Последние недели интернет заполнен сообщениями об утечках персональных данных. На этот раз масштабы происшествия беспрецедентны: злоумышленники смогли получить доступ к данным более полумиллиарда пользователей Facebook. Хотя многие уже привыкли к подобным инцидентам, на самом деле они представляют гораздо большую угрозу, чем может показаться на первый взгляд. Мы расскажем, как проверить наличие своих данных в базах хакеров и что делать, если они там обнаружены.
Недавний скандал с Facebook может запросто оказаться отправной точкой для нового витка дискуссии насчет ответственности IT-корпораций перед аудиторией. Интернет не сталкивался с утечками столь внушительного объема. В январе хайтек-подразделение сетевого издания, специализирующееся на новостях Vice — Motherboard — обнаружило бота, продающего личные данные в мессенджере Telegram. В отличие от других аналогичных сервисов, он обладал значительно большей базой данных: в ней хранилось свыше 500 миллионов личных наборов данных пользователей Facebook.
В начале апреля эксперт в области кибербезопасности, скрывающий свою личность под псевдонимом Alon Gal, опубликовал информацию об утечке 533 миллионов учетных записей той же социальной сети. Среди них были пользователи из 106 стран, причем почти 10 миллионов — из России (как пишет Роскомнадзор уже взялся за рассмотрение данного вопроса, о котором сообщало РБК. Речь идет о доле, которая составляет приблизительно 17% от общей аудитории в России Facebook, которая, по данным портала Statista, по оценкам, численность этой группы составляет приблизительно 60 миллионов человек. Анализ имеющихся утечек информации, как в январском, так и в апрельском отчетах, позволяет предположить, что речь идет об одной и той же огромной базе данных, активно распространяемой в даркнете.
Как узнать, украдены ли мои данные
В интернете можно найти немало специализированных сервисов, которые позволяют узнать, утекали ли в сеть какие-либо учетные данные. Обычно для проверки нужно ввести адрес электронной почты, хотя иногда можно проверить и номер телефона. Важно сразу отметить, что абсолютной уверенности в надежности этих ресурсов тоже нет. С другой стороны, многие из них созданы людьми, увлеченными кибербезопасностью, и предназначены для общественной пользы.
С другой стороны, мошеннику не составит труда создать аналогичный портал и собирать учетные данные для последующего подбора паролей. Пользователи проверяют на утечки именно те адреса электронной почты, которые используются для регистрации на разных платформах. Нельзя исключать и обычный обман: показ рекламы во время фиктивной проверки логина по каким-то «базам». Однако существуют ресурсы, которым можно доверять.
Один из самых известных — Have i been pwned? («Помешали ли мне?»). Ведущие эксперты в области кибербезопасности неоднократно проводили проверку этого сайта на предмет его надежности, и он был создан одним из известных специалистов в данной области. На портале представлена детальная информация о всех используемых базах данных, включая сведения о качестве каждой из них (достоверность, своевременность) и типах содержащихся в них данных (логины, пароли, номера телефонов, имена, возраст и прочее). Помимо этого, ресурс содержит подробное руководство по основам безопасности в сети и перечень первоначальных действий, которые следует предпринять, если личная информация стала доступна в интернете. Единственный минус заключается в отсутствии поддержки русского языка, хотя утечки данных из Рунета он обрабатывает без проблем).
Для использования сервиса достаточно ввести адрес электронной почты, вызывающий опасения, в поисковую строку на главной странице. В течение нескольких секунд (время может варьироваться в зависимости от загруженности сервера) будет предоставлен ответ, включающий общее число баз данных, в которых был обнаружен указанный адрес, даты утечек и информацию о том, какие данные были скомпрометированы. Результаты могут быть неожиданными: даже почтовые ящики, которые используются редко, могут быть найдены в нескольких базах данных.
Чем это вообще опасно
Скептически настроенный читатель может возразить: «Я и сам обнаружил себя в этой утечке, и что из этого? Моя учетная запись в Facebook или VK никуда не делась, электронную почту никто не угнал, и вообще все это вилами по воде писано». В каком-то смысле подобные рассуждения справедливы, принцип «если ты никому не нужен, то и искать тебя никто не будет» работает безотказно. В большинстве случаев.
Прежде всего, необходимо представить общую картину. Подавляющее большинство таких баз данных — это не просто таблицы, содержащие логины и пароли. Это комплекты полноценных профилей, соответствующих реальным людям, точнее – копий их онлайн-идентичностей. В них содержатся не только сведения, используемые для подтверждения личности, но и значительный объем персональной информации: пол, возраст, имя, номер телефона, геолокация различной точности. Помимо этого, могут присутствовать и технические характеристики, например, сведения о предпочитаемом браузере, разрешении экрана, операционной системе, IP-адреса, аппаратные идентификаторы устройств и множество специфических данных, связанных с различными сервисами.
Имея в распоряжении такой объем данных, даже если они разрозненны, можно создавать полноценные картотеки. Это позволяет отслеживать людей, даже если они меняют свои привычки или полностью переходят в другие социальные сети. В отношении каждого конкретного человека это может показаться преувеличением, однако возникает интересный вопрос: что может помешать тому, чтобы ваша значимость (для кого бы то ни было) внезапно возросла в будущем?
Существует вероятность неожиданного выигрыша в лотерею, получения наследства или возможности приобрести дорогостоящую машину или квартиру за счет заработанных средств. Не менее вероятны и банальные ситуации, когда можно случайно обидеть человека с непростой судьбой. Причин для давления на «маленького человека» может быть множество, и никто не застрахован от них. Благодаря распространению нелегальных баз данных с утечками, для злоумышленника поиск уязвимостей становится довольно простым. В ряде случаев затраты на создание детального профиля для конкретной цели не превышают вполне адекватную сумму в 20-50 тысяч рублей.
Защититься от неперсонализированного мошенничества достаточно легко: не сообщайте никому номер карты или CVC-не отвечать на незнакомые номера — это лишь малая часть того, что можно сделать, достаточно просто быть внимательным. Когда преступник хорошо знаком с повседневными привычками жертвы, имеет доступ к её аккаунтам и может прогнозировать маршруты передвижения, возможности для мошенничества становятся практически неограниченными. Безусловно, абсолютной гарантии безопасности не существует, но уменьшить вероятность успеха злоумышленника всегда желательно.
Даже без прогнозируемых катастрофических последствий, никто не может быть уверен, что через годы после утечки данных, хакерам не пригодится новая партия аккаунтов в социальных сетях, имитирующих реальных людей. Эти аккаунты могут быть использованы для влияния на общественное мнение в преддверии выборов или для подрыва доверия к социальной политике, например. Вместо того, чтобы выбирать случайные профили для взлома, злоумышленники обратятся к уже существующим, давно сформированным базам данных. И если конкретный человек до сих пор не был задействован, он может оказаться в новой выборке.
Процесс далее автоматизирован и не представляет сложности для компетентного специалиста. В первую очередь проверяются уже имеющиеся учетные данные – возможно, пользователь годами не обновляет пароли. Если это не привело к результату, проводится анализ известных изменений, внесенных в секретное слово, используемое для входа. К сожалению, люди часто бывают не склонны к трудолюбию и достаточно предсказуемы. Мы редко меняем пароли кардинально, обычно лишь добавляем один символ, меняем порядок букв или используем другой регистр. Соответственно, проанализировав, какие изменения пользователь вносил в свои пароли, особенно если они были скомпрометированы и попали в другие базы данных, можно спрогнозировать текущий пароль. В заключение, даже без этой информации, принимая во внимание небольшую изменчивость секретного слова, его подбор сужается до минимального количества вариантов.
Что делать-то?
В Российской Федерации, в отличие от Европы или Соединенных Штатов, отсутствуют столь эффективные механизмы влияния на законодательный процесс. В связи с этим, активно продвигать очередное ужесточение «интернет-законов» вроде GDPR и CCPA у нас возможностей мало. Справедливости ради, даже на родинах этих документов с их исполнением серьезные проблемы, а уж о попытках привлечения безалаберных IT-можно добавить еще две статьи, чтобы привлечь корпорации к ответственности за невыполнение обязательств. В связи с этим, необходимо руководствоваться проверенным временем принципом: «Помощь нуждающимся – их собственная забота».
Первым шагом должно стать обновление всех паролей. Это необходимо, поскольку если они не менялись больше года, вероятность их компрометации достаточно велика. Даже если Have i been pwned? утверждает, что в утечках нет искомых учетных данных. Ведь специалисты по кибербезопасности находят далеко не все подобные сокровищницы даркнета, многие из них просто не торгуются на специализированных форумах, а хранятся в загашниках укравшей их группы хакеров. И на будущее — взять за правило раз в несколько месяцев пароли менять. На первых порах придется потрудиться, зато порядок в своей «интернет-личности» удастся навести.
Не менее важным аспектом кибербезопасности является безопасное хранение всех учетных данных, обеспечивающее владельцу возможность оперативного управления ими. Это может показаться нелогичным, ведь это напоминает помещение всех яиц в одну корзину. Однако, при успешном взломе киберпреступник рассчитывает на отсутствие у жертвы единой базы данных.
Чтобы восстановить доступ к аккаунту, потребовавшему резервную почту, предстоит выполнить ряд действий: войти в нее, вспомнить ответ на секретный вопрос и другие меры безопасности, что отнимает у владельца взломанного аккаунта значительное время. Для того чтобы слить всю переписку, разослать спам контактам в социальных сетях, ставить отметки «нравится» целевому контенту или удалить профиль, что приведет к временному исчезновению жертвы из онлайн-пространства, достаточно всего нескольких минут.
Для безопасного хранения учетных данных существуют менеджеры паролей. Это полезные приложения, которые, при грамотном использовании, значительно улучшают защиту информации. Мы не будем рекомендовать конкретные решения, чтобы не вызвать неодобрение пользователей других программ и избежать обвинений в рекламе. Однако, вот несколько ключевых критериев, которые следует учитывать при выборе:
- Приложения с открытым исходным кодом постоянно привлекают внимание экспертов в области кибербезопасности, поэтому opensource-открытый исходный код имеет преимущество перед проприетарным, поскольку его гораздо проще проверить на наличие недостатков;
- Платные решения часто превосходят бесплатные. Это может показаться противоречивым с предыдущим утверждением, однако это не всегда так. Прежде всего, программное обеспечение с открытым исходным кодом может оказаться не подходящим, и тогда придется искать альтернативные варианты. Кроме того, некоторые создатели проприетарных продуктов предоставляют свой код для проверки независимым экспертам. А причина, по которой не рекомендуется выбирать бесплатное решение с закрытым кодом, проста и аналогична той, что касается VPN-с сервисов и прокси. Гораздо менее вероятно, что подобный продукт был разработан исключительно из интереса, чем то, что его создатели получают прибыль от пользователей, используя их данные скрытыми способами opensource-решением можно хотя бы это проверить;
- Недоступность сетевых сервисов. Обмен данными является наиболее уязвимым аспектом любой системы, и для обеспечения безопасности его необходимо исключить;
- Использование расширений для браузера и других подобных инструментов не приветствуется. Безусловно, они могут облегчить выполнение задач, однако это всегда отдельные фрагменты кода, функционирующие в различных участках памяти и передающие учетные данные между приложениями. Опасения аналогичны тем, что возникают при передаче данных через Интернет, только в меньшем масштабе, поскольку все происходит на одном компьютере;
- Не следует использовать встроенные в браузеры или продукты других компаний решения. Независимо от их привлекательности, такие «функции безопасности» напрямую или косвенно связаны с надежностью программного комплекса, к которому они принадлежат. Особенно это касается приложений, созданных компаниями, использующими персональные данные пользователей для рекламы;
- Двухфакторная аутентификация – это эффективный способ защиты данных. Менеджер паролей предоставит доступ к своей базе данных только при предъявлении аппаратного ключа, такого как флеш-накопитель или сканер отпечатков пальцев (или их комбинацию), в дополнение к вводу мастер-пароля. Некоторые приложения позволяют создать секретный файл, замаскированный под другой тип файла, местоположение которого известно только владельцу базы. Это не идеальное решение, однако оно всегда более надежно, чем использование одного пароля.
Использование менеджера паролей не сильно усложняет использование интернета, но существенно повышает уровень безопасности. Запомнить один пароль гораздо проще, чем менять его регулярно. Кроме того, программа будет отслеживать периодическую смену паролей на всех интернет-сервисах и генерировать действительно надежные и непредсказуемые комбинации символов. Однако важно помнить, что первостепенная безопасность всегда зависит от человека, который взаимодействует с устройством и сейчас читает этот текст.