Карта с данными проложила новые «маршруты»
Какие шаги предпринимают пострадавшие в связи с утечкой базы с личной информацией
Роскомнадзор заблокировал карту с утекшими данными «Яндекс.Еды». 17 мая ее дополнили базами ГИБДД и другими источниками. На сайте отображается, например, информация из сервисов СДЭК, Avito, Wildberries и Delivery Club. Ресурс содержит имена и адреса людей, номера и модели телефонов, а также номера автомобилей. В компаниях утечки опровергают. Так, в Delivery Club заявили, что информация об утечке из их базы не подтвердилась, а в Wildberries и «Авито» сказали, что личным данным клиентов ничто не угрожает. В «Яндексе» отметили, что не фиксировали новых утечек. В МВД также заявили, что информационные системы ведомства работают штатно.
Насколько актуальна и опасна база? На этот вопрос “Ъ FM” ответил глава компании «Интернет розыск» Игорь Бедеров: «База оценивается по последним данным. Причем их еще нужно проверить, действительно ли они соответствуют реальности, потому что очень многие утечки организуются фиктивно, и, помимо части реальных данных или схожих с реальными, заливается информация из других массивов просто ради того, чтобы продать утечку подороже на черном рынке.
Учитывая, что культуры информационной безопасности в стране нет, есть огромное количество дырок, плюс не стоит забывать о нехватке специалистов, программное обеспечение писалось в основном либо на Западе, либо в России, но украинскими программистами. Последняя крупная утечка базы ГИБДД была в 2019 году, она очень хорошо разошлась не только по всем ботам, но и по сервисам. Привязка осуществляется по имени, телефону, номеру машины, VIN-номеру. Все зависит от степени обогащения данных: чем больше вы собираете в каком-нибудь криминальном сервисе, тем по большему количеству параметров вы можете осуществлять поиск.
В конце концов, вы даже можете искать по обезличенному рекламному идентификатору "Яндекса", который ничего, кроме как числового и буквенного обозначения, не хранит за собой. То есть вы когда-то зарегистрировали личный кабинет, вам создали ID, по которому создается ваш рекламный потрет потребителя, а дальше все сервисы привязывались к нему.
Как хорошие персональные данные стоили 7-8 руб. за строку, за пользователя в массиве, например, для телефонных мошенников, так они и стоят. Просто утечек стало больше, ребятам, которые сейчас активно занимаются поиском уязвимостей, отчасти нечего делать, отчасти это такая политика, они находят уязвимости.
И в силу того что с информационной безопасностью страшный бардак, уязвимостей очень много, все эти базы попадают на черный рынок».
Впервые карта с данными «Яндекс.Еды» появилась в конце марта. Компания добилась блокировки сайта и даже отключения его домена, так что он не открывается в том числе из-за границы. За утечку суд оштрафовал «Яндекс» на 60 тыс. руб. В то же время пользователи подали к компании коллективный иск.
Это лучшее, что могут сделать пострадавшие, поскольку удалить данные из баз уже невозможно, отмечает адвокат, управляющий партнер Digital Rights Center Саркис Дарбинян: «К нам поступило уже около тысячи заявлений. Мы сейчас видим вторую волну пользовательских обращений. Документы по "Яндексу" поданы в суд, дело было приостановлено судьей, потому что она посчитала, что не представлены заверенные скриншоты, подтверждающие нарушение прав заявителей.
Мы устранили недостатки, предоставили заверенные скриншоты, заключение специалиста о том, что, действительно, в слитой базе данных содержатся персональные данные наших заявителей. Мы ожидаем назначения первого слушания по делу. Я думаю, что это произойдет в течение двух-трех недель. Очевидно, что утекшие данные уже обратно не вернуть.
Происходит то, чего мы опасались, что базы данных будут обогащаться с каждой новой утечкой.
Все больше информации о каждом человеке будет аккумулироваться для использования мошенниками, а это значит, что будут и другие групповые иски. Иных способов защитить себя сегодня не существует.
Госорганы в конкретном случае являются такими же субъектами гражданско-правовых отношений, операторами данных, поэтому аналогичные иски могут быть поданы и в отношении них. Помимо проверок, которые должны быть инициированы органами прокуратуры, Роскомнадзором, ни на что другое, честно говоря, мы особо не рассчитываем, потому что ведомство старается не влезать в вотчину силовых структур и защищает персональные данные, формально проводит проверки в отношении только коммерческих компаний».
Вместе с тем власти обсуждают идею оборотных штрафов для виновников утечек. В Минцифры заявили, что новые нормы могут заработать до конца года. Предполагается, что сумма штрафа составит 1% от годового оборота.