Лично сданные: в 2023-м утекли 240 млн уникальных телефонных номеров россиян
За 2023 год в Сеть утекли 240 млн уникальных телефонных номеров россиян, говорится в исследовании сервиса DLBI (есть у "Известий"). Всего в Роскомнадзоре за год зафиксировали 168 сливов персональных данных. Лидеры по утечкам — ритейл и банки. От целевых атак хакеры перешли к массовым. Взломы баз компаний — это часть гибридной войны против России, подчеркнули в РКН. Чтобы защитить россиян, власти хотят ввести для организаций оборотные штрафы — такой подход поддерживают в Минцифры и Центробанке. Также в стране может появиться механизм компенсации для пострадавших.
Сколько данных утекло в сеть в 2023 году
В 2023 году произошло более 290 утечек, в результате которых злоумышленники получили доступ к 240 млн уникальных телефонных номеров и 123 млн e-mail-адресов российских пользователей. Об этом говорится в исследовании сервиса разведки уязвимостей и утечек данных DLBI (есть у "Известий").
Там уточнили, что годом ранее число инцидентов было незначительно меньше — 270. Тогда в Сеть попало 99,8 млн уникальных e-mail-адресов и 109,7 млн телефонных номеров российских пользователей.
В Роскомнадзоре назвали "Известиям" немного иные цифры: в 2023 году служба зафиксировала 168 утечек персональных данных, в результате которых в открытый доступ попало более 300 млн записей (не уточняется, были ли они уникальными). Для сравнения: в 2022-м было более 140 случаев, а в Сети оказалось около 600 млн сведений о гражданах.
По данным DLBI, лидером по числу утечек в 2023 году с большим отрывом стал сегмент электронной коммерции (почти 40% инцидентов). За ней следуют здравоохранение (9%) и досуг (8,5%). По объему слитых данных первой стала банковская отрасль (47% утекших телефонных номеров) и электронная коммерция (38% утекших e-mail-адресов).
Например, в начале прошлого года в Сеть попала база клиентов "Спортмастера", сообщалось в Telegram-канале "Утечки информации", который ведет основатель сервиса DLBI Ашот Оганесян. Тогда, по информации канала, в свободный доступ попало 99,9 млн строк информации (13,4 млн уникальных адресов электронной почты и 45 млн номеров).
Также в прошлом году в Сеть слили данные пользователей бонусной программы "СберСпасибо", сообщалось в том же Telegram-канале. Среди них — почти 48 млн уникальных номеров и 3,3 млн адресов почт. Впрочем, тогда в сервисе говорили, что подобные сообщения связаны с мошенниками, которые пытаются продать компиляции старых баз данных под видом оригинальных.
"Известия" направили запросы в "Спортмастер" и "Сбер".
Кроме телефонов и e-mail-адресов, в утечки часто попадают пароли пользователей (логином чаще всего выступает имеющийся телефон или e-mail). Также нередко сливаются адреса и паспортные данные, добавил основатель сервиса DLBI Ашот Оганесян.
Как изменились каналы утечек данных
Основным трендом 2023 года, помимо переориентации на e-commerce, в DLBI назвали снижение доли крупных утечек (размером более миллиона уникальных записей) с 30 до 10%. Сменился вектор атак. Раньше практически все утечки происходили из-за инсайдеров, но с 2022-го основная причина — хакерские атаки, напомнил Ашот Оганесян. В основном со стороны так называемых украинских хактивистов.
При этом в 2022 году атаки были более целевыми и направлялись на крупные российские компании, взлом которых мог стать громким PR-поводом, отметил Ашот Оганесян. По его словам, затем крупный бизнес усилил информационную безопасность, поэтому целевая стратегия стала неэффективной. Теперь хакеры массово сканируют Рунет и взламывают все ресурсы, имеющие уязвимости.
— Участившиеся взломы баз данных и их сливы в публичное пространство — часть гибридной войны, которая ведется против России. Очевидно, что это спланированные хакерские атаки, инициированные из-за рубежа. Характер и масштабы взломов позволяют говорить о работе специалистов, близких к зарубежным спецслужбам, — заявили "Известиям" в Роскомнадзоре.
Чем опасны утечки данных
Часто злоумышленники используют полученные данные для атак типа password reuse, когда пароли из различных сливов объединяются и используются, например, для взлома личных кабинетов, заявил Ашот Оганесян.
— Наиболее опасны утечки тех данных, при помощи которых можно причинить финансовый ущерб. Это сведения банковских карт, паспортные данные, в редких случаях номера телефонов (если потом взламываются личный кабинет оператора и с личного счета списываются деньги), — добавил генеральный директор SafeTech Lab Александр Санин.
Самая "простая" информация, такая как номера телефонов и почты, сведения о заказах из магазинов, адреса, — включаются в обширные базы данных, которые в интернете можно находить и скачивать пачками, например, с целью рекламы, рассказал директор технического департамента RTM Group Федор Музалевский.
Он добавил: любые данные мошенники могут использовать для более успешных атак методами социальной инженерии. Например, когда злоумышленники звонят от имени службы безопасности банка или силовых структур.
Как власти планируют защищать россиян от утечек данных
Для повышения безопасности личных данных в РФ предложили ввести оборотные штрафы за утечку. Законопроект предполагает, что штраф за повторное нарушение, если утекли сведения более 1 тыс. человек, должен составлять от 0,1 до 3% выручки за календарный год, предшествующий нарушению. Еще одно предложение — использовать портал "Госуслуги" для обращений пострадавших от утечки персональных данных за получением компенсаций от компаний, говорил глава Минцифры Максут Шадаев.
В ведомстве заявили "Известиям", что поддерживают инициативу введения оборотных штрафов за утечки персональных данных, в том числе с применением механизма компенсации для пострадавших от таких сливов.
Банк России концептуально поддерживает законопроект Минцифры о введении оборотных штрафов за утечки данных, сообщили там "Известиям". В ЦБ добавили, что постоянно взаимодействуют с банками по теме противодействия компьютерным атакам, включая утечки информации.
Впрочем, бизнес и так активно инвестирует в развитие кибербезопасности, отметил президент АКИТ Артем Соколов. Он резюмировал: размеры штрафов, кроме установленных предельных значений, должны носить прежде всего стимулирующий характер, а не карательный.