С начала 2021 в мире скомпрометировано более 1 млрд учетных записей в самых различных сервисах. Это едва ли не больше, чем за весь прошлый год.
Глобальные игроки
10 апреля стало известно, что на одном из хакерских форумов были выложены данные 1,3 млн пользователей Clubhouse. Компания поспешила заявить, что в свободном доступе оказались только общедоступные данные, которые можно получить через приложение или API. Эксперты по кибербезопасности пока и правда не нашли никакой чувствительной информации (вроде номеров банковских карт) в опубликованном архиве, но задались вопросами к компании и ее отношению к конфиденциальности пользовательских данных, которые, оказывается, так легко собрать в таких масштабах.
Парой дней ранее, 8 апреля, СМИ сообщили о колоссальных масштабов утечке персональных данных у социальной сети LinkedIN — сведения о 500 млн пользователей были выставлены на продажу на одном из теневых интернет-ресурсов. Важно отметить, что 500 млн учетных записей — это 2/3 из 740 млн подписчиков сервиса. Компания заявила, что нарушения систем безопасности не было, а в доступе оказалась лишь агрегированная общедоступная информация из пользовательских профилей, сбор которой, однако, запрещен правилами сервиса.
В конце марта был найден огромный массив персональных данных пользователей еще одной глобальной социальной сети — Facebook*: база на 530 млн учетных записей пользователей из 106 стран, включая и 10 млн россиян. В компании сообщили, что эти данные могли были получены в результате уязвимости функции импорта контактов, устраненной ещё в августе 2019 года. Последствия такой утечки для компании пока неясны: в Facebook* утверждают, что в обсуждаемой базе есть только общедоступная информация; но история еще не окончена. Однако компания уже заявила, что не будет уведомлять пострадавших от утечки пользователей: во-первых, потому что не уверена — каких именно пользователей уведомлять, а во-вторых, по мнению Facebook*, пользователи все равно ничего не смогут сделать с данными.
Россия в тренде
В России с начала года каждый месяц случается по скандалу с доступам ко внутренним IT-системам крупных компаний и утечкой персональных данных.
В январе пользователь Habr.com сумел подключиться к ряду внутренних сервисов РЖД, воспользовавшись тем, что на оборудовании были оставлены заводские настройки. Он смог получить доступ, например, к камерам видеонаблюдения, системам управления табло и вентиляцией, и массе других сервисов. О персональных данных речи не шло, однако подход к обеспечению кибербезопасности российской стратегической компании-монополиста по ж/д перевозкам впечатлил сильно.
В феврале «Яндекс» сообщил о почти 5000 скомпрометированных почтовых ящиках — доступ к ним предоставлял сотрудник технический поддержки компании (кому и в каких целях – не уточняется).
В марте возбуждено уголовное дело по факту утечки в декабре персональных данных 100 тыс. переболевших COVID-19 москвичей. Там снова виновными оказались некие сотрудники, которые занимались обработкой служебных документов и передали информацию неназванным третьим лицам.
В апреле были выставлены на продажу 100 тыс. записей с данными людей, подававших заявку на кредит в банке «ДОМ.РФ» за последний год. В банке признали наличие уязвимости при подаче заявок на выдачу кредита наличными и заверили, что исправили ее, а также протестировали на наличие «дыр» прочие системы (не нашли).
Персональные данные — новая нефть
Очевидно, что интерес к персональным данным в мире нарастает. Эксперты обоснованно полагают, что личные данные в стремительно цифровизирующейся экономике все больше и обширнее будут использоваться в неблаговидных и преступных целях.
Однако и системы защиты данных, и правовое поле, и регулирующие и контролирующие органы пока не способны эффективно ни предотвращать, ни реагировать на злоупотребления персональной информацией.
Поэтому iFreedomLab призывает вас не пренебрегать простыми правилами безопасности в отношении собственных персональных данных, а также напоминает: каждый гражданин РФ имеет право отозвать согласие на операции с персональными данными у любого контрагента, которому он их был вынужден предоставить. Такая возможность была всегда предусмотрена 152 ФЗ «О защите персональных данных», и сегодня она описана в п. 12 статьи 10.1 этого закона.
Согласно этой норме, вы можете направить запрос о прекращении передачи (распространения, предоставления, доступа) ваших персональных данных любой организации, взявшей с вас согласие на все эти процедуры. В запросе надо указать — обработку каких данных вы хотите прекратить.
Более того, на сайте Роскомнадзора существует реестр операторов, осуществляющих обработку персональных данных — там вы можете найти контакты организаций, которым вы предоставляли свои данные (это они называются ««операторами»), и направить им свой запрос. Там же на сайте Роскомнадзора можно пожаловаться на оператора, если он неохотно исполняет вашу просьбу.