Колонки

Утечки персональных данных: чем они опасны для пользователей и как от них защититься

Колонки
Павел Пармон
Павел Пармон

Сотрудник аналитического отдела Falcongaze

Алена Шаповалова

Привычные нам сервисы не защищены на 100% от утечки данных. Павел Пармон, сотрудник аналитического отдела компании Falcongaze, которая специализируется на кибербезопасности, написал колонку о том, зачем и как злоумышленники воруют информацию, и как усложнить процесс кражи.

Утечки персональных данных: чем они опасны для пользователей и как от них защититься

Зачем воруют персональные данные пользователей

Причины краж персональных данных бывают абсолютно разные:

  • Эти данные можно продать другим злоумышленникам;
  • Персональные данные человека могут помочь «подогнать» фишинговое письмо под конкретную жертву, что увеличит вероятность выполнения ей желаемых действий (введение учетных/платежных данных на фишинговой странице, скачивание файла с вредоносным содержимым и т.д.);
  • С помощью персональных данных пользователя можно получить доступ к его аккаунтам и устройствам и пользоваться ими в своих целях;
  • Также с помощью персональных данных и аккаунтов пользователей можно больше узнать о других пользователях. Злоумышленники могут более точно подобрать механизмы атаки на цель и даже найти ее персональные данные у других пользователей. Например, в переписке в социальной сети.

 

Как злоумышленники получают доступ к чужим персональным данным

Способов добраться до персональных данных много, но основными являются:

  • Взлом баз данных компаний. Ненадежная, устаревшая защита от угроз или просто еще не исправленный баг в системе, о котором никто и не знал до инцидента — все это может привести к утечке данных;
  • Фишинговые рассылки. Если ваш друг клюнул на фишинговое письмо и его аккаунт украли, то с него могут организовать фишинговую рассылку по его кругу общения. Как правило, такой метод будет более эффективным, потому что последующим жертвам пишут уже от лица знакомого человека;
  • Инсайдерские утечки. Бывают случаи, когда злоумышленники подкупают сотрудника организации и он дает доступ к данным клиентов;
  • Простой поиск. Иногда из-за неправильной настройки сервер дает поисковым системам индексировать данные, которые на нем хранятся. Такие базы данных можно найти с помощью специальных запросов в поисковике, и они нередко содержат персональные данные пользователей. А еще пользователи сами оставляют очень много информации о себе. Например, ссылки на свои аккаунты в других сервисах, которые содержат еще больше информации… потратив пару часов на анализ социальных сетей и форумов, на которых сидит жертва, можно узнать о ней очень многое: от мнения о новом сериале до режима сна и аллергии на, скажем, клубнику.

 

Как себя обезопасить

К сожалению, от утечек данных пользователь себя обезопасить сам не сможет. Ведь большое количество данных утекает как раз в результате взломов баз данных сервисов или инсайдерских утечек.

Но мы подготовили несколько советов, как сделать утечку ваших данных, если она произойдет, менее болезненной, а жизнь злоумышленников сложнее:

  • Указывайте лишь необходимый минимум данных. Если для работы с сервисом хватит только почты и пароля, так и оставьте. Как минимум не будет названивать «служба безопасности банка» или коллекторы, которым ваш номер дали как контактный.
  • Подпишитесь на рассылку от havibeenpwned.com. Этот сервис собирает информацию об известных утечках почтовых адресов и оповестит вас, если ваша почта была замечена в утечке. Но на каждую почту нужно оформлять оповещения отдельно.
  • Используйте разные пароли для разных сервисов. Даже если утечка случится, злоумышленники не смогут раскинуть сети на все ваши аккаунты, привязанные к полученной почте. И им сложнее дальше работать, и вам проще восстановить один аккаунт вместо десятка.
  • Регулярно обновляйте пароли от своих аккаунтов. Утечки данных происходят постоянно и далеко не всегда попадают в новостные сводки. Можно и не заметить, что ваш аккаунт взломали и используют в своих целях киберпреступники;
  • Настройте двухфакторную аутентификацию. Она помешает злоумышленникам получить доступ к вашим аккаунтам даже в случае, когда у них есть данные для входа;
  • При верификации на сервисе с помощью документов (паспорт, водительские права) хорошей превентивной мерой будут водяные знаки на фото или подпись на бумаге, когда и для какого сервиса было сделано фото. Есть все шансы, что техподдержка отклонит эти фото, если злоумышленники попытаются использовать их для верификации аккаунта на других сервисах;
  • Если же утечка произошла и в ней были замечены ваши персональные данные, хорошей идеей будет обратиться в компетентные органы. Даже если расследование застопорится, у вас будет подтверждение того, что кто-то мог использовать ваши данные. Это поможет оспорить ответственность за действия злоумышленников, которые они производили от вашего лица. Это, например, помогло Рафаэлю Халилову в феврале прошлого года аннулировать кредит в банке, который на него взяли мошенники;
  • Ну а если вы разбираетесь в безопасности, то можете участвовать в программах bug bounty и просто находить уязвимости и оповещать о них компании. Так вы сделаете их сервисы безопаснее, а свои персональные данные защищеннее.

Главная опасность утечек данных состоит в том, что для пользователя она может пройти незаметно. Не всегда компании освещают подобные инциденты хоть где-то, а даже если и освещают, то не всегда информация о них доходит до пользователей. Поэтому очень важно заранее позаботиться о своих персональных данных.

Фото: GaudiLab/shutterstock

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Фотоны против хакеров: как квантовые технологии оберегают данные корпораций
  2. 2 Роскомнадзор требует у Facebook объяснений за утечку: данные 10 млн россиян оказались в Сети
  3. 3 Советы этичного хакера: как защитить свои личные данные от мошенников
Стажировка в IT
Гринатом зовет студентов и начинающих специалистов на программу Greenlab
Узнать больше