loading

Ваши личные данные уже украдены. Как не дать злоумышленникам их использовать?

Прошедшая неделя, вместившая сразу две предположительно многомиллионных утечки чувствительных данных, произошедших по абсолютно разным сценариям, показала, насколько устарели обычные представления об охране персональных данных. Вы не можете быть уверены, что ваши данные не утекли из госорганов, крупнейшего банка страны или мобильного приложения, которым вы пользуетесь каждый день. Хуже того: скорее всего, ваши данные уже украдены. Теперь ваша главная цель — не дать злоумышленникам их использовать.

Эта статья была написана для еженедельной итоговой рассылки The Bell. Подписаться на нее можно здесь.

Что случилось

  • Налоговая база. О первой утечке стало известно во вторник, но случилась она как минимум год назад. Неизвестный хозяин оставил в открытом доступе в облаке Amazon базу с данными 20 млн россиян — ФИО, ИНН и всеми налоговыми платежами. Хранившаяся информация охватывала период с 2009 по 2016 год и была доступна как минимум с мая 2018 года, когда ее впервые проиндексировали поисковики. В ФНС утечку назвали «провокацией», так как часть данных не собирается и не хранится российскими налоговиками, а их структура отличалась от принятой в службе. Данные могут быть компиляцией из украденных баз госорганов. Владелец базы явно поместил ее в открытый доступ по халатности — это частый случай с большими наборами данных, которые хранят в облаке и, например, забывают запаролить.
  • Утечка в Сбербанке. В среду «Коммерсант» обнаружил объявление о продаже данных более 60 млн владельцев кредитных карт Сбербанка. Пробный фрагмент базы на 200 человек оказался подлинным. Это дало Сбербанку основание пока официально признать утечку данных только этих 200 людей, но очевидно, что это только верхушка айсберга — корреспонденты «Коммерсанта», запросив материалы о себе (авторы объявления продают данные по 5 рублей за человека), получили достоверную информацию: совпали в том числе номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их. В Сбербанке предполагают, что источником утечки стал сотрудник с высоким уровнем администраторских прав. Похищенные данные можно использовать для фишинга или других видов мошенничества с помощью социальной инженерии.
  • Слежка приложений. Утечки данных из банков и госорганов — только один из способов их потерять. Во вторник The Bell проанализировал, как обращаются с данными пользователей топ-100 российских приложений для Android. Результаты оказались предсказуемыми. Самые популярные сервисы передают данные десяткам третьих лиц (часто — через незащищенный протокол HTTP), устанавливают десятки рекламных трекеров и пытаются получить максимум доступа к функциям устройства — например, записывать аудио без уведомления пользователя.

Что это значит?

Нарастающее число утечек из госорганов и крупнейших и самых защищенных компаний подтверждает простое соображение, о котором писали один из создателей современной криптографии Брюс Шнайер (здесь) и журналист-расследователь в области кибербезопасности Брайан Кребс (здесь). Кем бы вы ни были, скорее всего, ваши персональные данные уже украдены и находятся в руках злоумышленников. Это значит, что главной вашей целью должна стать не охрана самих данных, а предотвращение и минимизация ущерба от их использования.

Что делать?

Главное — никому не доверять. Но есть еще три важных правила, следование которым помешает злоумышленникам использовать ваши данные для кражи денег или секретов.

  • Везде, где возможно, задействовать двухэтапную аутентификацию, чтобы подтверждать потенциально опасные действия. При этом надо помнить, что аутентификация с помощью СМС ненадежна — перехватывать сотовый трафик совсем нетрудно. Вот относительно свежая инструкция о том, как настроить надежную двухэтапную аутентификацию, от The New York Times.
  • Следить за тем, чтобы ваши пароли к разным сервисам различались и были хорошо защищены. Относительно безопасный способ организовать такую систему — менеджер паролей. Недавний рейтинг лучших менеджеров для разных устройств и браузеров от Wired — здесь. Главное — придумать надежный пароль к самому менеджеру. Вот наша любимая инструкция по придумыванию паролей от Билла Бэрра, который придумал правило обязательной цифры, заглавной буквы и спецсимвола, а потом в нем разочаровался.
  • Убедиться, что каналы проверки подлинности принадлежат вам. Например, если вы купили SIM-карту с рук, ее юридический владелец может перехватить ваши SMS — в том числе проверочные.
Скопировать ссылку

Самоубийство министра как симптом и сигнал, что Трамп готовит Путину и что инвестбанки пишут о пошлинах

7 июля под Москвой был найден мертвым 53-летний Роман Старовойт — бывший министр транспорта России, а до этого губернатор Курской области. За несколько часов до этого Владимир Путин отправил Старовойта в отставку, а по данным СМИ, в ближайшие дни его могли задержать по обвинению в хищении средств, выделенных на строительство оборонительных сооружений в Курской области. Это первое самоубийство такого высокопоставленного чиновника за всю путинскую эпоху. Это тревожный сигнал о том, что внутри системы что-то сломалось.

Robinhood дал европейским инвесторам возможность торговать акциями-токенами. Что это значит?

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ THE BELL ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА THE BELL. 18+

Рассылки The Bell стали платными. Подписывайтесь!

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ THE BELL ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА THE BELL. 18+

Ставкой по банкам. Грозит ли России банковский кризис?

Российская экономика, а вместе с ней и банки переживают трудные времена. Еще недавно все выглядело радужно — два года подряд бюджет увеличивал расходы, экономика на этом быстро росла, а банки, несмотря на предупреждения ЦБ, наращивали кредитование и получали рекордную прибыль. Но в 2025 году экономика начала резко замедляться, а кредитование — сжиматься. В конце июня Bloomberg со ссылкой на источники в банковском секторе предупредил о росте рисков системного кризиса в российской банковской сфере. На прошлой неделе глава ЦБ Эльвира Набиуллина заявила, что подобные опасения не имеют оснований. Кто прав и грозит ли России полномасштабный банковский кризис?