В первом полугодии 2022 года утечки персональных данных в России резко возросли. По данным InfoWatch, в сеть попали 305 баз данных — это почти на 46% больше, чем в первом полугодии 2021 года. Объем похищенной информации увеличился в 16 раз. Наборы данных утекали из «СДЭКа», Ozon, «Гемотеста», «Яндекс.Еды» и других крупных компаний и сервисов. В открытом доступе люди находили свои номера телефонов, адреса регистраций, результаты медицинских анализов и траты на доставку еды. Журналист «7х7» вместе с экспертами «Роскомсвободы», Privacy Accelerator и «Сетевых свобод» разбирался, кто виноват в утечках, чем они грозят гражданам, как работает законодательство и что делать, если данные оказались в открытом доступе — или хочется снизить этот риск.
«Меня шокировала детализация информации»
Александр [герой попросил не указывать его фамилию] из Ростовской области два года пользовался «Яндекс.Едой». Заказывал блюда по особым случаям и с промокодами. В марте 2022 года он прочитал в СМИ, что данные пользователей «Яндекс.Еды» утекли в сеть. Он нашел в слитой базе свои фамилию, имя и отчество, домашний адрес, информацию о заказах, потраченных деньгах и предпочтениях в еде.
— Я проверил данные близких и знакомых [в слитой базе]. Сложилось впечатление, что утекли данные всех пользователей сервиса. Меня шокировала детализация информации. Я привык, что утечки обычно ограничиваются именем, фамилией, почтой, номером телефона, но в этот раз была информация по тратам и предпочтениям человека в еде, — рассказал «7х7» Александр.
Ранее его данные, поделился молодой человек, похожим образом утекали из сервисов «СДЭК» и «Госуслуги». После утечек Александр начал пользоваться менеджером паролей, чтобы обезопасить учетные записи от взлома. Все пароли он поменял на рандомные. Если пароль с одного сервиса утечет, злоумышленники не смогут получить доступ к другим его аккаунтам.
Теперь Александр надеется, что его медицинская история не попадет в интернет, а уже слитые данные — к злоумышленникам. Судиться с компаниями, которые не сохранили его конфиденциальность, он не стал:
— Иски идут годами, и в случае победы компенсация ничтожная и не оправдывает потраченные время и силы.
Весной 2022 года, после начала военных действий в Украине, в сеть попали 73 базы данных россиян. Летом количество утечек выросло вдвое, писал «РБК».
— Самые крупные утечки были зафиксированы у компаний, работающих в сферах доставки — 192 млн строк, онлайн-видео — 43 млн строк, медицинских услуг — 30 млн строк, — привел «РБК» данные компании Group-IB.
10 заметных сливов данных после начала военных действий в Украине
«СДЭК», февраль и июль 2022 года, данные 25 млн пользователей, 30 тыс. контрагентов
Эксперты считают две утечки компании «СДЭК» «рекордом на российском рынке». В феврале в сеть попали файл с 466 млн строк с ID и телефонами клиентов и еще один с 822 млн строк с ID, ФИО и адресами электронной почты. Клиенты СДЭК 7 июня подали коллективный иск к компании на 2,2 млн руб. о взыскании компенсации за утечку персональных данных, — сообщали «Ведомости».
Июльская утечка содержала ФИО, адреса электронной почты, почтовые адреса и телефоны. В ней было 120 тыс. строк информации. К 14 июля этот архив скачали более 150 раз, писал Telegram-канал in2security.
«Гемотест», май 2022 года, 30 млн строк или более 300 ГБ персональных данных
В мае в даркнете появилась база данных клиентов лабораторий «Гемотеста» с их ФИО, датами рождения, адресами, мобильными телефонами, сериями и номерами паспортов. Потенциально там могла быть и чувствительная информация о здоровье, например, данные анализов на ВИЧ. Злоумышленники хотели продать базу за $2000. Позже они предложили на продажу в даркнете не только базу, но и информацию об уязвимости системы «Гемотеста».
Компания признала только факт хакерской атаки, но не то, что недостаточно обезопасила информацию. После проверки Роскомнадзора суд признал «Гемотест» виновным в нарушении закона «О персональных данных» и назначил штраф 60 тыс. рублей.
DNS, сентябрь 2022 года, 16 млн строк данных
По данным канала «Утечки информации», в слитой базе магазина были имена и фамилии, адреса электронных почт, телефоны пользователей. Компания признала факт утечки и заявила, что это следствие атаки хакеров: «Взлом производился с серверов, расположенных за пределами РФ». DNS заверил покупателей, что пароли и данные их банковских карт не утекли. Компания пообещала усилить информационную безопасность и провести расследование.
«Почта России», июль 2022 года, 10 млн строк данных
Слитая база данных «Почты России» включала трек-номера отправлений, ФИО, телефоны получателей, города, индексы, вес и статусы отправлений, их даты и время. Компания сообщила, что это следствие хакерской атаки и что слитая база не несет опасности для клиентов.
OneTwoTrip, август 2022 года, предположительно, данные 7 млн пользователей
На данные компании в открытом доступе обратил внимание журналист, исследователь безопасности Боб Дьяченко: «Точное количество данных пассажиров посчитать трудно, поскольку они были частью среды протоколирования объемом 12 ТБ, однако, по моим наблюдениям и анализу, я предполагаю, что пострадала вся клиентская база».
Компания подтвердила утечку и обвинила во всем «изменения» программного кода, которые вызвали уязвимость в системе.
«Яндекс.Еда», весна 2022 года, данные более 6,8 млн пользователей
Руководство «Яндекс.Еды» узнало об утечке данных клиентов 28 февраля. В слитой базе было несколько миллионов строк — адреса, номера телефонов, имена, даты, время и стоимость заказов. На следующий день компания разослала письма тем, кто оказался в базе, с предупреждением об утечке и перечислением слитых данных. По версии «Яндекс.Еды», слив произошел «в результате недобросовестных действий одного из сотрудников».
В конце весны в сети оказалась еще одна база на 1,2 млн строк — с данными курьеров сервисов «Яндекс.Еда» и Delivery Club. «Яндекс.Еда» пыталась опровергнуть информацию, что произошла вторая утечка: «Речь идет о той же утечке, о которой мы сообщили 1 марта».
«Роскомсвобода» и «Сетевые свободы» помогли пострадавшим сформировать коллективный судебный иск против «Яндекс.Еды». К нему присоединились 903 человека, судебное разбирательство продолжается. За оба нарушения сервис в сумме получил штраф 120 тыс. рублей.
Tutu.ru, июль 2022 года, 2,5 млн строк данных
Сервис подвергся хакерской атаке, таблица из раздела «автобусы» с фамилиями, именами, телефонами и почтами пользователей оказалась в открытом доступе. Представители компании пообещали, что проведут внутреннее расследование.
В своем блоге сервис написал, что, возможно, причина слива — «национально-политический вопрос»: сайт регулярно с 24 февраля подвергался атакам. Компания разослала клиентам письма с предупреждением об утечке и оповещением, что пароли к учетным записям сброшены.
Delivery Club, весна-лето 2022 года, 2,2 млн записей с заказами
Delivery Club сообщил о первой утечке данных в мае. В слитой базе содержалось более 1 млн строк — ФИО, адреса, номера телефонов, составы заказов и их стоимость. Летом произошел второй слив — 1,19 млн строк с таким же набором данных.
Компания утверждала, что это результат первой утечки. Суд, рассмотрев административное дело о нарушении законодательства о персональных данных, назначил Delivery Club штраф 80 тыс. руб.
GeekBrains, лето 2022 года, более 105 тыс. строк с ФИО, почтами и номерами
Источник, который, по версии сервиса DLBI, опубликовал базу данных Delivery Club, выложил в даркнет и частичную базу данных образовательного портала GeekBrains. Компания подтвердила факт утечки информации «о некоторых приобретенных курсах».
Ozon, июль 2022 года, данные нескольких заказов
Скриншоты переписок с клиентами выложил на анонимный форум 2ch сотрудник Ozon. «На них [скриншотах] пользователи жалуются в службу поддержки на проблемы с заказами и возвратами, некоторые клиенты употребляют в переписке ненормативную лексику. На скриншотах видны ники пользователей, их ID, а также номера и сумма заказов», — писал «РБК». Ozon заблокировал доступ своего сотрудника к системе и извинился перед клиентами.
Виновники утечек
Специалисты «Роскомсвободы» считают, что часто в утечках виноваты сотрудники компаний, желающие заработать. Люди крадут персональные данные, чтобы продать их на теневых форумах и в даркнете. По информации «Роскомсвободы», база данных «Гемотеста» продавалась за 1,5 тыс. долларов США.
Адвокат и старший партнер «Сетевых свобод» Станислав Селезнев говорит, что наборов персональных данных у организаций становится все больше, а компетентных специалистов для их охраны нет:
— Подавляющее большинство интернет-ресурсов разнообразных организаций защищены из рук вон плохо. Любую информацию этой организации, коммерческую тайну в том числе, и персональные данные клиентов получить для специалиста в этой области не представляет никакого труда.
«РБК» после утечки базы «СДЭКа» писал: «С начала специальной военной операции российские компании регулярно подвергаются кибератакам. Их проведением в том числе занимается так называемая IT-армия Украины, которая, как считается, состоит из волонтеров со всего мира, которые готовы атаковать российские объекты, исходя из своих убеждений».
— Возможности хакера не безграничны. Хакер всегда пользуется ошибкой какого-то конкретного исполнителя. Либо того, кто не закрыл какой-то порт [порт — номер для идентификации каждой из множества программ и процессов, имеющих доступ к сети на одном IP-адресе], либо того, кто вовремя не обновил программное обеспечение. В любом случае это вина конкретного исполнителя, который настраивал архитектуру этой системы защиты данных, — объяснил Станислав Селезнев.
Судьба слитых данных
После сливов данных человек, чьи информация утекла в сеть, может получить спам на телефон или электронную почту. Ему могут звонить с неизвестных номеров. Кроме анкетных данных — ФИО, электронной почты, номера телефона — в слитой базе данных может оказаться чувствительная информация.
— Самый опасный слив — это утечка чувствительных данных, или, с точки зрения закона, специальных категорий персональных данных. Например, при утечке ФИО человек может ничего не заметить, а вот если в утечке будет информация о его ВИЧ-статусе, то это уже другие последствия, — пояснили специалисты «Роскомсвободы».
На основе медицинских данных, данных о поведенческих особенностях и потребительских предпочтениях можно составить цифровой портрет пользователя сервисов, — писал «Коммерсант». Затем этот портрет можно использовать для буллинга, мошенничества, диффамации.
По словам Станислава Селезнева, по цифровому портрету можно проследить жизненный путь человека.
— База персональных данных, обогащенная несколькими источниками, позволяет следить за вашими предпочтениями ретроспективно: в какой момент времени вы начали заказывать [доставки], увеличилась ли у вас сумма [трат], куда вы ездили на такси, изменились ли ваши перемещения на такси, стали ли вы обращаться в какой-то момент в медицинские учреждения, в какие и с какими запросами.
Такие цифровые портреты достаточно интересны, злоумышленники могут их монетизировать: продавать или использовать самостоятельно против вас. Например, сливать сталкерам, — говорит адвокат.
После утечки базы «Гемотеста» в интернете можно найти комментарии пострадавших клиентов.
«Через пару дней после сдачи анализов мне написали мошенники. Просили 2т [2 тыс. руб.], угрожали микрокредитами, козыряли моими персональными данными», — написал под материалом про утечку на vc.ru один из пользователей.
Как государство защищает данные россиян
Основной российский закон, связанный с персональными данными, принят в 2006 году. За соблюдением законодательства о персональных данных обязан следить Роскомнадзор, а за соблюдением требований, которые касаются безопасности этих данных, — ФСБ.
Эксперты «Роскомсвободы» рассказали «7х7» об известных делах по утечкам данных в мировой судебной практике. Так, в 2018 году компания Twitter получила штраф 450 тыс. евро [более 30 млн рублей на тот момент] за нарушение регламента по защите данных. В 2020 году в Германии компания H&M получила штраф на 35 млн евро [более 2 млрд рублей на тот момент] за то, что данные сотрудников компании оказались в открытом доступе.
— В России практика взыскания морального вреда находится в удручающем состоянии. В порядке вещей суд может назначить компенсацию морального вреда в 1 тыс. руб. Штрафы за утечку данных невелики — до 100 тыс. руб., хотя за нелокализацию данных [локализация — препятствие распространению слитой информации, минимизация ущерба] штраф исчисляется миллионами. В мире практика иная. Пользователи могут получить миллионные компенсации за то, что их данные оказались в открытом доступе, — говорят эксперты «Роскомсвободы».
После слива «Яндекс.Еды» программист Елисей [герой попросил не указывать его фамилию] из Санкт-Петербурга увидел, что адрес, по которому он живет, попал в общий доступ. Он рассказал «7х7», что отказался от доставок еды. В суд он обращаться не стал:
— Выгоды было бы мало с этого процесса. Три тысячи [рублей] заплатить адвокату, и, возможно, ты выиграешь десять тысяч [рублей компенсации].
Станислав Селезнев говорит, что люди, которые не идут судиться, «правы с точки зрения практики»:
— Наши суды не придают какого-то серьезного значения персональным данным. Возможно, потому что они просто не понимают ценности этой информации в современном мире. Суды наши так или иначе все равно смотрят на государственную политику. И если, прямо скажем, будет государственный заказ на защиту персональных данных, на защиту владельцев персональных данных, суды моментально перестроятся и начнут внимательно рассматривать эти дела, взыскивать необходимые компенсации.
Новая инициатива Минцифры
После масштабных утечек данных в первой половине 2022 года Минцифры разработало законопроект об оборотных штрафах для бизнеса. Его последняя редакция завершилась в начале октября.
Если российские власти примут закон, компании, допустившие утечки персональных данных, будут получать штрафы в 1% от их годового оборота. При попытке скрыть слив размер штрафа вырастет до 3%. Сейчас, согласно законодательству, штрафы за утечку данных предусмотрены только для юрлиц — от 60 тыс. до 100 тыс. руб., при повторном правонарушении — до 500 тыс. руб.
— Штрафы определенно привлекут внимание к проблеме, но это не панацея для решения проблем, — говорят эксперты «Роскомсвободы». — Тут нужен комплексный подход: прозрачное законодательство, при котором стороны понимают свои права, возможности и обязанности, неизбежность наказания, использование групповых исков и увеличение компенсации за моральный ущерб.
Летом 2022 года Минцифры обсуждало с крупными IT-компаниями идею создания фонда материальной компенсации жертвам утечек. «Наполнять его планируется средствами, полученными в качестве штрафов от компаний, допустивших утечки», — писал «Коммерсант».
Юрист «Роскомсвободы» Евгений Кравченко считает, что в России уже есть механизм возмещения морального вреда — через суды и групповые иски. Однако он добавил, что суды не знают, как работать с групповыми исками, из-за высокой нагрузки у них нет времени разбираться с проблематикой персональных данных. Создание фонда, по его мнению, требует дополнительных издержек, а сама процедура назначения выплат кажется непрозрачной.
— В судебной процедуре все ясно: те, кто обратился, и смогут получить компенсацию в случае успеха в суде. Тут же предполагается внесудебная процедура. Фонд каким-то способом будет определять, кому выплачивать, а кому нет. Представляем, что после этого будут дела, где люди будут судиться с фондом из-за того, что его данные утекли, но пользователи компенсации не получили, — сказал он.
В октябре Ассоциация больших данных (АБД), куда входят «Яндекс», VK, «Сбербанк», «Ростелеком» и другие IT-компании, критиковала инициативу Минцифры о создании фонда материальной компенсации.
«Ассоциация полагает, что компаниям было бы целесообразнее инвестировать в аудиты своих информсистем, нежели переводить средства в фонд», — цитировал позицию организации «Коммерсант».
В компаниях могут работать десятки сотрудников, которые занимаются защитой персональных данных. Специалистов по компьютерной безопасности, которые находят и устраняют уязвимости систем и ресурсов, называют белыми хакерами. В отличие от обычных хакеров, они используют свои возможности только на пользу компаниям.
Белый хакер Павел [по просьбе героя имя изменено] рассказал «7х7», что организации привлекают специалистов по информационной безопасности со стороны, чтобы проверять системы на безопасность и взломоустойчивость:
— Как правило, все происходит на договорной основе и с заранее оговоренным сценарием проверок. Крупные сервисы типа соцсетей, сервисов бронирования отелей тоже участвуют в программах вознаграждений за найденные уязвимости. Они могут выплачивать взломщикам, которые их находят, довольно внушительные суммы. Суть таких программ в том, чтобы у исследователей был стимул сообщать об уязвимостях владельцам сервиса, а не продавать их на «подпольных» форумах злоумышленникам.
Чек-листы
Как минимизировать риск слива своих данных
- Удалите необязательную информацию (ту, в поле для которой нет звездочки) во всех сервисах, при регистрации не указывайте ее.
- Проверьте настройки приватности в сервисе или приложении и установите максимально возможные ограничения, чтобы никто не мог видеть ваши данные, кроме тех, кому они действительно нужны для работы.
- Не регистрируйтесь в сервисе или программе лояльности магазина, если вы пользуетесь им единожды или редко.
- Пользуйтесь сервисами, которые дорожат репутацией. Такие, как правило, достаточно открытые, публикуют понятные оферты и политики конфиденциальности. Чем сложнее и непонятнее договор, тем больше шансов, что компания недобросовестная.
- Используйте сервисы, которые используют сквозное шифрование — они хранят меньше данных. Например, мессенджеры Signal, Viber и WhatsApp работают со сквозным шифрованием. В Telegram и Facebook* Messenger переписки хранятся на серверах компаний, если только вы не используете функцию «секретный чат».
- Выбирайте сервисы, которые не собирают и не распространяют данные о вас. Они обеспечивают шифрование данных. Вот список подобных сервисов.
- Оставляйте о себе неверную информацию там, где это возможно — неправильную дату рождения, другое имя.
- Оставляйте в разных сервисах разную информацию — хорошо, если у вас будут разные номера телефона (можно использовать электронные симкарты) и разные почты для каждого или почти каждого сервиса. Заказывайте удаление ненужных собранных данных, где это возможно через меню.
Как судиться с компанией, если она допустила слив данных
- Зафиксируйте, что вы пользователь сервиса. Например, сделайте скриншоты страницы личного кабинета.
- Сделайте скриншот с нарушением, где ясно видна информация о вас. Делайте снимок экрана с компьютера так, чтобы были видны дата и время. Рекомендуем использовать комбинацию «CTRL+P» и сохранить все открытые страницы.
- Обратитесь в «Роскомсвободу». Ее сотрудники помогают гражданам, чьи данные оказались в открытом доступе. Еще одна команда, которая помогает жертвам утечек — «Сетевые свободы».
В подготовке материала принимали участие юрист «Роскосмвободы» Евгений Кравченко и эксперт по безопасности, основатель Privacy Accelerator, Станислав Шакиров, а также Станислав Селезнёв, адвокат и старший партнер проекта «Сетевые свободы».