17.11.2022 16:29
Происшествия

Как понять, что ваши персональные данные были украдены

Текст:  Олег Капранов Наталья Козлова
На хакерском форуме выставлена на продажу полная база данных сервиса краткосрочной аренды электросамокатов Whoosh. Она содержит 7,3 млн записей. Это сообщение стало очередным в череде новостей об утечках данных. В то же время эксперты отмечают, что небольшие утечки, не попадающие в новости, ничуть не менее опасны по своим последствиям, чем масштабные взломы.
/ Владимир Трефилов/РИА "Новости"
Читать на сайте RG.RU

По данным Роскомнадзора в 2022 году было зафиксировано порядка 60 инцидентов разного масштаба. Как отмечается в сообщениях, утекшая база сервиса Whoosh , актуальная на ноябрь 2022 года, содержит 7,237 млн уникальных телефонных номеров. В двух файлах со списками пользователей указаны, помимо телефонных номеров, имена, электронную почту, часть данных банковских карты и другие сведения.

Whoosh подтвердил утечку данных пользователей: служба информационной безопасности выявила и пресекла процесс, который организовала группа хакеров. Утечка стала возможной после того, как один из сотрудников сервиса допустил "грубое нарушение установленных в компании правил и процедур", заявил представитель сервиса.

Как понять, что ваши данные утекли, объясняет Яна Юракова, аналитик исследовательской группы Positive Technologies. По ее словам, определяющими являются три фактора.

"Вам приходят сообщения о попытке смены пароля для ваших сервисов. При использовании двухфакторной аутентификации могут приходить коды подтверждения для входа в аккаунт - это означает, что ваш пароль уже известен злоумышленникам. Второй момент - вам постоянно поступают звонки с незнакомых номеров с сомнительными предложениями. Например, собеседник может представиться сотрудником правоохранительных органов или финансовой организации. И третий факт, - на адрес вашей электронной почты приходит много спам-сообщений от сервисов, где вы не оставляли своих данных, или от людей, которым вы явно не предоставляли свои контакты", - отмечает эксперт.

Роскомнадзор утвердил список стран, обеспечивающих защиту персональных данных

При этом, если данные пользователя утекли, то это не значит, что злоумышленники будут их использовать в эту же минуту. Могут пройти годы прежде, чем киберпреступники решат воспользоваться украденным аккаунтом, добавляет Олег Дёров, руководитель отдела Group-IB исследования киберпреступности Threat Intelligence.

"Обычному пользователю без специальных решений тяжело отслеживать возможную утечку его данных из различных сервисов, в которых он зарегистрирован. Кража данных небольшого локального магазина - это такая же угроза для клиента, как и слив базы крупного сервиса, который, к примеру, получил широкую огласку в СМИ", - говорит эксперт.

По словам Дёрова, лучший способ обезопасить свой аккаунт - использовать двухфакторную аутентификацию для входа. Так, даже с украденным логином и паролем злоумышленник не сможет использовать аккаунт в своих целях. В качестве профилактики на случай утечек стоит постоянно менять и не использовать одинаковые пароли, привязывать к аккаунтам специально созданные для этого банковские карты. В частности, для оплаты онлайн-сервисов можно использовать виртуальные карты, которые будет легко регулярно обновлять.

Правоохранители различают утечки по объему и типам украденных данных. Может "уйти" минимум - имя-фамилия и телефон. Хотя и их бывает достаточно, чтобы получить кредит в микрофинансовых конторах на другом конце страны. А могут быть и очень серьезные утечки - сканы документов. Они - самые опасные. Чаще всего именно по скану того же паспорта на жертву оформляли самые большие кредиты, регистрировали фирмы-однодневки или получали рассрочку в интернет-магазинах.

Мошенник, у которого на руках паспортные данные законопослушного гражданина, легко получит еще кучу данных о жертве - к примеру, ИНН через сайт ФНС. Последнее время стали не редкие случаи, когда с помощью таких данных , мошенник отправлял жертве требование от имени налоговой, что есть штрафы. И это срабатывало.

По закону, организация, обрабатывающая персональные данные, полностью отвечает за их сохранность. Если не сохранила, то будет отвечать. Но это в теории. Правда, пока такая ответственность очень слабая, если не сказать символическая.

Работодатели все больше следят за персоналом, опасаясь массовых утечек данных

Про утечку данных говорит статья 13.11 КоАП РФ. Она предусматривает максимальный штраф в 75 тысяч рублей. Есть в законе наказания за утечку при обработке персональных данных, тоже в виде штрафов. Но и там наказание совсем небольшое. Для должностных лиц до 10 тысяч рублей, для граждан - до трех. И еще прописано такое наказание, как предупреждение - что так делать нельзя.

Существует и уголовная ответственность. В Уголовном кодексе есть статья 137. В ней сказано, что за незаконное собирательство или распространение чужих персональных данных дают штраф в 200 тысяч рублей или принудительные работы на пару лет. Под такую статью уже несколько рез попадали частные сыщики или сыскные конторы. Штраф будет выше - до 300 тысяч, а срок до пяти лет колонии, если утечку сделал гражданин с использованием своего служебного положения. За последнее время такое наказание получил сотрудник районной полиции, который друзьям давал интересующие их данные на чужих людей.

Как заявил глава комитета Госдумы по информполитике Александр Хинштейн, выступая на форуме "ИТ-Диалог 2022" в Санкт-Петербурге, существующие сегодня нормы законодательства очевидно несоразмерны тяжести правонарушений и их последствий.

"Поэтому сегодня мы с Минцифры разрабатываем ряд инициатив. Они будут предусматривать и серьезное увеличение штрафов, в том числе оборотных. Кроме того, обсуждаем и вопрос о введении уголовной ответственности за работу с заведомо криминальными базами", - сообщил он.

За утечку, как выражаются юристы, существует и гражданско-правовая ответственность. То есть граждане, чьи данные были украдены, могут пойти в суд. Про такую возможность сказано в статье 15 Гражданского кодекса. Проще говоря, можно просить возмещение убытков из-за утечки персональных данных.

Что понимать под убытками? Это в первую очередь моральный вред, плюс имущественный, если были какие-то убытки из-за утечки.

И последнее - в нашем Трудовом кодексе сказано, что за разглашение персональных данных клиента, сотрудник "подлежит увольнению".

Криминал Интернет Технологии