Ваши личные данные уже украдены. Как не дать злоумышленникам их использовать?

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ THE BELL ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА THE BELL. 18+

Прошедшая неделя, вместившая сразу две предположительно многомиллионных утечки чувствительных данных, произошедших по абсолютно разным сценариям, показала, насколько устарели обычные представления об охране персональных данных. Вы не можете быть уверены, что ваши данные не утекли из госорганов, крупнейшего банка страны или мобильного приложения, которым вы пользуетесь каждый день. Хуже того: скорее всего, ваши данные уже украдены. Теперь ваша главная цель — не дать злоумышленникам их использовать.

Эта статья была написана для еженедельной итоговой рассылки The Bell. Подписаться на нее можно здесь.

Что случилось

  • Налоговая база. О первой утечке стало известно во вторник, но случилась она как минимум год назад. Неизвестный хозяин оставил в открытом доступе в облаке Amazon базу с данными 20 млн россиян — ФИО, ИНН и всеми налоговыми платежами. Хранившаяся информация охватывала период с 2009 по 2016 год и была доступна как минимум с мая 2018 года, когда ее впервые проиндексировали поисковики. В ФНС утечку назвали «провокацией», так как часть данных не собирается и не хранится российскими налоговиками, а их структура отличалась от принятой в службе. Данные могут быть компиляцией из украденных баз госорганов. Владелец базы явно поместил ее в открытый доступ по халатности — это частый случай с большими наборами данных, которые хранят в облаке и, например, забывают запаролить.
  • Утечка в Сбербанке. В среду «Коммерсант» обнаружил объявление о продаже данных более 60 млн владельцев кредитных карт Сбербанка. Пробный фрагмент базы на 200 человек оказался подлинным. Это дало Сбербанку основание пока официально признать утечку данных только этих 200 людей, но очевидно, что это только верхушка айсберга — корреспонденты «Коммерсанта», запросив материалы о себе (авторы объявления продают данные по 5 рублей за человека), получили достоверную информацию: совпали в том числе номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их. В Сбербанке предполагают, что источником утечки стал сотрудник с высоким уровнем администраторских прав. Похищенные данные можно использовать для фишинга или других видов мошенничества с помощью социальной инженерии.
  • Слежка приложений. Утечки данных из банков и госорганов — только один из способов их потерять. Во вторник The Bell проанализировал, как обращаются с данными пользователей топ-100 российских приложений для Android. Результаты оказались предсказуемыми. Самые популярные сервисы передают данные десяткам третьих лиц (часто — через незащищенный протокол HTTP), устанавливают десятки рекламных трекеров и пытаются получить максимум доступа к функциям устройства — например, записывать аудио без уведомления пользователя.

Что это значит?

Нарастающее число утечек из госорганов и крупнейших и самых защищенных компаний подтверждает простое соображение, о котором писали один из создателей современной криптографии Брюс Шнайер (здесь) и журналист-расследователь в области кибербезопасности Брайан Кребс (здесь). Кем бы вы ни были, скорее всего, ваши персональные данные уже украдены и находятся в руках злоумышленников. Это значит, что главной вашей целью должна стать не охрана самих данных, а предотвращение и минимизация ущерба от их использования.

Что делать?

Главное — никому не доверять. Но есть еще три важных правила, следование которым помешает злоумышленникам использовать ваши данные для кражи денег или секретов.

  • Везде, где возможно, задействовать двухэтапную аутентификацию, чтобы подтверждать потенциально опасные действия. При этом надо помнить, что аутентификация с помощью СМС ненадежна — перехватывать сотовый трафик совсем нетрудно. Вот относительно свежая инструкция о том, как настроить надежную двухэтапную аутентификацию, от The New York Times.
  • Следить за тем, чтобы ваши пароли к разным сервисам различались и были хорошо защищены. Относительно безопасный способ организовать такую систему — менеджер паролей. Недавний рейтинг лучших менеджеров для разных устройств и браузеров от Wired — здесь. Главное — придумать надежный пароль к самому менеджеру. Вот наша любимая инструкция по придумыванию паролей от Билла Бэрра, который придумал правило обязательной цифры, заглавной буквы и спецсимвола, а потом в нем разочаровался.
  • Убедиться, что каналы проверки подлинности принадлежат вам. Например, если вы купили SIM-карту с рук, ее юридический владелец может перехватить ваши SMS — в том числе проверочные.
Скопировать ссылку

Будет ли в России банковский кризис, надолго ли конфликт с Азербайджаном и почему в Москве отключают интернет

Российская экономика, а вместе с ней и банки переживают трудные времена. Еще недавно все выглядело радужно — два года подряд бюджет увеличивал расходы, экономика на этом быстро росла, а банки, несмотря на предупреждения ЦБ, наращивали кредитование и получали рекордную прибыль. Но в 2025 году экономика начала резко замедляться, а кредитование — сжиматься. На прошлой неделе Bloomberg со ссылкой на источники в банковском секторе предупредил о росте рисков системного кризиса в российской банковской сфере. На этой неделе глава ЦБ Эльвира Набиуллина заявила, что подобные опасения не имеют оснований. Кто прав и грозит ли России полномасштабный банковский кризис?

Как ChatGPT делает нас глупее, отключение Telegram в России и сколько зарабатывают разработчики нейросетей

Нейросети делают нас глупее? Если верить громким заголовкам в западных СМИ, это именно так. В этом выпуске рассылки расскажем, что на самом деле говорится в резонансных исследованиях о когнитивном долге, который мы копим из-за ежедневного использования генеративного ИИ. И можно ли избежать умственной атрофии, если ChatGPT для вас уже — ежедневный советчик и помощник во всех делах.

Рассылки The Bell стали платными. Подписывайтесь!

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ THE BELL ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА THE BELL. 18+

Замедление экономики и устойчивость рынков: прогнозы JP Morgan на второе полугодие 2025 года

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ THE BELL ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА THE BELL. 18+