Регулирование / Статьи
персональные данные
7.4.2021

Чтобы частное не стало общим

Эксперты призывают граждан не публиковать приватную информацию в интернете

На одном из хакерских интернет-форумов в свободном доступе появились личные данные более чем 533 млн пользователей Facebook из 106 стран. В том числе информация о 10 млн граждан России. Эксперты советуют делать максимально закрытыми личные контакты в соцсетях либо совсем их не публиковать, а при заполнении различных анкет – указывать псевдонимы вместо реальных имен.


РЕКОРД ПО ПОТЕРЕ ДАННЫХ

Личную информацию сотен миллионов пользователей Facebook обнаружили 3 апреля эксперты компании по кибербезопасности Hudson Rock, пишет Insider. В результате утечки стали доступны: номера телефонов, полные имена, даты рождения, биографические сведения, уникальные идентификаторы социальной сети. В некоторых случаях – адреса электронной почты.

Регулятор в Евросоюзе – Ирландская комиссия по защите данных (IDPC) – начала изучать причины утечки. Представитель надзорной службы Грэм Дойль предположил, что хакеры выложили данные, которые утекли еще в 2019 году. Более точная оценка будет дана после подробного анализа.

Действительно, в декабре 2019 года в открытом доступе оказались персональные данные (ПД) владельцев более 267 млн аккаунтов Facebook, большинство из США. База была доступна в Сети на протяжении двух недель.

Варианты этой базы продавались на теневых площадках по цене от 8 тыс. до 20 тыс. долларов

В августе 2020 года в интернет слили имена, номера телефонов, адреса электронной почты, должности, места работы почти 150 млн пользователей Facebook, LinkedIn и Instagram.

Представители органов власти РФ неоднократно обращали внимание на недопустимость таких инцидентов. Например, Роскомнадзор (РКН) направил запрос руководству компании Facebook Inc. с требованием предоставить максимально полную информацию о произошедшей утечке ПД российских пользователей социальной сети. РКН ждет от администрации соцсети принятия всех необходимых мер для предотвращения подобных событий.


У КОГО ПРОТЕКАЕТ БАЗА

Как происходит слив такого большого числа данных? Часто утечки крупных баз ПД пользователей соцсетей представляют собой массив информации, добытой из открытых источников методом парсинга. В данном случае такие подозрения не оправдались, так как в базе нашелся личный мобильный номер основателя соцсети Марка Цукерберга – вряд ли он сам оставлял его в публичном доступе, полагают опрошенные RSpectr эксперты. «Утечка могла произойти из-за уязвимости в мобильном приложении Facebook. Она позволяла простым перебором найти идентификаторы пользователей по номеру телефона при загрузке контактов», – сообщил RSpectr ведущий аналитик «СёрчИнформ» Леонид Чуриков.

Если база покинула стены администрации соцсети еще в 2019 году, как утверждают в Facebook, то она торговалась и свободно распространялась в Сети минимум год, уверен эксперт. Поэтому можно предположить, что большинство прямых атак на пользователей уже произошли. Теперь опаснее не сама утечка, а информационный шум вокруг нее. По опыту прошлых лет

стоит ожидать, что мошенники воспользуются поводом и попробуют возобновить атаки с обещанием «компенсации за утечку»

Леонид Чуриков, «СёрчИнформ»:

– Такие схемы распространились после мегаутечки в 2019 году из Facebook. Тогда мошенники рассылали письма и сообщения, создавали фишинговые страницы о том, что потерявшим данные в результате утечки якобы положена компенсация от 700 до 1300 долларов. Чтобы ее получить, требовалось оплатить пошлину в 9 долларов. Естественно, никаких компенсаций жертвы не получали после отправки денег в рублевом эквиваленте.

Набор данных из соцсети не позволит провести прямые атаки на банковские счета пользователей. Однако их достаточно, чтобы включить жертву в спам-рассылки или атаковать с помощью фишинга. Что касается взломов скомпрометированных аккаунтов, то угроза минимальна. Реальная опасность возникает, если у пользователей нет двухфакторной аутентификации или одним паролем защищены соцсети и привязанная к ним почта.

Мошенники смогут продавать ПД, а с помощью социальной инженерии получат доступ к данным банковских карт, утверждает в разговоре с RSpectr аналитик компании Digital Security Валерия Губарева.

Сейчас всем пользователям Facebook нужно проявить максимальную бдительность,

не стоит доверять всевозможным сообщениям типа «вас взломали, срочно смените пароль, перейдя по этой ссылке»

Их будут распространять злоумышленники по электронной почте, в мессенджерах (как известно, знаменитый WhatsApp принадлежит именно Facebook), SMS-рассылках и даже телефонными звонками, сообщил RSpectr директор департамента консалтинга и аудита «Информзащита» Александр Барышников.


СКЛЕИТЬ ЦИФРОВЫЕ ПРОФИЛИ

Оператор, путем объединения данных аккаунтов пользователя из WhatsApp, Facebook и Instagram, может создать уникальный профиль с огромным количеством характеристик, что позволит просчитывать поведение пользователя. Программировать его определенным образом, воздействуя на чувствительные для потребителя «триггеры» специально подаваемой информацией.

Напомним, что Facebook перенес изменение политики о данных WhatsApp на 15 мая 2021 года из-за возмущений пользователей. В мессенджере отрицают, что данные только теперь будут передаваться в соцсеть: «…Принимая новые Условия предоставления услуг, вы не даете WhatsApp дополнительные разрешения на предоставление пользовательских данных материнской компании Facebook».

Если сопоставить политику приватности от 4 января 2021 с предшествующей редакцией, выяснится, что WhatsApp передает Facebook значительный объем пользовательских данных начиная с 2014 года

В 2021 году практически ничего не меняется. Фактически WhatsApp отдавал все ПД компаниям Facebook и продолжает это делать, за исключением содержания сообщений, которое, как утверждается, защищено сквозным шифрованием, говорится в исследовании Научно-технического центра ФГУП «Главный радиочастотный центр» (НТЦ ГРЧЦ).

В этом случае можно говорить о нарушениях приватности и профилировании. То есть информация о личности собирается из разных аккаунтов и совмещается с метаданными. Также противоправно вторичное использование конфиденциальной информации для иных целей без согласия их владельца. Метод идентификации – связывание данных с конкретным лицом – абсолютно незаконен.

Какие пользовательские данные собирает WhatsApp и кому их передает

Информация, предоставляемая пользователем

1. Данные аккаунта:

  • номер мобильного телефона и выбранное имя профиля;
  • фото профиля и дополнительные сведения, а также статус (по согласию пользователя);

2. Сообщения:

  • недоставленные сообщения – в течение 30 дней;
  • медиафайлы («временно»);

3. Контакты из адресной книги.

4. Данные о транзакциях и платежах – в случае использования платежных услуг и сервисов Facebook.

5. Обмен информацией со службой поддержки и другими службами (копии сообщений, способы связи (например, адрес электронной почты) и другая информация, предоставленная пользователем при направлении запроса).


Информация, собираемая автоматически

1. Данные об использовании и отладочная информация:

  • о действиях пользователя (настройки, а также время, частота и продолжительность ваших действий и взаимодействий);
  • отладочная информация, отчеты и записи о диагностике, сбоях и характеристиках работы приложения и веб-сайта;
  • о времени регистрации пользователя;
  • о том, какие функции используются (сообщения, звонки, платежи), время нахождения онлайн и др.

2. Данные об устройстве и подключении к интернету (модель, операционная система, уровень заряда аккумулятора, сила сигнала, версия приложения, браузер, мобильная сеть, информация о подключении, в том числе номер телефона, язык и часовой пояс, IP-адрес, информация о работе гаджета и идентификаторы и др.).

3. Информация о местоположении.

4. Файлы cookie.

Информация, поступающая от третьих лиц

1. Данные от других пользователей:

  • номер телефона, имя и другая информация (например, хранящаяся в адресной книге их мобильных телефонов).

2. Жалобы пользователей:

  • кто подал жалобу, на кого подали жалобу.

3.

Компании в WhatsApp:

  • компании, с которыми общается пользователь.

4. Сторонние поставщики услуг.

5. Услуги третьих лиц.

Источник: НТЦ ГРЧЦ

КАК СЕБЯ ОБЕЗОПАСИТЬ

Эксперты в области информбезопасности дают рекомендации всем, кто хочет защитить свои данные. В первую очередь нужно удостовериться, что для каждого аккаунта в соцсетях установлен уникальный сложный пароль, а также подключен второй фактор аутентификации, говорит Л.Чуриков. Это может быть что угодно: от подтверждения входа по SMS или отпечатку пальца до криптоключа. Тогда компрометация пароля не даст злоумышленникам доступа к аккаунту.

Леонид Чуриков, «СёрчИнформ»:

– Также не стоит размещать информации о себе больше, чем требуется. В идеале обходиться минимумом, необходимым для использования сервиса. Если все же хочется поделиться личными фото или деталями биографии, задайте себе вопрос: готов я к тому, что эти данные окажутся в руках мошенников? И не полагайтесь на настройки приватности. Если утечка произойдет на стороне сервиса, неважно, кому из друзей вы сделали доступным записи в профиле – в общем доступе окажется вся информация, которую вы вносили в аккаунт.

Эксперт в области информбезопасности Сергей Белов в разговоре с RSpectr советует

по возможности использовать псевдонимы: случайные фамилии и имена, если это не нарушает законодательства

Завести отдельный мобильный номер (ряд операторов сотовой связи предоставляют услугу виртуального номера) для профилей в интернете.

В компании Dr.Web дают следующие рекомендации читателям RSpectr:

  • использовать сложные и разные пароли для всех социальных сетей;
  • не производить авторизацию с помощью социальных сетей на сторонних сайтах и в приложениях, особенно если она требует ввода пароля от ваших аккаунтов;
  • стараться не входить в личные аккаунты с помощью общественных компьютеров (в университете, библиотеке, отеле и пр.);
  • не передавать личные данные с помощью общественных Wi-Fi-сетей;
  • не переходить по ссылкам в мессенджерах, под видом различных поздравительных открыток/файлов может скрываться вредоносное ПО;
  • использовать антивирус.

Александр Горячев, Dr.Web:

– Большая часть информации, которая наполняет профиль человека в интернете, передается им совершенно добровольно. Люди делают отметки геолокации в аккаунтах при посещении различных мест, пишут об интересах, оставляют отзывы о покупках. И, конечно, основная ошибка – принятие любого лицензионного соглашения без его прочтения, именно в нем подробно описывается? какие конкретно данные о вас могут передаваться и анализироваться.

Аналитик компании Digital Security Валерия Губарева напоминает, что существует практика отзыва ПД – любой пользователь может попросить удалить свои данные из базы, например, интернет-магазина. Также не выкладывайте фото документов в Сеть, не пересылайте их через соцсети и мессенджеры.

Самый правильный и простой совет – не пользоваться социальными сетями, но это уже явно невыполнимо, уверен А.Барышников. Поэтому

внимательнее относитесь к сайтам, которые предлагают зарегистрироваться с помощью аккаунтов из соцсетей

Изучайте соглашения об использовании cookie, информация о которых предоставляется вам на многих сайтах. Используйте последние версии интернет-браузеров, так как в большинстве из них встроен функционал по проверке безопасности сайта, и не заходите на «подозрительные ресурсы».

Самой главной угрозой конфиденциальности персональных данных, по-прежнему остается сам субъект ПД, уверены эксперты.

Изображение: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ:

Обезличить до неузнаваемости
Законодатели и рынок пытаются понять – нужна ли данным анонимность


Еще по теме

Что нужно знать родителям о влиянии искусственного интеллекта на детей

Как повлияет система обязательного страхования от утечек на операторов ПД

Каким стал профиль современных киберугроз

Готовы ли госкорпорации тратить из бюджетов не менее 70% на ПО-вендоров

Зачем операторам связи упростят доступ в многоквартирные дома

Как бизнес будет работать с биометрической информацией в новых условиях

Как попасть и не выпасть из реестра провайдеров хостинга

Какие меры безопасности примут провайдеры для борьбы с нелегальными доменами

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Почему безопасность «с пеленок» станет неотъемлемой частью всех киберсистем

Власти и участники телеком-рынка оценили перспективы защищенности суверенной информационной инфраструктуры

Что сейчас обсуждают специалисты по защите персональных данных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

Чего ожидать от нейросетей и как избежать необратимых последствий

Что нужно знать юристу, решившему работать в ИТ-компании