Реальная история кражи персональных данных, почему антивирусы и файрволы не спасают и как сделать данные нечитаемыми для хакеров даже после взлома
Поговорим о защите персональных данных клиентов на корпоративных сайтах, веб-порталах и интернет-магазинах.
Персональные данные — это любая информация, которая позволяет идентифицировать конкретного человека, например, связка ФИО + телефон + email. А также паспортные данные и другие сведения, по совокупности которых можно установить личность.
С 30 мая 2025 года Роскомнадзор, согласно поправкам к 152-ФЗ, ввёл огромные штрафы за утечку персональных данных — от 3 до 15 миллионов рублей, а также отдельный штраф от 1 до 3 миллионов рублей за неуведомление ведомства об утечке. По задумке законодателей данная поправка должна мотивировать бизнес лучше защищать персональные данные, а значит — снизить число успешных хакерских атак и количество утечек ПД. Благими намерениями, у нас в стране, как обычно…
Хакеры увидели в этом новые возможности для наживы — они восприняли это как призыв к действию. Киберпреступники стали целенаправленно специализироваться на взломе баз данных с последующим шантажом и вымогательством. Раньше при утечке компания рисковала в основном репутацией, а теперь к этому добавился реальный многомиллионный штраф от государства. Хакеры это прекрасно осознают: у них появился ещё один рычаг давления, и вероятность того, что «жертва» предпочтёт заплатить выкуп, становится гораздо выше.
И все это не просто слова — мы столкнулись с этим на практике.
Реальный кейс: как хакеры потребовали 300 000 ₽ под угрозой штрафа от РКН за утечку персональных данных
В начале 2026 года один наш знакомый обратился к нам с проблемой: хакеры взломали его старый интернет-магазин, удалили базу данных объёмом почти 450 МБ, выгрузили оттуда записи о 50 000 пользователях и потребовали выкуп в 300 000 рублей, угрожая в противном случае сообщить об утечке в Роскомнадзор (а там компании грозили уже миллионные штрафы).
Мы со своей стороны быстро возобновили работу сайта — восстановили из архива базу данных, сменили все пароли доступа и провели необходимые мероприятия по закрытию всевозможных уязвимостей. Но главная проблема осталась: украденные записи о пользователях уже находились в руках хакеров.
Задайте себе вопрос — как бы вы поступили на месте нашего героя: заплатили бы 300 000 ₽ мошенникам с риском подсесть на удочку шантажа или рискнули бы нарваться на многомиллионный штраф от Роскомнадзора?
Мы тоже задумались над этой безвыходной дилеммой, поэтому усилили защиту в iCMS (системе управления сайтом нашей собственной разработки). Однако мы прекрасно понимаем: даже самые устойчивые современные системы не защищены от взлома на 100%. Целенаправленные атаки опытных киберпреступников могут взломать самые неприступные IT-системы.
Например, самый свежий и резонансный случай — взлом «Аэрофлота» в июле 2025 года. Там за безопасность отвечала огромная команда, тратились миллионы рублей, использовались различные системы обнаружения атак, и всё равно хакеры смогли получить доступ к более чем 20 ТБ данных, выгрузили 12 ТБ внутренних баз, парализовали работу авиакомпании и чуть полностью не убили ее инфраструктуру.
Защита по периметру не обеспечивает 100% гарантии сохранности ПД пользователей. Поэтому подход к безопасности пора менять — вместо того, чтобы пытаться построить неприступный периметр, команда INTRID придумала оригинальное решение: сделать так, чтобы даже украденные данные в руках злоумышленников оказались бесполезным набором символов.
Шифрование: как сделать украденные данные бесполезными для злоумышленников?
Суть решения проста: мы преобразуем персональные данные в нечитаемый набор символов с помощью хеш-функции (подробнее о том, что такое хеш-функция).
*Например, номер +7 900 123-45-67 превращается в $2y$10$N9qo8uLOickgx2ZMRZoMy.Mr3J8iH5kLxK6nA6*
Почему это надёжно? Хеш-функция необратима: расшифровать данные без ключа невозможно. Даже перебором всех вариантов хакер не сможет восстановить оригинал — на это ушли бы десятилетия и даже столетия, поэтому украденная база будет для него бесполезна.
Это является базовой защитой от утечки персональных данных и прекрасно работает при правильной настройке.
Разумеется, появляется ряд ограничений, например, с поиском, фильтрацией, сортировкой, интеграцией со сторонним ПО. Однако все эти технические моменты решаются силами разработчиков с помощью системы индексации данных, обмена ключами при передаче данных и т. д. При этом сайт или интернет-магазин для пользователей и администраторов работает как обычно.
Поэтому даже небольшому интернет-магазину и другим сайтам, которые обрабатывают ПД пользователей, стоит задуматься о внедрении шифрования. Ведь оказаться перед выбором — выплачивать многомиллионный штраф или выкуп хакерам — обойдётся в разы дороже, чем любые разовые усилия по его внедрению.
А что вы думаете о шифровании данных? В комментариях к статье, пожалуйста, поделитесь, как вы защищаете сайты и персональные данные от хакерских атак.
Чтобы узнать подробнее о шифровании персональных данных и проконсультироваться, переходите на сайт нашей веб-студии.