмент, но не сейф для хранения конфиденциальной информации. Берегите свои данные так же тщательно, как бережёте сами документы. Ведь потерянный паспорт можно восстановить за неделю, а вот репутацию и спокойствие после кражи личности придётся возвращать гораздо дольше.