Прошедшая неделя, вместившая сразу две предположительно многомиллионных утечки чувствительных данных, произошедших по абсолютно разным сценариям, показала, насколько устарели обычные представления об охране персональных данных. Вы не можете быть уверены, что ваши данные не утекли из госорганов, крупнейшего банка страны или мобильного приложения, которым вы пользуетесь каждый день. Хуже того: скорее всего, ваши данные уже украдены. Теперь ваша главная цель — не дать злоумышленникам их использовать.

Эта статья была написана для еженедельной итоговой рассылки The Bell. Подписаться на нее можно здесь.

Что случилось

• Налоговая база. О первой утечке стало известно во вторник, но случилась она как минимум год назад. Неизвестный хозяин оставил в открытом доступе в облаке Amazon базу с данными 20 млн россиян — ФИО, ИНН и всеми налоговыми платежами. Хранившаяся информация охватывала период с 2009 по 2016 год и была доступна как минимум с мая 2018 года, когда ее впервые проиндексировали поисковики. В ФНС утечку назвали «провокацией», так как часть данных не собирается и не хранится российскими налоговиками, а их структура отличалась от принятой в службе. Данные могут быть компиляцией из украденных баз госорганов. Владелец базы явно поместил ее в открытый доступ по халатности — это частый случай с большими наборами данных, которые хранят в облаке и, например, забывают запаролить.
• Утечка в Сбербанке. В среду «Коммерсант» обнаружил объявление о продаже данных более 60 млн владельцев кредитных карт Сбербанка. Пробный фрагмент базы на 200 человек оказался подлинным. Это дало Сбербанку основание пока официально признать утечку данных только этих 200 людей, но очевидно, что это только верхушка айсберга — корреспонденты «Коммерсанта», запросив материалы о себе (авторы объявления продают данные по 5 рублей за человека), получили достоверную информацию: совпали в том числе номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их. В Сбербанке предполагают, что источником утечки стал сотрудник с высоким уровнем администраторских прав. Похищенные данные можно использовать для фишинга или других видов мошенничества с помощью социальной инженерии.
• Слежка приложений. Утечки данных из банков и госорганов — только один из способов их потерять. Во вторник The Bell проанализировал, как обращаются с данными пользователей топ-100 российских приложений для Android. Результаты оказались предсказуемыми. Самые популярные сервисы передают данные десяткам третьих лиц (часто — через незащищенный протокол HTTP), устанавливают десятки рекламных трекеров и пытаются получить максимум доступа к функциям устройства — например, записывать аудио без уведомления пользователя.

Что это значит?

Нарастающее число утечек из госорганов и крупнейших и самых защищенных компаний подтверждает простое соображение, о котором писали один из создателей современной криптографии Брюс Шнайер (здесь) и журналист-расследователь в области кибербезопасности Брайан Кребс (здесь). Кем бы вы ни были, скорее всего, ваши персональные данные уже украдены и находятся в руках злоумышленников. Это значит, что главной вашей целью должна стать не охрана самих данных, а предотвращение и минимизация ущерба от их использования.

Что делать?

Главное — никому не доверять. Но есть еще три важных правила, следование которым помешает злоумышленникам использовать ваши данные для кражи денег или секретов.

• Везде, где возможно, задействовать двухэтапную аутентификацию, чтобы подтверждать потенциально опасные действия. При этом надо помнить, что аутентификация с помощью СМС ненадежна — перехватывать сотовый трафик совсем нетрудно. Вот относительно свежая инструкция о том, как настроить надежную двухэтапную аутентификацию, от The New York Times.
• Следить за тем, чтобы ваши пароли к разным сервисам различались и были хорошо защищены. Относительно безопасный способ организовать такую систему — менеджер паролей. Недавний рейтинг лучших менеджеров для разных устройств и браузеров от Wired — здесь. Главное — придумать надежный пароль к самому менеджеру. Вот наша любимая инструкция по придумыванию паролей от Билла Бэрра, который придумал правило обязательной цифры, заглавной буквы и спецсимвола, а потом в нем разочаровался.
• Убедиться, что каналы проверки подлинности принадлежат вам. Например, если вы купили SIM-карту с рук, ее юридический владелец может перехватить ваши SMS — в том числе проверочные.