Утечки персональных данных: чем они опасны для пользователей и как от них защититься

Зачем воруют персональные данные пользователей

Причины краж персональных данных бывают абсолютно разные:

• Эти данные можно продать другим злоумышленникам;
• Персональные данные человека могут помочь «подогнать» фишинговое письмо под конкретную жертву, что увеличит вероятность выполнения ей желаемых действий (введение учетных/платежных данных на фишинговой странице, скачивание файла с вредоносным содержимым и т.д.);
• С помощью персональных данных пользователя можно получить доступ к его аккаунтам и устройствам и пользоваться ими в своих целях;
• Также с помощью персональных данных и аккаунтов пользователей можно больше узнать о других пользователях. Злоумышленники могут более точно подобрать механизмы атаки на цель и даже найти ее персональные данные у других пользователей. Например, в переписке в социальной сети.

Как злоумышленники получают доступ к чужим персональным данным

Способов добраться до персональных данных много, но основными являются:

• Взлом баз данных компаний. Ненадежная, устаревшая защита от угроз или просто еще не исправленный баг в системе, о котором никто и не знал до инцидента — все это может привести к утечке данных;
• Фишинговые рассылки. Если ваш друг клюнул на фишинговое письмо и его аккаунт украли, то с него могут организовать фишинговую рассылку по его кругу общения. Как правило, такой метод будет более эффективным, потому что последующим жертвам пишут уже от лица знакомого человека;
• Инсайдерские утечки. Бывают случаи, когда злоумышленники подкупают сотрудника организации и он дает доступ к данным клиентов;
• Простой поиск. Иногда из-за неправильной настройки сервер дает поисковым системам индексировать данные, которые на нем хранятся. Такие базы данных можно найти с помощью специальных запросов в поисковике, и они нередко содержат персональные данные пользователей. А еще пользователи сами оставляют очень много информации о себе. Например, ссылки на свои аккаунты в других сервисах, которые содержат еще больше информации… потратив пару часов на анализ социальных сетей и форумов, на которых сидит жертва, можно узнать о ней очень многое: от мнения о новом сериале до режима сна и аллергии на, скажем, клубнику.

Как себя обезопасить

К сожалению, от утечек данных пользователь себя обезопасить сам не сможет. Ведь большое количество данных утекает как раз в результате взломов баз данных сервисов или инсайдерских утечек.

Но мы подготовили несколько советов, как сделать утечку ваших данных, если она произойдет, менее болезненной, а жизнь злоумышленников сложнее:

• Указывайте лишь необходимый минимум данных. Если для работы с сервисом хватит только почты и пароля, так и оставьте. Как минимум не будет названивать «служба безопасности банка» или коллекторы, которым ваш номер дали как контактный.
• Подпишитесь на рассылку от havibeenpwned.com. Этот сервис собирает информацию об известных утечках почтовых адресов и оповестит вас, если ваша почта была замечена в утечке. Но на каждую почту нужно оформлять оповещения отдельно.
• Используйте разные пароли для разных сервисов. Даже если утечка случится, злоумышленники не смогут раскинуть сети на все ваши аккаунты, привязанные к полученной почте. И им сложнее дальше работать, и вам проще восстановить один аккаунт вместо десятка.
• Регулярно обновляйте пароли от своих аккаунтов. Утечки данных происходят постоянно и далеко не всегда попадают в новостные сводки. Можно и не заметить, что ваш аккаунт взломали и используют в своих целях киберпреступники;
• Настройте двухфакторную аутентификацию. Она помешает злоумышленникам получить доступ к вашим аккаунтам даже в случае, когда у них есть данные для входа;
• При верификации на сервисе с помощью документов (паспорт, водительские права) хорошей превентивной мерой будут водяные знаки на фото или подпись на бумаге, когда и для какого сервиса было сделано фото. Есть все шансы, что техподдержка отклонит эти фото, если злоумышленники попытаются использовать их для верификации аккаунта на других сервисах;
• Если же утечка произошла и в ней были замечены ваши персональные данные, хорошей идеей будет обратиться в компетентные органы. Даже если расследование застопорится, у вас будет подтверждение того, что кто-то мог использовать ваши данные. Это поможет оспорить ответственность за действия злоумышленников, которые они производили от вашего лица. Это, например, помогло Рафаэлю Халилову в феврале прошлого года аннулировать кредит в банке, который на него взяли мошенники;
• Ну а если вы разбираетесь в безопасности, то можете участвовать в программах bug bounty и просто находить уязвимости и оповещать о них компании. Так вы сделаете их сервисы безопаснее, а свои персональные данные защищеннее.

Главная опасность утечек данных состоит в том, что для пользователя она может пройти незаметно. Не всегда компании освещают подобные инциденты хоть где-то, а даже если и освещают, то не всегда информация о них доходит до пользователей. Поэтому очень важно заранее позаботиться о своих персональных данных.

Фото: GaudiLab/shutterstock