За последнее время было много утечек персональных данных: в Сеть попали базы Delivery Club, «Яндекс.Еда». Мошенники получают информацию, с помощью которой можно угадать пароли или выманить номер банковского счета
Недавно от действий хакеров пострадали службы доставки еды Delivery Club и «Яндекс.Еда», в результате чего данные пользователей, включающие имя, номер телефона, адрес доставки и многое другое, утекли в Сеть. Известно, что после проверки Роскомнадзора «Яндекс.Еда» была оштрафована Московским судом на 60 тыс. руб. по ч. 1 ст. 31.11 КоАП РФ.
Во времена пандемии многие граждане предпочли дистанцироваться и заменить привычные походы в магазин или спортивный зал на получение данных услуг в режиме онлайн, что привело к многочисленным регистрациям на различных сервисах, и, соответственно, безопасность персональных данных пользователей стала в большей степени зависеть от действий все большего числа операторов. Рассмотрим ряд простых правил, соблюдение которых позволит снизить вероятность утечки персональных данных.
1. Ставить надежные уникальные пароли на аккаунты в различных сервисах. Как правило, в письмах электронной почты может содержаться большое количество персональных данных, а также учетные данные от каких-либо сайтов и приложений, перейдя на которые злоумышленник может получить еще больше персональных данных из аккаунта жертвы и переписок.
2. Включать двухфакторную аутентификацию на аккаунтах. Это повысит устойчивость вашего аккаунта к взломам.
3. Пользоваться временными почтами. Временные или одноразовые почты — способ избавиться от ненужных рекламных рассылок, при этом сохранив анонимность. Такие почты рекомендуется использовать на сайтах, которым вы не доверяете или которые запрашивают регистрацию с целью получения услуги. В случае утечки данного одноразового имейла пользователь ничего не теряет. Во всем остальном временная почта работает так же, как и обычная, например от Google или Yandex.
4. Не переходить по сомнительным ссылкам в письмах и мессенджерах. Есть риск, что ссылка приведет на фишинговую страницу, дизайн которой аналогичен подлинной. Действия, совершенные на фишинговой странице, могут привести к утечке учетных данных, что в дальнейшем даст доступ злоумышленникам к персональным данным пользователя на каком-либо сервисе.
5. Своевременно ставить обновления на ПО. Обновления, выпущенные производителем, могут содержать в себе исправления уязвимостей, которые вредят безопасности устройства.
6. При установке приложения на мобильные устройства стоит обращать внимание на права, которые запрашивает это приложение. Если вам кажется, что приложение запрашивает избыточные права, которые не требуются для его функционирования, то стоит отказать в предоставлении таких прав, так как в приложении может быть встроено вредоносное ПО. Также не забывайте проводить проверку мобильного устройства антивирусными средствами.
А если данные утекли
На случай если ваши персональные данные утекли в Сеть в результате хакерских атак или действий недобросовестных сотрудников, Роскомнадзор дает следующие рекомендации.
1. Обратиться к владельцу сайта в сети Интернет, на котором размещена информация, нарушающая права субъектов персональных данных, с запросом об удалении незаконно размещенной информации.
2. В случае непринятия мер владельцем сайта в сети Интернет по удалению информации, нарушающей права субъекта персональных данных, обратиться за защитой прав субъектов персональных данных в суд по месту жительства истца или по месту жительства ответчика.
3. После вступления в силу решения суда обратиться в Роскомнадзор с заявлением посредством заполнения формы. Данные рекомендации приведены к реестру нарушителей. В этот реестр попадают операторы, которые нарушают права субъектов персональных данных. Факт такого нарушения должен быть установлен вступившим в законную силу решением суда. После чего Роскомнадзор вносит оператора в свой реестр и устанавливает ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.
К данным рекомендациям можно добавить еще несколько. Обращаясь к владельцу сайта с просьбой удалить ваши персональные данные, стоит помнить о возможности написать в Роскомнадзор жалобу на оператора сайта, в случае если владелец проигнорирует или откажет в просьбе. Ответ от Роскомнадзора можно ожидать в течение 30 дней. Взаимодействие между регулятором и гражданином осуществляется согласно ФЗ № 59 «О порядке рассмотрения обращений граждан Российской Федерации».
Кроме того, можно обратиться к хостинг-провайдеру и регистратору, но это не самый эффективный метод. Найти информацию о хостинг-провайдере и регистраторе можно через сервис Whois.
Можно воспользоваться правом на забвение. Согласно ст. 10.3 ФЗ № 149 «Об информации, информационных технологиях и о защите информации», операторы поисковых систем обязаны прекратить выдачу ссылок на страницы, которые распространяют информацию с нарушением законодательства РФ или информацию, являющуюся недостоверной, а также неактуальной, утратившей значение для заявителя. Для того чтобы заявить о таких результатах выдачи, нужно заполнить форму, которую можно найти в справке поисковика (форма «Яндекс», форма Google). Важно понимать, что данный способ не удаляет информацию о вас с сайта, а просто скрывает данный сайт с выдачи поисковика.
Что делают мошенники
Чаще всего злоумышленники используют персональные данные для рекламных предложений (обзванивают с предложением услуг) и для мошеннических действий (звонок якобы от службы безопасности банка и т. д.). Кроме того, персональные данные могут дать злоумышленникам дополнительную информацию, с помощью которой те смогут угадать пароль от учетной записи пользователя (использование в качестве пароля номера телефона, даты рождения и т. д. не является надежной комбинацией). Предугадать все последствия утечки персональных данных непросто. Многое зависит от типа данных, а также фантазии и заинтересованности злоумышленника.
Недавно от действий хакеров пострадали службы доставки еды Delivery Club и «Яндекс.Еда», в результате чего данные пользователей, включающие имя, номер телефона, адрес доставки и многое другое, утекли в Сеть. Известно, что после проверки Роскомнадзора «Яндекс.Еда» была оштрафована Московским судом на 60 тыс. руб. по ч. 1 ст. 31.11 КоАП РФ.
Во времена пандемии многие граждане предпочли дистанцироваться и заменить привычные походы в магазин или спортивный зал на получение данных услуг в режиме онлайн, что привело к многочисленным регистрациям на различных сервисах, и, соответственно, безопасность персональных данных пользователей стала в большей степени зависеть от действий все большего числа операторов. Рассмотрим ряд простых правил, соблюдение которых позволит снизить вероятность утечки персональных данных.
1. Ставить надежные уникальные пароли на аккаунты в различных сервисах. Как правило, в письмах электронной почты может содержаться большое количество персональных данных, а также учетные данные от каких-либо сайтов и приложений, перейдя на которые злоумышленник может получить еще больше персональных данных из аккаунта жертвы и переписок.
2. Включать двухфакторную аутентификацию на аккаунтах. Это повысит устойчивость вашего аккаунта к взломам.
3. Пользоваться временными почтами. Временные или одноразовые почты — способ избавиться от ненужных рекламных рассылок, при этом сохранив анонимность. Такие почты рекомендуется использовать на сайтах, которым вы не доверяете или которые запрашивают регистрацию с целью получения услуги. В случае утечки данного одноразового имейла пользователь ничего не теряет. Во всем остальном временная почта работает так же, как и обычная, например от Google или Yandex.
4. Не переходить по сомнительным ссылкам в письмах и мессенджерах. Есть риск, что ссылка приведет на фишинговую страницу, дизайн которой аналогичен подлинной. Действия, совершенные на фишинговой странице, могут привести к утечке учетных данных, что в дальнейшем даст доступ злоумышленникам к персональным данным пользователя на каком-либо сервисе.
5. Своевременно ставить обновления на ПО. Обновления, выпущенные производителем, могут содержать в себе исправления уязвимостей, которые вредят безопасности устройства.
6. При установке приложения на мобильные устройства стоит обращать внимание на права, которые запрашивает это приложение. Если вам кажется, что приложение запрашивает избыточные права, которые не требуются для его функционирования, то стоит отказать в предоставлении таких прав, так как в приложении может быть встроено вредоносное ПО. Также не забывайте проводить проверку мобильного устройства антивирусными средствами.
А если данные утекли
На случай если ваши персональные данные утекли в Сеть в результате хакерских атак или действий недобросовестных сотрудников, Роскомнадзор дает следующие рекомендации.
1. Обратиться к владельцу сайта в сети Интернет, на котором размещена информация, нарушающая права субъектов персональных данных, с запросом об удалении незаконно размещенной информации.
2. В случае непринятия мер владельцем сайта в сети Интернет по удалению информации, нарушающей права субъекта персональных данных, обратиться за защитой прав субъектов персональных данных в суд по месту жительства истца или по месту жительства ответчика.
3. После вступления в силу решения суда обратиться в Роскомнадзор с заявлением посредством заполнения формы. Данные рекомендации приведены к реестру нарушителей. В этот реестр попадают операторы, которые нарушают права субъектов персональных данных. Факт такого нарушения должен быть установлен вступившим в законную силу решением суда. После чего Роскомнадзор вносит оператора в свой реестр и устанавливает ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.
К данным рекомендациям можно добавить еще несколько. Обращаясь к владельцу сайта с просьбой удалить ваши персональные данные, стоит помнить о возможности написать в Роскомнадзор жалобу на оператора сайта, в случае если владелец проигнорирует или откажет в просьбе. Ответ от Роскомнадзора можно ожидать в течение 30 дней. Взаимодействие между регулятором и гражданином осуществляется согласно ФЗ № 59 «О порядке рассмотрения обращений граждан Российской Федерации».
Кроме того, можно обратиться к хостинг-провайдеру и регистратору, но это не самый эффективный метод. Найти информацию о хостинг-провайдере и регистраторе можно через сервис Whois.
Можно воспользоваться правом на забвение. Согласно ст. 10.3 ФЗ № 149 «Об информации, информационных технологиях и о защите информации», операторы поисковых систем обязаны прекратить выдачу ссылок на страницы, которые распространяют информацию с нарушением законодательства РФ или информацию, являющуюся недостоверной, а также неактуальной, утратившей значение для заявителя. Для того чтобы заявить о таких результатах выдачи, нужно заполнить форму, которую можно найти в справке поисковика (форма «Яндекс», форма Google). Важно понимать, что данный способ не удаляет информацию о вас с сайта, а просто скрывает данный сайт с выдачи поисковика.
Что делают мошенники
Чаще всего злоумышленники используют персональные данные для рекламных предложений (обзванивают с предложением услуг) и для мошеннических действий (звонок якобы от службы безопасности банка и т. д.). Кроме того, персональные данные могут дать злоумышленникам дополнительную информацию, с помощью которой те смогут угадать пароль от учетной записи пользователя (использование в качестве пароля номера телефона, даты рождения и т. д. не является надежной комбинацией). Предугадать все последствия утечки персональных данных непросто. Многое зависит от типа данных, а также фантазии и заинтересованности злоумышленника.
