Утечка данных: как наши телефоны, пароли и адреса оказываются у посторонних

Здравствуйте, я Ника. Представьте обычную ситуацию: вам звонит незнакомый человек, обращается по имени, знает ваш город, иногда старый адрес или название банка.

Из-за этого люди часто теряются и начинают верить мошеннику. Кажется, если человек знает такие детали, значит, он действительно говорит от банка, службы поддержки или какой-то официальной организации.

Данные могут оказаться у посторонних разными путями: из-за взлома сервиса, ошибки сотрудника, неправильно настроенного доступа, недобросовестного подрядчика, передачи данных сторонним сервисам или из старых баз, которые уже давно гуляют по интернету.

Суть в одном предложении. Утечка данных — это общий результат, когда информация, которую вы доверили компании или сервису, оказалась у тех, кто не должен был её видеть. А вот причин и способов, как это могло произойти, может быть несколько.

По данным Роскомнадзора, в 2024 году было зафиксировано 135 случаев утечек баз данных, где содержалось более 710 млн записей о россиянах. В 2025 году ведомство сообщало о снижении масштаба: по публикациям со ссылкой на РКН, за год зафиксировали около 118 случаев и более 52 млн записей. При этом аналитики InfoWatch, российской компании в сфере защиты данных и предотвращения утечек, отмечали, что проблема не исчезла: за 2023–2025 годы в России было скомпрометировано около 4,5 млрд записей персональных данных. Методики подсчёта отличаются, но общий вывод один: данные продолжают утекать, а старые базы ещё долго используются мошенниками.

Что вообще может утечь

Когда мы слышим «персональные данные», обычно думаем о паспорте. Но мошенникам часто хватает гораздо меньшего.

Утечь могут:

• имя и фамилия;
• номер телефона;
• email;
• город;
• адрес доставки;
• дата рождения;
• история покупок;
• логины;
• старые пароли или их хэши;
• сведения о документах;
• переписки или файлы, если сервис хранил их небезопасно.

Какими путями данные оказываются у посторонних

1. Через украденный пароль сотрудника

Один из частых сценариев — злоумышленники получают доступ не через «взлом главного сервера», а через аккаунт реального сотрудника.

Например, сотруднику приходит письмо, которое выглядит как обычное уведомление от корпоративной почты: «Срок действия пароля истекает, подтвердите вход». В письме логотип компании, привычный стиль, подпись «IT-отдел». Сотрудник переходит по ссылке, вводит логин и пароль, а страница оказывается поддельной. После этого злоумышленник получает доступ к системе уже не как «взломщик с улицы», а как настоящий пользователь.

Если у такого аккаунта много прав, он может увидеть клиентские таблицы, внутренние документы, переписки или выгрузки.

Что это значит для нас: безопасность данных зависит не только от технической защиты компании, но и от того, насколько сотрудники умеют распознавать фишинг.

2. Через уязвимость в системе

Сайт или программа — это большой набор кода. Иногда в нём находят ошибку, через которую посторонний человек может получить доступ туда, куда его не приглашали. Такую ошибку называют уязвимостью.

Именно поэтому сайты, приложения и операционные системы регулярно получают обновления: разработчики закрывают такие дыры и усиливают защиту. Если обновление не установить вовремя, слабое место может остаться открытым.

Для пользователя это неприятная ситуация: вы можете придумать сложный пароль, включить двухфакторную защиту и всё равно пострадать, если слабое место оказалось на стороне сервиса.

3. Через неправильно настроенный доступ

Многие компании хранят данные в облачных сервисах. Само по себе облако — не проблема. Проблема начинается, когда доступ настроен неправильно.

Например:

• резервная копия базы случайно доступна по ссылке;
• тестовая база содержит реальные данные клиентов;
• слишком много сотрудников могут скачивать файлы;
• старые архивы забыли закрыть после переезда на новую систему.

Такие утечки особенно неприятны: никто не «ломал сейф», дверь просто оставили приоткрытой.

4. Через подрядчиков и сторонние сервисы

Когда мы оставляем данные в сервисе, они не всегда остаются только внутри этой компании. Например, интернет-магазин может передать телефон службе доставки, email — сервису рассылок, а данные об оплате — платёжному провайдеру.

Это нормальная часть работы многих сервисов. Но если у одной из таких сторонних организаций слабая защита, данные могут утечь уже оттуда. Для человека разницы почти нет: он оставил информацию в одном месте, а последствия получил из-за другого участника цепочки.

Передача сторонним сервисам — это когда компания использует другие организации для рассылок, рекламы, аналитики, доставки или обслуживания клиентов. Иногда это законная рабочая схема. Но чем больше участников получает доступ к данным, тем выше риск, что где-то в цепочке произойдёт утечка.

Почему потом начинаются звонки

Сами по себе базы редко лежат без дела. Их могут объединять между собой.

Одна база дала телефон. Вторая — email. Третья — город. Четвёртая — старый пароль. Пятая — примерную сферу интересов или покупок.

В итоге мошенник получает не «магические способности», а собранный портрет человека.

Сбер в 2024 году оценивал, что персональные данные примерно 90% взрослого населения России в той или иной степени уже есть в открытом доступе. Там же отмечали, что мошеннические звонки стали более продуманными: их может быть меньше, но сценарии становятся убедительнее.

После утечек могут появляться:

• звонки «из банка»;
• сообщения «от службы безопасности»;
• письма «подтвердите аккаунт»;
• попытки входа в почту;
• шантаж старым паролем;
• поддельные уведомления от доставок и маркетплейсов;
• сообщения от имени руководителя, знакомого или сотрудника ведомства.

Важно: если вам звонят и называют ваши данные, это ещё не доказательство, что звонок настоящий.

Что можно сделать самому

Полностью контролировать чужие серверы мы не можем. Но можно уменьшить ущерб, если данные всё-таки где-то всплывут.

1. Используйте разные пароли для важных сервисов. Особенно для почты, банка, Госуслуг, мессенджеров и социальных сетей.
2. Включите двухфакторную защиту. Лучше через приложение-аутентификатор, если сервис это поддерживает.
3. Не переходите по ссылкам из тревожных писем и сообщений. Откройте сайт вручную или через официальное приложение.
4. Проверяйте активные сессии. В почте, мессенджерах и соцсетях обычно можно посмотреть, где выполнен вход.
5. Если сервис сообщил об утечке, смените пароль там и везде, где использовали такой же.
6. Не оставляйте лишние данные без необходимости. Если сервису не нужен ваш второй номер, паспорт или дата рождения, подумайте, стоит ли их указывать.
7. Смотрите на отдельные галочки согласий. Особенно если там есть слова «реклама», «партнёры», «третьи лица», «информационные сообщения». Это не про страх перед каждым сервисом, а про привычку понимать, кому вы разрешаете использовать ваши данные.
8. Почитайте, как распознать мошеннический звонок. В отдельной статье [«Актуальные схемы телефонных мошенников»] я разбираю признаки, по которым можно понять, что с вами говорит не банк, не служба поддержки и не госорган, а мошенник.

Главное

Утечка данных — это не один конкретный сценарий, а результат: информация оказалась у тех, кто не должен был её видеть.

Пути могут быть разными: фишинг, уязвимости, ошибки доступа, подрядчики, человеческий фактор, старые базы и незаконное использование данных внутри цепочки обработки.

Хорошая новость: часть защиты всё-таки в наших руках. Разные пароли, двухфакторная защита и осторожность с письмами не делают человека неуязвимым, но сильно усложняют жизнь мошенникам.

Сохраните статью и проверьте хотя бы один пункт сегодня: пароль от почты, двухфакторную защиту или активные сессии. Это займёт несколько минут, а пользы может быть очень много.