Слышу прозвон: за полгода в Сеть утекло 140 млн номеров россиян
За полгода в Сеть утекло 140 млн уникальных мобильных номеров россиян, а также 46 млн уникальных e-mail адресов. Об этом говорится в исследовании сервиса разведки утечек данных и мониторинга даркнета DLBI (есть у «Известий»). Фактически контактные данные почти каждого россиянина есть в открытом доступе, оценили эксперты. Эти сведения мошенники используют для обманов с помощью социальной инженерии, а также для атак на организации. Тем не менее число случаев «сливов» снижается. Как можно обезопасить себя от последствий утечек — в материале «Известий».
Сколько данных россиян утекло в Сеть в 2024 году
За январь–июнь 2024 года у российских компаний зафиксировано 144 случая утечки данных, включавших в себя 46 млн уникальных e-mail адресов и 140 млн номеров. Об этом говорится в исследовании российского сервиса разведки утечек данных и мониторинга даркнета DLBI (есть у «Известий»).
Авторы напоминают, что в последнее время объем краж личных данных рос темпами около 40% в год. При этом по сравнению с первым полугодием 2023-го количество «сливов» снизилось (с 207 до 144 инцидентов), а объемы попавшей в Сеть информации выросли только на 14%. Это наиболее позитивная динамика за весь период проведения исследования (c 2019 года), говорится в исследовании.
В Роскомнадзоре тенденцию подтвердили. Там сообщили «Известиям», что за первое полугодие 2024 года выявили 73 факта утечек персональных данных против 110 подобных случаев за аналогичный период 2023-го.
По данным службы, за шесть месяцев из-за «сливов» в открытый доступ попало более 600 млн записей (речь тут не только об уникальной информации — в разных утечках данные могут повторяться). В прошлом году этот показатель составлял 200 млн.
«Лидером по числу утечек данных в первой половине этого года остался сегмент электронной коммерции, где произошло 46% всех утечек. На втором месте — ритейл (16%), на третьем — информационно-развлекательные ресурсы (10%). Лидером по объему остается финансовый сектор, где в январе–феврале этого года произошло несколько крупных утечек данных онлайн-МФО общим объемом более 80 млн записей», — сообщается в исследовании DLBI.
Среди крупнейших утечек первого полугодия можно назвать инцидент с платформой Robo.finance, из-за которого в открытый доступ попало 2 млн строк данных клиентов МФО «Займер» и около 6 млн — клиентов МФО «А Деньги», перечислил «Известиям» основатель сервиса DLBI Ашот Оганесян.
Он добавил, что к этой категории можно отнести и «слив» сведений из магазина обуви и одежды Rendez-Vous (7,6 млн уникальных номеров и 4,5 млн e-mail), а также утечку из сети «Ортека» (3,8 млн мобильных телефонов). «Известия» направили запросы в упомянутые компании.
Как в России борются с утечками данных граждан
Российские компании активно работают над защитой своих информационных систем от «сливов». На рынке e-commerce высокие требования к безопасности, заявил президент АКИТ Артем Соколов. Более того, последние несколько лет бизнес успешно противостоит многочисленным кибератакам, что требует значительных инвестиций в защиту.
— Многие игроки рынка интернет-торговли внедряют процессы строгой конфиденциальности персональных данных, чтобы ни один идентификатор или информация, прямо или косвенно относящаяся к клиентам и партнерам, не могла быть сопоставлена с известными утечками, — добавил Артем Соколов.
Современные технологии позволяют МФО обеспечить высокий уровень информационной безопасности, заявили и в СРО «Микрофинансирование и развитие» («МиР»). Многие компании хранят данные на серверах с высокими мерами безопасности, включая двухфакторную идентификацию и 256-битное шифрование, а допуск к сведениям есть у минимального количества сотрудников.
Как показывают проверки, зачастую утечки происходят не из самой организации, а от партнеров, которые не могут обеспечить должный уровень информационной безопасности, добавили в СРО «МиР».
Сбор персональных данных должен ограничиваться необходимым минимумом для достижения конкретных законных целей, заявили «Известиям» в Роскомнадзоре.
В службе считают, что необходимо действовать через отраслевое законодательство — разработать обязательные стандарты работы с данными. Также следует предусмотреть право использовать доверенные системы, которые позволят оператору не «копировать» всю информацию о человеке, а хранить лишь синтетический идентификатор и транзакционные данные. В случае компрометации этих баз «привязать» записи к конкретному человеку будет гораздо сложнее, добавили в Роскомнадзоре.
Как мошенники используют утекшие в Сеть данные
Объемы утекших в Сеть данных — 140 млн уникальных телефонных номеров только в первом полугодии — огромны, констатируют эксперты. Для сравнения, по информации ТМТ Консалтинг, по итогам 2023-го число активных сим-карт составило 258 млн. Можно сказать, что данные почти каждого человека в том или ином объеме (как минимум телефонный номер и ФИО) уже утекли в Сеть, сказал директор технического департамента RTM Group Федор Музалевский.
Слитую информацию могут использовать мошенники в своих схемах социальной инженерии. Чем больше у злоумышленника информации, тем выше доверие к нему, пояснил гендиректор SafeTech Денис Калемберг.
Кроме того, массовые утечки персональных данных приводят к росту атак на кредитные организации с помощью ботов, добавил директор по развитию Servicepipe Данила Чежин. Он разъяснил: злоумышленники используют украденные или утекшие в Сеть логины и пароли для несанкционированного доступа к различным онлайн-сервисам.
Если для входа в интернет-банк настроена двухфакторная аутентификация, то попытка входа с утекшей парой логин-пароль приводит к отправке СМС-сообщения с дополнительным кодом на мобильный номер клиента. Были случаи отправки до 600 тыс. подобных сообщений в сутки, инициированных ботами, таким образом ущерб отдельной организации мог составлять более 2 млн в день, добавил Данила Чежин.
Кроме того, утекшие в Сеть данные нередко используют и компании для продвижения своих услуг, при этом россияне страдают от спам-звонков и СМС.
Чтобы минимизировать последствия утечек данных, следует использовать различные связки логинов и паролей, добавил ведущий специалист отдела анализа и оценки цифровых угроз Infosecurity Максим Грязев. При этом для регистрации на различных не самых доверенных ресурсах не нужно применять свои персональные данные и постоянную почту, а также корпоративную учетную запись.
