В июле 2023 года у беларуских магазинов несколько раз «уводили» базы данных клиентов: Buslik.by, «Остров чистоты», производитель межкомнатных дверей «Юркас», а вишенкой на торте киберпартизаны получили доступ к базе данных БГУ. Поговорили с экспертом о том, почему так происходит и как беларусы могут защитить информацию о себе.
В июле в Беларуси четыре (!) раза «хакали» клиентские базы дaнных
5 июля появилось сообщение о том, что злоумышленниками была выставлена на продажу база данных, которая содержит персональные данные более 220 000 пользователей интернет-магазина Вuslik.bу. Это информация с ФИО, номерами мобильных телефонов и адресами электронной почты.
Уже на следующий день, 6 июля, злоумышленники выставили на продажу базу данных с персональными данными более 730 000 пользователей интернет-магазина «Остров чистоты». И с такой ситуацией эта сеть сталкивается уже второй раз: как пишет БЕЛТА, после первой утечки мероприятия по технической и криптографической защите персональной информации не были проведены, что и привело к повторному инциденту.
В этот же день киберпартизаны получили доступ к базе данных БГУ – и получили доступ к данным 6 тысяч человек. А 10 июля кто-то хакнул клиентскую систему производителя дверей «Юркас» – с данными 5 тысяч человек.
Сколько таких случаев остается в тени, доподлинно неизвестно.
Стойте: кому вообще нужны мои данные типа номера телефона и адреса электронной почты?
Сооснователь Digital Skills Coaltion Belarus Николай Кванталиани объясняет, что злоумышленники в первую очередь думают, как на этой информации заработать.
– Они могут продать ее фирмам, которые делают таргетированную рекламу; мошенникам, которые потом обзванивают пользователей и пытаются выманить у них деньги (те самые стандартные истории про обзвоны от имени банков и другие). Или компаниям, чат-ботам, которые предоставляют платные услуги по «пробиву» информации.
А еще такая информация интересна исследователям, антивирусным компаниям, инициативам, чат-ботам, которые позволяют пользователям узнать, находится ли их персональная информация в базах данных утечки. Классический вариант – Have I been pwned?, где нужно просто ввести свой адрес почты – и сервис покажет, находится ли тот в известных утечках.
Но ведь слитые данные можно как-то подчистить?
– Если ваши персональные данные «ушли», мало того, что через какое-то время они могут появиться в открытых публичных базах данных (гуглите «база покупателей “Острова чистоты” бесплатно»), они остаются в интернете навсегда.
Скажем, если Закон о персональных данных защищает нашу информацию у конкретного сервис-провайдера (мы можем сказать любимому магазину «Удалите мои персональные данные» – и теоретически он сможет это сделать), то «слитая» база данных не обрабатывается Законом. Ведь мы уже не знаем, кому принадлежат эти данные, где база находится и сколько копий сделано.
А кто «сливает» базы данных?
– Это могут быть сотрудники, которые работают непосредственно в этой фирме: они могут вывести базу данных на внешний носитель и продать либо передать ее третьим лицам. Это могут быть хакеры, которые взламывают компанию, получают доступ к данным – и пытаются эту информацию монетизировать.
Также это могут быть государства. Сейчас, допустим, идет кибервойна между украинским и российским государством по понятным причинам – и систематически появляется информация, что украинские хакеры взломали российские сервисы и выложили базу данных и наоборот.
Плюс есть различные сервисы по «пробиву» персональных данных (например, чат-бот «Глаз Бога» и аналоги), когда любой в интернете за минимальную плату (условно, в эквиваленте трех чашек кофе) может узнать о вас большой объем информации. Хоть они это и не указывают, но, скорее всего, эти сервисы скупают публичные базы данных, добавляют к себе – и за счет этого расширяют объем поиска пользователей.
А беларуским спецслужбам такая инфа интересна?
– Для простого человека это не такая большая угроза, ведь у силовиков вся информация о вас потенциально есть или будет.
Уже принято законодательство, по которому все национальные сервисы с базами данных должны будут предоставлять доступ правоохранительным службам для проведения оперативно-розыскных мероприятий. Они могут иметь доступ к вашей кредитной истории, банковским покупкам (даже по карте лояльности) и геолокации с вашего мобильного телефона. Получается, для пользователя пространство приватности сужается.
Что делать пользователям, чтобы их данные никто не смог слить?
– Во-первых: не делиться своими реальными персональными данными. Вы можете создать отдельную электронную почту, завести отдельную сим-карту и придумать любые данные, чтобы можно было авторизоваться. Так вы будете знать, что туда вам приходит только спам или звонят мошенники. Данные, которые вы даете магазину при оформлении карты лояльности, все равно никто не проверяет.
Во-вторых: при создании учетной записи всегда использовать уникальные пароли. Когда взламывают онлайн-сервис, обычно могут сливаться имя пользователя и пароль: зная пароль от одного сервиса, можно подобрать его и к другому, если вы использовали один и тот же шифр.
В-третьих: использовать отдельную карту для покупок в интернете. Сервисы, где вы проводите оплату, могут быть взломаны – и тогда данные вашей карты «уйдут». Идеальный вариант – отдельная карта для оплаты и отдельная для хранения денег.
В-четвертых: если «слились» какие-то данные вашего паспорта, его лучше поменять. Если это были данные банковской карты – обнуляете ее и заводите новую.
А лично я могу как-то наказать магазин или организацию, у которых увели мои персональные данные?
– Согласно статье 19 Закона о персональных данных, те, кто нарушил Закон, несут за это ответственность. Моральный вред из-за нарушения прав человека, которому принадлежали персональные данные, «слитые» в Сеть, подлежит возмещению. Но подобные кейсы нужно еще изучать.
Если мы посмотрим европейские практики, то увидим, что за любой слив данных в Сеть или неправильную обработку персональных данных назначаются миллионные штрафы, суды. Пока в Беларуси я не слышал, чтобы какие-то компании пострадали из-за утечки данных. Сейчас самым важным пунктом для пользователей является то, что они могут потребовать полного удаления персональных данных, которые они предоставляли (статья 10 Закона о персональных данных Республики Беларусь).
Но если в соглашении пользователя прописано маленькими буквами, что компания не несет ответственности за любые действия с обработкой персональных данных, и вы соглашаетесь с этим, на самом деле ответственности на компании никакой нет.
И еще интересный момент: когда мы регистрируем карту лояльности, можем увидеть приписку, что компания собирает персональные данные и может предоставлять их третьим лицам. За деньги, конечно же. Условно говоря, вы завели карту лояльности вашего магазина, а после этого представители какого-нибудь медучреждения звонят вам и предлагают пройти обследование.
Это значит, что карта магазина, где вы совершаете покупки, продала ваши контакты рекламному агентству, которое работает с медицинской компанией. И это абсолютно легально, ведь вы поставили свою подпись, подтвердив, что хотите получать скидку в 15% взамен на ваши данные.
Поэтому идеальный вариант с точки зрения пользователя – это ответственный подход к своим персональным данным.
Перепечатка материалов CityDog.io возможна только с письменного разрешения редакции. Подробности здесь.
Фото: Unsplash.com.
