Алексей Дрозд, начальник отдела информационной безопасности компании «СёрчИнформ»
В марте в сети появился сайт с картой, на которую нанесли утечки из Яндекс.Еды. На днях карту еще дополнили. Теперь по некоторым пострадавшим там целое досье, а не только адреса заказов еды, телефон и информация о пищевых предпочтениях. Этичные СМИ и киберэксперты ссылку на сайт не распространяют, но делу уже не помочь: все, что попало в интернет, там и останется. Несколько уроков, которые мы все можем вынести из ситуации.
Главная проблема со сливом из Яндекс.Еды не в том, что кто-то узнал о ваших вечерних заеданиях стресса, а в том, что любая новая утечка обогащает предыдущие. Злоумышленники получают дополненное досье на вас: в данном случае информацией о местах, где вас, как минимум, можно найти.
Визуализация этих данных для многих уже стала неприятным сюрпризом. Теперь создатели карты добавили к яндекс-утечке информацию из Wildberries, СДЭКа, дополнили досье ссылкой на профиль в VK, уточнили, является ли человек клиентом ВТБ, паспортными данными, информацией об автомобиле вместе с его госномером, VIN и т.д.
Скриншот с того самого сайта, о котором стараются не говорить вслух
Пока об обогащении данных говорят эксперты, это не производит впечатления. Увидеть же, как кто-то вывалил на всеобщее обозрение вашу «цифровую личность» – совсем другое дело. Тот, кто стал жертвой атаки или осознал, сколько данных накопилось о нем в интернете, по-новому воспринимает фразу «Мне нечего скрывать». Скрывать, может быть, и нечего, но есть что потерять. Жертвам утечек в этой ситуации остается хотя бы понимать, чем обезопасить себя, чтобы последствия были минимальны.
Вас могут взломать. В зоне риска не только скомпрометированные в утечке аккаунты, но и любые другие, зайти в которые можно по тем же почтам, телефонным номерам. Не надейтесь на пароли, если это единственный фактор аутентификации, который вы используете. К половине всех скомпрометированных учетных записей злоумышленники получают доступ уже в течение 12 часов. Причем 20% записей взламывают в первый же час, а еще 40% – в пределах 6 часов. Единственный способ этому противостоять – настраивать двухфакторную аутентификацию. Даже если это заброшенный аккаунт в «Одноклассниках» или почти забытая почта.
Другой сценарий – мошенничество. Данные из утечек пригодятся социальным инженерам, чтобы пробивать барьер недоверия потенциальных жертв. Отличить фальшивую службу безопасности банка от настоящей и раньше-то не всегда было просто. С такой удобной и наглядной картой у мошенника перед глазами появляются подсказки на любой сценарий разговора. Изучайте утечки, чтобы понимать, какая именно информация была скомпрометирована и что о вас может быть известно потенциальному злоумышленнику, который звонит или пишет вам.
Еще полезно интересоваться, какой информацией в принципе располагают сервисы и удалять ненужную. Далеко не все компании-разработчики готовы на это идти. Отозвать согласие на обработку данных тоже задача не из легких. Но если сервис такую возможность предлагает – надо брать! Например, у Яндекса в личном кабинете есть инструмент для управления данными: можно запросить архив с информацией, которую накопили о вас разные сервисы компании, а также удалить свои данные из отдельных сервисов.
Скриншот с сайта fincult.info
Ну и напоследок. Еще не знаю случаев, чтобы пользователи могли защитить свои права при утечке данных и с любопытством жду, чем закончится история с коллективным иском жертв утечки Яндекс.Еды. Тем не менее я бы не пренебрегал подачей жалоб в Роскомнадзор и его «Центр правовой помощи гражданам в цифровой среде», обращениями в правоохранительные органы, службы безопасности банков (настоящие) и каталог мошеннических историй на сервисе Центробанка. Вода камень точит, и «спасение утопающих», то есть пострадавших от утечек данных, может перестанет быть исключительно их головной болью.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных