Перейти к основному контенту
Технологии и медиа ,  
0 

В России за год утекло более 660 млн записей с персональными данными

InfoWatch: число утекших персональных данных в 4,5 раза превысило население России
За 2022 год в России утекло более 667 млн записей с персональными данными, что почти в три раза больше уровня 2021-го, подсчитали в InfoWatch. Тренд прошлого года — преступники выкладывают данные бесплатно, без мотива заработка
Фото: Владимир Гердо / ТАСС
Фото: Владимир Гердо / ТАСС

За 2022 год в России количество утекших записей персональных данных и платежной информации выросло в 2,67 раза по сравнению с предыдущим годом и составило более 667 млн единиц, свидетельствуют данные исследования ГК InfoWatch «Россия: утечки информации ограниченного доступа в 2022» (есть в распоряжении РБК).

Таким образом, констатируют эксперты, число скомпрометированных записей в прошлом году более чем в 4,5 раза превысило население страны. Причем каждая утечка в 2022 году по объему выросла на треть по сравнению с периодом годом ранее и содержала около 940 тыс. записей.

Эксперты по кибербезопасности также отмечают:

  • порядка 80% утечек имеют гибридный вектор воздействия, когда в краже информации могли участвовать как внешние, так и внутренние нарушители;
  • вдвое выросла доля утечек информации категории «коммерческая тайна»;
  • заметнее всего выросла доля утечек среди организаций отраслевой группы «Ретейл & HoReCa» — практически в пять раз, среди промышленных, транспортных и энергетических компаний — почти в три раза;
  • на малый бизнес пришлось более 20% утечек — этот результат вдвое больше, чем в 2021-м.

Как считают объем утечек

Анализ проводится на основе собственной базы утечек информации InfoWatch, которую специалисты пополняют с 2004 года. Источником сведений для этой базы становятся публичные сообщения в интернете о случаях утечек из различных организаций во всех странах мира, а также данные из закрытых источников (интернет-форумы, чаты, каналы в мессенджерах и соцсетях, в том числе доступ к которым осуществляется только с разрешения модераторов или с применением специализированного программного обеспечения). В базу вносится количество скомпрометированных записей, содержащих только персональные данные и/или платежную информацию, так как в остальных случаях количественные характеристики обычно отсутствуют или не отражают размер утечки. Например, объемы файлов и/или количество файлов, содержащих коммерческую тайну, ноу-хау в виде чертежей, описаний, формул и т.п., не отражают ценность утекшей информации.

В Group-IB считают, что объем скомпрометированной в прошлом году персональной информации был выше оценок InfoWatch больше чем в два раза, отметил гендиректор компании в России и СНГ Валерий Баулин. По подсчетам Group-IB, количество утекших записей в прошлом году в десять раз превысило население России: строчки включают имена клиентов, их телефоны, адреса, даты рождения, а в некоторых можно найти хеш-пароли, паспортные данные, подробности заказов и другую чувствительную информацию. «Общее количество строк данных пользователей в утечках в 2022 году составило 1,4 млрд, для сравнения: в 2021 году их насчитывалось всего 33 млн», — отметил Баулин.

По его словам, больше всего объявлений было обнаружено на форумах и в Telegram. При этом массовая публикация объявлений в мессенджерах — это тренд 2022 года, раньше подобные случаи были единичными.

СК возбудил уголовное дело после утечки данных пользователей «Яндекс.Еды»
Общество
Фото:Владислав Шатило / РБК

От утечек не защищена ни одна сфера российского бизнеса, отметил Баулин. Жертвами злоумышленников, по словам собеседника РБК, становились финансовые, страховые и IT-компании, сервисы доставки, мобильные операторы, онлайн-магазины, онлайн-кинотеатры, развлекательные и образовательные порталы, кафе, рестораны, соцсети, а также энергетические, промышленные, туристические, строительные, транспортные и медицинские компании: «Подавляющее большинство утечек баз данных российских компаний, которые появлялись в 2022 году и начале 2023 года на андеграундных форумах и в тематических телеграм-каналах, были выложены в публичный доступ бесплатно. Это означает, что у киберпреступников был мотив не заработать, а нанести репутационный или экономический ущерб российскому бизнесу и его клиентам».

По итогам 2023 года антирекорд может быть побит, уверен он.

Минцифры задумало ввести штрафы за утечки данных до ₽500 млн
Технологии и медиа
Фото:Morris MacMatzen / Getty Images

Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян, в свою очередь, считает, что из российских компаний в прошлом году утекло значительно меньше данных, чем приводится в отчете InfoWatch, — около 100 млн уникальных e-mail адресов и 110 млн уникальных телефонных номеров. Объем не уникальных данных, таких как записи о транзакциях, исчисляется миллиардами, но это не слишком осмысленный показатель, уточнил Оганесян.

Он также усомнился в выводе, что 80% утечек имеют некий «гибридный вектор воздействия» — когда в краже информации могли участвовать как внешние, так и внутренние нарушители: «Практически все «источники», публикующие утечки в даркнете, известны и имеют известный профессиональный почерк. И для 80% «источников» этот почерк сводится к взлому серверов баз данных через известные уязвимости или захват контроля над рабочим местом пользователя с административными полномочиями. Инсайдерские же утечки сегодня сосредоточены в сегменте пробива, поскольку компании научились бороться с массовыми выгрузками данных».

Что касается малого бизнеса, то, по оценкам DLBI, на него пришлось более 50% утечек количественно и менее 10% по суммарному объему утекших данных.

«Утечек, безусловно, будет больше. Но говорить о том, что мишенью станет какая-то отрасль, нельзя. Хакеры ломают всех, кого могут, поэтому вероятность утечки зависит от размера информационной инфраструктуры компании и ее вложений в информационную безопасность», — подчеркнул Оганесян.

В апреле прошлого года глава Минцифры Максут Шадаев выступил с предложением ввести оборотные штрафы для компаний, допустивших утечку персональных данных, пояснив, что сейчас бизнес опасается скорее репутационных издержек, нежели штрафа. Проект разрабатывается совместно с Роскомнадзором и не будет касаться госорганов, говорил Шадаев. Обсуждалось, что штраф составит до 1% от оборота.

Директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков в беседе с РБК подчеркнул, что если введут оборотные штрафы за утечки персональных данных населения, то для многих компаний это станет значительным риском и они начнут выделять бюджеты на информационную безопасность, для того чтобы защитить те базы, которые они сейчас собирают.

Какие крупные утечки были в 2022 году

  • В марте прошлого года в соцсетях начала распространяться ссылка на сайт, на котором были личные данные пользователей «Яндекс.Еды» в виде карты, там были указаны адрес доставки, телефон, электронная почта, сумма заказов за последние полгода. По данным телеграм-канала «Утечки информации» от DLBI, в Сеть было выложено порядка 49 млн строк. Позднее руководитель «Яндекс.Еды» Роман Маресов в блоге компании извинился перед пользователями за утечку и заверил, что компания пытается не дать данным пользователей распространиться дальше. Маресов также назвал утечку беспрецедентным случаем.
  • В мае об утечке данных клиентов также сообщил сервис доставки еды Delivery Club. Число пострадавших пользователей в компании не назвали, лишь сообщили, что утекла информация о заказах без банковских реквизитов. По информации телеграм-канала In4security, утекшая база заказов Delivery Club содержит 250 млн строк с персональными данными пользователей, включая Ф.И.О., адреса и информацию о заказах.
  • В прошлом году также стало известно об утечках СДЭК. Сначала, в конце февраля, телеграм-каналы сообщали об утечке о клиентах доставки, которая содержала файл с 466 млн строк с ID и телефонами и еще один с 822 млн строк с ID, Ф.И.О. и адресами электронной почты. СДЭК официально подтверждала факт утечки, но заявила, что в базе нет номеров документов и иной важной персональной информации, в том числе платежной.
  • В ноябре была выставлена на продажу база данных пользователей сервиса электросамокатов Whoosh. По данным профильных телеграм-каналов, в базе оказалось около 7,3 млн записей, в том числе имена пользователей, номера телефонов, адреса электронной почты и часть данных банковских карт. В компании подтвердили утечку и уточнили, что ее организовала группа хакеров, после того как один из сотрудников компании нарушил установленные правила.
Готовые квартиры в новых кварталах

В разных районах Москвы и области

Квартиры в столице 

с выгодой до ₽4,5 млн

Выгодные предложения 

для семей с детьми

Видовые квартиры 

в высотных башнях

Варианты с мебелью 

и встроенной техникой

Авторы
Теги
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.



 

Лента новостей
Курс евро на 12 декабря
EUR ЦБ: 108,56 (+2,36)
Инвестиции, 11 дек, 17:50
Курс доллара на 12 декабря
USD ЦБ: 103,27 (+3,24)
Инвестиции, 11 дек, 17:50
Сотрудники ФСБ задержали в ДНР подозреваемого в пособничестве терактуПолитика, 06:18
Совет управляющих МАГАТЭ проведет экстренное заседание по запросу КиеваПолитика, 06:13
В Сирии вооруженная толпа сожгла мавзолей отца Башара АсадаОбщество, 05:51
Блиновская обжаловала в Верховном суде отказ снизить ей налоги и штрафОбщество, 05:47
Число пострадавших в ДТП в Новосибирской области выросло до 11Общество, 05:26
«Я и моя богатая жизнь»: какие коды транслируют успехРБК и Сбер Первый, 04:50
Сальдо назвал причину отключения света в Запорожье и Херсонской областиПолитика, 04:47
Здоровый сон: как легче засыпать и просыпаться
Интенсив РБК Pro поможет улучшить качество сна и восстановить режим
Подробнее
Власти объяснили, почему у Института Пушкина нет права принимать экзаменПолитика, 04:38
CBS сообщил, что Трамп позвал Си Цзиньпина на инаугурациюПолитика, 04:36
Писториус заявил, что Германия не должна быть «просто зрителем» в СирииПолитика, 03:46
У побережья Туниса перевернулось судно со 130 людьми на бортуОбщество, 03:40
Кадыров сообщил об атаке дрона на казармы спецполка полицииПолитика, 03:18
Сырский рассказал о жестких боях на покровском направленииПолитика, 03:12
Три европейские страны призвали Берлин отменить плату за транзит газаПолитика, 02:42