Утечка персональных данных из банка 2023
Правительство РФ одобрило концепцию законопроекта об ужесточении ответственности компаний за утечки персональных данных. Поправки предполагают не только увеличение штрафов, но и реальные сроки. Вспомним самые громкие случаи утечек в 2022 г.
Утечка персональных данных россиян из баз данных крупных компаний – одна из серьёзнейших проблем кибербезопасности нашего времени. Приводить такие утечки могут к самым разным последствиям.
В одних случаях, если это были имена и телефоны, могут участиться звонки рекламного характера. В других, если база попала злоумышленникам, вас станут атаковать мошенники из «службы безопасности вашего банка».
Но случается, что утекают данные банковских карт, детализации звонков и заказов и даже данные документов.
На данный момент за неправомерные действия с базами персональных данных виновникам утечек грозит лишь административная ответственность в виде штрафа, причём довольно небольшого: их размеры не превышают нескольких тысяч для физических лиц, а для юридических могут достигать максимум 100 тысяч на первый раз (и 500 тысяч при повторном нарушении). Для крупной компании 100 тысяч – пустяки, особенно если сравнивать с затратами на усиление мер безопасности и сохранности таких данных.
Есть ещё дисциплинарная ответственность – выговор. То есть сотрудника, который допустил слив базы данных с вашим телефонным номером, после чего вас круглосуточно стали донимать мошенники, могут просто пожурить. Правда, если утечка персональных данных привела к убыткам, виновники должны понести уже гражданско-правовую ответственность, возместив и эти убытки, и причинённый моральный вред.
Меры по усилению ответственности за утечку персональных данных, а также различные предложения по улучшению собственно защиты этой информации обсуждаются в Госдуме давно. К примеру, ещё в 2015 году депутаты внесли законопроект об удалении из поисковых систем ссылок на информацию о людях по запросу – но техническая сторона этого механизма не проработана до сих пор.
пресс-служба Государственной Думы
В декабре 2022 года на рассмотрение правительства РФ поступил законопроект об ужесточении ответственности за кражу персональных данных.
Авторы документа предложили ввести штрафы от 300 тысяч до 2 млн рублей, а также наказание в виде лишения свободы до 10 лет. Таким образом, ответственность за персональные данные станет уголовной.
В феврале текущего года правительство рассмотрело и одобрило концепцию этого законопроекта.
Эксперты опасаются, что меры предосторожности и ответственности, которые могут быть предусмотрены документом, окажутся неподъёмными для малого и среднего бизнеса. А «позволить» себе такое усиление безопасности смогут только крупные компании – у которых и происходят самые масштабные «сливы». Причём в последнее время – всё чаще и чаще.
Только за 2022 год в стране разразилось несколько громких скандалов с масштабными утечками персональных данных клиентов самых разных крупных компаний. Так, 1 марта о такой утечке сообщили представители «Яндекс.Еды».
Злоумышленники не только украли, но и выложили в открытый доступ в интернете информацию более чем 58 тысяч заказчиков. Среди обнародованных данных оказались Ф.И.О.
, адреса – физические и электронной почты, номера телефонов и информация о заказах.
Данные были выложены на стороннем сайте в виде карты с точками, за каждой из которых скрывался адрес реального человека.
23 марта Роскомнадзор заблокировал этот сайт, но в течение трёх недели каждый мог спокойно узнать, на какую сумму пообедал его сосед.
К сожалению, выяснить, что в соседской тарелке, – обычно не главная цель злоумышленников. Как заявили в «Яндексе», данные утекли по вине одного из сотрудников.
pexels.com
Всего два месяца спустя, 20 мая об утечке информации о заказчиках сообщил конкурент «Яндекс.Еды» – сервис доставки Delivery Club. Как и в предыдущем случае, это была информация об именах и фамилиях, номерах телефонов, электронной почте и суммах заказов. Представители компании подчеркнули, что данные банковских карт нигде не засветились.
В мае 2022 года в даркнете появилась ещё одна база персональных данных – на этот раз клиентов «Гемотеста», компании, осуществляющей различные анализы крови. Помимо Ф.И.О.
, номеров телефонов, адресов и дат рождения злоумышленникам (и всем желающим) оказались доступны такие важные данные, как серия и номер паспорта каждого пострадавшего и номер СНИЛС.
Как сообщали СМИ, за доступ к базе злоумышленник просил всего две тысячи долларов.
Утечка, по заявлению представителей «Гемотеста», произошла из-за уязвимости в IT-системе компании. Сеть лабораторий, как и «Яндекс.Еду», оштрафовали по решению суда всего на 60 тысяч рублей. А вот сервис Delivery Club получил штраф размером 80 тысяч – и эти при том, что слиты были данные 2 млн заказчиков и 130 тысяч курьеров.
Ещё в феврале 2022 г. крупная утечка данных произошла у российского оператора экспресс-доставки СДЭК. Позже, в июле стало известно о второй такой утечке.
Как заявили в СДЭК, слитые базы включали имена и фамилии, номера телефонов, адреса и электронную почту, но данных документов и банковских карт в них не содержалось.
При этом «слив» затронул несколько десятков миллионов пользователей.
Опасность подстерегает и при оформлении обычной карты продуктового магазина. Так, в ночь с 8 на 9 декабря 2022 г. сотрудники «Вкусвилла» обнаружили, что в открытый доступ попали данные нескольких сотен тысяч клиентов. Утекла информация о номерах телефонов, электронной почте, датах и суммах заказов, а также последние цифры банковских карт.
Bulkin Sergey/globallookpress.com
Опасно стало и учиться на онлайн-курсах: 1 июня в утечке данных более ста тысяч своих студентов признались представители обучающей платформы Geekbrains. Но, конечно, опаснее всего нам представляются утечки данных из различных банков.
Отметим, что данные клиентов «Сбербанка» за последние годы сливались несколько раз.
Одна из крупнейших утечек в истории российских банков произошла в конце сентября 2019 года – тогда злоумышленники выложили на продажу базу с информацией о 60 млн клиентов этого банка.
Уже в феврале 2020 года в продажу на просторах даркнета поступили новые «лоты» – с информацией о 20 и 100 тысячах человек, пользующихся услугами «Сбербанка». Причём данные включали не только фамилию и телефон, но также номера и серии паспортов и номера счетов.
В середине июня зампред правления Сбербанка Станислав Кузнецов рассказал, что с начала СВО в результате хакерских атак были слиты данные ещё 65 млн россиян. В том числе оказались скомпрометированы 13 млн банковских карт, 1 млн из которых принадлежали «Сбербанку» и были, по заявлению Кузнецова, перевыпущены.
Всё это – далеко не полный список сливов и утечек нашей с вами личной информации. Немало таких неприятных краж данных произошло и за краткий срок с начала 2023 года, и не только в России: например, в начале января, сразу после каникул магазин «Спортмастер» заявил об утечке данных 260 тысяч клиентов в Казахстане.
О множестве подобных утечек рассказал Ашот Оганесян, основатель сервиса разведки утечек данных и мониторинга даркнета DLBI, в своём телеграм-канале. По информации Оганесяна, в конце января 2023 г. в открытый доступ попала база данных «Почты России».
В слитой базе – Ф.И.О., адреса, телефоны, СНИЛС и ИНН, серия и номер паспорта и данные о том, кем и когда выдан документ. Всего утекли данные 140 тысяч человек.
Предыдущий «прокол» «Почты России» состоялся всего полгода назад, в конце июля.
БезопасностьИнтернетЗаконопроекты
Сервис Сбербанка «протек» по-крупному. Персональные данные десятков миллионов клиентов в свободном доступе
10 Марта 2023 09:38 10 Мар 2023 09:38 |
В сервисах Сбербанка новая утечка персональных данных клиентов. В Сети найден архив с телефонами, адресами и номерами карт десятков миллионов пользователей, присоединившихся к бонусной программе «Сберспасибо». Пострадали как минимум 47,9 млн человек. В 2019 г. в Сеть попал еще более крупный архив с не менее важными данными клиентов – эта утечка затронула свыше 60 млн пользователей банка.
«Дочка» Сбербанка допустила огромную утечку персональных данных своих клиентов – пострадали десятки миллионов участники бонусной программы банка «Сберспасибо».
Как сообщил в своем Telegram-канале сервиса разведки утечек данных и мониторинга даркнета DLBI, попавшая в Сеть база данных содержит информацию почти о 50 млн пользователей этой системы, включая персональные данные, которые в дальнейшем могут использоваться для рассылки спама и мошеннических операций.
Архив с данными пользователей «Сберспасибо» имеет объем в пределах 14 ГБ и состоит из двух файлов. Первый «весит» 820 МБ и называется Orders, а второй занимает около 13 ГБ и носит название Users. Предположительно, весь этот массив данных был получен из фирменного приложения «Сберспасибо».
Надежность защиты персональных данных клиентов Сбербанка все чаще вызывает большие сомнения
На момент публикации материала представители «Сберспасибо» и Сбербанка не подтверждали информацию об утечке. Впрочем, официального опровержения тоже не было, что повышает вероятность подлинности оказавшихся в свободном доступе сведений.
«Мы проверяем информацию и ее достоверность, – сообщили CNews представители «Сберспасибо». – Подобные сообщения возникают часто и как правило связаны с мошенниками, которые пытаются продать компиляции старых баз данных под видом оригинальных».
Содержимое архива
По словам экспертов DLBI, основной массив данных в архиве – это номера телефонов пользователей – их в нем 47,9 млн, и все уникальные, без повтора. Адресов электронной почты в разы меньше, но тоже в избытке – 3,3 млн уникальных адресов.
В итоге по первым мошенники могут звонить, к примеру, от имени службы безопасности самого Сбербанка и предложить перевести деньги на «супернадежный» счет для защиты от мошенников, а на вторые рассылать фишинговые письма с целью украсть банковские данные пользователей.
Последнее, впрочем, может и не потребоваться, поскольку в архиве оказались хешированные номера банковских карт клиентов «Сберспасибо», притом как основной карты, с которой они совершают платежные операции чаще всего, так и всех дополнительных.
Все они зашифрованы по древнему и в современном мире, как оказалось, полностью бесполезному алгоритму SHA1.
«Не смотря на то, что номера банковских карт хранятся в одном из этих файлов в виде хеша, из-за использования устаревшей функции хеширования SHA1, нет никаких проблем «восстановить» их реальные значения прямым перебором всех цифр», – утверждают эксперты DLBI.
Как быть тем, кто пострадал в результате утечки, пока неясно. Но едва ли многие из них решат сменить номер и email
Перечисленная информация дополнена датами рождения клиентов сервиса. При должной сноровке мошенники наверняка найдут способ использования и этих сведений в своих корыстных целях, равно как и дата создания и обновления записи пользователей в программе «Сберспасибо» за период с 22 июля 2015 г. по 07 июня 2022 г. Эти данные тоже оказались в архиве.
Хакеры на опыте
По информации сервиса DLBI, за утечку данных клиентов «Сберспасибо», ответственны те же киберпреступники, что ранее «слили» в Сеть информацию информацию онлайн-платформы правовой помощи «Сберправо», «Сберлогистики», образовательного портала GeekBrains и ряда других сервисов. Эксперты сервиса считают, что в ближайшем будущем представители в Рунете появится утверждение представителей «Сберспасибо» о неактуальности представленной в утекшем архиве информации.
За последний месяц это как минимум второй случай «серийной утечки» данных, когда один хакер или группа хакеров выгружает в Сеть информацию нескольких сервисов и компаний. 9 марта 2023 г.
CNews освещал случай взлома компании Acronis, занимающейся информационной безопасностью – архив с ее корпоративной информацией попал в интернет через пару дней после утечки в Acer, крупном производителе компьютерной техники.
Оба «слива» – результат действий одного человека или одной группы лиц. Acer сразу признала утечку, а вот Acronis сперва опровергла факт утечки, но потом выпустила «опровержение на опровержение»: как пишет The Register, она призналась в случившемся, но заявила, что в результате инцидента пострадал всего лишь один ее клиент.
Почти рекорд
Если утечку в «Сберспасибо» подтвердят представители сервиса или непосредственно Сбербанка, то, несмотря на гигантское количество пострадавших в результате этого «слива», рекордным он не будет.
В конце 2019 г. в Сети по недосмотру службы безопасности «Сбера» оказалась база данных с информацией о более чем 60 млн клиентах банка. – общедоступными стали их ФИО, паспортные данные и ряд других сведений, включая информацию по кредитам.
Подлинность записей была подтверждена, а утечку допустил один из теперь уже бывших работников банка, решивший подзаработать на продаже базы данных в даркнете.
По итогам расследования этого инцидента Сбербанк заявил CNews, что «сотрудник, совершивший преступление, продал несколькими траншами одной из преступных групп в теневом интернете в совокупности пять тысяч учетных записей кредитных карт Уральского банка Сбербанка, значительное количество из которых являются устаревшими и неактивными».
Евгений Черкесов
Короткая ссылка
Бизнес предложили штрафовать до ₽500 млн за утечку данных россиян — РБК
В России закончили работу над законопроектом об оборотных штрафах за утечки персональных данных. Итоговая версия предусматривает наказание за подобные инциденты до 3% совокупной выручки компании
Михаил Мишустин ( Дмитрий Астахов / РИА Новости)
Сенаторы Андрей Турчак и Ирина Рукавишникова, а такжедепутат Александр Хинштейн направили главе правительства Михаилу Мишустину финальную версию законопроекта, вводящего оборотные штрафы за утечки персональных данных. Копия документа есть у РБК, ее подлинность подтвердил источник, близкий к одному из авторов поправок.
Документ оформлен как поправки в Кодекс об административных нарушениях. Согласно инициативе, за утечку:
- если она касается от 1 тыс. до 10 тыс. субъектов персональных данных (то есть граждан), штраф для юрлиц составит от 3 млн до 5 млн руб.;
- за утечку данных от 10 тыс. до 100 тыс. субъектов — от 5 млн до 10 млн руб.;
- более 100 тыс. — от 10 млн до 15 млн руб.
За повторное нарушение при любом объеме дискредитированной информации от 1 тыс. субъектов предлагается штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн руб.
и не более 500 млн руб. За утечки биометрических персональных данных предлагается штрафовать юрлица на сумму от 15 млн до 20 млн руб.
Также проект предлагает ввести штрафы различного размера за утечки персональных лиц для граждан и должностных лиц.
В пояснительной записке к проекту приводятся данные «Лаборатории Касперского»: в 2022 году было обнаружено 168 случаев публикации значимых баз данных, относящихся к российским компаниям.
Всего было опубликовано более 2 млрд записей почти с 300 млн пользовательских данных, из которых 16% содержали пароли. Лидерами по объему скомпрометированных данных были сферы доставки (34%) и ретейл (14%).
При этом сейчас максимальный штраф для компаний, допустивших утечки персональных данных, составляет до 100 тыс. руб. и до 300 тыс. руб. при повторном нарушении.
Предполагается, что поправки вступят в силу спустя 30 дней после официального опубликования.
Александр Хинштейн подтвердил РБК, что поправки в КоАП направили на отзыв в правительство. РБК направил запрос другим авторам документа, в аппарат правительства и Минцифры.
Как еще могут наказывать за утечки
По словам источника РБК, близкого к авторам поправок, также предполагается внести изменения в Уголовный кодекс: незаконное использование, передача или сбор персональных данных, полученных неправомерным путем, будут наказываться штрафом до 300 тыс. руб. или принудительными работами / лишением свободы на срок до четырех лет. До пяти лет — если информация содержит специальные категории персональных данных и (или) биометрические персональные данные.
Наказание до шести лет лишения свободы со штрафом до 1 млн руб. предлагается ввести за незаконное использование персональных данных из корыстной заинтересованности, повлекшее крупный ущерб, совершенное группой лиц по предварительному сговору или с использованием служебного положения.
Преступления, связанные с трансграничной передачей персональных данных, предлагается наказывать лишением свободы на срок до восьми лет со штрафом до 2 млн руб., с повышением срока и суммы до десяти лет и 3 млн руб.
соответственно, если были тяжкие последствия или преступление совершено организованной группой.
Создание ресурсов в интернете или компьютерных программ, предназначенных для незаконного хранения, распространения персональных данных, предлагается наказывать принудительными работами / лишением свободы на срок до пяти лет со штрафом в размере до 700 тыс. руб.
Собеседник РБК утверждает, что на эту часть поправок авторы уже получили положительный отзыв правительства ранее.
Необходимость подобных изменений он пояснил тем, что только с января по август 2022 года в России произошли утечки 197 млн записей персональных данных и платежной информации, а общий объем официально выявленных утечек персональных данных за прошлый год, о которых официально сообщалось в СМИ, составил более 1130 млн записей.
Как разрабатывали поправки
В апреле прошлого года глава Минцифры Максут Шадаев предложил ввести оборотные штрафы для компаний, допустивших утечку персональных данных, пояснив, что бизнес опасается скорее репутационных издержек, нежели штрафа.
Затем летом министерство озвучило первые детали возможного наказания: за первую утечку штраф планировалось сделать фиксированным, а его размер должен зависеть от объема данных, при повторной утечке предлагалось применять оборотный штраф.
При этом в министерстве говорили, что будут учитывать смягчающие и отягчающие обстоятельства при определении размера штрафа. Если компания приложила максимум усилий по защите информации — расценивать как смягчающее обстоятельство, если она скрывала факт утечки — как отягчающее.
Рассматривалась также возможность создания специального фонда по аналогии с Агентством по страхованию вкладов, в который будут перечислять собранные штрафы и из которого станут выплачивать компенсации гражданам, пострадавшим от утечек.
Участники рынка просили ведомство смягчить наказание.
В частности, выносить предупреждение компании, если данные ее клиентов или сотрудников были скомпрометированы впервые; в случае повторной компрометации — назначать крупный штраф и только при третьей утечке — оборотный.
Однако в середине прошлого года рабочая группа при Минцифры обсуждала, что оборотные штрафы необходимо назначать при утечках персональных данных более чем 10 тыс. субъектов, даже если утечка произошла впервые.
В декабре 2022-го Максут Шадаев заявил, что законопроект готов. Он отмечал, что, если компания не обеспечивает сохранность данных, штраф может составить до 3% от оборота.
Но оговаривался, что при назначении штрафа будут учитываться смягчающие обстоятельства, например, если компания возместила ущерб двум третям пострадавших или продемонстрировала, что инвестировала дополнительные средства в инфраструктуру для обеспечения безопасности.
Но несмотря на заявление министра, работа над законопроектом продолжилась и в финальной версии, отправленной в правительство, смягчающие обстоятельства не упоминаются.
Президент Ассоциации компаний интернет-торговли (АКИТ) Артем Соколов говорит, что законопроект не обсуждался с бизнесом, «несмотря на неоднократные просьбы».
«По имеющейся информации, в законопроекте остались нерешенными ключевые проблемы: безвиновная ответственность, когда компания выполнила все требования по обеспечению защищенности, но хакер добился своего; отсутствие порядка верификации баз данных, когда любую базу данных, в том числе открытых, например из соцсетей, можно объявить утечкой. И самое главное — размеры штрафов. Совершенно очевидно, что оборотные штрафы, а тем более 3% от годовой выручки — это несовместимая с нормальным ведением бизнеса регуляторная среда», — указал он. В случае принятия поправок в текущем виде, по мнению Соколова, можно будет забыть о самом понятии «поддержка бизнеса».
Основатель платежного сервиса Platim.ru Леонид Румянцев назвал предложенные поправками штрафы «завышенными и несоразмерными доходности российского бизнеса». Он отметил, что 1–10 тыс.
субъектов персональных данных — это уровень микробизнеса: небольшой онлайн-школы, интернет-магазина или сети из трех парикмахерских.
«Доход таких микробизнесов составляет сотни тысяч, а не миллионы рублей, и подобные штрафы разорят предпринимателей, которые будут вынуждены банкротиться и закрывать бизнесы. Ведь именно микробизнесы больше всего не защищены от хакерских атак», — рассуждает Румянцев.
Представитель онлайн-сервиса для поиска специалистов «Профи» отметил, что размер потенциальных штрафов сам по себе не оказывает влияния на бизнес, который соблюдает законодательство о защите персональных данных.
«Наказываться должна не сама утечка, а связанные с ней нарушения правил обработки персональных данных.
Введение же оборотных штрафов является, по нашему мнению, несправедливой мерой «возмездия» — у каждого бизнеса своя маржинальность, и штраф в 3% от выручки может стать смертельным для небольшой компании», — говорит он, не исключив, что утечки могут стать «способом конкурентной борьбы».
Россия становится лидером по утечкам персональных данных
18.04.2023 20:46:00
Доступ к личной информации можно получить почти беспрепятственно
Виновниками слива персональных данных от сервисов доставки еды оказались не азиатские курьеры, а украинские хакеры. Фото агентства «Москва»
В России наблюдается лавинообразный рост потерь персональных данных, коммерческой или личной информации. Число доступных на сером рынке персональных записей уже в несколько раз превысило население нашей страны.
Фактически почти все население страны существует в режиме полной информационной беззащитности, поскольку вся информация о работе, месте проживания, прививках и состоянии здоровья, интернет-покупках, собственности или подробностях семейных отношений уже утекла в интернет. Только за последний год объем утечек чувствительной информации вырос почти втрое.
Власти пытаются остановить утечки повышением штрафов. Однако эти усилия пока не отразились на объемах утекающей информации. Президент РФ Владимир Путин поручил правительству к июлю 2023 года разобраться с ситуацией.
Необходимо провести ревизию накопленных ведомствами баз данных, поскольку есть риск их утечки, заявил во вторник глава Минцифры Максут Шадаев. «Когда мы храним огромный массив данных, в том числе исторических, мы понимаем, что есть риск их утечки, как бы мы их ни защищали. Сейчас будем призывать ведомства проводить определенную ревизию накопленных баз данных», – сказал он.
Количество утечек персональных данных граждан, а также конфиденциальной информации организаций после небольшого снижения в пандемийный 2021 год в 2022-м стало расти в России небывалыми темпами, гласят результаты исследования компании InfoWatch.
Число утечек записей персональных данных и платежной информации выросло в 2,67 раза по сравнению с предыдущим годом и составило более 667 млн единиц, то есть количество скомпрометированных записей в прошлом году более чем в 4,5 раза превысило численность населения страны.
Количество утечек конфиденциальной информации из отечественных организаций выросло в 2,1 раза. Причем доступ к большинству данных на тематических форумах и Telegram-каналах был абсолютно бесплатным.
Основная причина резкого роста утечек информации – повышение активности киберпреступников, спровоцированное обострением международной обстановки после начала специальной военной операции, отметил руководитель направления аналитики и спецпроектов InfoWatch Андрей Арсентьев. Причем РФ еще достаточно неплохо выглядит на фоне бушующей кибервойны: в некоторых странах количество утечек выросло в 10–18 раз.
Россияне ощущают напряжение ситуации по учащению звонков от мошенников, которые достаточно уверенно владеют персональной информацией, обращаясь по имени и отчеству и называя банки, в которых у человека есть счета.
Под различными предлогами они пытаются (и немало случаев, когда им это удается) узнать еще более чувствительную информацию о пин-кодах либо просто вымогают деньги, представляясь попавшими в беду родственниками или даже оперативными сотрудниками, которым нужно помочь задержать взяточника.
InfoWatch описывает и то, как в общий доступ утекают персональные данные. После того как в феврале прошлого года сервис «Яндекс.
Еда» упустил в Сеть миллионы данных пользователей, включая фамилии, номера телефонов, адреса доставок, компания первоначально заявляла, что причиной инцидента стали недобросовестные действия персонала, но новая версия – утечка была реализована с помощью хакерской атаки на внешнюю инфраструктуру.
На памяти также сливы от другого сервиса доставки еды – Delivery Club.
В мае отличилась сеть медицинских лабораторий «Гемотест», которая допустила утечку двух баз данных на 0,5 млрд заказов и 31 млн строк с информацией, причем там были и ФИО, и даты рождения, и адреса, и номера телефонов, и электронная почта, и даже серии и номера паспортов, а в довесок – результаты анализов. При большом желании базы можно сверять с данными из ГИБДД, операторов сотовой связи, микрофинансовых организаций, соцсетей, сервисов по продаже билетов, онлайн-кинотеатров и банков.
По данным специалистов компании Group-IB, злоумышленники выложили в 2022 году 1,4 млрд строк из утекших баз российских компаний. По их данным, впервые выложенных в публичный доступ в 2022 году, баз было 311. Для сравнения: в 2021 году их было всего 61, а общее количество строк данных пользователей было «всего» 33 млн.
Новым трендом 2022 года они назвали массовую публикацию объявлений в мессенджерах, впрочем, были задействованы и обычные каналы публикаций о продаже баз данных на андеграундных форумах и тематических Telegram-каналах.
Эксперты компании прогнозируют, что в 2023 году прошлогодний антирекорд по числу утечек баз данных российских компаний может быть побит.
Потери мировой экономики из-за кибератак в 2022 году могли достигнуть 8 трлн долл. Такую оценку Всемирного экономического форума (ВЭФ) приводил в своей статье министр иностранных дел России Сергей Лавров. Он напомнил, что в 2019 году потери оцениваются в 2,5 трлн.
По экспертным оценкам, к 2025 году мировые потери могут достигнуть 11 трлн, а к 2030 году ‒ 90 трлн. В России изначально подобного рода потери оценивались экспертами в 2022 году на уровне 165 млрд руб.
, однако из-за обострения геополитической обстановки и шквала хакерских атак управляющий компании RTM Group Евгений Царев увеличил эту оценку до 320 млрд.
МВД России сообщало, что в 2022 году с использованием высоких технологий совершалось каждое четвертое преступление.
«Зарегистрировано на 27,6% меньше краж, на 29% – фактов мошенничества с использованием электронных средств платежа, на 22,5% – криминальных деяний в сфере компьютерной информации», – говорится в отчете ведомства. При этом там зафиксировали 9,3 тыс.
преступлений, связанных с неправомерным доступом к компьютерной информации, это рост за год на 45,6%, раскрыто около 1,3 тыс. (14%, раскрываемость улучшилась на 0,5%).
МВД отмечает, что за январь–февраль 2023 года произошел рост числа преступлений, совершенных с использованием информационно-телекоммуникационных технологий, на 17,1%. Вместе с тем меньше на 10,9% стало IT-краж и на 40,1% – мошенничеств с использованием электронных средств платежей.
«С начала 2022 года резко увеличилось количество утечек персональных данных – более 140 случаев, в Сеть попали около 600 млн записей о гражданах, – подтвердили «НГ» в Роскомнадзоре. – Сообщения об утечках баз данных с российских ресурсов стали появляться значительно чаще, в первом квартале 2023 года зафиксировано уже 39 инцидентов».
«Участившиеся взломы баз данных и их сливы в публичное пространство – часть гибридной войны, которая ведется против России. Очевидно, что это спланированные хакерские атаки, инициированные из-за рубежа. Более того, характер и масштабы взломов позволяют говорить о работе специалистов, близких к зарубежным спецслужбам», – заявили в Роскомнадзоре.
Стоимость утекших баз данных может достигать нескольких сотен тысяч рублей в случае ее «свежести» и полноты данных, но сейчас компании жестче контролируют сотрудников, а базы персональных данных становятся просто побочным материалом хакерских взломов. При этом до сих пор обладатели этих баз несут практически условное наказание за такие случаи.
«Размер штрафа для корпораций не существен, – сказал «НГ» эксперт консалтинговой группы «Полилог» Александр Хазариди. — За утечку 300 гигабайтов данных в 2022 году компанию «Гемотест» оштрафовали всего на 60 тыс. руб. Аналогичный штраф в том же году выплатила и «Яндекс. Еда». Правда, говорит эксперт, стоит учитывать еще и маркетинговый аспект проблемы.
«Каждый пользователь, чьи данные были собраны – это клиент, на привлечение которого были потрачены деньги компании. В случае утечек проделанная работа становится общедоступной и все данные, которые собирались месяцы и годы, могут использовать другие игроки.
В связи с этим искать новые работающие решения по защите персональных данных в конечном итоге выгодно самим корпорациям», – отмечает он.
«Хотя в прошлом году стало существенно больше случаев, когда хакеры – в политических или иных целях – выкладывали украденные данные в открытый доступ, основная доля утечек информации по-прежнему связана с корыстными мотивами, когда полученные данные не становятся достоянием общественности, а продаются на черном рынке (форумы дарквеба, закрытые каналы в Telegram) или служат средством шантажа пострадавших компаний (хакеры требуют выкуп в обмен на гарантии нераспространения украденной информации), – сказал «НГ» Арсентьев. – Украденная информация может продаваться в дарквебе на эксклюзивной основе (одному покупателю) или в разные руки. Лишь удовлетворив свои финансовые аппетиты, преступники или их агенты могут выложить данные в открытый доступ. Но и это происходит не всегда».
По словам эксперта, экономический ущерб сугубо индивидуален и зависит от многих факторов: типа утекшей информации, ее объема, возможности для криминала обогатить имеющиеся базы, чтобы повысить уровень «конверсии» фишинга. «Утечка телефонного номера того или иного человека – это мина замедленного воздействия.
До поры до времени она может вызывать лишь всплеск назойливых предложений товаров и услуг, но если злоумышленники совместят номер с другой информацией о человеке (возраст, профессия, материальное положение, какими услугами пользуется, где проводит свободное время и т.д.
), это может стать серьезным оружием в ходе мошеннического воздействия, – говорит Арсентьев.
“Ключевой мотив утечек персональных данных пользователей – дестабилизация текущей экономико-политической ситуации в стране, а также желание дискредитировать российский бизнес и граждан, включая быструю наживу, — сказала «НГ» доцент базовой кафедры финансовой и экономической безопасности РЭУ им. Г. В. Плеханова Екатерина Ерохина.
— Объем таких утечек в российском сегменте бизнеса составляет лишь 13%, по сравнению с США, где доля утечек бизнеса составляет свыше 30%. Если говорить об ущербе, в первую очередь страдают простые граждане, чьи персональные данные (телефоны, счета, адреса) попадают в руки мошенников и недобросовестных пользователей.
На мой взгляд, этому чаще всего подвержено старшее поколение, являющееся более доверчивым к поступающей извне информации, например, к звонкам или сообщениям.
Если говорить о размере ущерба, в текущей геополитической ситуации – суммы, которые теряют наши доверчивые граждане очень существенные, многочисленные уголовные дела и заявления о мошенничестве тому подтверждение. Открытость информации, содержащей персональные данные, тесно связана с многочисленными цепочками их перепродажи с целью наживы.
Нередко этим промышляют нечестные сотрудники телекоммуникационных компаний, сливающие в сеть телефонные номера и данные пользователей, а также в случае хакерских атак, число которых в 2022-2023 годах возросло во много раз».
Эксперт тем не менее возражает против того, что можно говорить об общедоступности персональных данных в РФ.
«Репутация и возможности финансовых учреждений и телекоммуникационных компаний (откуда чаще всего происходят сливы персональной информации) намного важнее, чем быстрый заработок недобросовестных сотрудников, а многочисленные отделы безопасности и IT-подразделения постоянно совершенствуют уровни доступа к конфиденциальной информации своих пользователей, включая и штрафы за утечки таких данных. Безусловно рост утечек персональной информации создает проблемы для внедрения новых технологий платежей, однако опыт повсеместной цифровизации сервисов и услуг в России в пандемийный и пост-пандемийный периоды свидетельствует о том, что при должном регулировании со стороны государства и корпораций, новые системы безопасности технологических процессов достаточно эффективны и являются передовыми не только для России, но и для всего мира».
«Прямой ущерб (от утечек персональных данных – «НГ») состоит в потере деловой репутации, возможном оттоке клиентов, а также временной дезорганизации работы на момент расследования и устранения последствий утечек, говорит руководитель исследовательской лаборатории инноваций и цифровых технологий Московской школы управления Сколково Владимир Коровкин.
Мотивами утечек, по его словам, могут быть как запугивание с целью дальнейшего шантажа — несколько громких утечек просто готовят почву, демонстрируя потенциальную силу хакерских группировок и усиливая их «переговорную позицию», так и «хактивизм» — совершение действий по тем или иным идеологическим мотивам, без прямого поиска экономической выгоды. Кроме того возможен конкурентный «заказ».
Для обывателя, возможно, является правильной стратегией считать, что любое действие в Интернете потенциально может стать публичным, соответствующим образом выстраивая свое поведение, полагает Коровкин.
«Шансы массового взлома, скажем, банка с кражей денег относительно невелики, а вот вероятность того, что в публичном доступе окажутся ваши заказы пиццы или поездки на такси — существенно выше», — говорит эксперт.
По его мнению, цифры безналичного оборота в России показывают, что большая часть населения так или иначе приняла потенциальные риски и на бытовом уровне их, скорее, игнорирует. «В целом нет ощущения, что вопросы личной кибербезопасности занимают значимое место среди тревог среднестатистического пользователя Интернета — возможно, что зря», — рассуждает Коровкин.
Сбербанк заявил об утечке данных 65 млн россиян с 24 февраля
Данные 65 млн россиян были украдены в результате кибератак за период с начала «специальной военной операции»* на Украине, заявил зампред правления Сбербанка Станислав Кузнецов на Петербургском международном экономическом форуме (ПМЭФ). Запись трансляции доступна на сайте форума.
В результате хакерских атак были скомпрометированы не меньше 13 млн банковских карт, отметил Кузнецов. Сбербанк перевыпустил 1 млн карт, остальные 12 млн приходятся на другие кредитные организации. Ущерб от перевыпуска карт составил не менее 4,5 млрд рублей, добавил зампред правления банка.
По оценке Кузнецова, против России ведется «полномасштабная кибервойна». Банк зафиксировал в общей сложности примерно 300 000–330 000 людей, участвующих в хакерских атаках против России, причем одновременно участвующих было порядка 100 000 людей, заявил топ-менеджер.
Количество кибератак на бизнес выросло после начала «военной операции» не менее чем в 15 раз, в разы вырос ущерб экономике, утверждает Кузнецов. По данным Сбербанка, основной удар пришелся на финансовый сектор, авиакомпании, энергетические и нефтегазовые компании, логистические предприятия и интернет-продавцов, а также на СМИ.
В результате DDoS-атак на час и более оказывались заблокированными сервисы 87 крупных организаций, добавил Кузнецов.
В начале июня хакерской атаке подвергся сайт Минстроя: хакеры пригрозили опубликовать данные сотрудников министерства, если им не выплатят 0,5 биткоина до 7 июня.
В мае глава сервиса поиска работы HeadHunter Виталий Терентьев прогнозировал, что около 100 000 российских компаний столкнутся с трудностями при поиске специалистов по кибербезопасности.
Сейчас на рынке дефицит таких профессионалов и найти профессионала подходящего профиля сейчас практически невозможно, отмечали тогда эксперты.
Весной в интернете появились персональные данные пользователей ряда крупных компаний и сервисов, в том числе «Яндекс.Еды», Delivery Club, СДЭК, ВТБ, Wildberries и других.
В опубликованной базе присутствовали также данные ГИБДД, но МВД утверждало, что информация об утечке из ресурсов ведомства «не находит своего подтверждения».
В июне «Яндекс» сообщил, что проводит внутреннее расследование в связи с публикацией в интернете данных пользователей сервиса «Практикум».
* Согласно требованию Роскомнадзора, при подготовке материалов о специальной операции на востоке Украины все российские СМИ обязаны пользоваться информацией только из официальных источников РФ.
Мы не можем публиковать материалы, в которых проводимая операция называется «нападением», «вторжением», либо «объявлением войны», если это не прямая цитата (статья 57 ФЗ о СМИ).
В случае нарушения требования со СМИ может быть взыскан штраф в размере 5 млн рублей, также может последовать блокировка издания.
Хакеры обокрали банковских клиентов на 4,5 млрд рублей за первые три месяца 2023г
Хакеры обокрали банковских клиентов на 4,5 млрд рублей за первые три месяца 2023г
Банк России сообщил о 2,7 млн операций без согласия клиента, из которых 252,1 тыс. оказались успешными для злоумышленников.
Согласно отчету Банка России, в первом квартале 2023 года кредитные организации предотвратили хищения средств на сумму 712 млрд рублей, отразив 2,7 млн операций без согласия клиента. 252,1 тыс.
атак оказались успешными, в результате чего было украдено 4,5 млрд рублей. Большая часть жертв были физические лица, которые потеряли деньги в 251,5 тыс. случаях.
Корпоративные клиенты банков подверглись 655 атакам, а сами кредитные организации не пострадали от действий хакеров.
Как сообщили в Банке изданию «Коммерсантъ», в 2022 году число DDoS-атак на инфраструктуры кредитных организаций существенно увеличилось, но банки смогли справиться с ними благодаря эффективному взаимодействию с регулятором и другими ведомствами. Однако такие атаки по-прежнему представляют угрозу для стабильности банковской системы, особенно если они проводятся хактивистами — политически мотивированными хакерами.
По данным компании Servicepipe, специализирующейся на защите от DDoS-атак, число таких атак по итогам первого квартала 2023 года снизилось на 15–20% в сравнении с прошлогодним. Однако уже в 2023 году были зафиксированы случаи недоступности сервисов крупнейших игроков из-за DDoS-атак.
Еще один тип киберинцидентов, который актуален для кредитных организаций, — это СМС-бомбинг.
Это атака, при которой злоумышленники запрашивают отправку большого количества СМС от имени клиентов банков, например для входа в интернет-банк.
В результате такой активности расходы банков на оплату СМС могут вырасти в три-пять раз. Целью таких атак является нанесение финансового ущерба банкам или дискредитация их репутации.
Однако самый распространенный способ атаки на банковских клиентов — это социальная инженерия, то есть манипулирование человеческими эмоциями и доверием. По данным Банка России, на такие атаки приходится больше половины инцидентов.
Число же случаев использования злоумышленниками вредоносного ПО (хакеры традиционно используют его при атаках на банки) снизилось с прошлого года на 16%.
В абсолютных величинах это 75 раз в квартал, что составляет 0,03% общего объема атак.
Эксперты подчеркивают, что кредитные организации не должны расслабляться и должны постоянно повышать свой уровень кибербезопасности.
Хакеры не потеряли интерес к атакам на банки, так как это один из самых прибыльных видов киберпреступности.
Для проведения успешных атак на системы финансовых организаций и получения финансовой выгоды злоумышленникам необходимо иметь очень высокую квалификацию и глубокое понимание внутренних бизнес-процессов таких компаний.
Рост защищенности кредитных организаций вынуждает хакеров сменить тактику. В Банке России считают, что киберпреступники уже переключились со сложных атак с использованием разных тактик и техник на атаки, связанные с эксплуатацией уязвимостей используемого организациями программного обеспечения (ПО).
По словам экспертов, в 2023 году сохранится также тренд на атаки контрагентов банков, чтобы через них проникнуть в банк. В ЦБ также фиксируют атаки на третью сторону.
Также специалисты считают одной из основных угроз для кредитных организаций — атаки через финансовые приложения, интегрируемые в экосистемы.
Кроме того, злоумышленники могут создавать поддельные версии онлайн-банков в магазинах приложений и ложные страницы в соцсетях.
Актуальны для кредитных организаций и атаки внутренних злоумышленников — в 2023 году многие обращения компаний были связаны с инцидентами в их внутренней инфраструктуре, в том числе с утечками персональных данных.
Отмечается, что в 2023 году вероятны взломы мобильных устройств банковских клиентов с помощью удаленного доступа, а также получение возможности установки переадресации СМС и звонков.
Доступ к управлению устройствами достигается посредством социальной инженерии, фишинга, вредоносных приложений.
Не потеряют актуальности и атаки через СБП, когда злоумышленники подделывают QR-коды или ссылки для оплаты покупок.