В России за год утекло более 660 млн записей с персональными данными
17 апр 2023 09:40 #113263
от ICT
ICT создал тему: В России за год утекло более 660 млн записей с персональными данными
За 2022 год в России утекло более 667 млн записей с персональными данными, что почти в три раза больше уровня 2021-го, подсчитали в InfoWatch. Тренд прошлого года - преступники выкладывают данные бесплатно, без мотива заработка.
За 2022 год в России количество утекших записей персональных данных и платежной информации выросло в 2,67 раза по сравнению с предыдущим годом и составило более 667 млн единиц, свидетельствуют данные исследования ГК InfoWatch "Россия: утечки информации ограниченного доступа в 2022" (есть в распоряжении РБК). Таким образом, констатируют эксперты, число скомпрометированных записей в прошлом году более чем в 4,5 раза превысило население страны. Причем каждая утечка в 2022 году по объему выросла на треть по сравнению с периодом годом ранее и содержала около 940 тыс. записей. Эксперты по кибербезопасности также отмечают: Порядка 80% утечек имеют гибридный вектор воздействия, когда в краже информации могли участвовать как внешние, так и внутренние нарушители.
Вдвое выросла доля утечек информации категории "коммерческая тайна".
Заметнее всего выросла доля утечек среди организаций отраслевой группы "Ретейл & HoReCa" - практически в пять раз, среди промышленных, транспортных и энергетических компаний - почти в три раза.
На малый бизнес пришлось более 20% утечек - этот результат вдвое больше, чем в 2021-м. Как считают объем утечек Анализ проводится на основе собственной базы утечек информации InfoWatch, которую специалисты пополняют с 2004 года. Источником сведений для этой базы становятся публичные сообщения в интернете о случаях утечек из различных организаций во всех странах мира, а также данные из закрытых источников (интернет-форумы, чаты, каналы в мессенджерах и соцсетях, в том числе доступ к которым осуществляется только с разрешения модераторов или с применением специализированного программного обеспечения). В базу вносится количество скомпрометированных записей, содержащих только персональные данные и/или платежную информацию, так как в остальных случаях количественные характеристики обычно отсутствуют или не отражают размер утечки. Например, объемы файлов и/или количество файлов, содержащих коммерческую тайну, ноу-хау в виде чертежей, описаний, формул и т.п., не отражают ценность утекшей информации. В Group-IB считают, что объем скомпрометированной в прошлом году персональной информации был выше оценок InfoWatch больше чем в два раза, отметил гендиректор компании в России и СНГ Валерий Баулин. По подсчетам Group-IB, количество утекших записей в прошлом году в десять раз превысило население России: строчки включают имена клиентов, их телефоны, адреса, даты рождения, а в некоторых можно найти хеш-пароли, паспортные данные, подробности заказов и другую чувствительную информацию. "Общее количество строк данных пользователей в утечках 2022 году составило 1,4 млрд, для сравнения: в 2021 году их насчитывалось всего 33 млн", — отметил Баулин. По его словам, больше всего объявлений было обнаружено на форумах и в Telegram. При этом массовая публикация объявлений в мессенджерах — это тренд 2022 года, раньше подобные случаи были единичными. От утечек не защищена ни одна сфера российского бизнеса, отметил Баулин. Жертвами злоумышленников, по словам собеседника РБК, становились финансовые, страховые и IT-компании, сервисы доставки, мобильные операторы, онлайн-магазины, онлайн-кинотеатры, развлекательные и образовательные порталы, кафе, рестораны, соцсети, а также энергетические, промышленные, туристические, строительные, транспортные и медицинские компании: "Подавляющее большинство утечек баз данных российских компаний, которые появлялись в 2022 году и начале 2023 года на андеграундных форумах и в тематических телеграм-каналах, были выложены в публичный доступ бесплатно. Это означает, что у киберпреступников был мотив не заработать, а нанести репутационный или экономический ущерб российскому бизнесу и его клиентам". По итогам 2023 года антирекорд может быть побит, уверен он. Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян, в свою очередь, считает, что из российских компаний в прошлом году утекло значительно меньше данных, чем приводится в отчете InfoWatch, — около 100 млн уникальных e-mail адресов и 110 млн уникальных телефонных номеров. Объем неуникальных данных, таких как записи о транзакциях, исчисляется миллиардами, но это не слишком осмысленный показатель, уточнил Оганесян Он также усомнился в выводе, что 80% утечек имеют некий "гибридный вектор воздействия" - когда в краже информации могли участвовать как внешние, так и внутренние нарушители: "Практически все "источники", публикующих утечки в даркнете, известны и имеют известный профессиональный почерк. И для 80% "источников" этот почерк сводится к взлому серверов баз данных через известные уязвимости или захват контроля над рабочим местом пользователя с административными полномочиями. Инсайдерские же утечки сегодня сосредоточены в сегменте пробива, поскольку компании научились бороться с массовыми выгрузками данных". Что касается малого бизнеса, то, по оценкам DLBI, на него пришлось более 50% утечек количественно и менее 10% по суммарному объему утекших данных. "Утечек, безусловно, будет больше. Но говорить о том, что мишенью станет какая-то отрасль, нельзя. Хакеры ломают всех, кого могут, поэтому вероятность утечки зависит от размера информационной инфраструктуры компании и ее вложений в информационную безопасность", - подчеркнул Оганесян. В апреле прошлого года глава Минцифры Максут Шадаев выступил с предложением ввести оборотные штрафы для компаний, допустивших утечку персональных данных, пояснив, что сейчас бизнес опасается скорее репутационных издержек, нежели штрафа. Проект разрабатывается совместно с Роскомнадзором и не будет касаться госорганов, говорил Шадаев. Обсуждалось, что штраф составит до 1% от оборота. Директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков в беседе с РБК подчеркнул, что если введут оборотные штрафы за утечки персональных данных населения, то для многих компаний это станет значительным риском, и они начнут выделять бюджеты на информационную безопасность для того, чтобы защитить те базы, которые они сейчас собирают. Какие крупные утечки были в 2022 году В марте прошлого года в соцсетях начала распространяться ссылка на сайт, на котором были личные данные пользователей "Яндекс.Еды" в виде карты, там были указаны адрес доставки, телефон, электронная почта, сумма заказов за последние полгода. По данным телеграм-канала "Утечки информации" от DLBI, в Сеть было выложено порядка 49 млн строк. Позднее руководитель "Яндекс.Еды" Роман Маресов в блоге компании извинился перед пользователями за утечку и заверил, что компания пытается не дать данным пользователей распространиться дальше. Маресов также назвал утечку беспрецедентным случаем.
В мае об утечке данных клиентов также сообщил сервис доставки еды Delivery Club. Число пострадавших пользователей в компании не назвали, лишь сообщили, что утекла информация о заказах без банковских реквизитов. По информации телеграм-канала In4security, утекшая база заказов Delivery Club содержит 250 млн строк с персональными данными пользователей, включая Ф.И.О., адреса и информацию о заказах.
В прошлом году также стало известно об утечках СДЭК. Сначала, в конце февраля, телеграм-каналы сообщали об утечке о клиентах доставки, которая содержала файл с 466 млн строк с ID и телефонами и еще один с 822 млн строк с ID, Ф.И.О. и адресами электронной почты. СДЭК официально подтверждала факт утечки, но заявила, что в базе нет номеров документов и иной важной персональной информации, в том числе платежной.
В ноябре была выставлена на продажу база данных пользователей сервиса электросамокатов Whoosh. По данным профильных телеграм-каналов, в базе оказалось около 7,3 млн записей, в том числе имена пользователей, номера телефонов, адреса электронной почты и часть данных банковских карт. В компании подтвердили утечку и уточнили, что ее организовала группа хакеров после того, как один из сотрудников компании нарушил установленные правила. Ссылка на источник
За 2022 год в России количество утекших записей персональных данных и платежной информации выросло в 2,67 раза по сравнению с предыдущим годом и составило более 667 млн единиц, свидетельствуют данные исследования ГК InfoWatch "Россия: утечки информации ограниченного доступа в 2022" (есть в распоряжении РБК). Таким образом, констатируют эксперты, число скомпрометированных записей в прошлом году более чем в 4,5 раза превысило население страны. Причем каждая утечка в 2022 году по объему выросла на треть по сравнению с периодом годом ранее и содержала около 940 тыс. записей. Эксперты по кибербезопасности также отмечают: Порядка 80% утечек имеют гибридный вектор воздействия, когда в краже информации могли участвовать как внешние, так и внутренние нарушители.
Вдвое выросла доля утечек информации категории "коммерческая тайна".
Заметнее всего выросла доля утечек среди организаций отраслевой группы "Ретейл & HoReCa" - практически в пять раз, среди промышленных, транспортных и энергетических компаний - почти в три раза.
На малый бизнес пришлось более 20% утечек - этот результат вдвое больше, чем в 2021-м. Как считают объем утечек Анализ проводится на основе собственной базы утечек информации InfoWatch, которую специалисты пополняют с 2004 года. Источником сведений для этой базы становятся публичные сообщения в интернете о случаях утечек из различных организаций во всех странах мира, а также данные из закрытых источников (интернет-форумы, чаты, каналы в мессенджерах и соцсетях, в том числе доступ к которым осуществляется только с разрешения модераторов или с применением специализированного программного обеспечения). В базу вносится количество скомпрометированных записей, содержащих только персональные данные и/или платежную информацию, так как в остальных случаях количественные характеристики обычно отсутствуют или не отражают размер утечки. Например, объемы файлов и/или количество файлов, содержащих коммерческую тайну, ноу-хау в виде чертежей, описаний, формул и т.п., не отражают ценность утекшей информации. В Group-IB считают, что объем скомпрометированной в прошлом году персональной информации был выше оценок InfoWatch больше чем в два раза, отметил гендиректор компании в России и СНГ Валерий Баулин. По подсчетам Group-IB, количество утекших записей в прошлом году в десять раз превысило население России: строчки включают имена клиентов, их телефоны, адреса, даты рождения, а в некоторых можно найти хеш-пароли, паспортные данные, подробности заказов и другую чувствительную информацию. "Общее количество строк данных пользователей в утечках 2022 году составило 1,4 млрд, для сравнения: в 2021 году их насчитывалось всего 33 млн", — отметил Баулин. По его словам, больше всего объявлений было обнаружено на форумах и в Telegram. При этом массовая публикация объявлений в мессенджерах — это тренд 2022 года, раньше подобные случаи были единичными. От утечек не защищена ни одна сфера российского бизнеса, отметил Баулин. Жертвами злоумышленников, по словам собеседника РБК, становились финансовые, страховые и IT-компании, сервисы доставки, мобильные операторы, онлайн-магазины, онлайн-кинотеатры, развлекательные и образовательные порталы, кафе, рестораны, соцсети, а также энергетические, промышленные, туристические, строительные, транспортные и медицинские компании: "Подавляющее большинство утечек баз данных российских компаний, которые появлялись в 2022 году и начале 2023 года на андеграундных форумах и в тематических телеграм-каналах, были выложены в публичный доступ бесплатно. Это означает, что у киберпреступников был мотив не заработать, а нанести репутационный или экономический ущерб российскому бизнесу и его клиентам". По итогам 2023 года антирекорд может быть побит, уверен он. Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян, в свою очередь, считает, что из российских компаний в прошлом году утекло значительно меньше данных, чем приводится в отчете InfoWatch, — около 100 млн уникальных e-mail адресов и 110 млн уникальных телефонных номеров. Объем неуникальных данных, таких как записи о транзакциях, исчисляется миллиардами, но это не слишком осмысленный показатель, уточнил Оганесян Он также усомнился в выводе, что 80% утечек имеют некий "гибридный вектор воздействия" - когда в краже информации могли участвовать как внешние, так и внутренние нарушители: "Практически все "источники", публикующих утечки в даркнете, известны и имеют известный профессиональный почерк. И для 80% "источников" этот почерк сводится к взлому серверов баз данных через известные уязвимости или захват контроля над рабочим местом пользователя с административными полномочиями. Инсайдерские же утечки сегодня сосредоточены в сегменте пробива, поскольку компании научились бороться с массовыми выгрузками данных". Что касается малого бизнеса, то, по оценкам DLBI, на него пришлось более 50% утечек количественно и менее 10% по суммарному объему утекших данных. "Утечек, безусловно, будет больше. Но говорить о том, что мишенью станет какая-то отрасль, нельзя. Хакеры ломают всех, кого могут, поэтому вероятность утечки зависит от размера информационной инфраструктуры компании и ее вложений в информационную безопасность", - подчеркнул Оганесян. В апреле прошлого года глава Минцифры Максут Шадаев выступил с предложением ввести оборотные штрафы для компаний, допустивших утечку персональных данных, пояснив, что сейчас бизнес опасается скорее репутационных издержек, нежели штрафа. Проект разрабатывается совместно с Роскомнадзором и не будет касаться госорганов, говорил Шадаев. Обсуждалось, что штраф составит до 1% от оборота. Директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков в беседе с РБК подчеркнул, что если введут оборотные штрафы за утечки персональных данных населения, то для многих компаний это станет значительным риском, и они начнут выделять бюджеты на информационную безопасность для того, чтобы защитить те базы, которые они сейчас собирают. Какие крупные утечки были в 2022 году В марте прошлого года в соцсетях начала распространяться ссылка на сайт, на котором были личные данные пользователей "Яндекс.Еды" в виде карты, там были указаны адрес доставки, телефон, электронная почта, сумма заказов за последние полгода. По данным телеграм-канала "Утечки информации" от DLBI, в Сеть было выложено порядка 49 млн строк. Позднее руководитель "Яндекс.Еды" Роман Маресов в блоге компании извинился перед пользователями за утечку и заверил, что компания пытается не дать данным пользователей распространиться дальше. Маресов также назвал утечку беспрецедентным случаем.
В мае об утечке данных клиентов также сообщил сервис доставки еды Delivery Club. Число пострадавших пользователей в компании не назвали, лишь сообщили, что утекла информация о заказах без банковских реквизитов. По информации телеграм-канала In4security, утекшая база заказов Delivery Club содержит 250 млн строк с персональными данными пользователей, включая Ф.И.О., адреса и информацию о заказах.
В прошлом году также стало известно об утечках СДЭК. Сначала, в конце февраля, телеграм-каналы сообщали об утечке о клиентах доставки, которая содержала файл с 466 млн строк с ID и телефонами и еще один с 822 млн строк с ID, Ф.И.О. и адресами электронной почты. СДЭК официально подтверждала факт утечки, но заявила, что в базе нет номеров документов и иной важной персональной информации, в том числе платежной.
В ноябре была выставлена на продажу база данных пользователей сервиса электросамокатов Whoosh. По данным профильных телеграм-каналов, в базе оказалось около 7,3 млн записей, в том числе имена пользователей, номера телефонов, адреса электронной почты и часть данных банковских карт. В компании подтвердили утечку и уточнили, что ее организовала группа хакеров после того, как один из сотрудников компании нарушил установленные правила. Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
| Тема | Релевантность | Дата |
|---|---|---|
| Заблокировано более 300 сайтов с персональными данными россиян | 18.11 | Вторник, 06 июня 2017 |
| Российские школьники начали более ответственно обращаться с персональными данными | 17.73 | Четверг, 26 декабря 2019 |
| В мае 2020 года в сеть утекло 8,8 миллиарда записей | 17.42 | Четверг, 04 июня 2020 |
| В мае 2020 года в сеть утекло 8,8 миллиардов записей | 17.42 | Четверг, 04 июня 2020 |
| Локализовать работу с персональными данными готовы не все | 13.92 | Четверг, 23 июля 2015 |
| Минкомсвязи не подпустили к госконтролю над персональными данными | 13.92 | Понедельник, 13 февраля 2017 |
| Роскомнадзор пообещал заблокировать 60 сайтов с персональными данными | 13.77 | Четверг, 12 февраля 2015 |
| «СерчИнформ»: как несут ответственность за торговлю персональными данными | 13.77 | Среда, 07 марта 2018 |
| Роскомнадзор отрегулирует работу агентов НПФ с персональными данными | 13.77 | Четверг, 27 февраля 2020 |
| РКН могут поручить выбирать оператора для контроля за персональными данными | 13.63 | Четверг, 22 января 2015 |