Онлайн-расследование. Что стало со слитыми данными пользователей российских сервисов
The Bell
С начала этого года в России утекло в сеть, как минимум, четыре массива данных — 327 тысяч записей российских покупателей бренда Puma за 2022 год, почти 45 гигабайт исходных кодов сервисов «Яндекса» вроде почты, такси и музыки (не содержат данных пользователей), список-таблица на 190 тысяч строк участников образовательной программы 1С и данные 141 тысячи пользователей «Почты России» (там, правда, утечку опровергают). Рассказываем, где оказываются подобные массивы данных, и какие из «сливов» доступны всем желающим до сих пор.
Инструмент — слитые базы (на примере «Яндекс-еды»)
Несмотря на многочисленные попытки блокировок, база со слитыми данными «Яндекс-еды» остается доступной с весны 2022 года. Более того, она уже трижды обновлялась, в частности, была дополнена данными из «сливов» из Delivery Club.
У базы есть телеграм-канал RuDataLeaksNews, где сообщают об обновлениях и методах обхода блокировки. Но, в большинстве случаев, если сайт не открывается, вам достаточно включить VPN.
Проверить, есть ли в утечке ваши данные, стоит, чтобы не оказаться жертвой мошенников.
Примеры использования
Один из читателей The Bell описал в январе такой необычный пример попытки мошенничества с помощью данных из базы «Яндекс-еды». Супруга читателя получила сообщение в WhatApp от аккаунта, который представился «Ясновидящей Софией», которая «ставит защиту от любых видов порчи, возвращает блудных мужей» и предлагает прочие услуги.
Супруга читателя отнеслась к сообщению скептически, но в следующем сообщении «ясновидящая» сообщила ей, что знает «многое о ее муже», назвала место его работы, адрес офиса, время, когда он часто бывает дома, и даже два подарка, которые тот недавно сделал жене. Затем ясновидящая предложила перевести ей 5 тысяч рублей за информацию о его «второй жизни». Супруга читателя решила, что ей пишут его коллеги-недоброжелатели, и показала переписку мужу. Дальше он вел ее сам, и по набору сведений «ясновидящей» сделал вывод, что они просто взяты из базы «Яндекс-еды» и Delivery club, поскольку полностью совпадали с опубликованными в сети сведениями.
Такой изощренный метод мошенничества встречается редко. Зато мошенники могут использовать личные данные для шантажа, просьбы заплатить штраф за «попавшего в аварию родственника» и тому подобное. Порой пары деталей из базы данных им оказывается достаточно, чтобы внушить жертве доверие.
Меры предосторожности
— Не пытайтесь звонить по номеру телефона, указанному внизу страницы базы в качестве контакта для удаления ваших данных. Это случайный набор цифр, новый для каждого устройства. Например, если вы откроете сайт с базой на телефоне и ноутбуке, то увидите разные номера телефонов. Видимо, создатели сайта просто добавили эту подпись в качестве пранка.
— Честный ответ на вопрос «Можно ли удалить свои данные из базы?»: нет, нельзя. Исходите из того, что эти данные открыты навсегда и всем. Даже если базу все-таки сумеют удалить или заблокировать (что маловероятно), она уже скачана на сотни, а возможно и тысячи устройств (в одном только телеграм-канале базы почти 15 тысяч подписчиков).
— Учитывайте, что вашими данными могут воспользоваться мошенники. В том числе, на их основании они могут придумать достаточно правдоподобную легенду, с которой обратятся к вам по любым указанным в базе контактам. Также вы можете столкнуться с фишингом, подробнее о нем мы рассказывали здесь.
— Не стоит рассчитывать на то, что ваши данные в подобных сервисах будут защищены в будущем. Хоть сервисы и извлекают определенные уроки из «сливов», хакеры и просто недовольные бывшие сотрудники всегда на шаг впереди. По возможности используйте для онлайн-заказов отдельный e-mail и номер телефона, в идеале — сим-карту в другом, не основном устройстве, а также не указывайте настоящие имя, фамилию и номер квартиры (в комментариях обычно можно попросить курьера позвонить от подъезда, чтобы вы спустились за посылкой).
Домашнее задание
Теперь вы знаете, как легко найти ваши личные данные, «слитые» в сеть. Изучите свои данные и данные близких, чтобы понимать, что могут знать о вас мошенники.
Чтобы найти собственные данные в базе, имейте в виду, что поиск в ней доступен только по фамилии. Это значит, что с первого раза вы можете получить в выдаче большое количество результатов. Зато после этого появится небольшая графа «Фильтр по результатам». В ней вы можете попробовать ввести разные сочетания, включая фамилию и имя или инициалы.
Базу также можно скачать в формате MySQL dump или CSV и установить на компьютер. Для установки нужно скачать и установить локальный веб-сервер, например, Open server panel или любой другой. Инструкции по его установке есть на Youtube, например, тут.
Сохраните слитые о вас данные в отдельный файл — в нужный момент вы сможете свериться с ним для того, чтобы уберечься от действий мошенников.