С начала 2024-го в интернет утекло 286 млн телефонных номеров и 96 млн имейл-адресов — вдвое больше, чем за такой же период в прошлом году. Об этом говорится в исследовании сервиса разведки утечек данных DLBI. Лидерами по числу «сливов» в этом году стал сектор электронной коммерции (39%), на втором месте — аптеки и медсервисы (10%). Вместе с тем, как сообщили в Роскомнадзоре, число инцидентов снизилось — со 145 случаев в январе-сентябре 2023 года до 110 случаев за тот же период нынешнего. Чем опасны утечки и как защититься от их последствий — в материале «Известий».
Утечки данных 2024 года
За девять месяцев 2024 года в России зафиксировано 110 фактов утечек персональных данных, тогда как за аналогичный период 2023-го — 145. Об этом «Известиям» сообщили в Роскомнадзоре. Там уточнили, что чаще всего инциденты происходили у компаний, работающих в сфере торговли и оказания услуг.
В то же время объем утекших в Сеть данных растет. За три квартала 2024-го в Сеть «слили» 286 млн уникальных телефонных номеров и 96 млн имейл-адресов, заявили «Известиям» в сервисе разведки утечек данных и мониторинга даркнета DLBI. Для сравнения, за январь-сентябрь 2023 года было скомпрометировано 213 млн уникальных клиентских записей.
Лидерами по числу утечек в этом году стал сектор электронной коммерции (39% от всех попавших в открытый доступ данных), подтвердили в DLBI. Например, в 2024-м произошел «слив» сведений из магазина обуви и одежды Rendez-Vous (7,6 млн уникальных номеров и 4,5 млн имейл-адресов), а также из сети «Ортека» (3,8 млн мобильных телефонов), писали ранее «Известия».
На втором месте по числу скомпрометированной информации, по данным исследования DLBI, — аптеки и медицинские сервисы (10%). Третье место заняли финансовые услуги (9%), а четвертое — ритейлеры (8%).
При этом по объему на первом месте оказался финансовый сектор, на который пришлось 42% утекших данных. В первую очередь из-за многочисленных «сливов» из МФО в начале года, уточняется в исследовании. Как сообщали «Известия», в I квартале произошел инцидент с платформой Robo.finance, из-за которого в открытый доступ попало 2 млн строк данных клиентов МФО «Займер» и около 6 млн — клиентов МФО «А Деньги».
Второе место по объему попавших в Сеть сведений (28%) заняли развлекательные ресурсы. На третьем месте — сегмент медицинских сервисов, добавляется в исследовании.
Чем опасны утечки данных
Объемы утекших в Сеть данных — более 280 млн уникальных телефонных номеров только с начала 2024 года — огромны, констатируют эксперты. Для сравнения, по информации «ТМТ Консалтинг», по итогам 2023-го число активных сим-карт составило 258 млн. При том, что население России превышает 146 млн человек, следует из данных Росстата (у каждого человека обычно не один телефонный номер). Таким образом, контактные данные практически каждого россиянина уже есть в открытом доступе.
Утекшие сведения могут использовать для обзвона граждан с предложением услуг — спама. Также их применяют мошенники.
— Чтобы вызвать доверие у потенциальной жертвы и убедить ее в том, что звонящий действительно сотрудник той организации, которой он представляется, он должен сообщить человеку какую-то информацию, которая ему известна «по долгу службы». Минимально это должно быть ФИО, соответствующее номеру телефона. Но чем больше ее будет (номер паспорта, адрес прописки), тем выше шанс, что жертва поверит и потеряет свои деньги, — пояснил генеральный директор SafeTech Денис Калемберг.
Кроме того, с прошлого года нарастают ботовые атаки: злоумышленники пытаются подобрать логин и пароль для входа в личный кабинет на каком-то из ресурсов, используя информацию из утекших баз данных, рассказал «Известиям» директор по развитию Servicepipe Данила Чежин.
— Сделать это вполне реально, даже зная просто адрес электронной почты или номер телефона, который на многих ресурсах выступает логином. Что касается пароля, то нередко люди делают их одинаковыми для входа на платформы, например, онлайн-курсов, фитнес-клубов и личных кабинетов банков. Потому, узнав пароль к одному ресурсу, менее серьезному, можно получить доступ к личным кабинетам на других, более значимых, — разъяснил эксперт.
Для защиты своих аккаунтов нужно соблюдать базовые правила кибергигиены: устанавливать двухфакторную аутентификацию во всех сервисах, которые предусматривают такую возможность, а также использовать уникальные сложные пароли для каждой учетной записи, перечислил главный эксперт «Лаборатории Касперского» Сергей Голованов. Не лишним будет применять защитные решения на всех устройствах.
Как бороться с утечками данных
Несмотря на общий рост объема утечек, ситуация с сохранностью чувствительных персональных данных постепенно улучшается, отметил «Известиям» основатель DLBI Ашот Оганесян.
— После нескольких крупных и довольно опасных утечек, случившихся в I квартале, сейчас чаще всего в открытом доступе оказываются телефонные номера или имейл, не сопровождаемые критичными данными и пригодные в основном для спама и для обогащения других баз. Основная часть таких «сливов» — сведения небольших интернет-магазинов или даже информация, собранная парсингом — сбором открытых данных в интернете, — отметил он.
Хотя защищенность организаций, которые работают с чувствительными сведениями, повышается — до сих пор остается вероятность утечек через партнеров, например маркетинговых и IT-подрядчиков, добавил Ашот Оганесян.
Как показывают проверки, зачастую «сливы» происходят не из самой организации, а от партнеров, которые не могут обеспечить должный уровень информационной безопасности, подтвердили «Известиям» в СРО «Микрофинансирование и развитие». Там добавили: компании не могут предлагать сверхнизкие цены на свои услуги и одновременно инвестировать в безопасность данных. При этом в графе «виновен» записывают именно саму МФО, подчеркнули в объединении.
— Полную защиту от утечек может обеспечить только отказ от использования персональных данных, но это вряд ли возможно в сфере финансовых услуг в современном мире, — резюмировали в СРО «МиР».
«Известия» также направили запросы в Ассоциацию компаний электронной торговли и аптечную ассоциацию «Надежда-Фарм» о том, как организации этих сфер защищаются от утечек данных. В последней ответили лишь, что не собирают персональные данные на сайте, поэтому защищены от «сливов».
Чтобы минимизировать последствия возможных утечек, необходимо дать операторам четкие инструкции для соблюдения принципов обработки информации, заявили в Роскомнадзоре. Один из ключевых заключается в том, чтобы компании не собирали лишние данные.
В Роскомнадзоре полагают, что необходимо действовать через отраслевое законодательство. Совместно с профильными ведомствами нужно сформулировать, какой конкретно набор сведений действительно минимально необходим для достижения тех или иных целей и какие особенности работы должны быть именно в каждом конкретном случае.