Привет.
Каждую неделю нас расстраивают тем, что в очередной раз утекли те или иные данные. Иногда это правда, порой кто-то создает видимость утечки, чтобы побольнее пнуть своих конкурентов, и тогда стюардессу откапывают каждые полгода, рассказывая об одних и тех же данных до бесконечности. Эмоциональная реакция на утечку всегда гарантирована, тут нет сомнений. В нашей жизни есть несколько тем, которые всегда вызывают однозначную реакцию — чиновники, изменение цен, жадные продавцы чего-либо и далее по списку. Среди горячих тем обосновалась утечка персональных данных, но мы зачастую не задаемся вопросом, какие неприятности могут принести наши данные в открытом мире, что именно мы теряем. И тут мнения разнятся, большинство людей не могут ответить точно, что конкретно плохо в этой ситуации, расспросы только показывают глубину их незнания. Плохо, и точка!
Table of Contents
- Самый важный идентификатор современного человека — номер телефона
- Утечка данных — какие данные важны, а какие нет
- Данные утекли — что делать, куда бежать
Давайте попробуем вместе рассмотреть недавние утечки, оценить, насколько они неприятны и опасны для пользователей. Начну с того, что каждый раз, когда я читаю про утечку тех или иных данных, я стараюсь найти файл с этой информацией, чтобы проверить, что в нем содержится, насколько данные актуальны. Задачка не из легких, зачастую обнаружить данные почти невозможно — число публикаций про них огромно, а вот сами данные недоступны. Получается, что утечка как бы существует в природе, но кто может получить к ней доступ, неясно. И тут нужно задаваться вопросом, что является полномасштабной утечкой, а что — информационным шумом, не подкрепленным данными.
Обычно файл с утекшими данными выглядит как набор параметров, он лишен удобной оболочки, в нем приходится руками искать ту или иную информацию. Для большинства людей это представляет неудобство, так как мы привыкли к комфорту. Мы можем оценить этот момент на конкретном примере утечки из «Яндекс.Еды», когда появилась база с миллионами строк заказов, персональными данными людей, их адресами, примечаниями, как попасть в подъезд, мобильными телефонами. В компании об утечке сообщили 1 марта 2022 года, но случилась она чуть раньше, база была доступна для загрузки. Поиск по базе не был удобным, вам приходилось руками создавать запросы. И никакого скандала не случилось, хотя данные представляли огромный интерес для любого заинтересованного человека.
Несколько недель спустя предприимчивые люди создали сайт, на котором организовали оболочку для этих данных — вы могли на карте выбирать дома, смотреть, кто и сколько заказывал (при этом не было самих заказов, хотя в базе они содержались), была возможность просматривать персональные данные.
Именно удобный интерфейс сделал эту утечку популярной, огромное число людей ринулись смотреть номера своих знакомых и близких, изучать, что и куда они заказывали. Причина в том, что было удобно искать информацию, скажем так, подглядывать в замочную скважину. С интересом посмотрел на заказы своих детей, на то, что заказывал сам, изучил траты своих соседей, а заодно узнал коды от домофона. В «Яндексе» очень быстро попросили заблокировать сайт РКН, что и было сделано. Теперь этот ресурс кочует по разным адресам, его достаточно оперативно блокируют. Доступа у большинства людей к нему нет, равно как и не существует удобной локальной базы для поиска информации из этой утечки.
Нам всем необходимо понимать, что данная утечка, также как и любая другая, единожды попав в сеть, там навсегда и остается. Вопрос только в том, смогут ли получить к ней доступ широкие массы, в большинстве случаев интерес к утечке быстро пропадает.
Страх перед утечкой данных иррационален в большинстве случаев, объясняется он тем, что мы не понимаем, что злоумышленники могут с этими данными сделать, как могут нам навредить. Давайте рассмотрим самые типичные ситуации, а также то, как мы можем от них предохраниться.
Самый важный идентификатор современного человека — номер телефона
Так получилось, что самым важным идентификатором для нас стал номер телефона — мы привязываем к нему социальные сети, банковское приложение, различные сервисы и услуги. Удобство не вызывает сомнений, но есть одно огромное «но»! Если по какой-то причине мы теряем номер, жизнь превращается в нескончаемый кошмар, в одночасье можно потерять доступ к приложениям и сервисам, своим деньгам и многому иному.
Нужно проделать несколько важных шагов, чтобы подстелить соломки на случай неприятностей. Первое — это установка PIN-кода на SIM-карту, любой телефон и смартфон позволяют это сделать, также можно привязать SIM-карту к использованию только в конкретном телефоне (не на всех моделях смартфонов сегодня есть такая опция). Второе — нужно не полениться и у оператора связи написать заявление, что выдача новой SIM-карты по доверенности невозможна (не все операторы и не во всех регионах дают это сделать, уточняйте возможность такой услуги). В отдельном материале описал подробнее эти моменты.
Ваша SIM-карта крайне важна для вас и всего, что вы делаете. Поэтому, пожалуйста, постарайтесь ее защитить. Но есть еще один момент, который крайне важен, — двухфакторная авторизация. Большинство современных сервисов позволяют установить именно такой тип входа. То есть вам нужно не только знать пароль от сервиса, но также иметь доступ к телефону (как вариант, приложению). Не нужно лениться, включайте такой тип авторизации, он защитит вас от возможных проблем. Пароль может быть скомпрометирован, но отсутствие доступа к вашему телефону сослужит вам добрую службу.
Я не скрываю свой номер телефона, он иногда мелькает в видео или обзорах, зачастую его просто случайно пропускают, не закрывают звездочками или не затирают. И очень часто мне пишут те, кто его обнаружил, начинают бить в колокола — угроза безопасности! На самом деле угроза мнимая, и вот почему. Знание номера человека не дает вам никаких преимуществ, так как физически вы не имеете к нему доступа. Максимум можно заняться хулиганством, подключить сервис-бомбер, он начнет перебирать открытые сервисы, которые присылают SMS для авторизации, и к вам на телефон начнут попадать такие сообщения. Никаких неприятностей не будет, если вы не станете делиться данными из этих сообщений с кем-либо.
Возможно, неприятно, что кто-то забрасывает вас такими SMS, причем явно хулиганит, но именно вреда человек причинить не может. Это попытка оказать эмоциональное давление. В серьезных случаях, когда вы на острие атаки, злоумышленники могут попытаться выведать эти коды — обычно они звонят и представляются сотрудниками банков, правоохранительных органов и стараются узнать коды. Можете смело класть трубку и не разговаривать с ними.
Самые большие проблемы себе можем причинить только мы сами, следует заучить это назубок. Только вы способны раскрыть свои данные незнакомцам и причинить себе же вред. Поэтому сделайте так, чтобы этого не происходило, выучите правила цифровой гигиены, не общайтесь с незнакомцами, которые якобы пытаются вам помочь.
Следующий важный момент — включите на своем смартфоне биометрию, как вариант, пароль. Эти простые шаги помогут защитить ваши данные, в том числе если вы потеряете свое устройство.
Самые беспокойные могут поступить так же, как привык делать я (режим параноика). У меня самые важные приложения, банковские карты привязаны ко второй SIM-карте, номер которой я не показываю нигде. С нее я не звоню, не выхожу в Интернет — SIM-карта только для регистрации в сервисах, а также для банковских услуг. Да, на нее сыплется какой-то спам, но злоумышленники не могут меня атаковать на этой карте, они просто не знают о том, что она существует. Живет эта SIM-карта во втором слоте телефона, что меня полностью устраивает.
Для объявлений на «Авито» или других сервисах можно быстро и безболезненно получить у оператора дополнительный номер телефона на свою же SIM-карту.
Утечка данных — какие данные важны, а какие нет
Большинство мошенничеств сегодня происходит в цифровом мире, злоумышленники очень не любят реальный мир, так как в нем их легко поймать. В Москве фактически тотальное пространство под видеонаблюдением, другие города подтягиваются к этому уровню. Даже зная адрес человека, злоумышленник не решится на какие-то действия в физическом мире, так как его следы будут слишком явными. Угроза почти всегда носит цифровой характер.
Поэтому если в каком сервисе утекли ваши данные о том, что вы живете по такому-то адресу, то это неприятно, но особых проблем доставить не может. В зависимости от района, от того, какой у вас дом, может отличаться уровень безопасности, но вы всегда можете его повысить, например, поставить камеры в квартире или установить их в домофоне и так далее. Такие возможности существуют, и они доступны для большинства людей. Главное, что тут мы защищаемся от угроз из прошлого, число квартирных краж за последние годы сильно сократилось в Москве и других городах.
Отсюда простой вывод — ваш домашний адрес не представляет особого интереса, им сложно воспользоваться. Но, например, код доступа в подъезд может быть интересен не тем, кто имеет зуб на вас, а закладчикам и другим неприятным личностям. Поэтому предоставлять код доступа в подъезд не нужно, пусть курьер, который привозит еду или товары, позвонит в домофон, а вы его пустите. И это хорошее правило — не оставлять ту информацию, что может быть использована посторонними людьми.
У меня в подъезде сидит консьержка, после утечки «Яндекс.Еды» она измучилась, так как примерно полтора-два месяца в подъезд пытались попасть молодые люди, им было что-то нужно. Настойчиво прорывающаяся молодежь периодически попадала внутрь, они раскапывали горшки с растениями, рылись в трубах и что-то настойчиво искали. После того, как несколько раз вызвали полицию, визиты прекратились. Интересно, что коды доступа в подъезд были из той утечки «Яндекс.Еды». В итоге всем пришлось сменить привычные коды, они стали новыми. Но такое поведение — это скорее исключение, чем реальность для большинства, люди не привыкли себя утруждать ничем таким.
В большинстве сервисов вы не можете предоставить какие-то данные, что могут вам навредить. Без вашего участия у злоумышленников будет недостаточно данных, чтобы сделать что-то в реальной жизни. Встречаются редкие исключения, например, летом 2021 года некоторые пользователи «Госуслуг» обнаружили, что на них оформлены микрозаймы. Их пароли от сервиса взломали, а количество данных внутри таково, что можно было оформить такие займы. Тут вновь все упирается в то, что люди не позаботились о достаточном уровне защиты, а сервис не настоял на нем (что также упрек в его адрес).
Мы не можем регулировать, какие данные отдавать на «Госуслуги», а какие нет. Удобство всегда перевешивает потенциальные неприятности, поэтому мы делимся своими данными. Просто нужно подходить к этому вопросу разумно.
Очень часто, обсуждая утечки, все данные сгребают в один ком, словно они все важны. На самом деле это не так. На мой взгляд, вот эти данные не так уж важны:
- ФИО;
- Номер вашего телефона;
- Адрес электронной почты;
- Домашний адрес.
Эти данные, так или иначе, можно добыть и без утечек. Главное, что если вы не судья, не сотрудник правоохранительных органов, не общаетесь с психически неуравновешенными людьми, место вашего жительства не играет никакой роли. Равно как и другие данные. Заблокировать психа, который звонит по ночам и хочет пообщаться, не так сложно, это пара нажатий. Плюс у меня просто не проходят звонки в ночное время, телефон автоматически переходит в режиме «Не беспокоить». За двадцать лет у меня было с пяток инцидентов с тем, что некие люди звонили и пытались что-то сказать. Так что для человека непубличного это будет еще меньшим испытанием, даже потенциально.
Утечка паролей — вещь намного более неприятная, и тут нужно напомнить вам, что в каждом сервисе должен быть свой пароль! Храните их в защищенной зоне вашего смартфона, использовать приложения для хранений паролей, конечно, можно, но помните, что они не гарантируют 100% безопасности, их тоже в теории могут взломать. И повторюсь, полагаться только на пароли нельзя, у вас должна быть двухфакторная авторизация.
Данные утекли — что делать, куда бежать
Вы просыпаетесь утром и узнаете, что компания Х допустила утечку пользовательских данных, вы когда-то имели отношения с этой компанией или являетесь ее клиентом в настоящем. Первое, что вам нужно сделать, это сменить пароль в сервисе. Второе — написать в службу поддержки и узнать, какие конкретно данные были скомпрометированы. Также нужно задать вопрос, что именно компания делает, чтобы минимизировать ущерб.
Штрафы за утечку персональных данных в России минимальны («Яндекс» за утечку данных в «Еде» заплатил 60 тысяч рублей, смешно, не так ли?). Поэтому будет хорошим поступком обратиться в суд и потратить свое время, вы получите компенсацию в размере 10 тысяч рублей или около того, плюс вам возместят судебные расходы. Такой подход отнимет ваше время, но заставит компании заботиться о безопасности данных, инвестировать деньги в защиту. В США штрафы за утечку персональных данных астрономические, почитайте статью по ссылке ниже, благодаря этому компании боятся их потерять. Нам нужно нечто подобное.
В случае утечки данных в банке необходимо сменить номер телефона, который привязан к вашему счету, заведите другой номер, сделать это несложно. Да и изначально лучше, чтобы это был не ваш основной номер (но он должен быть всегда включен, нельзя вынимать карту из телефона и включать по необходимости!).
Всегда оценивайте свои потенциальные риски, не преувеличивайте их, но и не преуменьшайте. Главное — трезво смотреть на вещи и понимать, что именно может доставить вам неприятности, а что нет. Эмоциональная реакция на утечку данных — это повод побурчать, но зачастую в утечках нет ничего такого, что способно доставить вам реальные неприятности. И к тому же они недоступны большинству, отсюда еще меньший потенциальный ущерб. Что вовсе не значит, что с утечками не нужно бороться. Необходимо, чтобы компании берегли наши данные, раз уж они их запросили.
Очень часто с нас требуют избыточные данные, например, на днях посещал Moscow Urban Forum, где с меня запросили ФИО, телефон, почту — все это для бесплатного билета. Причем никакие из этих данных не проверяются, билет приходит на почту. Конечно же, использовал выдуманную ФИО, а почту – ту, что зарезервировал как раз для таких ситуаций.
Хотим мы того или нет, но данные будут утекать. В большинстве случаев мы сами создаем набор этих данных и можем регулировать, что отдавать в сторонние сервисы, а что нет. И не всегда нужно писать в них правду, как выше, в случае с регистрацией на выставку. Оценивайте свои риски самостоятельно, это необходимое умение в современном мире.
Расскажите, как вы защищаете свои данные, что считаете критичным, а какие данные для вас неважны.
"Живет эта SIM-карта во втором слоте телефона, что меня полностью устраивает." И этот человек еще называет себя параноиком, банковскую симку во второй слот телефона, не Айфона, заметьте, не кнопочной звонилки, а дырявого ведроида (минусаторы, не упустите шанс!), того самого, про левые приложения для которого с очень интересными спецэффектами автор писал буквально в предыдущей статье. И, небось, на этом же телефоне все банковские приложения стоят, ага. А ведроид, конечно, все смски читает сам и позволяет читать всем приложениям и троянам, которые выразят хоть малейшее желание.
хорошо, значит в цифре мошенников ооочень трудно изобличить? или нет желания? или это необходимый таран для отмены приватности, как и "утечки" за 60000₽…т.е. для чуть не ежедневной популизации мошейников, рассказами о их новых методах, желание и деньги есть, а вот ввести проблему номер один цифровизации в цивилизованные рамки, почти невозможно? т. е. отношение к обывателю в капэкономике в том же наплевательском виде переносится в "дивный, цифровой мир"? а смысл шило на мыло, да за наши же миллиарды….
В книге Митника описаны методы как имея эти данные можно наделать проблем. Например получив информацию о том на какой улице родился, или о девичьей фамилии матери. Контрольные вопросы -ответы очень часто базируются на постулате, что такая информация недоступна.
Из методик защиты данных: 1) плюс в почте. Vasya+[email protected] — сразу ясно откуда утечка. В начале сво у меня появился огромный список скомпрометированных сервисов. 2) никогда не говорить незнакомым людям по телефону "да" — ни на один вопрос. Нынче часто используется голосовая авторизация, где словом Да выражается согласие, которое потом не оспоришь.
Александр Киселев, Имея любой физический или информационный объект при желании (или достаточном уровне паранойи) можно наделать проблем. Вопрос вероятностей.
Александр Киселев, Отвечая на "секретные" вопросы достаточно давать ответы никак не связанные ни с вопросом, ни с владельцем аккаунта. Например "Девичья фамилия матери — Семён Семёныч" или "Ваше любимое блюдо — ВАЗ-2101". Главное не забыть, что отвечено 🙂
GrishaTav_SE, В "Ведроиде" хотя бы можно запретить конкретным приложениям доступ к СМС и/или звонкам, а вот в "кнопочной звонилке" один чёрт знает, как там прошивка намешана и куда и что она отсылает.
П.Н.., Ну можно взять какую-никакую бредовую звонилку, Нокия, Алкатель и пр. Плюс за звонилкой можно смотреть по детализации, куда там она СМСки отправляет, а смартфон фиг его поймешь, что и куда он сливает.
Олег, Мне нужно, чтобы смартфон вообще никогда не читал мои СМСки. Вообще. Никогда.
GrishaTav_SE, Современные кнопочники от Nokia работают на KaiOS — то ещё решето. Да и про другие бренды то и дело слышно, что телефоны без функций доступа в интернет таки туда ходит зачем-то. Можно конечно взять древние аппараты совсем без "мозгов", что-нибудь вроде Nokia 3310 или Siemens A35, но так можно договориться до деревянных счёт и пеших походов в банк по любому поводу 🙂
Soldat_iz_seva, Снять биометрию на телефоне и снять биометрию в конторе "Левая-Нога-Банк" это два разных процесса. Телефон ваши "пальчики" или "личико" хранит в виде хеша, вычисленного специальным чипом, и эти данные никуда физически передаться не могут — только ответ от устройства вроде "Да, это хозяин!" или "Нет, этого я знать не знаю!". Так что автор тут ни капельки не противоречит ни себе самому и ни здравому смыслу. Попробуйте поймать его на чем-нибудь ещё 🙂
GrishaTav_SE, Тогда он их показывать не сможет 🙂
П.Н.., Я согласен на отдельный аппаратный модуль чтения СМС 🙂
П.Н.., Лично у меня на СИМке для кнопочника интернет отключен как услуга на стороне оператора.
SPbugene, ОООП поможет снизить уровень "неприятности" от встречи до приемлемого уровня 😉
Поручикъ Ржевскій, Только "очень большую мушку" лучше заранее спилить 🙂
П.Н.., Ответ обывателя. Любое оружие требует навыков обращения и минимального им обучения. ОООП в этом плане предпочтительнее, скажем, ножа или дубинки (есть вариант не присесть).
HariBol, Советские времена ещё много где остались) Не знаю, как в столицах, в регионах велосипеды напрокат почасово дают только по паспорту и сейчас. Ещё и залог иногда просят. Конечно, при этом вопрос, не сфотает ли кто по тихому данные и таким образом не станет ли составлять некую базу.