Перейти к основному контенту
Технологии и медиа ,  
0 

В России за год утекло более 660 млн записей с персональными данными

InfoWatch: число утекших персональных данных в 4,5 раза превысило население России
За 2022 год в России утекло более 667 млн записей с персональными данными, что почти в три раза больше уровня 2021-го, подсчитали в InfoWatch. Тренд прошлого года — преступники выкладывают данные бесплатно, без мотива заработка
Фото: Владимир Гердо / ТАСС
Фото: Владимир Гердо / ТАСС

За 2022 год в России количество утекших записей персональных данных и платежной информации выросло в 2,67 раза по сравнению с предыдущим годом и составило более 667 млн единиц, свидетельствуют данные исследования ГК InfoWatch «Россия: утечки информации ограниченного доступа в 2022» (есть в распоряжении РБК).

Таким образом, констатируют эксперты, число скомпрометированных записей в прошлом году более чем в 4,5 раза превысило население страны. Причем каждая утечка в 2022 году по объему выросла на треть по сравнению с периодом годом ранее и содержала около 940 тыс. записей.

Эксперты по кибербезопасности также отмечают:

  • порядка 80% утечек имеют гибридный вектор воздействия, когда в краже информации могли участвовать как внешние, так и внутренние нарушители;
  • вдвое выросла доля утечек информации категории «коммерческая тайна»;
  • заметнее всего выросла доля утечек среди организаций отраслевой группы «Ретейл & HoReCa» — практически в пять раз, среди промышленных, транспортных и энергетических компаний — почти в три раза;
  • на малый бизнес пришлось более 20% утечек — этот результат вдвое больше, чем в 2021-м.

Как считают объем утечек

Анализ проводится на основе собственной базы утечек информации InfoWatch, которую специалисты пополняют с 2004 года. Источником сведений для этой базы становятся публичные сообщения в интернете о случаях утечек из различных организаций во всех странах мира, а также данные из закрытых источников (интернет-форумы, чаты, каналы в мессенджерах и соцсетях, в том числе доступ к которым осуществляется только с разрешения модераторов или с применением специализированного программного обеспечения). В базу вносится количество скомпрометированных записей, содержащих только персональные данные и/или платежную информацию, так как в остальных случаях количественные характеристики обычно отсутствуют или не отражают размер утечки. Например, объемы файлов и/или количество файлов, содержащих коммерческую тайну, ноу-хау в виде чертежей, описаний, формул и т.п., не отражают ценность утекшей информации.

В Group-IB считают, что объем скомпрометированной в прошлом году персональной информации был выше оценок InfoWatch больше чем в два раза, отметил гендиректор компании в России и СНГ Валерий Баулин. По подсчетам Group-IB, количество утекших записей в прошлом году в десять раз превысило население России: строчки включают имена клиентов, их телефоны, адреса, даты рождения, а в некоторых можно найти хеш-пароли, паспортные данные, подробности заказов и другую чувствительную информацию. «Общее количество строк данных пользователей в утечках в 2022 году составило 1,4 млрд, для сравнения: в 2021 году их насчитывалось всего 33 млн», — отметил Баулин.

По его словам, больше всего объявлений было обнаружено на форумах и в Telegram. При этом массовая публикация объявлений в мессенджерах — это тренд 2022 года, раньше подобные случаи были единичными.

СК возбудил уголовное дело после утечки данных пользователей «Яндекс.Еды»
Общество
Фото:Владислав Шатило / РБК

От утечек не защищена ни одна сфера российского бизнеса, отметил Баулин. Жертвами злоумышленников, по словам собеседника РБК, становились финансовые, страховые и IT-компании, сервисы доставки, мобильные операторы, онлайн-магазины, онлайн-кинотеатры, развлекательные и образовательные порталы, кафе, рестораны, соцсети, а также энергетические, промышленные, туристические, строительные, транспортные и медицинские компании: «Подавляющее большинство утечек баз данных российских компаний, которые появлялись в 2022 году и начале 2023 года на андеграундных форумах и в тематических телеграм-каналах, были выложены в публичный доступ бесплатно. Это означает, что у киберпреступников был мотив не заработать, а нанести репутационный или экономический ущерб российскому бизнесу и его клиентам».

По итогам 2023 года антирекорд может быть побит, уверен он.

Минцифры задумало ввести штрафы за утечки данных до ₽500 млн
Технологии и медиа
Фото:Morris MacMatzen / Getty Images

Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян, в свою очередь, считает, что из российских компаний в прошлом году утекло значительно меньше данных, чем приводится в отчете InfoWatch, — около 100 млн уникальных e-mail адресов и 110 млн уникальных телефонных номеров. Объем не уникальных данных, таких как записи о транзакциях, исчисляется миллиардами, но это не слишком осмысленный показатель, уточнил Оганесян.

Он также усомнился в выводе, что 80% утечек имеют некий «гибридный вектор воздействия» — когда в краже информации могли участвовать как внешние, так и внутренние нарушители: «Практически все «источники», публикующие утечки в даркнете, известны и имеют известный профессиональный почерк. И для 80% «источников» этот почерк сводится к взлому серверов баз данных через известные уязвимости или захват контроля над рабочим местом пользователя с административными полномочиями. Инсайдерские же утечки сегодня сосредоточены в сегменте пробива, поскольку компании научились бороться с массовыми выгрузками данных».

Что касается малого бизнеса, то, по оценкам DLBI, на него пришлось более 50% утечек количественно и менее 10% по суммарному объему утекших данных.

«Утечек, безусловно, будет больше. Но говорить о том, что мишенью станет какая-то отрасль, нельзя. Хакеры ломают всех, кого могут, поэтому вероятность утечки зависит от размера информационной инфраструктуры компании и ее вложений в информационную безопасность», — подчеркнул Оганесян.

В апреле прошлого года глава Минцифры Максут Шадаев выступил с предложением ввести оборотные штрафы для компаний, допустивших утечку персональных данных, пояснив, что сейчас бизнес опасается скорее репутационных издержек, нежели штрафа. Проект разрабатывается совместно с Роскомнадзором и не будет касаться госорганов, говорил Шадаев. Обсуждалось, что штраф составит до 1% от оборота.

Директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков в беседе с РБК подчеркнул, что если введут оборотные штрафы за утечки персональных данных населения, то для многих компаний это станет значительным риском и они начнут выделять бюджеты на информационную безопасность, для того чтобы защитить те базы, которые они сейчас собирают.

Какие крупные утечки были в 2022 году

  • В марте прошлого года в соцсетях начала распространяться ссылка на сайт, на котором были личные данные пользователей «Яндекс.Еды» в виде карты, там были указаны адрес доставки, телефон, электронная почта, сумма заказов за последние полгода. По данным телеграм-канала «Утечки информации» от DLBI, в Сеть было выложено порядка 49 млн строк. Позднее руководитель «Яндекс.Еды» Роман Маресов в блоге компании извинился перед пользователями за утечку и заверил, что компания пытается не дать данным пользователей распространиться дальше. Маресов также назвал утечку беспрецедентным случаем.
  • В мае об утечке данных клиентов также сообщил сервис доставки еды Delivery Club. Число пострадавших пользователей в компании не назвали, лишь сообщили, что утекла информация о заказах без банковских реквизитов. По информации телеграм-канала In4security, утекшая база заказов Delivery Club содержит 250 млн строк с персональными данными пользователей, включая Ф.И.О., адреса и информацию о заказах.
  • В прошлом году также стало известно об утечках СДЭК. Сначала, в конце февраля, телеграм-каналы сообщали об утечке о клиентах доставки, которая содержала файл с 466 млн строк с ID и телефонами и еще один с 822 млн строк с ID, Ф.И.О. и адресами электронной почты. СДЭК официально подтверждала факт утечки, но заявила, что в базе нет номеров документов и иной важной персональной информации, в том числе платежной.
  • В ноябре была выставлена на продажу база данных пользователей сервиса электросамокатов Whoosh. По данным профильных телеграм-каналов, в базе оказалось около 7,3 млн записей, в том числе имена пользователей, номера телефонов, адреса электронной почты и часть данных банковских карт. В компании подтвердили утечку и уточнили, что ее организовала группа хакеров, после того как один из сотрудников компании нарушил установленные правила.
Авторы
Теги
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.

*

Лента новостей
Курс евро на 25 мая
EUR ЦБ: 97,1 (-0,78)
Инвестиции, 24 мая, 17:19
Курс доллара на 25 мая
USD ЦБ: 89,7 (-0,55)
Инвестиции, 24 мая, 17:19
В Сыктывкаре мужчина зарезал сотрудницу службы доставки Общество, 03:15
Актера сериала «Мир Дикого Запада» застрелили при попытке ограбления Общество, 03:06
Опасность атаки беспилотников объявили в Курской и Воронежской областях Общество, 02:43
Эксперты нашли «взрывной изъян» в плане поставок оружия на Украину Политика, 02:34
ЦАХАЛ отчиталась об убийстве в Рафахе высокопоставленного члена ХАМАС Политика, 02:11
Президент Эстонии заявил о необходимости «поставить Россию на колени» Политика, 01:34
МВД России объявило в розыск двух генералов ВСУ Общество, 01:31
Онлайн-курс Digital MBA от РБК
Объединили экспертизу профессоров MBA из Гарварда, MIT, INSEAD и опыт передовых ИТ-компаний
Оставить заявку
Блинкен предупредил Грузию о решающих месяцах для ее «евробудущего» Политика, 01:10
Франция и Германия обсудят поддержку Украины на совете по обороне Политика, 01:06
Над Орловской областью сбили беспилотник Политика, 00:40
В Южной Осетии назвали неуместными разговоры о вхождении в состав Грузии Политика, 00:25
Орбан назвал «худший сценарий» для Европы из-за конфликта на Украине Политика, 00:24
Убыток «Газпрома» возродил идею реформы внутреннего рынка газа Бизнес, 00:00
«Будущее хоккея» и экс-одноклубник Овечкина. Кто из звезд сыграл на ЧМ Спорт, 00:00