Не так давно личные данные 1,3 млн пользователей Clubhouse оказались в открытом доступе. И такое происшествие — не редкость: по данным компании Symantec, хакеры крадут платежные данные пользователей с 4,8 тыс. уникальных сайтов ежемесячно.
Александр Лазаренко, автор научных статей и образовательных курсов по информационной безопасности, студент MOOVE by SKOLKOVO&MTS, рассказал, что предпринять, если личные данные слили, и как обезопасить себя от таких ситуаций в будущем.
Что же делать, если в очередной новости вы заметили, что ваш любимый сервис оказался взломан, а все данные пользователей продаются на хакерских форумах? В идеале к такой ситуации нужно быть готовым всегда. Основная проблема большинства пользователей интернета — это одинаковые пароли в нескольких сервисах, что позволяет злоумышленникам при первой удобной возможности заполучить доступ к вашим аккаунтам.
Обычно люди используют одинаковые пароли из-за достаточно банальной причины — они их просто забывают. Однако это уже давно не может быть оправданием.
На рынке существует огромное количество разнообразных менеджеров паролей на любой вкус и цвет: от open-source-проектов типа KeePass до коммерческих кросс-платформенных приложений типа LastPass.
Мы понимаем, что находимся только в самом начале процесса диджитализации. Количество компьютеров увеличивается, что неизбежно приводит к возрастанию кибератак. Любой стартап должен с первого дня задумываться об этом, так как утечка данных из-за халатности команды и пренебрежения элементарными правилами кибербезопасности может убить такой бизнес.
Подобная проблема обсуждалась и на программе MOOVE by «Сколково» и МТС, где у нас проводился модуль по цифровой трансформации и платформенным бизнес-моделям. В ходе обучения возникла горячая дискуссия по поводу безопасности и частых ошибках стартапов с раскрытием приватных ключей к ноукод базам данных в общедоступных приложениях.
Получается, что стартаперы забывают о кибербезопасности, о том, что к ключам API вообще-то нужно ограничивать права доступа. Они выпускают веб-приложение, где записываются данные пользователей. Пользователь в браузере может забрать ключ и получить доступ ко всей базе данных.
Получается, стартап набирает обороты, а потом у него сливают базу данных. Можно представить себе сервис по подбору квартир, но при этом повесить ключ на видное место на входной двери в своем офисе. Любой человек может взять его и воспользоваться им. Едва ли такой подход устроит их клиентов.
Как только вы услышали новость о том, что какой-то из используемых вами сервисов был взломан, необходимо в срочном порядке поменять пароль в этом сервисе. В случае если он используется где-то еще, поменяйте его абсолютно везде. И да, нужно поставить в этих сервисах разные пароли.
В целом подобное событие является очень хорошим стимулом для проведения «дня безопасности» и повышения уровня защищенности ваших аккаунтов. Вот краткий чек-лист:
- Начните пользоваться менеджером паролей. Выберите тот, который подходит вам больше всего. Использование менеджера паролей — это очень удобно и просто, вы легко к этому привыкните.
- Поменяйте пароли во всех сервисах, которые вы используете, на сгенерированные менеджером паролей. В каждом из них есть функция автогенерации сложного пароля, которую обязательно нужно использовать. Эти программы заточены на то, чтобы генерировать сложные для bruteforce-атак комбинации символов, которые будут еще и уникальными в рамках вашего портфеля паролей.
- Начните по-настоящему использовать менеджер паролей и сохраняйте в нем каждую пару логин-пароль. Это значительно повысит ваш уровень безопасности и снизит персональные риски при утечке базы данных очередного сервиса.
- Обязательно проверьте, что вы нигде не задублировали пароль. Если задублировали — срочно поменяйте его.
- Продолжайте использовать менеджер паролей для каждого нового сервиса, сайта, компьютера или корпоративного сервера. Делайте только уникальные и сложные пароли. У вас должна закрепиться позитивная привычка использования менеджера паролей.
- Зайдите в каждый из своих аккаунтов (хотя бы в топ-20 используемых сервисов) и включите двухфакторную аутентификацию. Использование двухфакторной аутентификации значительно увеличивает безопасность ваших аккаунтов и создает много сложностей для хакеров, даже если они завладели вашим паролем. Обратите особое внимание на аккаунты электронной почты, облачных сервисов, социальных сетей, мессенджеров и сервисов типа iCloud, которые привязаны к вашим персональным устройствам.
- Начните использовать двухфакторную аутентификацию во всех сервисах, которыми вы пользуетесь, если такая опция доступна.
- Проведите аудит безопасности ваших аккаунтов при помощи сервисов типа Have I been pwned и SpyCloud. Они отслеживают актуальные утечки и могут помочь вам понять, какие аккаунты могли быть скомпрометированы.
- Используйте разные почты для разных целей и не кладите все яйца в одну корзину. Принцип простой: в почте для спама только спам, в корпоративной почте — только корпоративная почта. Особенное внимание стоит уделить почтам, к которым привязаны ваши облачные хранилища, бэкапы устройств, мессенджеры и мобильные девайсы. Лучше, чтобы вы вообще не использовали почты, к которым привязано что-то важное для сторонних целей.
- Не раскрывайте сервисам больше данных, чем им нужно знать. Всегда есть риск, что любой сайт или платформа могут быть взломаны.
- Прочитайте статьи специалистов по информационной безопасности и всегда будьте начеку. Чем раньше вы узнаете об утечке, тем больше у вас времени среагировать.
- Будьте бдительны и помните: если кажется, что вы делаете что-то небезопасно, то, скорее всего, так и есть.
Эти простые действия значительно обезопасят вас в киберпространстве и продвинут на новый уровень компьютерной грамотности.
Фото на обложке: Worawee Meepian/shutterstock.com
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter