Вечером 22 марта пользователи интернета заметили сайт, на котором на карту России были нанесены их личные данные — телефон, полный адрес, почта и даже сумма трат на доставку еды за последние шесть месяцев. Так хакеры оформили информацию, которую получили ещё в начале месяца — об утечке сообщил сервис «Яндекс.Еда». Эксперты уверены, что сфера безопасности персональных данных в России регулируется недостаточно. Однако, возможно, в современном цифровом мире вообще нет возможности добиться приватности.
Ещё 2 марта «Яндекс» рассылал пользователям письма, где предупреждал, что в Сеть из-за недобросовестных действий одного из сотрудников попали «номера телефонов наших клиентов и техническая информация о заказах: дата создания, состав и другие подробности». Однако в реальности слитых данных оказалось значительно больше.
Сайт, на котором находилась карта, был зарегистрирован 14 марта, следует из данных Whois. При этом решение о блокировке сайта Таганский районный суд Москвы принял 10 марта, за четыре дня до регистрации домена, следует из данных Роскомсвободы.
Информацию о том, кто его создал, найти невозможно. На самом портале указан телефон «обратной связи» для желающих удалить свои сведения, однако он меняется при каждом обновлении страницы. Сайт позиционируется как сервис для проверки собственных данных на предмет утечки. Авторы связывают саму утечку с военной операцией на территории Украины.
Мы публикуем базу с персональной информацией россиян, которой могут воспользоваться с целью запугивания и обмана. Вы можете проверить по телефону или фамилии, какая информация есть у преступников, чтобы понимать риски. Предупреждён — значит вооружён, — написано на сайте.
Вместе с этим сайтом Роскомнадзор заблокировал ещё один портал, на котором также распространяются личные данные россиян. На сайте публиковались архивы слитых данных — не только «Яндекс.Еды», но и почтового сервиса СДЭК, а также база сервиса доставки «Вкусные суши».
Авторы второго сайта, в отличие от предыдущего, прямо заявляют, что публикуют информацию для дестабилизации ситуации в России из-за военной операции на Украине.
Среди миллионов пользователей будет множество врагов Украины которые должны понести ответственность, — пишут они, обещая публиковать и другие сливы.
В «Яндексе» уже сообщили, что сократили число сотрудников, имеющих доступ к персональным данным клиентов. Роскомнадзор пообещал оштрафовать компанию, а правозащитный проект «Сетевые свободы» открыл горячую линию, на которой собирает показания пострадавших: юристы планируют привлечь «Яндекс.Еду» к ответственности.
При этом руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев в разговоре с NEWS.ru выразил мнение, что сейчас в России не предусмотрена достаточная ответственность за утечки личных данных в Сети.
Допустившая утечку компания может отделаться предписанием или, что намного реже, небольшим штрафом. Персональный виновник утечки может получить штраф, условный срок, обязательные работы или определённые ограничения в профессиональной деятельности. Есть случаи, когда виновники приговаривались к тюремному заключению, но таких примеров пока немного, — подчеркнул он.
Его коллега, директор экспертно-аналитического центра ГК InfoWatch Михаил Смирнов отметил, что сейчас вопросы безопасности данных контролируют правоохранительные органы, Центробанк, Минфин и некоторые другие организации.
Усыпить бдительность
Арсентьев рассказал, что данные, попавшие в Сеть, могут быть использованы недобросовестными маркетологами и злоумышленниками. Если информацию возьмут на вооружение первые, они будут совершать холодные звонки для продажи товаров и услуг, а если вторые — попытаются украсть деньги.
Чем больше данных о человеке соберут злоумышленники, тем легче им будет усыпить его бдительность и втереться в доверие с целью получения денег, — подчеркнул эксперт.
Однако первый зампред комитета Госдумы по информационным технологиям Сергей Боярский считает, что ничего критичного не произошло. В разговоре с NEWS.ru он заявил, что это не первый случай утечки информации.
Мы сейчас одной ногой в цифровом мире и нужно забыть вообще про сохранность персональных данных. Наверняка и мои данные там есть, хотя они есть и в десятках других баз, — поделился политик.
По его мнению, адреса, имена и телефоны — самое безобидное, что может оказаться в руках злоумышленников. Также он выразил сожаление, что в эту историю попал «Яндекс». Боярский надеется, что специалисты закроют брешь и это не отразится на репутации компании.
Личная информация пользователей Сети действительно часто появляется в открытом доступе. Даже сайты, на которых затем оказалась карта с адресами клиентов «Яндекс.Еды», появились значительно раньше. Слитая база данных была доступна там изначально, но это привлекло внимание только после появления карты — удобной для поиска сведений о людях.
Обычно информация распространяется в формате баз данных в даркнете. Для хакеров это заработок, и личные данные они продают тем, кто в этом заинтересован, — мошенникам и рекламным кол-центрам.
В последний раз в России бесплатно распространяли крупный архив данных в 2021 году, когда в интернете оказался список людей, отправлявших деньги Фонду борьбы с коррупцией (ФБК, организация признана властями РФ экстремистской, деятельность запрещена). Тогда один из фигурировавших в базе россиян рассказывал NEWS.ru, что его адрес, который попал в Сеть, был доступен только сервисам доставки. До этого в открытом доступе оказывались паспортные данные людей, голосовавших по поправкам к Конституции.
В большинстве случаев хакеры пытаются заработать на полученных данных и не публикуют их бесплатно.
Крупные компании и сервисы регулярно сталкиваются с утечками информации. Хакеры воруют данные карт, пароли, аккаунты различных сервисов и даже данные государственных сайтов. Крупнейшие сливы данных в разное время затрагивали различные глобальные сервисы, в том числе Yahoo, Ebay, Uber и JP Morgan Chase. Болезненными для пользователей были и утечки информации о посетителях сайтов знакомств и сайтов для взрослых.
В России с подобными атаками сталкивались и банки, и цифровые сервисы, и даже РЖД. Более того, в стране существует большой рынок «пробива», которым пользуются как злоумышленники, так и, например, журналисты-расследователи. На нём за небольшую цену заказчик может получить много данных на конкретного человека. Информацию, по данным СМИ, предоставляют финансово заинтересованные сотрудники банков, мобильных операторов или государственных органов. Несмотря на активную борьбу со стороны властей и компаний, такую услугу продолжают активно предлагать в даркнете. Фактически это значит, что любой желающий может нелегально получить информацию о конкретном человеке, и от слитых баз это не зависит.
