Лично сданные: в 2023-м утекли 240 млн уникальных телефонных номеров россиян
Откуда в основном сливают сведения, чем это опасно и как власти собираются исправлять ситуацию
За 2023 год в Сеть утекли 240 млн уникальных телефонных номеров россиян, говорится в исследовании сервиса DLBI (есть у «Известий»). Всего в Роскомнадзоре за год зафиксировали 168 сливов персональных данных. Лидеры по утечкам — ритейл и банки. От целевых атак хакеры перешли к массовым. Взломы баз компаний — это часть гибридной войны против России, подчеркнули в РКН. Чтобы защитить россиян, власти хотят ввести для организаций оборотные штрафы — такой подход поддерживают в Минцифры и Центробанке. Также в стране может появиться механизм компенсации для пострадавших.
Сколько данных утекло в сеть в 2023 году
В 2023 году произошло более 290 утечек, в результате которых злоумышленники получили доступ к 240 млн уникальных телефонных номеров и 123 млн e-mail-адресов российских пользователей. Об этом говорится в исследовании сервиса разведки уязвимостей и утечек данных DLBI (есть у «Известий»).
Там уточнили, что годом ранее число инцидентов было незначительно меньше — 270. Тогда в Сеть попало 99,8 млн уникальных e-mail-адресов и 109,7 млн телефонных номеров российских пользователей.
В Роскомнадзоре назвали «Известиям» немного иные цифры: в 2023 году служба зафиксировала 168 утечек персональных данных, в результате которых в открытый доступ попало более 300 млн записей (не уточняется, были ли они уникальными). Для сравнения: в 2022-м было более 140 случаев, а в Сети оказалось около 600 млн сведений о гражданах.
По данным DLBI, лидером по числу утечек в 2023 году с большим отрывом стал сегмент электронной коммерции (почти 40% инцидентов). За ней следуют здравоохранение (9%) и досуг (8,5%). По объему слитых данных первой стала банковская отрасль (47% утекших телефонных номеров) и электронная коммерция (38% утекших e-mail-адресов).
Например, в начале прошлого года в Сеть попала база клиентов «Спортмастера», сообщалось в Telegram-канале «Утечки информации», который ведет основатель сервиса DLBI Ашот Оганесян. Тогда, по информации канала, в свободный доступ попало 99,9 млн строк информации (13,4 млн уникальных адресов электронной почты и 45 млн номеров).
Также в прошлом году в Сеть слили данные пользователей бонусной программы «СберСпасибо», сообщалось в том же Telegram-канале. Среди них — почти 48 млн уникальных номеров и 3,3 млн адресов почт. Впрочем, тогда в сервисе говорили, что подобные сообщения связаны с мошенниками, которые пытаются продать компиляции старых баз данных под видом оригинальных.
«Известия» направили запросы в «Спортмастер» и «Сбер».
Кроме телефонов и e-mail-адресов, в утечки часто попадают пароли пользователей (логином чаще всего выступает имеющийся телефон или e-mail). Также нередко сливаются адреса и паспортные данные, добавил основатель сервиса DLBI Ашот Оганесян.
Как изменились каналы утечек данных
Основным трендом 2023 года, помимо переориентации на e-commerce, в DLBI назвали снижение доли крупных утечек (размером более миллиона уникальных записей) с 30 до 10%. Сменился вектор атак. Раньше практически все утечки происходили из-за инсайдеров, но с 2022-го основная причина — хакерские атаки, напомнил Ашот Оганесян. В основном со стороны так называемых украинских хактевистов.
При этом в 2022 году атаки были более целевыми и направлялись на крупные российские компании, взлом которых мог стать громким PR-поводом, отметил Ашот Оганесян. По его словам, затем крупный бизнес усилил информационную безопасность, поэтому целевая стратегия стала неэффективной. Теперь хакеры массово сканируют Рунет и взламывают все ресурсы, имеющие уязвимости.
— Участившиеся взломы баз данных и их сливы в публичное пространство — часть гибридной войны, которая ведется против России. Очевидно, что это спланированные хакерские атаки, инициированные из-за рубежа. Характер и масштабы взломов позволяют говорить о работе специалистов, близких к зарубежным спецслужбам, — заявили «Известиям» в Роскомнадзоре.
Чем опасны утечки данных
Часто злоумышленники используют полученные данные для атак типа password reuse, когда пароли из различных сливов объединяются и используются, например, для взлома личных кабинетов, заявил Ашот Оганесян.
— Наиболее опасны утечки тех данных, при помощи которых можно причинить финансовый ущерб. Это сведения банковских карт, паспортные данные, в редких случаях номера телефонов (если потом взламываются личный кабинет оператора и с личного счета списываются деньги), — добавил генеральный директор SafeTech Lab Александр Санин.
Самая «простая» информация, такая как номера телефонов и почты, сведения о заказах из магазинов, адреса, — включаются в обширные базы данных, которые в интернете можно находить и скачивать пачками, например, с целью рекламы, рассказал директор технического департамента RTM Group Федор Музалевский.
Он добавил: любые данные мошенники могут использовать для более успешных атак методами социальной инженерии. Например, когда злоумышленники звонят от имени службы безопасности банка или силовых структур.
Как власти планируют защищать россиян от утечек данных
Для повышения безопасности личных данных в РФ предложили ввести оборотные штрафы за утечку. Законопроект предполагает, что штраф за повторное нарушение, если утекли сведения более 1 тыс. человек, должен составлять от 0,1 до 3% выручки за календарный год, предшествующий нарушению. Еще одно предложение — использовать портал «Госуслуги» для обращений пострадавших от утечки персональных данных за получением компенсаций от компаний, говорил глава Минцифры Максут Шадаев.
В ведомстве заявили «Известиям», что поддерживают инициативу введения оборотных штрафов за утечки персональных данных, в том числе с применением механизма компенсации для пострадавших от таких сливов.
Банк России концептуально поддерживает законопроект Минцифры о введении оборотных штрафов за утечки данных, сообщили там «Известиям». В ЦБ добавили, что постоянно взаимодействуют с банками по теме противодействия компьютерным атакам, включая утечки информации.
Впрочем, бизнес и так активно инвестирует в развитие кибербезопасности, отметил президент АКИТ Артем Соколов. Он резюмировал: размеры штрафов, кроме установленных предельных значений, должны носить прежде всего стимулирующий характер, а не карательный.
Авторство
Комментарии
Когда утекли твои данные в виде ФИО, телефона, почты, паролей и даже паспортных данных - это полбеды. Почти все можно поменять.
Когда начнет утекать биометрия, использование которой с маниакальным упорством нам впаривают - как тут быть? Морду лица, радужку, или отпечатки пальцев не поменяешь.
И при этом впаривают, как в данной статье, про "различные каналы утечки", ага.
Канал утечки - один: операционные системы. Которые собирают все данные на каждого из нас, а затем передают под разными предлогами, например, "обновление системы".
То есть понятно, что проще всего перегонять информацию с крупных баз данных, типа банков. Но суть-то не в этом.
Суть в том, что наши данные в принципе не защищены, никак. И до тех пор, пока мы не вернемся к бумажному документообороту по крупным сделкам, мы будем находиться в электронном рабстве. Тот факт, что у нас всех еще не отняли все наше имущество, объясняется просто: рабов обычно кормят и следят за их здоровьем, а не режут, как баранов.
Ну и как вашу биометрию могут использовать? Можете описать ?
Ну и как вашу биометрию могут использовать? Можете описать ?
Ты сильно не переживай, скоро и сам узнаешь.
Например, в ячейку массива данных, описывающих Вашу биометрию подставят данные другого человека. И для системы он будет вами. Со всеми доступами к финансам и недвижимости.
Вода дырочку найдет. Война щита и меча вечная.
Как он будет проходить сверку по биометрии? Маску наденит. Силиконовый палец подставит? И да вам не кто не мешает ввести самозапрет на удаленное оформление документов и займов
Как будет? По своим физическим данным. Элементарно, ведь образцом для сравнения будут уже его, а не ваши биометрические данные. Ваши, условно говоря, будут затерты. Еще, раз - для системы он станет вами. Докажите потом, что вы - это вы.
Только не начинайте "Как? Это же невозможно!" Точно так же говорили про "обычные " базы данных, пластиковые карты, пароли и прочее. И что, невозможно? Кому надо, придумают как.
Самозапрет, конечно, можно, а зачем тогда всю бодягу разводить с биометрией?
Ну например база пальчиков уже есть, но, что то не вижу, что бы ими пользовались в корыстных целях? Я вас и с прашиваю ну украсили ваши биометрии и? Ее же надо с чем то сравнить. Так с чем сравнивать то будут? В этом моменте поясните. Как физически подлетают вашу биометрию? И да если вы получаете загран паспорт спешу вас огорчит он сейчас только биометрический с чипом и?
Блин, третий раз. В базе данных с биометрией, хранящейся "где-то там", откуда утечка якобы невозможна, сделали подмену ваших данных на данные биометрии Васи Пупкина. Когда Вася Пупкин (злоумышленник) подойдет к устройству считывания, его лицо сравнят с его же лицом, но путем подмены оказавшимся в записи базы данных, числящейся за Вами. Идентификация будет совершенно спокойно совершена. Но запись- то привязана к вашим финансам. И Вася спокойно распорядится вашими финансами.
Хорошо подменили на чужие вот и доказательство, что не вы не так ли. Глуппо как то получается. С тем же успехом и паспорт подменить можно не так ли
. Что переодически и делают.
Когда начнет утекать биометрия, а она обязательно "утечет", вернётся вопрос об обязательном индивидуальном чипировании.
Так-что вопрос утечек и ошибок биометрии это только вопрос времени.
Банки и коммерции прямо заинтересованы в ускорении этого процесса.
Никто не хранит вашу морду лица или урюпинский акцент.
Хранят вектора хэшей, причем полученных по разным алгоритмам и часто зашифрованные.
Их можно использовать только изнутри системы из которой они были украдены.
Кроме того, они пока еще не используются самостоятельно ни для чего серьезного.
Кроме того, все что вы будете делать с их помощью будет анализироваться другими нейросетями.
Так что можете пока расслабиться.
В настоящее время получить любые данные по любому человеку не особо проблематично.
Если же к этому приложить еще и деньги, то совсем без проблем.
Что из бумажных, что из электронных источников.
А введение штрафов за утечки приведет к большому количеству судов, в которых допустившие утечку будут доказывать, что это "старые данные", которые выдают за новые. Как Сбер.
Финансово легко заставить банки возмещать убытки клиентам.
Вот прямо только что А.Володин разместил у себя в ТГ голосовалку.
Интересуется мнением читателей об оборотных штрафах компаниям за утечку персональных данных.
Значит, скоро будет соотв. Закон.
Спасибо.
Не за что!
Неполно.
Обратите внимание на практически утверждённый инвариант раздачи скидочных карт.
Вопрос: как Вы считаете, все ли ИС по их обработке соответствуют требованиям к ИС, используемых для обработки ПД?
Да мне, если честно, это вообще довольно всё равно.
Равно как и боротьба за ПД. Но это лично моё мнение в отношении себя самого.
После чего ценники на обслуживание в банках взлетят раз в 10.
Или вы вместо телефона и банкомата будете снова топтаться в многочасовой очереди в кассу.
Экспроприация саботажников. Не?
Особо упорные отправятся топтать зону.
«Это вряд ли…» ©
Альфа-банк не упомянули. У них в октябре утащили базу в формате ФИО, телефон, дата рождения, номера карт со сроком действия. Банк не признался, сказал что это фейк. Соврал.
И утечки будут продолжаться дальше и все больше. Государство и бизнес не особо заинтересованы в изменении ситуации, ведь ущерб получают не они, а граждане. Да и то единично, а не массово. Социального взрыва с этой стороны не ожидается, а тратить немалые деньги на защиту того, что никак не поможет тебе получать прибыль... Да кому это надо.
Да и 152 закон откровенно говоря по уровню обеспечения защиты информации на порядок слабее гостайны и написан странно и противоречиво. Что само по себе говорит о том, в защите чего государство действительно заинтересовано, а на что ему плевать.
Ага, агенство ДЛБ утечки пощитало.
Множим на порядок...
У 120 млн населения утекло 240 млн номеров? Угу.
К слову, интересная тенденция. Если когда то давно я завел себе 2ой телефоный номер именно для всяких интернет-помоек и случайных левых контактов, а 1ый номер, основной и красивый, для рабочих и деловых контактов, регистрации на всяких госуслугах, в банках и тп
И какое то время это работало, весь спам шел исключительно на "помоечный" номер, где благоролучно отсекался белым списком.
Но года 2-3 назал ситуация изменилась ровно наоборот, сейчас на помоечный номер почти не звонят (хотя пользую его активно как и прежде), а 90% спама приходит как раз на основной номер, из слитых баз видимо.
У меня несколько симок...
У меня самого их штук 5 ( 2 телефон, 2 интернет, 1 в навигаторе) но масштабы поражают, т.е сведения утекли практически у каждого
Косвенно о масштабах можно судить по звонкам "служб безопасности сбера" и "капитанов полиции". Насколько могу судить - звонят практически всем. А каждый звонок делается по утекшей откуда-то базе данных.
Аналогично.Причём на помойной неск.десятков помоек,а на основной - штук пять важных.Видимо,с основной и утекло.
Нужно отучить от сбора персональных данных теми организациями, которые по закону не обязаны их собирать.
1) организации должны сами оповещать власти, если собрали более 1000 записей, за не своевременное исполнение выплачивать по 1000 рублей за каждую запись.
2) В случае кражи у таких организаций собранных данных, они должны каждому человеку, данные о котором были украдены выплать 1000 рублей компенсации сразу при обнаружении факта кражи данных. И компенсировать весь последующий ущерб, который нанесли с использованием украденных данных. При попытке скрыть факт кражи, выплаты должны увеличиваться до 10000 рублей.
Думаю, такое дополнение к ГК быстро отучит от сбора данных там, где это не требуется.
И как пострадавшему доказать, что он во-первых пострадал именно от утечки, а во вторых что от утечки из конкретной компании?
так же как попробовать отозвать депутата...
Даже по таким оценочным прикидкам лидируют банки и коммерции.
А они точно не соучастники?
Следом медики. Впрочем учитывая их тенденцию к коммерции..
Результат элементарно достигается без прямой уголовщины.
Простым применением нарезки задачи с привлечением разнообразных аутсорсеров.
Ну, таки, ничего личного... только бизнес.
Какраз можно предположить и "личное".
Личную заинтересованность в системе опознавания личности например. И в системе прав на управление личными данными.
Личные данные, а за ними и сама личность - для банка это 'актив'.
А сами "личности" почему-то упорно не хотят быть чьей-то собственностью.
А раз собственность "ничейная", то она и утекает не понять куда. Сами личности и виноваты.
Когда вы регистрируетесь на Авито, то заносите в их базу свои реальные фамилию имя и отчество, реальный адрес и реальный номер телефона. Перед тем, как свалить из России, норвеги (Авито вроде их была?) придумали ещё одну забаву - заставить россиян вертеть головой перед камерой. Это прямо и однозначно нарушает российский закон о биометрических данных. То есть теперь у враждебного нам государства есть не только адреса, телефоны и фамилии наших граждан, но и их внешний вид. Клоунский. Наверное, норвеги на новогоднем корпоративе смотрели ролики с крутящими головами россиянами (а головой обязательно нужно было вертеть перед камерой в разные стороны!), весело комментировали и ржали.
Я написал в прокуратуру заявление, но неправильно сформулировал - всё смешал в кучу. Авито закрыло объявление о сдаче квартиры, за которое я заплатил деньги и стали требовать с меня видео, утверждая, что я робот. Я уже службе поддержке говорю через ВК - "мы две недели с Вами переписываемся - вы не видите, что я человек?". "Нет. Мы будем уверены, если видео пришлёте". Я говорил, что у меня нет видеокамеры - отвечали - сними на смартфон. Я говорил, что телефон у меня кнопочный (реально так!) - говорили - попроси кого-нибудь, чтоб тебя сняли. Я говорил, что вы нарушаете вот такие-то законы, отвечали - нет, не нарушаем мы ничего... В общем, я написал заявление сразу и на то, что они заставляют головой крутить, и на то, что взяли деньги, а услугу не оказали. Для меня главное было то, что над нами издеваются, но прокуратура сделала акцент (по моей оплошности) на деньгах. Деньги мне Авито вернула панически быстро - прокуратур они боятся. Сначала я по этому поводу обратился в Роскомнадзор (они мне ссылку на сайт прокуратуры и дали, где можно за пять минут форму с заявлением заполнить - всё быстро и удобно). Какая-то юридическая фирма, то ли отделение Роскомнадзора, предложила мне быть моим представителем в суде с Авитой. Абсолютно безплатно. Они выслали мне уже готовое заявление, в которой чётко, по полочкам было расписано, какие законы те нарушают, заставляя людей крутить головой перед камерами. Но я уже свои деньги получил назад, у Авиты удалил свой аккаунт, сдаю квартиру теперь через Юлу, поэтому отказался.
Вызывает недоумение, что Авита теперь
наша, ну по-крайней мере зарегистрирована как российская, но беззаконие с кручением голов продолжается. Удивительно. И возмутительно.Вот так вот. Без всяких утечек. Сами все данные предоставляем, не задумываясь ни на секунду ни о чём.
Вы уверены, что авито удалил все экземпляры собранных ПД до (и без) продажи разным интересантам?
Даже интересно, вы или просто немножко неразумы что причину и следствие не видите, или хата скраю все таки не только жителям Украины свойственно.
Дам подсказку, вы забили сразу же когда решилась ваша проблема, и даже не попытались дойти до конца, чтоб реально наказать авито.
Авито вообще несет куда то не туда. Наша контора размещает там вакансии. Пришло письмо от кандидата. Им пишут пришлите ссылку на резюме или отправьте резюме на электронную почту. Прилетает претензия от Авито - в случае повторного запроса ссылок или отправки клиенту адреса электронной почты мы Вас заблокируем. Я что то ничего не понимаю - а как они видят процесс предварительного разговора с тем, кто хочет устроиться на работу. И так во всем. Сделали кривую систему расположение оглавлений видов деятельности и блочат все объявления, которые как им кажется неправильно размещены. Требуют номера продаваемых авто и т.д. - я за свои деньги размещаю объявление о продаже и не хочу светить номер своего авто и т.д.
Понятно, что в этом буизнесе торгуют немаленькими базами. И будут торговать (т.к. далеко не все подконтрольно).
Интересно, что используется в качестве единиц измерения при этой торговле: один-два-три штука ПД или же Mb/Gb/Tb etc..
Звоню в диспетчерскую ЖКХ, поднимают трубку, вы такой-то такой-то из квартиры, подъезда, дома? Я припух, потом сообразил, что недавно звонил уже. Так потихоньку и соберутся данные и они ничего не подписывали.