Утечки персональных данных порой исчисляются миллионами - и самих данных, и экономических потерь

Утекающие миллионы

Защита персональных данных: реальная проблема цифрового мира

15 ноября вступает в силу Закон «О защите персональных данных». В конце октября Президент подписал указ, в соответствии с которым в стране создается Национальный центр защиты персональных данных. Документ издан в развитие норм Закона № 99—3 от 7 мая 2021 года «О защите персональных данных» и актуален как никогда.

Александр Лукашенко, Президент Беларуси:

— Как считают Правительство и Оперативно-аналитический центр, для практической реализации закона и надлежащего контроля в указанной сфере необходимо создать отдельную структуру. Вопросы защиты персональных данных важны для всего общества, и проблемы в этой сфере необходимо решать. Людей это беспокоит.

(На совещании с руководством Совета Министров, 22 октября 2021 г.)

Краеугольный камень безопасности

В соответствии с указом Национальный центр наделяется статусом уполномоченного органа по защите прав субъектов персональных данных. Установлены дополнительные меры, связанные с обеспечением их защиты. Это, например, необходимость прохождения специального обучения лицами, в обязанности которых входит защита персональных данных; обязанность ведения учета персональных данных, подлежащих обработке государственными органами и иными организациями.


Исполнение указа позволит повысить уровень защиты персональных данных в государстве и обеспечить более полную реализацию конституционного права граждан на защиту от незаконного вмешательства в личную жизнь, убежден начальник Оперативно-аналитического центра при Президенте Андрей Павлюченко:

— На наш взгляд, это шаг вперед. В современном мире защита любой информации — это краеугольный камень безопасности общества. Но, конечно, это не говорит о том, что завтра мы уже все проблемы решим в этой сфере.
Этот орган будет самостоятельным и независимым, чтобы свободно взаимодействовать с государственными и частными структурами. Он будет контролировать правильность оборота персональных данных, которые циркулируют в огромных количествах, и следить за законностью, четким соблюдением норм и правил.
Актуальность и своевременность создания нового органа не вызывают сомнений. Прошедшим летом оперативники ­ГУБОПиК вычислили 44-летнего жителя Минска, который передавал идентификационные сведения о госслужащих в экстремистский телеграм-канал. На момент задержания мужчина работал ведущим специалистом по экономической безопасности одного из коммерческих банков, а до этого — в правоохранительных органах. Перед увольнением минчанин скопировал справочную информацию о представителях органов прокуратуры, подразделений ­ГКСЭ, ДФР, СК и гражданских организаций. С лета прошлого года зафиксировано немало случаев сливов персональных данных членов избирательных комиссий, журналистов, артистов, служащих различных организаций. Пусть и заметно реже, но появляются такие данные в экстремистских чатах и сегодня. И потому явлению этому, как и любому иному преступлению, пора выставить действенный заслон.

Подтекающие гиганты

Столь пристальное внимание белорусского государства к этой сфере объясняется печальным мировым опытом последних десятилетий. Случай с крупнейшим американским агрегатором кредитной отчетности Equifax, случившийся в 2017-м, считают одним из самых серьезных в истории США. Хакерам удалось получить как минимум 147 миллионов имен и дат рождения, 145 миллионов номеров социального страхования и 209 тысяч номеров карт с указанием срока их действия. Утечка дорого обошлась компании: подвергшаяся атаке Equifax согласилась выплатить почти 700 миллионов долларов в рамках международного соглашения. Компания также пообещала шесть бесплатных кредитных отчетов каждому американцу, которого затронул взлом, в течение семи лет. Таким образом, доходы организации заметно сократились, не говоря уже про имиджевые потери.
В 2018-м сервис такси Uber был оштрафован на 148 миллионов долларов после того, как в результате кибератаки в руки злоумышленников попали данные приблизительно 57 миллионов клиентов и водителей сервиса. Тогда Uber скрыл информацию о преступлении, и это было хуже, чем сама кибератака.
Фактически эта утечка данных случилась в 2016-м, Uber заплатил хакерам 100 тысяч долларов за удаление данных, которые они незаконно заполучили. Об инциденте рассказали только год спустя. Компании пришлось признать, что ее бизнес должен быть более прозрачным.

Счет на миллиарды

Но, пожалуй, крупнейшая в мировой практике утечка данных случилась у американской компании Yahoo, владевшей второй по популярности в мире поисковой системой: из ее анналов в 2013—2014 годах утекло 3 миллиарда учетных записей пользователей. И выяснилось это не сразу. Сперва в сентябре 2016-го Yahoo объявила, что в 2014-м стала жертвой крупнейшей утечки данных в истории. Злоумышленники, которых компания назвала «спонсируемыми государством участниками», взломали настоящие имена, адреса электронной почты, даты рождения и номера телефонов 500 миллионов пользователей. Затем, в декабре 2016-го, Yahoo раскрыла еще одно нарушение, совершенное тремя годами ранее другим злоумышленником, которое скомпрометировало имена, даты рождения, адреса электронной почты и пароли, а также вопросы безопасности и ответы миллиарда учетных записей пользователей.

В октябре 2017-го компания пересмотрела эту оценку, включив в нее все 3 миллиарда учетных записей своих пользователей. Впрочем, нельзя исключать и коммерческого интереса в жонглировании столь грандиозными цифрами. Дело в том, что Yahoo в те годы как раз находилась в процессе поглощения компанией Verizon, которая в конечном итоге заплатила 4,48 миллиарда долларов за основной интернет-бизнес Yahoo. Как отмечают аналитики, озвученные перед сделкой нарушения снизили стоимость компании более чем на треть миллиарда — на 350 миллионов долларов…

«Му-Му» и другие

В России в прошлом году случился целый ряд крупных утечек данных. Как сообщил РИА Новости основатель сервиса разведки утечек данных DLBI Ашот Оганесян, в декабре 2020-го случилась утечка персональных данных более 100 тысяч москвичей, переболевших COVID-19: достоянием взломщиков стали их Ф.И.О., даты рождения, адреса проживания, телефоны, номера паспортов и другие данные. Месяцем ранее произошла утечка данных более чем 1,3 миллиона клиентов сервиса «РЖД Бонус», содержащая по каждому клиенту адрес e-mail и ID-пользователя, зашифрованный пароль, дату регистрации и последнего входа в систему, а также служебные данные.

Летом прошлого года взломанными оказались клиентские базы портала SuperJob.ru и онлайн-школы английского языка Skyeng — каждая объемом под 5 миллионов человек. А в апреле 2020-го случились утечки 12 миллионов записей россиян, оформлявших микрозаймы в различных микрофинансовых организациях страны в 2017—2019 годах.
Но самой крупной в прошлом году стала обнаруженная в марте утечка почти 600 миллионов строк данных клиентов сервиса «Премиум бонус», обеспечивающего программы лояльности популярным кафе и ресторанам России: «Му-Му», «Жан Жак», «Империя пиццы» и другим.

Шантаж по знакомству

В чем практический интерес злоумышленников от взлома баз данных — на этот вопрос дают ответы несколько конкретных примеров. В 2018 году достоянием кибермошенников стала личная информация 383 миллионов клиентов одной из крупнейших гостиничных сетей мира Marriott International: имена, адреса, номера телефонов, адреса электронной почты, номера паспортов, даты рождения, пол, информация о прибытии и отбытии.
Все эти данные незаменимы для целого ряда противоправных атак: фишинга, социальной инженерии, мошенничества с кредитными картами и с идентификационными данными.
Двумя годами ранее преступники взломали платформу знакомств и развлечений для взрослых FriendFinder Network. В результате более 412 миллионов учетных записей пользователей пополнили базы кибермошенников. Причем масштабная утечка включала не только 339 миллионов аккаунтов с сайта AdultFriendFinder.com, но и несколько миллионов давно удаленных пользователями аккаунтов (которые не были удалены из баз данных сайта). Понятно, что данные с сайта для взрослых угрожают репутации и могут использоваться для шантажа пользователей.

А в 2013-м одна из крупнейших розничных сетей США Target пострадала от взлома, который затронул более 41 миллиона счетов клиентов с платежными картами, а также контактную информацию более 60 миллионов покупателей торговой сети. ПИН-коды самой системы Target были зашифрованы, что затрудняло их взлом. Однако злоумышленники получили возможность выдавать себя за настоящих владельцев банковских карт.

В 2018 году хакерами был взломан веб-сайт авиакомпании British Airways. Взломщики перенаправляли жертв на поддельный веб-сайт, который в итоге собрал личные данные более 500 тысяч человек. Британского авиаперевозчика ждал рекордный штраф в 230 миллионов долларов. Утечка данных, а также последствия сбоев в работе оборудования и забастовок пилотов привели к тому, что British Airways столкнулась с многолетним кризисом. Акции компании упали примерно на 0,8 процента сразу после присуждения штрафа, хотя авиакомпания заявила, что подаст апелляцию. А сразу после публикации информации об утечке данных ее акции упали более чем на 4 процента.
ДРУГИЕ КРУПНЫЕ УТЕЧКИ ДАННЫХ В XXI ВЕКЕ

LinkedIn (2012 и 2016 годы) — 165 миллионов учетных записей пользователей;

Adobe (октябрь 2013 г.) — 153 миллиона учетных записей пользователей;

eBay  (май 2014 г.) — 145 миллионов учетных записей пользователей;

Dubsmash (декабрь 2018 г.) — 162 миллиона учетных записей пользователей;

Canva  (май 2019 г.) — 137 миллионов учетных записей пользователей.

Полная перепечатка текста и фотографий запрещена. Частичное цитирование разрешено при наличии гиперссылки.
Заметили ошибку? Пожалуйста, выделите её и нажмите Ctrl+Enter