Русские Вести

Глобальная утечка персональных данных в России


В открытом доступе в интернете оказались сведения по крайней мере 1,2 млн жителей России. Новые утечки фиксируются в тот момент, когда наша возможность вести полноценную жизнь напрямую зависит от информационных систем, получения QR-кодов, загрузки на госресурсы данных о прививках от COVID-19 или результатах ПЦР-тестирования. Почему такие утечки происходят раз за разом, а власти, кажется, ничего не могут с этим поделать?

Сегодня всё больше аспектов частной жизни гражданина определяется цифровыми системами. Пандемия коронавируса дополнительно актуализировала важность электронных взаимоотношений человека с государством, работодателями, друзьями, семьёй и даже с магазинами. Профили в соцсетях, аккаунт на "Госуслугах", сайтах интернет-магазинов, наличие банковской карты, цифровой подписи и многое другое – это новые зоны риска. Не удобства и улучшения качества жизни, а именно риска.

Таковыми их делают многочисленные утечки наших с вами персональных данных. Они повторяются снова и снова, порождая вопросы о том, как это остановить, как себя обезопасить. Как правило, речь идёт о безопасности миллионов наших сограждан.

Риск для миллионов

О том, что в Сети обнаружились данные по крайней мере 1,2 млн жителей России, заявила 25 июня IT-компания Bi.zone – "дочка" Сбера. Компания своими силами определила, что логины и пароли оказались как в даркнете (на чёрном интернет-рынке), так и в открытом доступе, откуда их может скопировать бесплатно любой желающий. При этом попадание логинов и паролей граждан в руки злоумышленников может означать, что будет запущена цепная реакция: нередко преступники могут получить доступ ко всему и сразу.

В большинстве случаев люди привыкли использовать одинаковые логин и пароль на множестве ресурсов: от аккаунтов в социальных сетях и онлайн-магазинах до рабочих сервисов. В такой ситуации, если ваша учётная запись будет скомпрометирована на одном из них, то возрастает риск взлома всех аккаунтов,


– сказал ТАСС представитель компании.

Риск сложно переоценить. Так, например, взлом аккаунта в "Госуслугах", куда злоумышленник попадёт при помощи украденного у вас пароля, будет означать, что в его руках окажутся все данные 
– паспортные, номера ИНН и СНИЛС, информация по уплате налогов, штрафов, данные о здоровье, доходе и иные чувствительные документы. Преступник может, например, заблокировать доступ и потребовать выкуп. Кроме этого, ключи к вашему цифровому профилю могут и вовсе превратить жизнь в кошмар. В Москве начинает действовать система получения QR-кодов о прививке от коронавируса, в эту же государственную базу люди загружают сведения о ПЦР-тестах, если прибыли из-за границы или, опять же, для получения кода на походы в рестораны.

А как вам перспектива оформления многомиллионного кредита в банке на ваше имя по вашим паспортным данным или прямо из аккаунта в системе банка? И это не говоря уже о краже денег со счёта, когда система банка будет уверена, что с ней взаимодействуете именно вы, а не злоумышленник.

Риск взлома профилей в социальных сетях – это доступ злоумышленников к вашей переписке. Преступники чаще всего в неё не вникают, но зато начинают рассылку по всем контактам вредоносных ссылок с вирусами. Да и переписка, если атака производится целенаправленно на чиновника, предпринимателя или даже политика, может стать предметом требования выкупа. Поэтому мы и говорим, что пара логин-пароль чаще всего открывает почти любые двери в частную жизнь почти любого человека.

В чём же причина?

Причин всего три, и они тесно взаимосвязаны: это деятельность самих пользователей, деятельность непосредственно взломщиков, а также недостаточное обеспечение безопасности персональных данных со стороны тех, кто их хранит.

Если говорить о первой причине, то нередко мы сами серьёзно упрощаем задачу взломщикам. Как сообщила в своём отчёте специализирующаяся на кибербезопасности компания NordPass, в 2020 году перечень самых небезопасных паролей, используемых людьми по всему миру, не претерпел серьёзных изменений. Так, например, самым небезопасным паролем в 2020 году, как и в предыдущие годы, остаётся пароль "123456". Его применили 2 543 285 человек, а взламывался он 23 597 311 раз. На втором месте по популярности пароль "123456789", далее идёт вариант " picture1", а затем просто невероятный по своей простодушности пароль "password". Годом ранее в топ-10 самых небезопасных паролей вошли также "test1", "qwerty", "iloveyou", "111111" и "qwertyuiop" (верхний ряд букв на клавиатуре).

В России пользователи часто устанавливают пароли, связанные с датой рождения – комбинация из числа, месяца и года. Несмотря на все предупреждения специалистов, этот тренд не удаётся переломить. Да, портал "Госуслуг" потребует от вас более сложного пароля. Однако и тут люди предпочитают использовать что-то легко запоминающееся. Этим также объясняется и использование одного и того же пароля сразу для многих аккаунтов.

Можно взять какую-то простую русскую фразу и разложить её на английской раскладке. Её будет просто запомнить и сложно подобрать при помощи логических методов. Кроме этого, не стоит оставлять пароли в каких-либо файлах на компьютере. Это очень важный момент, но многие почему-то всё равно это делают. Если уж и записывать пароли на компьютере, то лучше сделать пометки, которые поймёте только вы и никто другой,

– рассказала Царьграду ведущий менеджер по развитию продуктовых решений компании в сфере цифровой безопасности IIITD Group Анна Архипова.

Вторая причина – действия злоумышленников. Если они воспользуются теми 1,2 млн паролей, которые сейчас были найдены в открытом доступе, то задача преступников упрощается. Нужно просто применить эти данные для входа в разные аккаунты. Взломщики также используют специальные программы, которые перебирают наиболее популярные варианты паролей или же действуют по алгоритму подбора паролей для конкретного человека на основе тех данных, которые удалось получить из открытого доступа. Как только преступник вломился в аккаунт, остальное уже дело техники. Такие атаки с автоматическим подбором разных вариантов паролей на профессиональном языке называются brute-force атаками. Преступников почти невозможно вычислить, они проводят свои атаки с подменой IP-адресов, через сервисы анонимизации, когда сервер просто не знает, из какой страны, с какого компьютера и на каком "железе" производится это действие.

А как же защита со стороны государства?

Если с первыми двумя причинами взломов и утечек всё более или менее понятно, то остаётся неясным, как быть с обеспечением кибербезопасности граждан со стороны государства и структур, которые хранят персональные данные. Пока ситуация выглядит так, что как госструктуры, так и любые частные компании с удовольствием соберут ваши персональные данные, будут их хранить и обрабатывать, передавать третьим лицам в рамках условий обработки информации, а вот в случае утечек – разводить руками. Виновны в утечке по закону лишь те, кто похитил, взломал, проник в электронную систему, а не тот, кто не слишком прочно запер входные двери.

В России нет особых отделов полиции, которые занимались бы именно утечками и последующим хищением средств граждан, например, с банковских карт. Если злоумышленники уведут деньги с карты гражданина, то ему придётся писать заявление в полицию и "ждать у моря погоды", потому как найти преступников практически невозможно.

Раскрываемость всего несколько процентов. И рост идёт именно от безнаказанности. К сожалению, органы внутренних дел, которые должны заниматься этой проблемой, пока не выработали эффективную систему противодействия этим видам преступлений,

– сказал Царьграду председатель экспертного совета по безопасности и взаимоотношениям граждан с правоохранительными органами Антон Цветков.

Такой системой, по его мнению, могла бы стать реакция в режиме реального времени, которая предусматривает взаимодействие с подразделениями ЦБ России и крупнейшими банками. Для этого, считает Цветков, в России необходимо создать круглосуточный федеральный ситуационный центр. Кстати, такой центр по примеру МЧС мог бы даже рассылать гражданам предупреждения. Но не о плохой погоде, а о том, что личные данные оказались украдены или пароли скомпрометированы.

То есть ответственность часто лежит вовсе не на гражданине, который придумал плохой пароль, а на ресурсе, откуда он был украден. "Дочка" Сбера Bi.zone делает хорошее дело, занимаясь мониторингом утечек и предупреждая об их последствиях. Однако эта же компания хранит все персональные данные клиентов Сбера. Когда вы подписываете с банком договор, то подписываете и своё согласие на обработку и передачу ваших данных этой компании. 

Нам очевидно, что в период пандемии цифровые угрозы для граждан возрастают многократно. Если бы мы могли не зависеть от собственных же цифровых профилей и аккаунтов, то гордились бы этим. Но мы зависим, и очень сильно. Государство и частные структуры ставят нас в эту зависимость, автоматизируя процессы, собирая гигантские массивы персональных данных. И на законодательном уровне эта деятельность всё ещё слабо регулируется. Что же касается самих злоумышленников, которые могут воспользоваться найденными в открытом доступе данными миллионов жителей России, то во многом они всё ещё остаются неуловимыми.

Егор Кучер

Источник: old.tsargrad.tv