Почему утечка данных Яндекса не “ещё одна утечка”, а гораздо более серьезный случай. И что сейчас можно сделать
Кажется, можно уже привыкнуть к периодическим сливам информации от банков, страховых и операторов связи. Там информация ограничивается той, что люди предоставляют в конкретную организацию (а уж фактический адрес так вообще мало кто указывает в официальных документах), данные часто за разные периоды и много неактуальных. Подобные “сливы баз” происходят в даркнете. Они продаются и покупаются, но даже продавцы не всегда уверены, что эти данные настоящие и актуальные.
Сейчас в сеть попали 100% настоящие данные. Актуальность: сентябрь 2021 г. - конец февраля 2022 г. В утечке данных с Яндекса есть: фамилия и имя и/или юридическое лицо (причем, указанные как в сервисе, так и в платежных реквизитах - уверена, потому что у меня в сервисе нет фамилии, в утекшей базе она есть), мобильный телефон, траты за 6 месяцев и точный фактический адрес (причем, если вы заказывали еду или курьера по другим адресам, то данные в слитой базе есть по всем адресам), и email.
По-отдельности все эти данные не слишком критичны. Ровно в этом сочетании данные становятся интересны любым видам мошенников (им обычно достаточно 2-3 параметров, чтоб предпринимать какие-то действия). Я знаю о чем говорю, т.к. много времени потратила на изучение проблемы мошенничества в интернете и социальный инжиниринг.
База Яндекса содержит сразу 5 параметров. Плюс, если кто заморочится и свяжет все данные, то параметров 6 и больше. Например, где человек бывает помимо дома (адреса офиса, друзей, родственников и др.), какой состав семьи и проч.
Вкратце, кто и зачем может использовать ваши данные:
- Мошенники в интернете - для сбора и верификации данных. Сейчас могут появляться сайты, предлагающие “проверить” или “удалить” ваши данные. Ни в коему случае не вводите никакие данные. Вас там может и не быть, а после ввода точно появятся ваши данные. Кроме того, даже поиск позволяет отметить информацию о вас как подлинную и подтвержденную, и вы увеличите риск мошенничества с вашими данными.
- Мошенники в интернете, которые могут попытаться взломать с помощью соц инжиниринга (представится банком, доставкой, сервисом). Схем много, если кому нужно могу рассказать о них отдельно - или загуглите.
- Хакеры. С помощью email, sms или сообщения в мессенджере они могут прислать ссылку с вирусом, и получить данные к вашему мобильному и всем приложениям. Например, к интернет-банку, к вашим сервисам, акаунтам и той же почте (только теперь у них будет не адрес почты, а доступ к почтовому ящику).
- Большая масса хакеров, которые с помощью сочетаний данных будут пытаться ломать акаунты в популярных почтах, приложениях. Далее зависит от того, что они сломали и найдут. Могут получить доступ к счетам в банках, могут “угнать” акаунт в соцсети и рассылать с них информацию, или пытаться вам продать доступ обратно.
- Квартирные воришки.
- Спам и реклама. Их тупо станет больше, и они попытаются на основе ваших же данных манипулировать с целью что-то продать.
Удалить и исправить в общем это уже нельзя. Никак. Просто смириться и попытаться снизить риски.
Что делать и чего не делать:
- Проанализируйте свои основные сервисы. Банк, мобильная связь, магазин приложений, все “умные устройства”, основные мессенджеры и доступы (госуслуги, личные кабинеты). В идеале сменить там email и мобильный, если они аналогичны данным, которые были в Яндексе. Уже обезопасит смена хотя бы одного из них (например, сделайте другую почту - уже меньше риск, так как данные уже не будут “парными”). Удалите возможность входа и хранения ключей в почте. Неудобно, но если получат доступ к почте - во всяком случае, не смогут сразу зайти во все ваши акаунты и устройства.
- Если вы медийная и известная личность - меняйте номер мобильный и email. И, если получится, место жительства. Это не шутка и не преувеличение риска.
- Не переходите по ссылкам. И раньше не нужно было, а теперь тем более. На крайний случай, поищите специальные сервисы, через которые вы будете открывать ссылки, полученные по почте и в мессенджерах. Даже от знакомых (их могли взломать, или они сами не в курсе). Гифки, видео и проч в мессенджерах - выключите автозагрузку в настройках, и не загружайте сами. В них всегда гуляло много вирусов. Нужен видео файл - просите выложить в облако, не принимайте.
- Всем, и предупредите близких: не отвечайте на звонки с неизвестных номеров. не открывайте домофон “соседям” и “курьерам”, если траты в Яндексе были велики, и у вас район, который считается престижным - поменяйте замки на дверях с лучшей защитой, или добавьте несколько.
Парочка моих лайфхаков, которые вроде мелочь, но помогали:
- в приложениях и сервисах имя поставить другое, а фамилию вообще убрать (или укажите вымышленную)
- на все звонки от банков, операторов, гос.органов, когда называли мои данные отвечала “вы ошиблись, меня зовут…(и другое имя)”. Потом звонила по официальному номеру в организацию, и выясняла, звонили ли они и если да, то зачем. Кстати, номера этих учреждений записывала заранее с официальных сайтов. Когда “ломают” телефон, то часто умудряются еще и фишинговые сайты подсовывать. Так что запишите или заскриньте номера горячих линий нужных организаций, и набирайте их лично.
- на звонки из банков отвечаю вообще просто “а я не являюсь клиентом вашего банка”.. Причем если даже звонили из моих банков. Мошенники думают, что инфо неактуальна или данные неверные (может, даже помечают ее такой в своих базах). А я звоню на горячую линию банка и проверяю на случай, если это и правда они звонили.
- у меня 2 симки и 2 почты. Стараюсь в разных сервисах использовать разные сочетания.
Буду рада обсудить, какие у вас есть мысли и идеи по этой теме. И пишите, какие у вас есть лайфхаки по безопасности личной инфы и защиты от мошенников.
Я узнал номер телефона симпатяжки из соседнего подъезда благодаря этой базе! Сейчас отправлю ей дикпик, а если она не будет отвечать мне, то я знаю код от её подъезда и номер квартиры 🥰
шутка же, да?)
Я счастливчик, ни разу не пользовалась Яндекс Едой. Но последнее время часто пользовалась доставкой Вкусвилла, и вот теперь очкую, что и они свою базу тоже сольют- а там все данные...(((
Так же у Вайлдбериз все сервисы "лежали" почти неделю. Интересно, ушли ли данные покупателей вместе с номерами карт в сеть? Там пол России закупается...
Многие сервисы падали (и, возможно, будут падать) из-за DDoS атак. Это необязательно приведет к утечкам данных, только на текущей работе сказывается.
Про Яндекс возможно утечка была изнутри. Грубо говоря, кто-то скопировал данные, продал или просто так опубликовал.
На всякий случай, заведите вторую почту и симку, и поменяйте данные данные во всех или части сервисах на новые. Банк точно привяжите к номеру мобильного, который вы больше нигде не указываете и не оставляете. Ну и не ведитесь на звонки, письма и проч от незнакомых номеров, адресов.
Спасибо вам за статью, действительно полезные советы.