Твитнуть
Проект «Сетевые свободы» представил доклад, в котором сказано, что в 2022 году у россиян украли рекордное за последние годы количество данных. Пострадали пользователи Госуслуг, банков, операторов связи, онлайн-магазинов, авиакомпаний и десятков других организаций и сервисов. В открытом доступе оказались имена, даты рождения, номера телефонов, физические и e-mail адреса, паспортные данные.
Откуда утекали данные россиян и кто за этим стоит?
Сливы, затронувшие только самые большие сервисы, уже составляют сотни тысяч случаев утечки. В 2022 году данные похищались из Сбера, Госуслуг, Московской электронной школы, Ростелекома, Билайна, Теле2, Дом.ру, Яндекс.Еды, Delivery Club, СДЭКа, Победы, РЖД, Гемотеста, Whoosh (сервис проката самокатов), START (аналог Тик-Тока, созданный Газпром-медиа). Данные похищались не только из государственных структур, но и из обычных пользовательских сервисов.
«Сетевые свободы» связывают участившиеся случаи хищения данных с возросшей активностью хакеров, фоном чего стал конфликт в Украине. Об этом сообщала и компания InfoWatch. Все дело в «вовлечении в так называемые кибервойска большого количества украинцев и жителей других стран».
По утверждению российского сервиса DLBI, занимающегося аналитикой утечек, хакерские атаки в 2022 году впервые стали основным источником сливов. В «Сетевых свободах» при этом отметили, что один из элементов кибервойны — это публикация фальшивых баз данных (например, о мобилизованных россиянах); часто они оказывались компиляцией сведений из открытых данных или слитых ранее баз.
Не только россияне страдают от утечек данных.
В марте этого года на теневом форуме нашлись файлы объемом более 80 миллионов строк с именами, паспортными данными и водительскими удостоверениями граждан Украины. В апреле хакеры получили доступ к спискам и данным сотрудников украинского правительственного контактного центра, в июне в открытый доступ попали данные об украинских беженцах, находящихся в Польше. Сообщения о взломах периодически появлялись и позже — как указывается в докладе, инструкции по проведению DDoS-атак и ссылки на «некоторые инструменты» опубликованы в российских телеграм-каналах.
При всех отрицательных последствиях сливы персональных данных помогают российским расследователям, признают «Сетевые свободы», отмечая, что OSINT-журналистика переживает бум. На журналистские материалы, основанные в том числе на информации из утечек, российские власти ответили «ужесточением ответственности за сбор сведений о силовиках, закрытием публичных реестров и преследованием журналистов».
Правозащитники указывают, что российское государство, не обеспечивая безопасность в сфере персональных данных, нарушает свои обязательства по охране частной жизни от посягательств. Хотя Роскомнадзор блокировал сайты, где выкладывалась слитая информация, она оставалась доступной в сети. И «Яндекс.Еду», и «Гемотест», и другие коммерческие компании в итоге оштрафовали на незначительные суммы от 60 до 100 тысяч рублей. Судебный процесс по иску пострадавших пользователей «Яндекс.Еды» против компании не привел к существенным результатам.
Клиентам «Яндекс.Еды», обратившимся к сервису с исками о компенсации морального вреда, московский суд назначил по пять тысяч рублей, отказавшись при этом допустить в дело более тысячи заявителей и рассмотреть иск как коллективный, что позволило бы существенно большему числу заявителей защитить свои интересы.
Россиянам, пострадавшим от утечек, защититься в судах крайне трудно. Жертвы сливов не могут повлиять на технологическую защищенность своих данных, заключают правозащитники.
Юристы, защищающие жертв утечек, испытывают большие проблемы в российских судах в случаях, когда слитая база данных доступна лишь за плату на теневых форумах. «Сетевые свободы» объясняют, что суд может счесть попытку приобрести такую базу незаконным доступом к компьютерной информации, то есть правонарушением.
Исследователи заключают, что власти не в состоянии справиться с защитой данных — и россиянам следует полагаться в этом вопросе только на себя.
Государство, очевидно, осознало неэффективность существующего законодательства о персональных данных, практика применения которого фактически свелась к ритуальному подписанию согласий на обработку данных и политик, которых никто не читает и не придерживается. При этом субъекты персональных данных фактически никакой защиты не получают и не имеют возможности получить адекватную компенсацию за разглашение их личной информации.
Советы экспертов: как защитить личные данные
Чтобы сократить вероятность потери личных данных, нужно минимизировать объем публикуемой информации. Каким образом?
1. Беречь данные своих карт от посторонних. Лучше оплачивать все на месте покупки – картой или наличными.
2. Сделать отдельную симку для магазинов и сервисов.
3. Стараться не указывать настоящее имя. В магазинах и сервисах доставки часто можно обойтись только номером телефона.
4. При оформлении онлайн-заказов не вводить дополнительных данных (номер квартиры, код домофона и т. д.).
5. Пользоваться только надежными сервисами с хорошей репутацией.
6. Не отправлять и не давать сканировать или копировать личные документы.
7. Для регистрации в сервисе, который не используется постоянно, можно обойтись одноразовой почтой и бесплатным номером для получения SMS.
Откуда утекали данные россиян и кто за этим стоит?
Сливы, затронувшие только самые большие сервисы, уже составляют сотни тысяч случаев утечки. В 2022 году данные похищались из Сбера, Госуслуг, Московской электронной школы, Ростелекома, Билайна, Теле2, Дом.ру, Яндекс.Еды, Delivery Club, СДЭКа, Победы, РЖД, Гемотеста, Whoosh (сервис проката самокатов), START (аналог Тик-Тока, созданный Газпром-медиа). Данные похищались не только из государственных структур, но и из обычных пользовательских сервисов.
«Сетевые свободы» связывают участившиеся случаи хищения данных с возросшей активностью хакеров, фоном чего стал конфликт в Украине. Об этом сообщала и компания InfoWatch. Все дело в «вовлечении в так называемые кибервойска большого количества украинцев и жителей других стран».
По утверждению российского сервиса DLBI, занимающегося аналитикой утечек, хакерские атаки в 2022 году впервые стали основным источником сливов. В «Сетевых свободах» при этом отметили, что один из элементов кибервойны — это публикация фальшивых баз данных (например, о мобилизованных россиянах); часто они оказывались компиляцией сведений из открытых данных или слитых ранее баз.
Не только россияне страдают от утечек данных.
«В даркнете на протяжении многих лет действуют хакерские группировки, нацеленные на украинские организации и структуры».
При всех отрицательных последствиях сливы персональных данных помогают российским расследователям, признают «Сетевые свободы», отмечая, что OSINT-журналистика переживает бум. На журналистские материалы, основанные в том числе на информации из утечек, российские власти ответили «ужесточением ответственности за сбор сведений о силовиках, закрытием публичных реестров и преследованием журналистов».
Правозащитники указывают, что российское государство, не обеспечивая безопасность в сфере персональных данных, нарушает свои обязательства по охране частной жизни от посягательств. Хотя Роскомнадзор блокировал сайты, где выкладывалась слитая информация, она оставалась доступной в сети. И «Яндекс.Еду», и «Гемотест», и другие коммерческие компании в итоге оштрафовали на незначительные суммы от 60 до 100 тысяч рублей. Судебный процесс по иску пострадавших пользователей «Яндекс.Еды» против компании не привел к существенным результатам.
Клиентам «Яндекс.Еды», обратившимся к сервису с исками о компенсации морального вреда, московский суд назначил по пять тысяч рублей, отказавшись при этом допустить в дело более тысячи заявителей и рассмотреть иск как коллективный, что позволило бы существенно большему числу заявителей защитить свои интересы.
Россиянам, пострадавшим от утечек, защититься в судах крайне трудно. Жертвы сливов не могут повлиять на технологическую защищенность своих данных, заключают правозащитники.
«Сетевые свободы» описывают причину этого так: «Обезопасить себя удастся, лишь не предоставляя о себе реальных данных, однако это не всегда возможно. Юридическая защита упирается в проблему сбора доказательств, которые суды и уполномоченные органы власти отказываются признавать».
«В таких условиях требования к ответственности и осмотрительности администраторов государственных и корпоративных баз персональных данных возрастают многократно, и эту проблему только предстоит решать», — отмечается в докладе.
Государство, очевидно, осознало неэффективность существующего законодательства о персональных данных, практика применения которого фактически свелась к ритуальному подписанию согласий на обработку данных и политик, которых никто не читает и не придерживается. При этом субъекты персональных данных фактически никакой защиты не получают и не имеют возможности получить адекватную компенсацию за разглашение их личной информации.
Советы экспертов: как защитить личные данные
Чтобы сократить вероятность потери личных данных, нужно минимизировать объем публикуемой информации. Каким образом?
1. Беречь данные своих карт от посторонних. Лучше оплачивать все на месте покупки – картой или наличными.
2. Сделать отдельную симку для магазинов и сервисов.
3. Стараться не указывать настоящее имя. В магазинах и сервисах доставки часто можно обойтись только номером телефона.
4. При оформлении онлайн-заказов не вводить дополнительных данных (номер квартиры, код домофона и т. д.).
5. Пользоваться только надежными сервисами с хорошей репутацией.
6. Не отправлять и не давать сканировать или копировать личные документы.
7. Для регистрации в сервисе, который не используется постоянно, можно обойтись одноразовой почтой и бесплатным номером для получения SMS.
Комментарий