Почему спам-звонков стало больше?

Редакция «Текстерры»

Операторы мобильной связи отмечают рост спам-трафика. Например, «Мегафон» оценивает рост в 70%: если в январе 2023 года было зафиксировано 28,5 млн спам-звонков, то в августе – уже 48,5 млн. И это без учета звонков мошенников, которые связываются с абонентами через мессенджеры.

Увеличение количества спам-звонков отмечают и в «Билайне», а МТС заблокировал более 1 млрд (!) нежелательных вызовов только в первом полугодии 2023 года – рост на 28% по сравнению с первым полугодием 2022 года. Не наблюдают роста спам-звонков только в «Теле2», что странно.

То, что телефонного спама стало больше, говорят и в издании Telecom Daily. Причина роста, по их мнению, кроется в большом количестве массовых утечек персональных данных – имен и номеров телефонов. И с этим сложно не согласиться. Судите сами.

Какие данные и у кого крадутся

В начале года прошла информация, что, вроде как, были украдены даже биометрические данные граждан России, Беларуси и Казахстана, собиравшиеся с 2006 года.

Власти, впрочем, не подтвердили факт утечки биометрических данных пользователей. «Минцифры не подтверждает утечку данных из НИИ “Восход”. Сообщаем, что Минцифры проводит по этому поводу служебную проверку совместно с ФСБ», — говорится в сообщении министерства.

НИИ «Восход» — стратегический партнер государства в области информационных технологий с 1972 года, имеет исключительные компетенции и экспертизу в сфере разработки, внедрения и сопровождения автоматизированных информационных систем федерального значения. Подведомственное учреждение Минцифры.

Как объяснили в Минцифры, данные в сеть не выложены (это, видимо, должно как-то подтверждать или опровергать утечку):

«Была зафиксирована аномальная активность, в том числе — из внутренней сети предприятия. Данные хранятся в зашифрованном виде, ключ расшифровки хранится в Гознаке. Это в любом случае не позволит незаконно получить доступ к биометрическим данным».

Ранее появилась информация, что система выдачи электронных паспортов, включая подсистему обработки персональных данных и биометрии, была взломана. В сеть попала продуктивная база данных системы за весь период ее работы – с 2006 года. Одна из версий, гласит, что злоумышленник после увольнения воспользовался заложенными в систему уязвимостями, проник в систему и скачал продуктивную базу данных.

Может быть, что у базы есть покупатели, и поэтому ее не выкладывают, как обычно, в сеть? Напомним, что речь идет об отпечатках пальцев, отсканированных сетчатках глаз и о лицах. И может ли быть так, что ключа не было у человека, который, вероятно, программировал систему?

Позвольте немного бреда: ваш телефон разблокируется с помощью вашего отпечатка пальца и начинает по всем контактам рассылать какую-нибудь информацию. Это возможно и сейчас, так как отпечатки пальцев всех владельцев есть в базах Apple, Samsung, Huawei и так далее. Надо полагать, что на государственном уровне проблема, если она есть, будет решена быстро и однозначно. Да и повода для паники, кажется, нет:

«Биометрия – это не 100% идентификация, вместе с ней должно быть еще что-то. Биометрия имеет процент погрешности, поэтому полагаться на нее на 100% нельзя. Даже дактилоскопия, которая, теоретически, является 100-процентной идентификацией, при считывании сканером имеет погрешность. Тут далеко ходить не надо: сейчас почти все телефоны оснащены сканером отпечатков. Но он не всегда срабатывает, а это значит, что погрешности – норма. А представьте, что человеку нос (не дай Бог) сломают, или с ним поработает пластический хирург? Что тогда выдаст биометрия?», – рассказал TexTerra на условии анонимности специалист из правоохранительных органов.

Но и без биометрии о нас с вами вероятным злоумышленникам давно известно всё, что только возможно.

Что уже украдено

TexTerra несколько месяцев собирает информацию об утечках, чтобы показать масштаб катастрофы. И вот что у нас накопилось (это только те утечки, о которых было заявлено официально). При этом вы понимаете, что утечки были и два года назад, и пять, и десять – база постоянно обновляется и пополняется. Отметим, что безопасность данных пользователей следует закладывать еще на начальном этапе создания сайта.

• В начале июня 2023 года в сети появились базы данных клиентов «Ашан», «Твой дом» и Gloria Jeans, о чем сообщил сервис разведки утечек данных и мониторинга даркнета DLBI. Файл с данными «Ашана» содержит 7,8 млн строк, а в файле Gloria Jeans – 3 млн строк. В них содержится имена и фамилии, телефонные номера, адреса электронной почты клиентов, адреса доставки и самовывоза. Украденная база «Твоего дома» состоит из более 713 тыс. строк с идентичной информацией, но без указания фактических адресов. Опубликовал все это тот же хакер, который ранее (в марте 2023 года) украл данные пользователей сервисов «Сбера» («СберСпасибо», «СберПраво» и т. д.).
• В конце мая 2023 года в открытом доступе оказались данные 295 915 соискателей сети ресторанов быстрого питания «Вкусно – и точка». Они были украдены с сайта «Работа и точка». В файле содержатся следующие сведения: ФИО, даты и источники запроса, возраст, гражданство, номера телефонов, вакансии, процент прохождения теста на собеседовании, статус и место работы. Служба безопасности «Вкусно — и точка» проводит проверку.
• В мае 2023 года в сеть утекли 100 Гб служебных данных Tesla. Россиян это не касается, но поражает масштаб. В файлах содержатся 2,4 тысячи жалоб клиентов Tesla автопилот автомобилей и разбор тысячи ДТП по его вине. Также в руках хакеров оказались данные о зарплатах сотрудников Tesla, их личные электронные адреса, номера телефонов, банковские реквизиты клиентов, секретные сведения о производстве и даже номер соцстрахования самого Илона Маска.
• Российский сервис вертикальных видео Yappy взломали в ноябре 2022 года. Были украдены таблицы на 2 млн строк. Это мобильные телефоны, даты регистрации, ФИО и некоторые другие личные данные пользователей.
• В декабре данные пользователей портала Rabota.ru тоже были украдены – это 390 тысяч строк с указанием адресов электронной почты, телефонов, ФИО, возрасте и зарплатных ожиданиях.
• «ВкусВилл» подтвердил в декабре утечку данных – номеров телефонов, адресов электронной почты, данных о купленных товарах, а также номеров банковских карт клиентов.
• Тогда же были украдены и личные данные клиентов туристического сервиса Level.Travel:

«Зафиксирована утечка информации, в результате которой в интернете были опубликованы некоторые данные о пользователях, включая контактные телефоны и детали бронирований. Номера карт и пароли не хранятся сервисом и находятся в безопасности», — отметил представитель сервиса.

• Тогда же появилось сообщение, что был взломан портал Госуслуг. Но Минцифры информацию опровергло. Проверив выложенные данные, министерство сообщило, что они не имеют связи с Госуслугами, а глава Минцифры Максут Шадаев заявил, что это лишь компиляция старой утечки «Почты России»: «Это опять база "Почты России", та утечка, которая в четвертый раз под этим видом [новой утечки] выдается. Компиляция. Это точно абсолютно».
• В январе утечка из Почты России повторилась. Второй фрагмент файла содержал 141 211 строк, в которых были: ФИО, адрес (регистрации и фактический), телефон, адрес эл. почты (не у всех), СНИЛС/ИНН (не у всех), пол, дата рождения, серия/номер паспорта, кем и когда выдан.
• В январе этого года Telegram-канал «Утечки информации» сообщил о сливе личных данных из соцсети Twitter. Хакерский файл весом 12 ГБ содержал данные 209,5 млн пользователей. Это адреса электронной почты, даты создания профилей, количество подписчиков, логины. Из двухсот миллионов строк 5,6 млн содержали адреса электронной почты на домене ru – россиян.
• В феврале была публикация личных данных клиентов «СберЛогистики» в открытом доступе – клиентов и сотрудников компании. Говорят, что информацию разместил тот же источник, который ранее опубликовал конфиденциальную информацию клиентов «Почты России», образовательного портала GeekBrains, службы доставки Delivery Club и многих других. «Рекомендуем не обращать внимания», — так отреагировал Сбер на утечку.
• «Спортмастер» и «Здравсити» вовсе стали лидерами по числу сворованных данных пользователей в этом году. Всего за первые два месяца этого года в сеть было выложено более 50 млн номеров телефонов россиян. «Крупнейшими утечками в этом году стали данные клиентов сети "Спортмастер" (13,4 млн уникальных адресов электронной почты и 45,89 млн телефонных номеров) и интернет-аптеки "Здравсити" (почти 9 млн номеров телефонов и 3,4 млн e-mail)», — рассказал основатель российского сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. Также в базе содержались имена клиентов, их даты рождения, номера телефонов и адреса электронной почты. Не проблема – заплатят по 100 тысяч штрафа и обнулятся.

И вот пошли карательные меры.

• В марте онлайн-школу английского языка Skyeng оштрафовали за утечку пользовательских данных решением суда Таганского района Москвы. Утечка была в 2020 году (школа ее отрицает). На всеобщее обозрение были выставлены данные 5 млн учащихся сервиса. К слову, штраф, согласно ч.1 ст. 13.11 КоАП, составил 60 тысяч рублей.
• На следующий день (2 марта) оштрафован за утечку был и сервис «Туту.ру» (на те же 60 тыс. рублей) тем же судом Таганского района Москвы и по той же статье. Утечка произошла в начале июля 2022 года – в сети появилась часть базы данных сервиса, где были данные о покупке билетов на автобусы – всего 2 627 166 строк. В строках содержались имя и фамилия, номер телефона и электронная почта.

Ваши данные все еще не в сети? Зря вы так думаете

Согласно отчету компании Thales, данные украдены уже у 33% пользователей интернета (во всем мире). При этом 82% обворованных жалуются на ухудшение качества жизни после потери конфиденциальных данных. Также Thales располагает информацией, что около 11% компаний медлят с тем, чтобы признаться в утечке, заявляя об этом примерно через полгода, а каждая двадцатая компания молчит до последнего.

Картина по России еще более удручающая. В сети на сегодняшний день оказались персональные данные 75% россиян – 85% трудоспособного населения. Такова статистика сервиса DLBI. Как отметил глава компании Ашот Оганесян, подтверждены 140 утечек – это 109 млн телефонных номеров и 99,8 млн е-мейлов. Основные источники утечек – сервисы, наподобие Яндекс.Еды, Delivery Club, «Гемотеста» и так далее, а также данные из малоизвестных компаний.

Глазами «Лаборатории Касперского» ситуация выглядит еще хуже. Всего в 2022 году в сеть было выложено 168 значимых (а сколько незначимых?) баз данных российских компаний. Это почти 300 миллионов пользовательских данных и около 48 миллионов паролей.

То есть, за год было опубликовано более 2 миллиардов записей! Виновником 64% утечек стал крупный бизнес. Среди лидеров – сфера доставки (34%) и ретейл (14%).

И это только начало – сливаемые базы будут постоянно обновляться, иначе в них не будет толку. Согласно прогнозу «Лаборатории Касперского», в 2023 году утечек станет больше на 20% (на 60 млн пользовательских данных). Напомним, что население России составляет чуть более 140 млн жителей.

Наверняка какие-то организации или частные лица накапливают воруемые данные и объединяют их в единую базу, в которой есть актуальные сведения практически обо всех гражданах России. Для чего это нужно? В первую очередь, для мошенничества.

Еще больше штрафов

Размер штрафов за утечку персональных данных может быть повышен до 500 млн рублей (минимальный штраф составит 5 млн). С такой инициативой в конце декабря 2022 года выступило Минцифры. Это должно подтолкнуть компании к усилению мер по защите данных. Но сами компании предупреждают, что это приведет к дроблению бизнеса на региональные подразделения, что снизит фиксируемые доходы и, соответственно, штрафы (штраф будет рассчитываться от размера суммы выручки компании за календарный год – 3%). Поэтому от этой идеи, вроде как, отказались. Пока.

Но недавно (в сентябре 2023 года) Минцифры предложило инициативу – компенсацию пострадавшим от утечек персональных данных в рамках закона об оборотных штрафах. То есть, если ваши данные были украдены, то компания, у которой их украли, компенсирует вам это деньгами. Сама же компания при этом сможет снизить предусмотренный законом оборотный штраф.

И вот сегодня правительство РФ одобрило эту инициативу компенсаций.

Схема компенсаций, вроде, простая:

1. Компания сообщает пользователю об утечке.

2. Пользователь подает в течение 15 рабочих дней заявку на компенсацию на «Госуслугах».

3. Компания рассчитывает объем денежных выплат (на это дается 20 рабочих дней).

4. Компания рассылает пострадавшим от утечки пользователям предложение компенсации с указанием конкретных сумм.

5. Пользователи принимают его или отказываются (на раздумья дается 20 рабочих дней).

6. Если на компенсацию согласятся 80% пострадавших, то ее выплатят в течение 5 рабочих дней (если процент будет меньше, то выплат не будет, а компания заплатит оборотный штраф в полной мере).

Но на практике это будет выглядеть примерно так, объясняет Руководитель практики «Медиаправо» юридической фирмы Intellect Михаил Хохолков:

«Получиться может не как хотели, а как всегда, потому что механизм такой.

Если только 79,9% скажет ОК, то никто ничего не получит. Вернее компания получит оборотный штраф по полной, без смягчающих обстоятельств. А пользователь может пойти в суд.

Кстати, а ведь надо получить новое согласие на обработку ПД в целях выплаты и взять у пользователя еще данные о профиле на Госуслугах и банковские реквизиты.

Представляю диалог:

 – Уважаемый юзернейм Клубничка-76! У нас слив вашего мейла и телефона, мы готовы выплатить компенсацию, только дайте еще свое ФИО, ИНН, СНИЛС и номер счета и подтвердите свой аккаунт на Госуслугах.

 – Что? Если еще раз будет слив? Да не переживайте! У нас уже все ваши данные будут.

В итогах:

• у пользователя выбор: отдать за питик (наименьший номинал монеты, имеющий незначительную ценность – прим. ред.) все свои данные и помочь своей любимой компании снизить оборотный штраф, или махнуть рукой,

• у бизнеса вопрос: а не дешевле ли заплатить оборотные штрафы, чем собрать эти 80% бустов?

• у регуляторов два зайца живы и здоровы,

• у юристов и инфобеза голова кругом».

И стучаться так к пользователям с предложениями компенсаций будут постоянно, так как наши данные утекают в сеть по несколько раз в год.

Ваши данные украли – что делать

Если речь идет о ФИО, номере телефона и электронной почте, то просто махните рукой – эти данные крадутся постоянно и давно, и ничего нового вы не потеряли.

Если есть подозрение, что были украдены логины и пароли, то нужно в срочном порядке их менять, не теряя ни минуты. В ряде браузеров есть мастер паролей, который предупреждает о том, что какой-либо из ваших паролей был скомпрометирован – не игнорируйте такие сообщения и меняйте проблемные пароли.

Если в сеть утекли данные банковской карты, то следует обратиться в службу безопасности банка. А лучше посетить отделение банка лично и объяснить оператору суть проблемы. Карту, скорее всего, придется заблокировать.

В случае утечки сканов и фотографий документов, переживать уже не стоит. Сегодня по ним уже невозможно взять кредит или провести какие-то сделки. Но будьте готовы к тому, что рано или поздно вы получите очень правдоподобное письмо, например, о большом штрафе, который нужно срочно оплатить, налоге и т.п. Дело в том, что имея паспортные данные, злоумышленники могут получить другие дополнительные данные (ИНН, например). Поэтому перепроверяйте подобные письма через официальные источники – Госуслуги, Кабинет налогоплательщика и так далее.

Итог

Все тайное становится явным. В конце концов, и игла Кощея оказалась не в самых надежных руках. Не останутся (остались) секретом и наши с вами персональные данные. Вопрос только в том, как их можно использовать, чтобы нам же и навредить.

Читайте также:

Не доверяете интуиции? Зря: ее «поймали» приборами, она работает

Закон о госязыке: как, где и что нельзя писать. Юрист все рассказал

Как и почему миллиард человек противостоит интернет-рекламе