Карта сливов ПДн как иллюстрация патовой ситуации с утечками

В марте в сети появился сайт с картой, на которую нанесли утечки из Яндекс.Еды. На днях карту еще дополнили. Теперь по некоторым пострадавшим там целое досье, а не только адреса заказов еды, телефон и информация о пищевых предпочтениях. Этичные СМИ и киберэксперты ссылку на сайт не распространяют, но делу уже не помочь: все, что попало в интернет, там и останется. Несколько уроков, которые мы все можем вынести из ситуации.

Алексей Дрозд, начальник отдела информационной безопасности компании «СёрчИнформ»

Главная проблема со сливом из Яндекс.Еды не в том, что кто-то узнал о ваших вечерних заеданиях стресса, а в том, что любая новая утечка обогащает предыдущие. Злоумышленники получают дополненное досье на вас: в данном случае информацией о местах, где вас, как минимум, можно найти.

Визуализация этих данных для многих уже стала неприятным сюрпризом. Теперь создатели карты добавили к яндекс-утечке информацию из Wildberries, СДЭКа, дополнили досье ссылкой на профиль в VK, уточнили, является ли человек клиентом ВТБ, паспортными данными, информацией об автомобиле вместе с его госномером, VIN и т.д.

Скриншот с того самого сайта, о котором стараются не говорить вслух 
Скриншот с того самого сайта, о котором стараются не говорить вслух 

Пока об обогащении данных говорят эксперты, это не производит впечатления. Увидеть же, как кто-то вывалил на всеобщее обозрение вашу «цифровую личность» – совсем другое дело. Тот, кто стал жертвой атаки или осознал, сколько данных накопилось о нем в интернете, по-новому воспринимает фразу «Мне нечего скрывать». Скрывать, может быть, и нечего, но есть что потерять. Жертвам утечек в этой ситуации остается хотя бы понимать, чем обезопасить себя, чтобы последствия были минимальны.

Вас могут взломать. В зоне риска не только скомпрометированные в утечке аккаунты, но и любые другие, зайти в которые можно по тем же почтам, телефонным номерам. Не надейтесь на пароли, если это единственный фактор аутентификации, который вы используете. К половине всех скомпрометированных учетных записей злоумышленники получают доступ уже в течение 12 часов. Причем 20% записей взламывают в первый же час, а еще 40% – в пределах 6 часов. Единственный способ этому противостоять – настраивать двухфакторную аутентификацию. Даже если это заброшенный аккаунт в «Одноклассниках» или почти забытая почта.

Другой сценарий – мошенничество. Данные из утечек пригодятся социальным инженерам, чтобы пробивать барьер недоверия потенциальных жертв. Отличить фальшивую службу безопасности банка от настоящей и раньше-то не всегда было просто. С такой удобной и наглядной картой у мошенника перед глазами появляются подсказки на любой сценарий разговора. Изучайте утечки, чтобы понимать, какая именно информация была скомпрометирована и что о вас может быть известно потенциальному злоумышленнику, который звонит или пишет вам.

Еще полезно интересоваться, какой информацией в принципе располагают сервисы и удалять ненужную. Далеко не все компании-разработчики готовы на это идти. Отозвать согласие на обработку данных тоже задача не из легких. Но если сервис такую возможность предлагает – надо брать! Например, у Яндекса в личном кабинете есть инструмент для управления данными: можно запросить архив с информацией, которую накопили о вас разные сервисы компании, а также удалить свои данные из отдельных сервисов.

<p>Скриншот с сайта fincult.info</p>

Скриншот с сайта fincult.info

Ну и напоследок. Еще не знаю случаев, чтобы пользователи могли защитить свои права при утечке данных и с любопытством жду, чем закончится история с коллективным иском жертв утечки Яндекс.Еды. Тем не менее я бы не пренебрегал подачей жалоб в Роскомнадзор и его «Центр правовой помощи гражданам в цифровой среде», обращениями в правоохранительные органы, службы безопасности банков (настоящие) и каталог мошеннических историй на сервисе Центробанка. Вода камень точит, и «спасение утопающих», то есть пострадавших от утечек данных, может перестанет быть исключительно их головной болью.

77
9 комментариев

Как минимум по ВТБ там старые данные (по старому номеру телефона я клиент ВТБ по новому - нет хотя реально старый номер давно из всех банков убран)

1
Ответить

Кто-нить, поделитесь ссылкой плиз

Ответить

сейв ру дата точка (один из популярных доменных суффиксов, намекает на информацию).

1
Ответить

опять какой то депутат нажрал на 500к?

Ответить

ФСБ-шники пароли доступа к дверям засветили :)

Ответить

Скиньте мне адрес этого сайта добрые люди )

Ответить

Мне тоже)

Ответить