Привет.
Каждую неделю нас расстраивают тем, что в очередной раз утекли те или иные данные. Иногда это правда, порой кто-то создает видимость утечки, чтобы побольнее пнуть своих конкурентов, и тогда стюардессу откапывают каждые полгода, рассказывая об одних и тех же данных до бесконечности. Эмоциональная реакция на утечку всегда гарантирована, тут нет сомнений. В нашей жизни есть несколько тем, которые всегда вызывают однозначную реакцию — чиновники, изменение цен, жадные продавцы чего-либо и далее по списку. Среди горячих тем обосновалась утечка персональных данных, но мы зачастую не задаемся вопросом, какие неприятности могут принести наши данные в открытом мире, что именно мы теряем. И тут мнения разнятся, большинство людей не могут ответить точно, что конкретно плохо в этой ситуации, расспросы только показывают глубину их незнания. Плохо, и точка!
Table of Contents
- Самый важный идентификатор современного человека — номер телефона
- Утечка данных — какие данные важны, а какие нет
- Данные утекли — что делать, куда бежать
Давайте попробуем вместе рассмотреть недавние утечки, оценить, насколько они неприятны и опасны для пользователей. Начну с того, что каждый раз, когда я читаю про утечку тех или иных данных, я стараюсь найти файл с этой информацией, чтобы проверить, что в нем содержится, насколько данные актуальны. Задачка не из легких, зачастую обнаружить данные почти невозможно — число публикаций про них огромно, а вот сами данные недоступны. Получается, что утечка как бы существует в природе, но кто может получить к ней доступ, неясно. И тут нужно задаваться вопросом, что является полномасштабной утечкой, а что — информационным шумом, не подкрепленным данными.
Обычно файл с утекшими данными выглядит как набор параметров, он лишен удобной оболочки, в нем приходится руками искать ту или иную информацию. Для большинства людей это представляет неудобство, так как мы привыкли к комфорту. Мы можем оценить этот момент на конкретном примере утечки из «Яндекс.Еды», когда появилась база с миллионами строк заказов, персональными данными людей, их адресами, примечаниями, как попасть в подъезд, мобильными телефонами. В компании об утечке сообщили 1 марта 2022 года, но случилась она чуть раньше, база была доступна для загрузки. Поиск по базе не был удобным, вам приходилось руками создавать запросы. И никакого скандала не случилось, хотя данные представляли огромный интерес для любого заинтересованного человека.
Несколько недель спустя предприимчивые люди создали сайт, на котором организовали оболочку для этих данных — вы могли на карте выбирать дома, смотреть, кто и сколько заказывал (при этом не было самих заказов, хотя в базе они содержались), была возможность просматривать персональные данные.
Именно удобный интерфейс сделал эту утечку популярной, огромное число людей ринулись смотреть номера своих знакомых и близких, изучать, что и куда они заказывали. Причина в том, что было удобно искать информацию, скажем так, подглядывать в замочную скважину. С интересом посмотрел на заказы своих детей, на то, что заказывал сам, изучил траты своих соседей, а заодно узнал коды от домофона. В «Яндексе» очень быстро попросили заблокировать сайт РКН, что и было сделано. Теперь этот ресурс кочует по разным адресам, его достаточно оперативно блокируют. Доступа у большинства людей к нему нет, равно как и не существует удобной локальной базы для поиска информации из этой утечки.
Нам всем необходимо понимать, что данная утечка, также как и любая другая, единожды попав в сеть, там навсегда и остается. Вопрос только в том, смогут ли получить к ней доступ широкие массы, в большинстве случаев интерес к утечке быстро пропадает.
Страх перед утечкой данных иррационален в большинстве случаев, объясняется он тем, что мы не понимаем, что злоумышленники могут с этими данными сделать, как могут нам навредить. Давайте рассмотрим самые типичные ситуации, а также то, как мы можем от них предохраниться.
Самый важный идентификатор современного человека — номер телефона
Так получилось, что самым важным идентификатором для нас стал номер телефона — мы привязываем к нему социальные сети, банковское приложение, различные сервисы и услуги. Удобство не вызывает сомнений, но есть одно огромное «но»! Если по какой-то причине мы теряем номер, жизнь превращается в нескончаемый кошмар, в одночасье можно потерять доступ к приложениям и сервисам, своим деньгам и многому иному.
Нужно проделать несколько важных шагов, чтобы подстелить соломки на случай неприятностей. Первое — это установка PIN-кода на SIM-карту, любой телефон и смартфон позволяют это сделать, также можно привязать SIM-карту к использованию только в конкретном телефоне (не на всех моделях смартфонов сегодня есть такая опция). Второе — нужно не полениться и у оператора связи написать заявление, что выдача новой SIM-карты по доверенности невозможна (не все операторы и не во всех регионах дают это сделать, уточняйте возможность такой услуги). В отдельном материале описал подробнее эти моменты.
Ваша SIM-карта крайне важна для вас и всего, что вы делаете. Поэтому, пожалуйста, постарайтесь ее защитить. Но есть еще один момент, который крайне важен, — двухфакторная авторизация. Большинство современных сервисов позволяют установить именно такой тип входа. То есть вам нужно не только знать пароль от сервиса, но также иметь доступ к телефону (как вариант, приложению). Не нужно лениться, включайте такой тип авторизации, он защитит вас от возможных проблем. Пароль может быть скомпрометирован, но отсутствие доступа к вашему телефону сослужит вам добрую службу.
Я не скрываю свой номер телефона, он иногда мелькает в видео или обзорах, зачастую его просто случайно пропускают, не закрывают звездочками или не затирают. И очень часто мне пишут те, кто его обнаружил, начинают бить в колокола — угроза безопасности! На самом деле угроза мнимая, и вот почему. Знание номера человека не дает вам никаких преимуществ, так как физически вы не имеете к нему доступа. Максимум можно заняться хулиганством, подключить сервис-бомбер, он начнет перебирать открытые сервисы, которые присылают SMS для авторизации, и к вам на телефон начнут попадать такие сообщения. Никаких неприятностей не будет, если вы не станете делиться данными из этих сообщений с кем-либо.
Возможно, неприятно, что кто-то забрасывает вас такими SMS, причем явно хулиганит, но именно вреда человек причинить не может. Это попытка оказать эмоциональное давление. В серьезных случаях, когда вы на острие атаки, злоумышленники могут попытаться выведать эти коды — обычно они звонят и представляются сотрудниками банков, правоохранительных органов и стараются узнать коды. Можете смело класть трубку и не разговаривать с ними.
Самые большие проблемы себе можем причинить только мы сами, следует заучить это назубок. Только вы способны раскрыть свои данные незнакомцам и причинить себе же вред. Поэтому сделайте так, чтобы этого не происходило, выучите правила цифровой гигиены, не общайтесь с незнакомцами, которые якобы пытаются вам помочь.
Следующий важный момент — включите на своем смартфоне биометрию, как вариант, пароль. Эти простые шаги помогут защитить ваши данные, в том числе если вы потеряете свое устройство.
Самые беспокойные могут поступить так же, как привык делать я (режим параноика). У меня самые важные приложения, банковские карты привязаны ко второй SIM-карте, номер которой я не показываю нигде. С нее я не звоню, не выхожу в Интернет — SIM-карта только для регистрации в сервисах, а также для банковских услуг. Да, на нее сыплется какой-то спам, но злоумышленники не могут меня атаковать на этой карте, они просто не знают о том, что она существует. Живет эта SIM-карта во втором слоте телефона, что меня полностью устраивает.
Для объявлений на «Авито» или других сервисах можно быстро и безболезненно получить у оператора дополнительный номер телефона на свою же SIM-карту.
Утечка данных — какие данные важны, а какие нет
Большинство мошенничеств сегодня происходит в цифровом мире, злоумышленники очень не любят реальный мир, так как в нем их легко поймать. В Москве фактически тотальное пространство под видеонаблюдением, другие города подтягиваются к этому уровню. Даже зная адрес человека, злоумышленник не решится на какие-то действия в физическом мире, так как его следы будут слишком явными. Угроза почти всегда носит цифровой характер.
Поэтому если в каком сервисе утекли ваши данные о том, что вы живете по такому-то адресу, то это неприятно, но особых проблем доставить не может. В зависимости от района, от того, какой у вас дом, может отличаться уровень безопасности, но вы всегда можете его повысить, например, поставить камеры в квартире или установить их в домофоне и так далее. Такие возможности существуют, и они доступны для большинства людей. Главное, что тут мы защищаемся от угроз из прошлого, число квартирных краж за последние годы сильно сократилось в Москве и других городах.
Отсюда простой вывод — ваш домашний адрес не представляет особого интереса, им сложно воспользоваться. Но, например, код доступа в подъезд может быть интересен не тем, кто имеет зуб на вас, а закладчикам и другим неприятным личностям. Поэтому предоставлять код доступа в подъезд не нужно, пусть курьер, который привозит еду или товары, позвонит в домофон, а вы его пустите. И это хорошее правило — не оставлять ту информацию, что может быть использована посторонними людьми.
У меня в подъезде сидит консьержка, после утечки «Яндекс.Еды» она измучилась, так как примерно полтора-два месяца в подъезд пытались попасть молодые люди, им было что-то нужно. Настойчиво прорывающаяся молодежь периодически попадала внутрь, они раскапывали горшки с растениями, рылись в трубах и что-то настойчиво искали. После того, как несколько раз вызвали полицию, визиты прекратились. Интересно, что коды доступа в подъезд были из той утечки «Яндекс.Еды». В итоге всем пришлось сменить привычные коды, они стали новыми. Но такое поведение — это скорее исключение, чем реальность для большинства, люди не привыкли себя утруждать ничем таким.
В большинстве сервисов вы не можете предоставить какие-то данные, что могут вам навредить. Без вашего участия у злоумышленников будет недостаточно данных, чтобы сделать что-то в реальной жизни. Встречаются редкие исключения, например, летом 2021 года некоторые пользователи «Госуслуг» обнаружили, что на них оформлены микрозаймы. Их пароли от сервиса взломали, а количество данных внутри таково, что можно было оформить такие займы. Тут вновь все упирается в то, что люди не позаботились о достаточном уровне защиты, а сервис не настоял на нем (что также упрек в его адрес).
Мы не можем регулировать, какие данные отдавать на «Госуслуги», а какие нет. Удобство всегда перевешивает потенциальные неприятности, поэтому мы делимся своими данными. Просто нужно подходить к этому вопросу разумно.
Очень часто, обсуждая утечки, все данные сгребают в один ком, словно они все важны. На самом деле это не так. На мой взгляд, вот эти данные не так уж важны:
- ФИО;
- Номер вашего телефона;
- Адрес электронной почты;
- Домашний адрес.
Эти данные, так или иначе, можно добыть и без утечек. Главное, что если вы не судья, не сотрудник правоохранительных органов, не общаетесь с психически неуравновешенными людьми, место вашего жительства не играет никакой роли. Равно как и другие данные. Заблокировать психа, который звонит по ночам и хочет пообщаться, не так сложно, это пара нажатий. Плюс у меня просто не проходят звонки в ночное время, телефон автоматически переходит в режиме «Не беспокоить». За двадцать лет у меня было с пяток инцидентов с тем, что некие люди звонили и пытались что-то сказать. Так что для человека непубличного это будет еще меньшим испытанием, даже потенциально.
Утечка паролей — вещь намного более неприятная, и тут нужно напомнить вам, что в каждом сервисе должен быть свой пароль! Храните их в защищенной зоне вашего смартфона, использовать приложения для хранений паролей, конечно, можно, но помните, что они не гарантируют 100% безопасности, их тоже в теории могут взломать. И повторюсь, полагаться только на пароли нельзя, у вас должна быть двухфакторная авторизация.
Данные утекли — что делать, куда бежать
Вы просыпаетесь утром и узнаете, что компания Х допустила утечку пользовательских данных, вы когда-то имели отношения с этой компанией или являетесь ее клиентом в настоящем. Первое, что вам нужно сделать, это сменить пароль в сервисе. Второе — написать в службу поддержки и узнать, какие конкретно данные были скомпрометированы. Также нужно задать вопрос, что именно компания делает, чтобы минимизировать ущерб.
Штрафы за утечку персональных данных в России минимальны («Яндекс» за утечку данных в «Еде» заплатил 60 тысяч рублей, смешно, не так ли?). Поэтому будет хорошим поступком обратиться в суд и потратить свое время, вы получите компенсацию в размере 10 тысяч рублей или около того, плюс вам возместят судебные расходы. Такой подход отнимет ваше время, но заставит компании заботиться о безопасности данных, инвестировать деньги в защиту. В США штрафы за утечку персональных данных астрономические, почитайте статью по ссылке ниже, благодаря этому компании боятся их потерять. Нам нужно нечто подобное.
В случае утечки данных в банке необходимо сменить номер телефона, который привязан к вашему счету, заведите другой номер, сделать это несложно. Да и изначально лучше, чтобы это был не ваш основной номер (но он должен быть всегда включен, нельзя вынимать карту из телефона и включать по необходимости!).
Всегда оценивайте свои потенциальные риски, не преувеличивайте их, но и не преуменьшайте. Главное — трезво смотреть на вещи и понимать, что именно может доставить вам неприятности, а что нет. Эмоциональная реакция на утечку данных — это повод побурчать, но зачастую в утечках нет ничего такого, что способно доставить вам реальные неприятности. И к тому же они недоступны большинству, отсюда еще меньший потенциальный ущерб. Что вовсе не значит, что с утечками не нужно бороться. Необходимо, чтобы компании берегли наши данные, раз уж они их запросили.
Очень часто с нас требуют избыточные данные, например, на днях посещал Moscow Urban Forum, где с меня запросили ФИО, телефон, почту — все это для бесплатного билета. Причем никакие из этих данных не проверяются, билет приходит на почту. Конечно же, использовал выдуманную ФИО, а почту – ту, что зарезервировал как раз для таких ситуаций.
Хотим мы того или нет, но данные будут утекать. В большинстве случаев мы сами создаем набор этих данных и можем регулировать, что отдавать в сторонние сервисы, а что нет. И не всегда нужно писать в них правду, как выше, в случае с регистрацией на выставку. Оценивайте свои риски самостоятельно, это необходимое умение в современном мире.
Расскажите, как вы защищаете свои данные, что считаете критичным, а какие данные для вас неважны.