Закажите пилотный проект
Phishman бесплатно
Phishman бесплатно
Заполните форму, чтобы получить
консультацию экспертов Phishman
консультацию экспертов Phishman
Я хочу получать рекламную информацию об услугах ООО «Фишман» по любым доступным каналам коммуникации, в том числе в виде смс-сообщений на указанный мной номер сотового телефона
Массовые утечки и регулярные сливы данных - что опаснее и кто виноват?
Статья расскажет об утечках данных - активных и реактивных, массовых и «по запросу».
Что опаснее и почему это для нас – норма.
Что опаснее и почему это для нас – норма.
Дата публикации: 09.02.2024
Время на чтение: 8 мин.
Алексей Горелкин
Генеральный директор Phishman
Екатерина Автушенко
Копирайтер Phishman
Содержание статьи:
- Массовые утечки как норма реальности.
- Регулярные утечки в частных компаниях и госорганах.
- Утечки данных в государственных организациях.
- Что в итоге хуже: массовая, но разовая утечка или не такой масштабный, но регулярный слив?
Массовые утечки как норма реальности
Начнем сразу с вопроса: вы помните, когда последний раз слышали о какой-нибудь утечке данных? А что это было? Если вы ответили быстро, мы не удивлены. Сливы данных – частое явление. Если вы затрудняетесь ответить, мы также не удивлены. Утечки данных – слишком частое явление, и запомнить их все тяжело.
Это уже часть нашей жизни, и мы настолько привыкли к тому, что информация о нас сливается, что как будто, пропускаем факт опасности утечки. Доставка слила данные о нас? Что, опять? Мм, здорово, кстати, что закажем сегодня на ужин?
Да, это была отсылка к утечке «Яндекс.Еды», о которой компания заявила в марте 2022 года, позже злоумышленники опубликовали целую интерактивную карту с данными пользователей: их имена, телефоны, адреса и информацию о заказах. В мае того же года информацию в карте пополнили сливы из Delivery Club и СДЭК.
За прошлый год Роскомнадзор зафиксировал 168 утечек персональных данных, в результате которых в открытый доступ попали более 300 млн. записей. Злоумышленники получили доступ к 240 млн уникальных телефонных номеров и 123 млн адресов электронных почт, подсчитали аналитики сервиса разведки уязвимостей и утечек данных DLBI (хотя наши аналитики уверены, что уникальных номеров и почт намного меньше, но эта цифра все еще измеряется в миллионах).
Из этой же статистики: в 2023 году чаще всего сливали данные в сегменте электронной коммерции – около 40% инцидентов. За ними здравоохранение – 9%. Уже по объему утечек лидером стала банковская сфера – 47% телефонных номеров слили банки. Если на примере, почти 48 млн уникальных номеров и 3.3. млн электронных адресов пользователей программы «СберСпасибо» оказались в открытом доступе.
Но держите в голове, что эти цифры рассказывают только про известные нам инциденты.
Это уже часть нашей жизни, и мы настолько привыкли к тому, что информация о нас сливается, что как будто, пропускаем факт опасности утечки. Доставка слила данные о нас? Что, опять? Мм, здорово, кстати, что закажем сегодня на ужин?
Да, это была отсылка к утечке «Яндекс.Еды», о которой компания заявила в марте 2022 года, позже злоумышленники опубликовали целую интерактивную карту с данными пользователей: их имена, телефоны, адреса и информацию о заказах. В мае того же года информацию в карте пополнили сливы из Delivery Club и СДЭК.
За прошлый год Роскомнадзор зафиксировал 168 утечек персональных данных, в результате которых в открытый доступ попали более 300 млн. записей. Злоумышленники получили доступ к 240 млн уникальных телефонных номеров и 123 млн адресов электронных почт, подсчитали аналитики сервиса разведки уязвимостей и утечек данных DLBI (хотя наши аналитики уверены, что уникальных номеров и почт намного меньше, но эта цифра все еще измеряется в миллионах).
Из этой же статистики: в 2023 году чаще всего сливали данные в сегменте электронной коммерции – около 40% инцидентов. За ними здравоохранение – 9%. Уже по объему утечек лидером стала банковская сфера – 47% телефонных номеров слили банки. Если на примере, почти 48 млн уникальных номеров и 3.3. млн электронных адресов пользователей программы «СберСпасибо» оказались в открытом доступе.
Но держите в голове, что эти цифры рассказывают только про известные нам инциденты.
Регулярные утечки в частных компаниях
Окей.
Это массовые утечки, они происходят реактивно, с определенной периодичностью и никого (почти) не удивляют. Но, будем ли мы что-то делать с утечками, может, не такими массовыми, но с постоянно активными? Что такое активная утечка? Справедливый вопрос. Давайте снова посмотрим на примере.
Есть такая вещь, как «мобильный пробив». Схема такая – в даркнете за определенную сумму можно выкупить информацию о владельце телефонного номера. Стоит такая информация не дороже 7 000 тыс. руб. (в зависимости от оператора, ну, и вашей «значимости»). Более того, таким же образом можно получить полный биллинг о человеке (его геопозицию, перемещение и т.д.). Стоимость такой информации примерно 100 000 тыс. руб. Кто продает данные пользователей? Очевидно, у мобильных операторов есть нехорошие люди, которые готовы предоставить очень конфиденциальную информацию о вас за относительно небольшую сумму.
Что нарушает такой «пробив»? 137 УК РФ - Незаконный сбор или распространение сведений о частной жизни лица, с наказанием в виде денежного штрафа или лишения свободы от 2 до 4 лет. Сам же мобильный оператор, согласно 63-ФЗ «О связи» обязан обеспечить соблюдение тайны связи. Но, кажется, ни пробивающая сторона, ни те, кто передает данные, не думают об ответственности.
Складывается ли у вас впечатление, что за этим особо никто не следит? Может, кто-то и следит, мобильный оператор пробует делать это, но пресечение одного или нескольких случаев подобных утечек не останавливает глобально процесс слива, тем более что чаще всего – никто о подобном не заявляет.
P.S. Пока копирайтер писал этот абзац ему позвонил незнакомый номер с предложениями о кредите. Интересно, откуда у них номер? Ну, ладно, продолжим.
Это массовые утечки, они происходят реактивно, с определенной периодичностью и никого (почти) не удивляют. Но, будем ли мы что-то делать с утечками, может, не такими массовыми, но с постоянно активными? Что такое активная утечка? Справедливый вопрос. Давайте снова посмотрим на примере.
Есть такая вещь, как «мобильный пробив». Схема такая – в даркнете за определенную сумму можно выкупить информацию о владельце телефонного номера. Стоит такая информация не дороже 7 000 тыс. руб. (в зависимости от оператора, ну, и вашей «значимости»). Более того, таким же образом можно получить полный биллинг о человеке (его геопозицию, перемещение и т.д.). Стоимость такой информации примерно 100 000 тыс. руб. Кто продает данные пользователей? Очевидно, у мобильных операторов есть нехорошие люди, которые готовы предоставить очень конфиденциальную информацию о вас за относительно небольшую сумму.
Что нарушает такой «пробив»? 137 УК РФ - Незаконный сбор или распространение сведений о частной жизни лица, с наказанием в виде денежного штрафа или лишения свободы от 2 до 4 лет. Сам же мобильный оператор, согласно 63-ФЗ «О связи» обязан обеспечить соблюдение тайны связи. Но, кажется, ни пробивающая сторона, ни те, кто передает данные, не думают об ответственности.
Складывается ли у вас впечатление, что за этим особо никто не следит? Может, кто-то и следит, мобильный оператор пробует делать это, но пресечение одного или нескольких случаев подобных утечек не останавливает глобально процесс слива, тем более что чаще всего – никто о подобном не заявляет.
P.S. Пока копирайтер писал этот абзац ему позвонил незнакомый номер с предложениями о кредите. Интересно, откуда у них номер? Ну, ладно, продолжим.
Утечки данных в государственных организациях
Проблема слива данных «под запрос» существует не только в частных компаниях, но и в государственных организациях. И снова пример.
Когда человек умирает, обычно его родственники сообщают об этом в 112, полицию или скорую. И практически сразу же им начинают поступать звонки от негосударственных организаций, чаще по оказанию ритуальных услуг, похоронных агентов и иных физических лиц (привет социальная инженерия). Откуда у частной компании ваш номер телефона и информация о смерти родственника – вопрос почти риторический. То есть, где-то в государственной организации работает должностное лицо, которое сливает данные о подобных случаях заинтересованным в этом частным организациям.
Если вы не знали, это – не окей. Ваша конфиденциальная информация была передана третьим лицам, хотя сообщение о смерти было доступно только госорганам. Такая же утечка, как у мобильного оператора? Ну, не совсем.
На самом деле, слив такой же, но ответственность тех, кто сливает данные в частных организациях и в государственных - разная. Про ответственность перед законом первых мы поговорили в начале статьи, а вот для представителей государственных организаций – это 286 УК РФ, превышение должностных полномочий, 285 УК РФ - злоупотребление должностными полномочиями, с возможностью получения уголовного срока до 4 лет лишения свободы.
И снова - складывается ли у вас впечатление, что за этим особо никто не следит? Может, кто-то и следит, но чаще – никто даже не задумывается, что данные о нем были переданы, кому-то проданы или украдены.
152-ФЗ «О персональных данных» должен, по идее, защитить вас от подобных инцидентов – но он, очевидно, не сильно и соблюдается. Любую информацию о вас можно купить, и такая «покупка» - систематическое явление, а не разовая случайная утечка.
Где еще происходят подобные утечки, массовые или «по запросу»:
2016 г. – утечка данных автовладельцев из ГИБДД
2017 г. – утечка данных из Пенсионного Фонда
2019 г. – утечка данных на портале «Госуслуги»
2020 г. – утечка данных из таможенной базы РФ, утечка 1.1 млн паспортных данных граждан, проголосовавших онлайн по поправкам в Конституцию РФ
2022 г. – утечка данных из Министерства Культуры РФ и др.
Когда человек умирает, обычно его родственники сообщают об этом в 112, полицию или скорую. И практически сразу же им начинают поступать звонки от негосударственных организаций, чаще по оказанию ритуальных услуг, похоронных агентов и иных физических лиц (привет социальная инженерия). Откуда у частной компании ваш номер телефона и информация о смерти родственника – вопрос почти риторический. То есть, где-то в государственной организации работает должностное лицо, которое сливает данные о подобных случаях заинтересованным в этом частным организациям.
Если вы не знали, это – не окей. Ваша конфиденциальная информация была передана третьим лицам, хотя сообщение о смерти было доступно только госорганам. Такая же утечка, как у мобильного оператора? Ну, не совсем.
На самом деле, слив такой же, но ответственность тех, кто сливает данные в частных организациях и в государственных - разная. Про ответственность перед законом первых мы поговорили в начале статьи, а вот для представителей государственных организаций – это 286 УК РФ, превышение должностных полномочий, 285 УК РФ - злоупотребление должностными полномочиями, с возможностью получения уголовного срока до 4 лет лишения свободы.
И снова - складывается ли у вас впечатление, что за этим особо никто не следит? Может, кто-то и следит, но чаще – никто даже не задумывается, что данные о нем были переданы, кому-то проданы или украдены.
152-ФЗ «О персональных данных» должен, по идее, защитить вас от подобных инцидентов – но он, очевидно, не сильно и соблюдается. Любую информацию о вас можно купить, и такая «покупка» - систематическое явление, а не разовая случайная утечка.
Где еще происходят подобные утечки, массовые или «по запросу»:
2016 г. – утечка данных автовладельцев из ГИБДД
2017 г. – утечка данных из Пенсионного Фонда
2019 г. – утечка данных на портале «Госуслуги»
2020 г. – утечка данных из таможенной базы РФ, утечка 1.1 млн паспортных данных граждан, проголосовавших онлайн по поправкам в Конституцию РФ
2022 г. – утечка данных из Министерства Культуры РФ и др.
Что в итоге хуже: массовая, но разовая утечка или не такой масштабный, но регулярный слив?
Регулярные точечные утечки кажутся небольшими, про них мало кто говорит, потому что, в сравнении с массовыми реактивными утечками, где заголовки новостей выглядят примерно так: «В сеть попали данные МИЛЛИОНОВ пользователей», они выглядят незначительными. Более того, часто данные пользователей в сервисах, вроде «Яндекс.Еда», «Спортмастер» и т.п. не несут достоверный характер (вы можете указать несуществующую почту, а в графе «имя» написать, что вы – Михаил Круг). В то время, как данные о вас в гос. организации - на 100% верны.
Но, если разовый массовый слив может быть вызван ошибкой, сбоем в системе или атакой на компанию, то регулярные точечные утечки – сделка, где в обмен на вашу конфиденциальную информацию, кто-то получает деньги и нарушает закон. Еще раз – это происходит регулярно. И в частных, и в государственных организациях.
Какой вид утечек в итоге опаснее – решите для себя сами. Главное, чтобы вы не думали, что передача ваших данных без вашего согласия, то есть слив — это нормально. Информация о вашем номере телефона, почте, о заказах на маркетплейсах не просто данные, на базе которых можно подкидывать подходящую вам рекламу.
Злоумышленники могут использовать эту «простую» информацию для успешных атак методом социальной инженерии, например, когда звонят от имени служб безопасности, банка или силовых структур. Как это происходит – рассказывали в наших предыдущих статьях.
Но, если коротко, повышайте свою киберграмотность и киберграмотность сотрудников. Ваши данные слили – совсем не круто. Киберосознанные сотрудники не повелись на фишинг – очень круто!
Всем киберграмотность,
Phishman
Но, если разовый массовый слив может быть вызван ошибкой, сбоем в системе или атакой на компанию, то регулярные точечные утечки – сделка, где в обмен на вашу конфиденциальную информацию, кто-то получает деньги и нарушает закон. Еще раз – это происходит регулярно. И в частных, и в государственных организациях.
Какой вид утечек в итоге опаснее – решите для себя сами. Главное, чтобы вы не думали, что передача ваших данных без вашего согласия, то есть слив — это нормально. Информация о вашем номере телефона, почте, о заказах на маркетплейсах не просто данные, на базе которых можно подкидывать подходящую вам рекламу.
Злоумышленники могут использовать эту «простую» информацию для успешных атак методом социальной инженерии, например, когда звонят от имени служб безопасности, банка или силовых структур. Как это происходит – рассказывали в наших предыдущих статьях.
Но, если коротко, повышайте свою киберграмотность и киберграмотность сотрудников. Ваши данные слили – совсем не круто. Киберосознанные сотрудники не повелись на фишинг – очень круто!
Всем киберграмотность,
Phishman
Cтатья была для вас полезной?