Каких-то 20 лет назад, чтобы похитить информацию о клиентах крупной корпорации, требовался грузовик. Сегодня тот же объем данных может уместиться на одной флешке. Данные стало удобно хранить, но и так же удобно «терять».
Чем дальше, тем больше информации в электронном виде находится в распоряжении различных организаций, как государственных, так и коммерческих. А в свете последних российских законотворческих инициатив в недалеком будущем количество пользовательских данных, сохраняемых в связи с требованиями буквы закона, вырастет лавинообразно.
Но даже если не вспоминать о «законе на букву Я» (он же «пакет Яровой»), увеличение количества хранимых данных — и неважно, где, как и кем они будут сохраняться, — наше будущее: все больше услуг мигрирует в онлайн, а в тренд входят новые. В качестве примера последних можно привести горячо обсуждаемую сейчас тему телемедицины. И чем дальше, тем больнее будет бить по пользователям каждая масштабная утечка информации.
Нельзя сказать, что масштабных «сливов» до сих пор не было. По данным InfoWatch, Россия уверенно держит второе место в мире по количеству утечек. В первом полугодии 2016 года их количество составило 110 (на первом месте — США с показателем 451, на третьем — Великобритания, у которой 39 утечек). Удивляет другое: как «хладнокровно» население относится к попаданию в открытый доступ конфиденциальной информации, а в некоторых случаях вообще воспринимает это позитивно.
Мы решили оставить за кадром такие громкие «сливы», как публикация «панамского архива», и вспомнить менее значительные (в медийном плане) события, которые тем не менее непосредственно коснулись многих россиян.
Февраль-2016: угон Uber
В феврале этого года многие пользователи Uber обнаружили странные списания со счета банковской карты в адрес сервиса. При просмотре истории обнаруживались оплаченные поездки в других городах, регионах или странах: злоумышленники получали доступ к аккаунту пользователя и, используя его, расплачивались за поездки с карты настоящего владельца. Представители компании пообещали вернуть деньги обманутым пользователями и объяснили ситуацию тем, что пользовательские данные были, скорее всего, получены мошенниками на других сайтах.
Апрель-2016: бронирование и билеты
Хакерская группировка Hello Kitty сообщила в своем твиттере об обнаружении в открытом доступе более 3,5 тыс. документов с данными о людях, воспользовавшихся системой бронирования TravelAdmin. Среди содержимого можно было найти билеты, имена пассажиров, даты отправления, адреса, телефоны и прочие персональные данные. В чем бы ни была причина (в атаке на сервис, о которой впоследствии сообщили представители TravelAdmin, или в грубой ошибке при настройке ПО), данные пролежали в открытом доступе достаточное количество времени для того, чтобы их даже проиндексировала поисковая система Google.
Май-2016: данные автомобилистов
В мае столичные жители получили в свое распоряжение невероятно удобный сервис: введя в поле поиска номер автомобиля, можно было получить номер его владельца. Какое-то время многие пользовались им для предупреждения других водителей о работе эвакуаторов, просили передвинуть мешающий автомобиль. Однако мало кто задумался, что все удобство построено на базе данных, «утекшей», по разным данным, из ГИБДД или из страховых компаний.
Июнь-2016: база данных «ВКонтакте»
Все заинтересованные лица получили возможность «всего» за 1 биткоин получить базу данных пользователей российской социальной сети «ВКонтакте» (речь шла о 100 млн аккаунтов). По данным продавца, база была «слита» в период между 2011 и 2013 годами. Несмотря на далеко не первую свежесть (и отсутствие телефонных номеров — обязательность их указания появилась позже «слива»), данные предположительно актуальны на 90%: издание Motherboard проверило данные от сотни случайных аккаунтов и обнаружило совпадение в 92 случаях.
Июль-2016: «Антиколлектор»
Данные о телефонах и адресах электронной почты 9 тыс. пользователей программы «Антиколлектор» появились в Сети в июле. Подтвердить, что данные получены из базы данных этого приложения, невозможно. Как и невозможно ничего сказать о достоверности содержащейся в базе информации. Тем не менее в некоторых случаях проверка показала совпадение телефонов и почтовых адресов.
Август-2016: данные ФСКН
О куда более серьезной утечке информации сообщил в коне лета The New Times: журналисты обнаружили в продаже базу данных расформированной Федеральной службы по контролю за оборотом наркотиков (ФСКН). В ней содержались сведения о пациентах психоневрологических диспансеров, гражданах, склонных к суициду, наркозависимых, людях, попавших в больницу с алкогольной интоксикацией и т. п. Теперь уже бывшее ведомство «засветилось» с аналогичной историей в 2015 году, когда в продаже оказалась куда более серьезная информация — данные об именах осведомителей и граждан, обращавшихся на горячую линию службы.
Август-2016: школьники Татарстана
В открытый доступ попали так называемые социальные паспорта учащихся нескольких учебных заведений Татарстана. Причем обнаружили утечку сами родители. Из этих документов можно получить полную информацию об учениках и их родителях. Причиной утечки, по словам ответственных лиц, стала техническая ошибка. Прокуратура Татарстана начала проверку по факту утечки персональных данных.
Сентябрь-2016: QIP.ru
В открытый доступ попали данные о 33 млн аккаунтов сайта QIP.ru. В этот раз информация оказалась еще менее свежей, чем в случае с базой данных «ВКонтакте»: данные касаются пользователей, зарегистрированных с 2009 по 2011 год. Однако часть из них все еще актуальна. Кроме того, эксперты советуют не забывать о так называемом password reuse: большинство пользователей использует один и тот же пароль в нескольких местах. Поэтому опасность представляют даже такие, на первый взгляд, утратившие актуальность «сливы».
Октябрь-2016: телефонная база данных
И наконец, прямо сейчас разворачивается история вокруг сервиса Phone to Number, представляющего собой базу данных телефонных номеров с возможностью поиска, отображающую в некоторых случаях помимо имени абонента его домашний адрес. По информации на самом ресурсе, данные попадают в базу «с разных ресуров». Хотя больше похоже на то, что в основе сервиса лежит старая база данных. В ближайшие дни стоит ожидать блокировки ресурса, но, поскольку зарегистрирован он не в России, доступ к нему все равно останется.
Удобно всем?
Многих абонентов расстраивает закрытие сервиса, связывавшего номер автомобиля с номером его владельца, и радует появление в Сети базы данных абонентов. Во всем этом и непонимание базовых принципов информационной безопасности, и неспособность спрогнозировать последствия.
Вот лишь простой пример того, как, зная только номер автовладельца, собрать о нем информацию. К примеру, Facebook с некоторых пор в обязательном порядке требует номер телефона для регистрации. Удалить его из профиля нельзя, но можно изменить настройки отображения, о чем многие просто забывают. Мошеннику нужно лишь найти жертву по номеру телефона, в случае необходимости добавиться в друзья (если жертва не принимает запросы от всех подряд, в ход идут методы социальной инженерии) и по «чекинам», фотографиям, содержимому постов вычислить уровень дохода, место жительства, часто посещаемые места и т. п.
Совет юриста
Управляющий партнер коллегии адвокатов «Старинский, Корчаго и партнеры» Владимир Старинский считает, что если вы увидели в открытом доступе данные, которых там быть не должно, следует начинать решение вопроса с удаления этой информации из базы данных поисковых систем.
«В первую очередь в таком случае необходимо обратиться в техподдержку поисковиков или использовать соответствующие формы обратной связи с их администрацией, отправив мотивированные требования блокировать информацию с интернет-ресурсов из результатов поиска (ссылаясь на нормы федерального закона «О персональных данных», подчеркивая, что информация была использована без вашего согласия). После этого нужно будет направить аналогичные претензии администрации конкретных сайтов или владельцам аккаунтов. В случае отказа гражданин получает право обратиться в суд с требованием привлечь нарушителя к ответственности в соответствии со статьей 24 федерального закона «О персональных данных». А в случае отсутствия «выхода» на распространителя — направить жалобу в Роскомнадзор или прокуратуру», — разъясняет Старинский.
Другое дело, когда есть возможность идентифицировать утечку данных. Таких случаев очень мало, и в судебной практике они пока крайне редки по причине невозможности выявить источник утечки или предъявить весомые аргументы в пользу причастности подозреваемого к обработке информации.
Однако если вы, например, указали в какой-либо анкете новый почтовый адрес и через какое-то время обнаружили эти данные в открытом доступе, то в этом случае «ответственное за утечку лицо можно привлечь к ответственности (в зависимости от конкретных обстоятельств) по ряду статей Уголовного кодекса, КоАП и Трудового кодекса. В частности, подобные действия могут быть расценены как нарушение неприкосновенности частной жизни (статья 137 УК РФ), неправомерный доступ к охраняемой законом компьютерной информации (статья 272 УК РФ), осуществление деятельности без специального разрешения (статья 19.20 КоАП), нарушение норм, регулирующих обработку и защиту персональных данных работника (статья 90 ТК РФ)».