В 2022-м в открытый доступ попало огромное количество баз с личными данными россиян: от сливов пострадали клиенты госуслуг, банков, операторов связи, онлайн-магазинов, авиакомпаний и десятков других самых разных компаний и сервисов. Объем утечек в России в этом году поставил исторический рекорд, утверждает правозащитный проект «Сетевые свободы» в итоговом докладе. Исследователи отмечают, что граждане толком не могут защититься от последствий утечек и получить адекватную компенсацию, а сливы все чаще используются в политических целях. «Медуза» пересказывает главное из этого доклада.
Откуда данные россиян утекали в 2022 году?
По данным «Сетевых свобод», лишь от той части сливов данных, что затронула крупные интернет-сервисы и компании, пострадали «десятки тысяч и даже миллионы пользователей». В открытом доступе оказывались имена, даты рождения, телефоны, фактические адреса и электронные почты, иногда — детали заказов, паспортные данные, хеш-пароли и другая не менее чувствительная информация. Многие из этих данных можно использовать в преступных целях.
Точное число жертв утечек назвать сложно, но исследователи насчитали в 2022 году 60 реальных инцидентов. Для сравнения: в трехлетний период — с 2019-го по 2021-й — стало известно о 41 подобном случае.
В 2022 году данные россиян утекали в том числе из баз:
- банков и микрофинансовых организаций (например, «Сбер»);
- платформ с государственными услугами («Госуслуги», «Московская электронная школа»);
- операторов («Ростелеком», «Билайн», Tele2, «Дом.ру»);
- онлайн-магазинов, сервисов доставки и городских сервисов («Яндекс.Еда», СДЭК, прокат электросамокатов Whoosh);
- авиакомпаний и других сервисов для продажи билетов («Победа», AzurAir, РЖД, tutu.ru, OneTwoTrip);
- медицинских центров («Гемотест»);
- онлайн-кинотеатров и соцсетей (START, аналог TikTok от «Газпром-медиа» — Yappy).
«Сетевые свободы» в докладе отмечают, что в истории с утечкой данных клиентов сервиса доставки «Яндекс.Еда» хакеры «продемонстрировали принципиально новый подход»: в марте личные данные пользователей (имена, телефоны, полные адреса доставки с кодами домофонов и номерами квартир) визуализировали в виде карты с возможностью поиска. Спустя два месяца в открытом доступе опубликовали аналогичную базу Delivery Club. Ее, как и сведения из многих других взломанных сервисов, тоже добавили на карту.
Большинство компаний заявляли, что обогащенная база содержит информацию из старых утечек — либо вообще полученную путем парсинга открытых данных. Однако сути это не меняло. Если раньше утекшие базы продавались на теневых форумах коммерческого пробива, то теперь колоссальный объем личной информации о миллионах людей оказался в свободном доступе в одном месте, бесплатно, да еще и с чрезвычайно удобным интерфейсом поиска и визуализации. Взломщиков явно интересовали не деньги (или, во всяком случае, не только они).
Чему нас учит этот рекордный по утечкам год — и как на сливы повлияла война?
О том, что рост числа утечек в 2022 году связан с полномасштабным вторжением России в Украину, сообщала компания InfoWatch. Ее аналитики отмечали «вовлечение в так называемые кибервойска большого количества жителей Украины и других стран». «Начиная с мая 2022-го на интернет-ресурсах, освещающих и анализирующих утечки и аналитику, начало появляться словосочетание „проукраинские хакеры“», — в свою очередь, пишут в докладе «Сетевые свободы».
Хакерские атаки в 2022 году впервые стали основным источником утечек, утверждал российский сервис DLBI (Data Leakage & Breach Intelligence), который анализирует сливы. В «Сетевых свободах» при этом подчеркнули, что один из элементов кибервойны — это публикация фальшивых баз данных (например, о мобилизованных россиянах); часто они оказывались компиляцией сведений из открытых данных или слитых ранее баз. Авторы доклада отметили, что российские власти тоже использовали фейковые базы в политических целях и делали это еще до начала войны.
И до, и во время войны прокремлевские хакеры использовали тактику «контрвзломов» политических оппонентов, пишут «Сетевые свободы»: «В даркнете на протяжении многих лет действуют хакерские группировки, нацеленные на украинские организации и структуры». После начала полномасштабного вторжения, в марте 2022-го, на теневом форуме нашлись файлы объемом более 80 миллионов строк с именами, паспортными данными и водительскими удостоверениями граждан Украины. В апреле хакеры получили доступ к спискам и данным сотрудников украинского правительственного контактного центра, в июне в открытый доступ попали данные об украинских беженцах, находящихся в Польше. Сообщения о взломах периодически появлялись и позже — как указывается в докладе, инструкции по проведению DDoS-атак и ссылки на «некоторые инструменты» опубликованы в прокремлевских телеграм-каналах.
При всех отрицательных последствиях сливы персональных данных помогают российским расследователям, признают «Сетевые свободы», отмечая, что OSINT-журналистика переживает бум. На журналистские материалы, основанные в том числе на информации из утечек, российские власти ответили «ужесточением ответственности за сбор сведений о силовиках, закрытием публичных реестров и преследованием журналистов» (и не только).
Правозащитники указывают, что российское государство, не обеспечивая безопасность в сфере персональных данных, нарушает свои обязательства по охране частной жизни от посягательств. Хотя Роскомнадзор блокировал сайты, где выкладывалась слитая информация, она оставалась доступной в сети. И «Яндекс.Еду», и «Гемотест», и другие коммерческие компании в итоге оштрафовали на незначительные суммы от 60 до 100 тысяч рублей. Судебный процесс по иску пострадавших пользователей «Яндекс.Еды» против компании не привел к существенным результатам — и правозащитники объясняют почему:
Впоследствии клиентам «Яндекс.Еды», обратившимся к сервису с исками о компенсации морального вреда, московский суд назначил по пять тысяч рублей, отказавшись при этом допустить в дело более тысячи заявителей и рассмотреть иск как коллективный, что позволило бы существенно большему числу заявителей защитить свои интересы.
Россиянам, пострадавшим от утечек, защититься в судах «крайне трудно», отмечается в докладе. Жертвы сливов не могут повлиять на технологическую защищенность своих данных, заключают правозащитники. «Сетевые свободы» описывают причину этого так: «Обезопасить себя удастся, лишь не предоставляя о себе реальных данных, однако это не всегда возможно. Юридическая защита упирается в проблему сбора доказательств, которые суды и уполномоченные органы власти отказываются признавать».
Юристы, защищающие жертв утечек, испытывают большие проблемы в российских судах в случаях, когда слитая база данных доступна лишь за плату на теневых форумах. «Сетевые свободы» объясняют, что суд может счесть попытку приобрести такую базу незаконным доступом к компьютерной информации, то есть правонарушением. «В таких условиях требования к ответственности и осмотрительности администраторов государственных и корпоративных баз персональных данных возрастают многократно, и эту проблему только предстоит решать», — отмечается в докладе.
Исследователи заключают, что российские власти не в состоянии справиться с защитой данных — и россиянам следует полагаться в этом вопросе только на себя.
Проблема в том, что, учитывая тесные связи большинства крупных корпораций, обрабатывающих персональные данные, с государством, наказывать в такой ситуации [властям] придется самих себя.
Государство, очевидно, осознало неэффективность существующего законодательства о персональных данных, практика применения которого фактически свелась к ритуальному подписанию согласий на обработку данных и политик, которых никто не читает и не придерживается. При этом субъекты персональных данных фактически никакой защиты не получают и не имеют возможности получить адекватную компенсацию за разглашение их личной информации.
Тем не менее, даже несмотря на особое внимание Владимира Путина [к последствиям утечек данных], которому, вероятно, докладывают об активности «врагов», направленной на получение и публикацию чувствительной информации, утечки, несомненно, продолжатся.
Все это означает, что бремя заботы о безопасности персональных данных всецело ложится на граждан.
В разговоре с «Медузой» руководитель проекта «Сетевые свободы» Дамир Гайнутдинов рассказал, что требуется, чтобы изменить ситуацию с утечками личных данных. По его мнению, необходимо, чтобы государство помогало пострадавшим от сливов в сборе доказательств, чтобы результаты расследований (в том числе внутренних) были открытыми — и чтобы российские суды научились работать с групповыми исками (как в случае с пострадавшими от утечки «Яндекс.Еды»).
Мы все же исходим из того, что государство, каким бы оно ни было, заинтересовано в том, чтобы утечек не было, а персональные данные граждан были защищены.
В конце концов, в Концепции информационной безопасности РФ говорится, что неудовлетворительная организация защиты персональных данных не соответствует жизненно важным потребностям личности, общества и государства.
Реформа этой системы — вопрос сложный, он касается не только корпоративных баз данных, но и, к примеру, использования городских систем видеонаблюдения, распознавания лиц и сбора различной биометрической информации.
Но в аспекте утечек важны два момента. Во-первых, доступность информации об утечках и содействие государства пострадавшим в сборе доказательств и получении исчерпывающей информации от операторов. Результаты расследований, в том числе внутренних, должны как минимум публиковаться. Летние поправки в ФЗ «О персональных данных» — шаг в правильном направлении, но сами по себе они не будут работать. Нужен независимый контрольный институт (Роскомнадзор явно проваливает эту роль).
Во-вторых, разбирательства по поводу утечек можно использовать для того, чтобы запустить наконец институт групповых исков, который пока явно буксует: суды не понимают, что это такое и как должно работать.
Как защититься от возможного слива данных? Или хотя бы попробовать это сделать. 10 советов «Сетевых свобод»
Полностью исключить, что ваши данные окажутся в открытом доступе, практически невозможно, но можно минимизировать количество информации, которой вы делитесь. Вот несколько рекомендаций правозащитников — что следует делать, чтобы защититься.
1. Не сообщать данные банковской карты [посторонним], оплачивать на месте картой либо наличными.
2. Завести отдельную сим-карту для регистрации в интернет-сервисах и программах лояльности.
3. По возможности не указывать [в онлайн-сервисах] реальные Ф. И. О. и дату рождения. Часто службам доставки, интернет-магазинам и прочим сервисам скидок достаточно вашего действующего номера телефона для отправки авторизационной SMS. Запрет на использование вымышленного имени и адреса закон не устанавливает (для курьера адрес все же удобнее указывать не очень далеко от дома или работы).
4. При заказах доставки не указывать дополнительную информацию, в том числе номер квартиры и код доступа в подъезд.
5. Не использовать небезопасные и скомпрометированные сервисы, в том числе социальные сети, тесно сотрудничающие с властями и не публикующие отчеты о прозрачности.
6. Не пересылать кому бы то ни было фотографии своих документов, документов своих детей и родственников. В большинстве случаев, когда у вас просят прислать фото документа, ваши реальные Ф. И. О., дата рождения, адрес, номер документа и дата его выпуска в действительности не требуются.
7. Совершенно необязательно заполнять все строки с паспортными данными и прочей идентифицирующей информацией всякий раз, когда от вас требуют подписать какое-либо соглашение (на курсах лепки или в ветеринарной клинике). С точки зрения закона указания Ф. И. О. уже достаточно для идентификации стороны сделки.
8. Если без пересылки чувствительных данных не обойтись, пользуйтесь сервисами и чатами, в которых можно настроить автоудаление сообщений.
9. Нигде нельзя оставлять копии документов и никому нельзя позволять сканировать их (гостиницы, школы и даже работодатель вправе хранить копию паспорта, СНИЛС, ИНН и прочих документов, не изготовленных с его участием, только с согласия клиента или работника). Как правило, данные из документа необходимы только для идентификации его владельца.
10. Стоит помнить, что, хотя на многие интернет-сервисы законом возложена обязанность идентифицировать пользователей при помощи SMS, встречной обязанности указывать реальный номер телефона у гражданина нет. Для регистрации в сервисах, которые вы не собираетесь постоянно использовать, смело используйте сервисы «одноразовой» почты и [бесплатные виртуальные] номера телефонов для получения SMS.
Фото на обложке: Агентство «Москва»; «Медуза»
Что это такое?
Украинское государственное учреждение для обработки обращений граждан и организаций в органы власти.
Что такое DDoS-атака
Способ вывести из строя сайт или сервер. Во время такой атаки очень много устройств, зараженных вирусом, одновременно начинают заходить на один и тот же сайт, он не успевает обработать приходящую нагрузку и перестает открываться или работает очень медленно.
Как именно?
В июле Минфин РФ предложил отказаться от раскрытия в Едином государственном реестре юридических лиц (ЕГРЮЛ) данных об учредителях компаний в форме ООО. К концу 2022 года Минфин намерен подготовить предложения по ограничению информации о госзакупках. С 1 марта 2023-го вступит в силу закон, согласно которому нельзя будет получить выписку из ЕГРН с личными данными собственников недвижимости без их согласия.
Что это за проект?
«Сетевые свободы» занимаются юридической поддержкой россиян по «делам о свободе выражения мнения». Проект среди прочего стал известен, поскольку совместно с «Роскомсвободой» оказывает помощь группе заявителей по иску из-за утечки сервиса «Яндекс.Еда».
Что это за организация?
InfoWatch — российская компания — разработчик решений в области информационной безопасности. Ее аналитики среди прочего регулярно мониторят информацию об утечках.
OSINT
Open-source intelligence («разведка по открытым источникам») — технология сбора и обработки информации из открытых источников.
Слив «Сбера»
Delivery Club
Сервис в описываемое время принадлежал VK (бывшая Mail.Ru Group). С августа 2022 года принадлежит «Яндексу».
Что такое парсинг?
Автоматизированный процесс сбора данных с сайтов; по мнению эксперта в области защиты персональных данных Саркиса Дарбиняна, если бот парсит только информацию из открытых источников, ее распространение не является нарушением закона.
Утечка данных пользователей «Яндекс.Еды»
Компания сообщила об утечке 1 марта. «Яндекс» извинился, объяснив случившееся «недобросовестными действиями» сотрудника, — а также перенес данные в более защищенное хранилище. В апреле мировой суд оштрафовал компанию на 60 тысяч рублей. В августе юристы пользователей «Яндекс.Еды», подавших коллективный иск, сообщили, что СК возбудил дело. В ноябре 13 пользователям присудили компенсацию в размере пяти тысяч рублей. В декабре «Яндекс» заявил, что компания признана по этому делу потерпевшей стороной.
А подробнее?
Юристы «Сетевых свобод» и «Роскомсвободы», защищавшие клиентов «Яндекс.Еды», добивались рассмотрения требований истцов в рамках группового иска. Но суд вернул жалобы «более тысячи заявителей», отказавшись допустить их к делу.
О чем речь?
О поправках, которые вступили в силу в сентябре. К примеру, операторов обязали отслеживать кибератаки и утечки личной информации, а также заставили отчитываться об обработке персональных данных в контролирующие органы — об утечках нужно сообщить в систему ФСБ.
Для чего?
По данным «Сетевых свобод», российские власти использовали фейковые базы в том числе для борьбы с оппозицией. Например, они опубликовали «базу сторонников Навального», в которой оказались данные участников протестных акций в 2019 году — задержанных и не только, а также людей, подписавшихся за независимых кандидатов в Мосгордуму.
Путин и OSINT
В декабре Путин поддержал идею введения уголовной ответственности за использование утекших баз данных. Об этом президент заявил в ответ на вопрос главы «Национального антикоррупционного комитета» Кирилла Кабанова, упомянувшего утечки данных клиентов «Яндекс.Еды» и «Гемотеста». Данные из утечки «Яндекс.Еды» помогли журналистам «Медузы» и «Настоящего времени» вычислить нового мужа дочери Путина Марии Воронцовой. Сведения из слива «Гемотеста» редакция «Медузы» использовала в расследовании о сыне замглавы Совбеза Дмитрия Медведева.