Персональные данные утекли в сеть, что делать

СМИ регулярно публикуют новости об утечках персональных данных из банков, сотовых операторов, служб доставки и других организаций. Россияне начинают волноваться, что из-за компрометации данных их деньги оказываются под угрозой.

Но не все утечки одинаково опасны, потому что большинство из них не дает прямой доступ к счетам и картам. Однако это не повод расслабляться. Изворотливые мошенники пользуются любой информацией. Разберемся, какие утечки опасны для клиентов банков и что делать, если персональные сведения попали в открытый доступ.

Что такое персональные данные

Конкретного определения, что входит в персональные данные, нет. Разные организации собирают ту информацию, которая пригодится для их деятельности. В Федеральном Законе «О персональных данных» определяют такие виды:

1. Общие. Это основная информация о клиентах: ФИО, место прописки, образование, место работы, номер телефона, дату рождения.
2. Специальные. Сведения о личности, такие как национальность, политические и религиозные взгляды, состояние здоровья, наличие судимостей.
3. Биометрические. Это физиологические и биологические особенности клиента: фотографии, отпечатки пальцев, цвет глаз, анализ ДНК, рост, вес, группа крови.
4. Иные. К таким данным относят сумму заработка, длительность отпуска, членство в фитнес-клубах.

Не все утечки представляют опасность даже если попадут в руки мошенников. Многие сведения и вовсе бесполезны без участия человека.

Как мошенники получают доступ к данным в банках

У мошенников достаточно способов добраться до персональных данных в банках. Основные из них:

1. Взлом баз данных организаций. Если компании используют устаревшие, ненадежные технологии защиты от краж, мошенникам легко получить доступ. Также хакеры находят неисправные баги системы, о которых владельцы могли не знать.
2. Фишинговые рассылки. Если в социальных сетях украли аккаунт пользователя, то дальше могут получить и информацию о его друзьях. Такой метод часто используют, чтобы выманить у знакомых владельца страницы деньги.
3. Инсайдерские утечки. Иногда злоумышленники подкупают сотрудников организаций и те передают доступ к персональным данным.
4. Обычный поиск. Иногда из-за сбоев в настройках сервис дает поисковым системам индексировать данные на сайте. Некоторые базы содержат и персональные сведения пользователей. Также сами россияне нередко оставляют на аккаунтах ссылки на другие социальные сети, откуда мошенники тоже берут информацию.

Также пользователи соц. сетей часто по невнимательности оставляют платежные данные в свободном доступе. Например, публикуют фотографии, где виден номер карты. Для того чтобы получить такую информацию, не нужно даже разбираться в программировании.

Почему утечка данных опасна

Тех данных, которые крадут мошенники из баз данных банков и других организаций, недостаточно для того, чтобы взломать банковский счет и украсть деньги. Но нарушители закона чаще используют их для социальной инженерии. Злоумышленники втираются в доверие и узнают недостающие для кражи сведения.

Обманщики звонят и представляются сотрудниками банка, прокурорами, врачами и родственниками. На электронную почту присылают письма о денежной компенсации, для получения которой нужно перевести небольшую сумму. Мошенники придумывают разные истории, чтобы сыграть на эмоциях и получить деньги. Зачастую злоумышленникам даже не надо ничего взламывать, обманутые люди сами переводят деньги или сообщают код из смс.

Для реализации планов обманщикам достаточно имени, номера телефона и карты. Такие реквизиты можно купить в свободном доступе в интернете. Если раньше такие базы содержали только номера телефонов, как самую доступную информацию, то сейчас можно приобрести расширенные сведения о россиянах.

Если клиенты банков сами переводят деньги мошенникам и сообщают секретные коды, украденные деньги им не компенсируют, так как это прямое нарушение. Важно соблюдать меры безопасности, чтобы не стать жертвой злоумышленников.

На кражу данных из банковского сектора приходится только 10-15% всех утечек. Банки хорошо защищают персональные данные клиентов, и правила доступа к ним наиболее строгие. Но если все же такие инциденты происходят, о них много говорят и в СМИ, и в блогах. В случае кражи банки перевыпускают карты или переоформляют счета.

Что такое согласие на обработку персональных данных

Согласие на обработку персональных данных — это добровольное решение пользователя передать личные сведения для целей, которые указаны в согласии. Эти документы важно читать до того, как подписать или поставить галочку о согласии. Поводом для подозрений может стать указание, что данные могут быть использованы для передачи информации третьим лицам или в рекламных целях.

Многие россияне ставят галочку о согласии, потому что думают, что без этого продавцы и компании откажут в покупке или услуге. На самом деле это никак не влияет на возможность расторжения договора.

Государственные органы могут использовать персональные данные без согласия их владельца. Но если потребуется, должны запросить разрешение на публикацию этих сведений. Например, вузы запрашивают разрешение на публикацию для того, чтобы делиться успехами студентов на сайте университета.

Сколько действует согласие

Отозвать согласие на обработку можно в любой момент. Срок действия согласия при этом зависит от конкретных условий компании. Законодательство никак не ограничивает этот срок, поэтому в соглашениях часто пишут «до дня отзыва».

Для отзыва согласия пользователь может позвонить в офис компании или оставить заявление лично. Также запрос на отказ отправляют по электронной почте документом с усиленной электронной подписью. Или можно послать письмо с извещением.

Клиент может потребовать как полностью заблокировать данные, так и удалить часть из них. Например, для оформления скидочной карты покупатель заполнял анкету и указал в ней адрес проживания. Магазину эти сведения не нужны в рекламных целях, на предоставление скидок это тоже никак не влияет, поэтому можно потребовать удалить адрес и больше не хранить его.

При подаче извещения об отзыве персональных сведений у компании 30 дней на выполнение требования. Если обработка информации не прекратилась, можно подать жалобу в Роскомнадзор или в суд. На сайте ведомства заполните форму жалобы на компанию. Специалисты Роскомнадзора должны убедиться, что компания перестала обрабатывать данные. По истечении 30 дней ведомство уведомляет пользователя.

Некоторые компании не могут полностью уничтожить персональные данные клиентов. Например, сотовые операторы продолжат использовать личные данные клиента, чтобы оказывать услуги. Банки по требованию Центрального Банка должны хранить данные о клиентах в течение 5 лет даже после того, как они перестали сотрудничать с банком.

Какие утечки данных опасны

Основные источники утечек персональных данных — организации, которые хранят большое количество сведений о клиентах. В основном это банки, но могут быть и государственные порталы, такие как Госуслуги, операторы связи, онлайн-магазины.

Одиночные сведения для мошенников не представляют никакой ценности. Например, если в руки злоумышленников попадет только имя или номер карты, ничего страшного не случится. Без дополнительных реквизитов мошенники не смогут идентифицировать личность и как-то навредить клиенту банка.

Рассмотрим персональные данные по разрезе угроз от их раскрытия:

• логин — без дополнительных сведений не несет ценности для мошенников;
• ФИО — с помощью имени мошенники тоже вряд ли навредят человеку;
• дата рождения — только эти цифры никак не помогут злоумышленникам;
• номер телефона — мошенники звонят и представляются сотрудниками банка, гос. органов или номер попадает в базу спам-рассылки;
• электронная почта — опасна спам-рассылкой, фишингом, попытками взлома;
• адрес — угроза физическому состоянию личности, также информацию о месте проживания используют для шантажа и запугивания;
• платежные данные — с номером карты сделать практически ничего невозможно, для онлайн-покупок понадобится CVC-код и проверочный код из смс.

Современные технологии в руках мошенников позволяют дополнять украденные номера другой информацией. Например, телеграм-боты собирают все сведения в одну базу и делают портрет одного человека максимально полноценным. По электронной почте можно узнать имя человека и подобрать пароль. Если произошла утечка у сотового оператора, база данных может состоять из сведений о месте жительства, паспортных данных.

Шансы злоумышленников растут, если собрано несколько видов данных. Например, даты рождения и электронной почты достаточно, чтобы узнать остальную информацию. Отсутствующие данные можно добрать из других утечек. Чем больше мошенники знают о клиенте банка, тем выше шансы украсть и деньги со счетов.

Если к злоумышленникам попадают платежные реквизиты, это действительно опасно. Но такие сведения гораздо реже попадают в сеть, особенно в сочетании с CVC-кодом. При обнаружении подобных утечек банки тоже предпринимают действия по снижению возможностей для мошенников, вплоть до перевыпуска карт. Клиенты банка могут отозвать персональные данные.

Как защититься от утечки данных

Защититься от потери персональных данных невозможно. Клиенты не влияют на степень защиты информации в банках. При этом утечки часто происходят из-за невнимательности и ошибок сотрудников. Можно только свести риск потери информации к минимуму.

Всегда помните об основных правилах информационной безопасности:

1. Нигде не публикуйте и никому не отправляйте фотографии банковской карты и полные реквизиты. Достаточно номера карты, чтобы перевести деньги. А если пользоваться СБП, то хватит и одного номера телефона.
2. Подключите двухфакторную аутентификацию во всех социальных сетях. При двухфакторной аутентификации для входа кроме ввода пароля нужно указывать код из смс или уведомления в приложении.
3. Меняйте пароль хотя бы раз в год. Идеальный вариант — раз в 3 месяца. Выбирайте сложные пароли и никому их не сообщайте.
4. Не отправляйте отсканированные или сфотографированные документы в социальных сетях. Аккаунты могут взломать, и данные утекут в сеть.
5. Покупайте онлайн только в надежных магазинах. Перед оплатой убедитесь, что это не фишинговый сайт. Проверьте написание адреса страницы. Также ориентируйтесь на знак замка в строке адреса браузера. Если он закрыт, значит, сайт использует защищенное соединение.
6. Не сообщайте данные банковской карты, пин-код или одноразовый код из смс. Даже если звонит тот, кто представляется сотрудником банка.

Оформить

Также рекомендуется не подписывать согласие на обработку информации, если не прочитали документ.

Что делать, если персональные данные утекли в сеть

Об утечке из банков можно узнать в блогах или СМИ. Если обнаружили утечку, смените пароль и отвяжите банковские карты, если они были привязаны. Можно даже перевыпустить карту и сменить данные для авторизации в интернет-банке.

Рекомендации для тех, чьи данные утекли в сеть:

1. Не спешите искать украденные сведения о себе в интернете, удалять их или платить за такую услугу. Некоторые мошенники предлагают удалить любую информацию из сети, но обычно после получения оплаты они перестают отвечать на сообщения. Также не переходите по ссылкам от незнакомых людей, которые пишут, что нашли в слитой базе личные данные. Это может быть фишинговая рассылка. Не доверяйте сервисам, которые предлагают проверить, слиты ли персональные сведения. Обычно они запрашивают ФИО, номер телефона и электронный адрес, чтобы найти слитые базы.
2. Будьте готовы к звонкам мошенников, сообщениям и письмам на электронную почту, если об утечке из банка сообщили в официальных источниках. Не сообщайте никакую информацию о себе, родственниках и банковских счетах. Также не верьте, если мошенники предлагают удалить данные. Скорее всего, база уже скопирована и продается не в одном источнике.
3. Примите меры безопасности, заблокируйте счет. Если в открытом доступе оказались пароль и логин для авторизации, смените их, установите двухфакторную аутентификацию.

Если обнаружили слитые личные данные в свободном доступе в сети, подайте жалобу в Роскомнадзор. Регулятор может заблокировать ресурс, на котором опубликовали личную информацию.

Частые вопросы

Какие сведения относят к персональным данным?
Единого определения нет, но к таким сведениям относят личные данные, банковские, биометрические.

Можно ли соглашаться на обработку данных при регистрации?
Сначала прочитайте документ, чтобы убедиться, что передача информации третьим лицам запрещается. Если все в порядке, оставляйте согласие. Если сведения могут использовать в рекламных или других целях, лучше не соглашаться.

Утечки каких сведений нужно опасаться?
Одиночные слитые данные не представляют ценности для злоумышленников. Но даже номер телефона дает возможность обманщикам получить дополнительную информацию. Мошенники втираются в доверие, и их жертвы сами переводят деньги.

Можно ли удалить данные, которые слили в сеть?
Если сведения попали в интернет и находятся в открытом доступе, подайте жалобу в Роскомнадзор. Сервис заблокируют. Если кто-то предлагает услугу удаления базы из сети, не ведитесь, это мошенник. После перевода денег за услугу обманщик перестанет выходить на связь.

Что делать, если произошла утечка персональных данных из банка?
В первую очередь заблокируйте карту и закажите перевыпуск. Можно также переоформить счета. Смените пароль и логин от входа в личный кабинет. Если это возможно, установите двухфакторную аутентификацию. Будьте готовы к тому, что мошенники попытаются выйти на связь. Никому не сообщайте секретные коды.

Источник: brobank.ru