Как утекают данные россиян, заблокируют ли в России Youtube и ценовые войны Tesla
Тема выпуска — как утекают данные россиян
За прошлый год из российских компаний утекли данные 75% всех российских пользователей. Громкие утечки случались чуть ли не каждый месяц, а из попавших в сеть данных неизвестные добровольцы выкладывали в открытый доступ интерактивные карты, куда добавляли украденные данные из самих российских сервисов. Бороться с растущим числом утечек правительство собирается с помощью оборотных штрафов, но поможет ли это ситуации — вопрос открытый. Разбираемся, почему бизнес продолжает допускать масштабные утечки и что может сделать пользователь, чтобы хоть как-то себя от них обезопасить.
Данные утекли
На этой неделе сервис разведки утечек данных и мониторинга даркнета DLBI опубликовал данные по всем известным российским утечкам, которые случились за прошлый год. В подсчет вошли как широко известные кейсы, вроде утечек из «Яндекс.Еды», Delivery Club, СДЭК и «Гемотест», так и свыше 260 примеров меньшего масштаба.
Результаты неутешительные: если объединить все данные и очистить их от повторов и ошибок, то всего в сеть за прошлый год попало 99,8 млн уникальных адресов электронной почты и 109,7 млн уникальных номеров телефонов, следует из подсчетов DLBI. И если считать, что у большинства россиян есть только один номер, то можно сказать, что за один только 2022 год утекли данные 75% всех жителей России, заявил основатель DLBI Ашот Оганесян.
Оценить точно, насколько в прошлом году вырос объем уникальных данных, попавших в утечки, сложно, уточнил Оганесян в разговоре с The Bell. Пока еще никто не проводил оценку полного объема утекших данных, и непонятно, насколько они дублируют те, что публиковались раньше. «Но объем неуникальных данных вырос как минимум на порядок, и ключевую роль сыграли утечки из „Яндекс Еды“, СДЭК и других крупных компаний, в результате которых в руки хакеров попадали сразу десятки миллионов строк», — объясняет он.
Всего за 2022 год в сеть попало 1,5 млрд записей о российских пользователях, посчитали в «Лаборатории Касперского». Прошлогодний рост прервал тренд на сокращение числа утечек. В 2021 году их число упало год к году сразу на 40%, считали в Infowatch. Правда, нужно учитывать, что речь тут идет только о тех утечках, информация о которых попала в открытый доступ. По подсчетам проекта «Сетевые свободы», в 2022 году произошло 60 утечек из крупных сервисов, тогда как с 2019-го по 2021 год стало известно всего о 41 таком случае.
Чем опасны утечки
Утечки — проблема далеко не новая: уже много лет эксперты по кибербезопасности предупреждают, что если человек хоть раз оставлял в интернете свой номер телефона или почту, то эти данные, скорее всего, давно утекли. Но в прошлом году российские пользователи смогли по-новому оценить масштаб проблемы — после крупных утечек в сети стали появляться не просто таблицы, а понятные и удобные в использовании интерактивные карты.
Первая такая карта появилась весной, после крупной утечки из «Яндекс.Еды». Сначала там были данные о заказах в сервисе, а потом карту стали обогащать: вскоре к информации о доставках добавились данные из утечек баз данных ГИБДД, СДЭК, ВТБ, Wildberries и других источников.
Попавшие в утечки данные сразу попадают к спамерам, фишерам и мошенникам и используются для различных схем телефонного мошенничества, предупреждает Оганесян. Кроме того, в утечки нередко попадают хеши паролей (их зашифрованные версии), которые хакеры расшифровывают и применяют для password reuse атак на другие сервисы или корпоративные сети, добавляет эксперт.
Все данные, попавшие в сеть, сразу же анализируются, ими обогащаются уже имеющиеся базы, говорит технический директор «Роскомсвободы» (признана иноагентом) Станислав Шакиров. Дальше данные из утечек могут использоваться для автоматического подбора паролей и взламывания соцсетей или, например, учетных записей в маркетплейсах. Плюс все данные сразу попадают в сервисы для пробива и ими начинают торговать. «Были примеры взломов „Госуслуг“, после которых за людей голосовали на выборах или, например, продавали квартиры. Правда, такие сделки потом откатывались», — говорит эксперт.
С одной стороны, утечки данных, если речь не идет о паролях и банковских картах, сами по себе не опасны, говорят эксперты. С другой — информация о тех же доставках может нести не самые очевидные риски: например, по объему заказов из разных сервисов злоумышленники могут определять состоятельных людей. «Были и случаи, когда с помощью таких утечек выявлялись измены или раскрывались фактические адреса проживания знаменитостей», — говорит бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий.
Кто в ответе
Причин для роста числа утечек в России две, считает Лукацкий. Во-первых, многие компании довольно безалаберно относятся к защите данных, рассчитывая, что они никому не интересны и взламывать их не будут. В 2022 году же выросло не только число атак на российские компании, но и круг потенциальных жертв: если раньше хакеров интересовала в основном монетизация и под атаки попадали либо финансовые организации, либо те, кто за предотвращение ущерба мог заплатить, то после 24 февраля данные стали красть просто для того, чтобы самим фактом утечки нанести репутационный урон. И к этому компании оказались не готовы.
Вторая причина в том, что многие компании исторически не очень тщательно занимались защитой данных, потому что не всегда видели в этом профит. «Защита — это дорого, для нее нужны не только технические меры, но и люди. А у нас на рынке жесткая нехватка квалифицированных кадров. В итоге функции защитников часто перекладываются на IT-специалистов или системных администраторов», — говорит Лукацкий.
Важно и то, что до сих пор ответственность за утечки данных была практически незаметной для крупных компаний, добавляет Оганесян из DLBI. Обычный штраф, следующий за крупной утечкой, составлял всего несколько десятков тысяч рублей, а гражданские иски, которые подавали пострадавшие, в основном не удовлетворялись судами. В такой ситуации компаниям было проще заплатить, чем вкладывать значительные средства и усилия в информационную безопасность, говорит Оганесян.
По всей видимости, похожей точки зрения придерживаются и власти: в апреле прошлого года, в разгар скандала с первыми крупными утечками, случившимися после начала войны, в Минцифры решили, что переломить ситуацию помогут оборотные штрафы — 1% от годового оборота или до 3%, если компания попытается скрыть проблему.
Бизнес от этой идеи предсказуемо остался не в восторге: Российский союз промышленников и предпринимателей (РСПП) попросил правительство подумать о регулировании, которое будет стимулировать вложения в информбезопасность, а не носить репрессивный характер. Например, ввести разную персональную ответственность для лиц, которые не принимают достаточных мер для предотвращения утечек, похищают персональные данные или незаконно их используют. А также чтобы отвечать перед законом пришлось только тем, кто не принял достаточных мер для защиты данных.
Эту позицию поддержали сами IT-компании. По словам собеседника The Bell в одной из них, главная проблема законопроекта Минцифры в том, что правительство хочет ввести штраф за факт утечки, а не за несоблюдение каких-то мер по защите информации. «Если компания эти меры не соблюдает, тогда за утечку ее надо штрафовать — с этим все согласны. Но если компания допустила утечку не по своей вине — наказывать ее в той же степени неправильно», — считает он.
Вопрос, помогут ли решить проблему оборотные штрафы, — дискуссионный, считает Лукацкий. «В целом идея неплохая и может заставить бизнес относиться к угрозам серьезнее. Но надо смотреть на правоприменение», — считает эксперт. Есть компании, которые страдают от утечек, но относятся к защите ответственно. Тот же «Яндекс» после утечки из «Еды» не скрывал информацию, а сразу сообщил о случившемся, начал расследование и запустил сервис по удалению данных. «А есть компании, которые будут исходить из принципа, что после взлома никто об этом не узнает. А если узнает, то можно будет сказать, что это не их утечка или старая утечка», — рассуждает он.
Кроме того, остается вопрос относительно ответственности госорганов, которые сами часто становятся источниками утечек, продолжает Лукацкий: «Им никакие большие штрафы не грозят, только штрафы к конкретному должностному лицу, которые к тому же крайне редко применяются. Получается та самая ситуация, когда перед законом все равны, но кто-то равнее».
Что делать пользователю
Главная проблема с утечками в том, что пользователь в этой ситуации оказывается максимально беззащитным — ни на что повлиять после массовой утечки персональных данных он уже не может. «Российский пользователь живет в условиях, когда у широкого круга сотрудников компаний и госорганов есть доступ к его персональным данным. И одновременно контроль за этим доступом остается очень низким. Из-за этого процветает, например, рынок пробива», — объясняет журналист-расследователь Андрей Захаров. За последние пять лет рынок получения данных через инсайдеров в компаниях связи, банках и госорганах вырос в 7,5 раз.
Что все же можно предпринять, чтобы хоть как-то защитить себя от утечек? Во-первых, не указывать личный телефон ни в каких онлайн-сервисах, советуют эксперты. Для онлайн-покупок и регистраций стоит завести другой номер или e-sim. Также, если пользователь не хочет, чтобы в утечки попал его реальный адрес, не стоит заказывать доставку до квартиры — можно вызывать курьера к дому. Но все это не спасет, если данные о вашем номере или адресе уже попали в базы утечек.
Среди других рекомендаций, помимо очевидных «менять пароли» и «настроить двухфакторную аутентификацию», есть совет хотя бы раз в месяц проверять, какие устройства подключены к учетным записям в мессенджерах и сервисах, — на случай, если после очередной утечки злоумышленники все же смогут вас взломать и подключиться к аккаунту со стороннего устройства. Сейчас такую информацию можно проверить практически во всех крупных онлайн-сервисах.
Кроме того, если утечка уже случилась, можно обратиться к допустившей ее компании. «Это самый простой способ получить хотя бы какую-то компенсацию в качестве извинений за факт утечки, хотя такое пока что практикуется редко», — говорит Лукацкий.
О том, с помощью каких инструментов можно оставаться анонимным в сети, в своем новом цикле «Онлайн-расследования» рассказывала спецкор The Bell Ира Панкратова. А сегодня вышла новая серия цикла — о том, как распознать фишинг.
БЛОКИРОВКИ
Стоит ли ждать блокировки Youtube в России
Youtube в ближайшее время будет заблокирован, а те, кто продолжит им пользоваться, будут наказаны. К счастью, это пока лишь слова основателя ЧВК «Вагнера» Евгения Пригожина, который не имеет непосредственного отношения к принятию решений по таким вопросам. Пока это решение не оформлено, хоть и обсуждается с начала войны. Когда это случится — вопрос времени, полагают собеседники The Bell на IT-рынке. Интересно, что на этой же неделе глава «Газпром-медиа» Александр Жаров в интервью РБК заявил: если «платформа продолжит заниматься систематическим и осознанным нарушением российского законодательства, этот вопрос стоит рассмотреть». Но тут же признал, что Rutube стать заменой Youtube пока не сможет. «Они вместе с Google развиваются, у них рекомендательная нейронная сеть, которая создается уже восемь лет… Мы же в начале пути. Верим, что через полгода наша рекомендательная система будет уже как бы живая и достаточно умная, но все-таки это разное время развития», — сказал Жаров. Каким будет падение аудитории, если Youtube в России все же заблокируют, предсказать сложно. Но перед глазами есть пример Instagram (Meta признана в РФ экстремистской организацией), который после блокировки потерял в России 25 млн среднесуточных охватов. По данным Mediascope, на конец февраля среднесуточные охваты Instagram составляли 32 млн человек. К началу апреля они упали вдвое, а к началу декабря — и вовсе сократились до 7 млн человек. Средний посетитель площадки стал проводить в Instagram 15 минут в день вместо 41. А половина всех заходов в Instagram перестала превышать 5 минут.
ЭЛЕКТРОКАРЫ
Как за прошлый год изменились рыночные позиции Tesla
Ядро бизнес-империи Илона Маска, корпорация Tesla столкнулась с проблемами, из-за которых миллиардер теряет состояние и доверие инвесторов. Всего год назад оспорить звание лидера мирового рынка электромобилей было некому, а его капитализация достигала $1,2 трлн, теперь же Tesla заманивает покупателей скидками и отбивается от дышащих в затылок конкурентов. Тучи сгущаются и над ключевым для Tesla китайским рынком. В Шанхае работает завод по производству наиболее популярных моделей Tesla (Model Y и Model 3), но из-за низкого спроса компании тоже приходится идти на скидки. Падение продаж обусловлено растущей конкуренцией местных производителей, в особенности имеющего собственные аккумуляторные мощности гиганта BYD с его широчайшей гаммой моделей на любой вкус. А конкуренты Tesla в США активно задействуют ее же опыт наращивания производства: привлекают покупателей новыми моделями, усиливают контроль над цепочками поставок и вкладываются в цифровые услуги. Чем-то напоминающий Tesla электрический Ford Mustang уже обгоняет по продажам одноименный спорткар с ДВС. Об ужесточившейся конкуренции в мире электрокаров рассказываем здесь, а тут — анализируем, чего ждать после ценовой войны от акций компаний.