7 апреля
Василий Парфенов
17

Почему утечка данных пользователей Facebook так опасна и как узнать, не украден ли твой аккаунт

6.4

В последние недели интернет снова полон сообщений об утечках персональных данных, и на этот раз все как никогда масштабно: Facebook не смог защитить более полумиллиарда своих пользователей от злоумышленников. И хотя многие уже привыкли к таким неприятностям, на самом деле, они гораздо серьезнее, чем кажутся. Рассказываем, как проверить наличие своих данных в базах хакеров и что делать, если они там нашлись.

Почему утечка данных пользователей Facebook так опасна и как узнать, не украли ли твой аккаунт
©LaserUnicorns, YouTube

Недавний скандал с Facebook может запросто оказаться отправной точкой для нового витка дискуссии насчет ответственности IT-корпораций перед пользователями. С утечками подобного масштаба интернет давно не сталкивался. Напомним, в январе специализирующееся на новостях тематики хайтек-подразделение сетевого издания ViceMotherboardобнаружило бота, продающего личные данные в мессенджере Telegram. От прочих подобных сервисов он отличался огромной базой: более 500 миллионов наборов личных данных пользователей Facebook.

В начале апреля специалист по кибербезопасности, пишущий под псевдонимом Alon Gal, опубликовал информацию об утечке 533 миллионов учетных записей той же социальной сети. Среди них были пользователи из 106 стран, причем почти 10 миллионов — из России (как пишет РБК, вопросом уже занялся Роскомнадзор). Это практически 17% от всей отечественной аудитории Facebook, которая, по данным портала Statista, составляет около 60 миллионов человек. Судя по всему, в обоих отчетах об утечках (январском и апрельском) речь идет об одной и той же колоссальной базе, которая вовсю торгуется на черном интернет-рынке.

Как узнать, украдены ли мои данные

В Сети существует множество специализированных сервисов, позволяющих проверить, в каких известных «сливах» присутствуют конкретные учетные данные. Как правило, для этого требуется указать электронную почту, реже можно «пробить» и номер телефона. Сразу отметим важный момент: полного доверия к надежности таких сайтов тоже нет. С одной стороны, большинство из них созданы известными энтузиастами от кибербезопасности для всеобщего блага.

Почему утечка данных пользователей Facebook так опасна и как узнать, не украли ли твой аккаунт
После нажатия на кнопку «pwned?» система выдаст зеленый сигнал (все ок) либо, как в нашем случае — красный, данные есть в утечках / ©haveibeenpwned, Naked Science

С другой — ничто не мешает мошеннику сделать такой же портал и просто собирать учетные данные для последующего подбора паролей. Ведь на утечки пользователи будут проверять именно те адреса электронной почты, которые гарантированно используются для регистрации на различных порталах. Ну и обычный скам исключать не стоит: показ рекламы во время фиктивной «проверки» логина по неким «базам». Тем не менее есть ресурсы, к которым доверие достаточно велико.

Один из самых известных — Have i been pwned? («Поимели ли меня?»). Этот сайт неоднократно проверяли на добросовестность ведущие специалисты по кибербезопасности, да и создал его не последний человек в этой сфере. На портале есть подробная информация обо всех используемых базах, включая качество каждой (достоверность, актуальность) и типы данных (логины, пароли, номера телефонов, имена, возраст и тому подобное) в них. Кроме того, ресурс обладает подробной справкой по азам безопасности в Сети и первым шагам, которые нужно предпринять, если личные данные утекли в интернет. Недостаток всего один: русского языка нет (но утечки Рунета он прекрасно обрабатывает).

Чтобы им воспользоваться, необходимо просто ввести на главной странице в поисковую строку электронную почту, за которую вы опасаетесь. Через несколько секунд (время зависит от нагрузки на сервер) появится ответ, содержащий общее количество баз, где введенный адрес был найден, даты обнаружения этих утечек и что именно в них было украдено. Сюрпризы обеспечены: та почта, которая практически не используется, может оказаться в нескольких таких архивах.

Почему утечка данных пользователей Facebook так опасна и как узнать, не украли ли твой аккаунт
Внизу страницы приводится список баз, в которых система нашла упоминания искомой электронной почты или номера телефона. Пометка «неверифицировано» (unverified) означает, что эту базу исследователи не проверили на достоверность в полной мере / ©haveibeenpwned, Naked Science

Чем это вообще опасно

Скептично настроенный читатель может сказать: «Ну нашел я себя в утечке, и что? Моя учетка в Facebook или VK никуда не делась, электронную почту никто не угнал, и вообще все это вилами по воде писано». В каком-то смысле подобные рассуждения справедливы, принцип «если ты никому не нужен, то и искать тебя никто не будет» работает безотказно. В большинстве случаев.

Перво-наперво, обрисуем картину в целом. Большинство таких баз — не просто таблицы с парами логин-пароль. Это наборы полноценных профилей реальных людей, а точнее — слепков их «интернет-личностей». В них содержатся не только данные для аутентификации, но и огромное количество персональных данных: пол, возраст, имя, номер телефона, геолокация разной степени точности. А также могут быть чисто технические «отпечатки пальцев» вроде предпочитаемого браузера, разрешения экрана, операционной системы, IP-адреса, аппаратных идентификаторов устройств и целый ворох специфических отметок различных сервисов.

Обладая такой подробной информацией, даже разрозненной, легко можно объединять базы в полноценные картотеки. Отслеживать людей, даже если они изменяют какие-то привычки либо полностью «переезжают» в другие социальные сети. Применительно к каждому конкретному человеку это выглядит как-то слишком надуманно, однако вот интересный вопрос: какова гарантия, что важность вашей личности (для кого угодно) резко не вырастет в будущем?

Можно неожиданно выиграть в лотерею, или получить наследство, или просто заработать на новую недешевую машину либо квартиру. Банально — ненароком насолить кому-то злопамятному. Причин «копать» на «маленького человека» можно представить много, и от них не застрахован никто. Благодаря подобным теневым базам с утечками для злоумышленника вопрос поиска болевых точек становится довольно легким. В некоторых случаях бюджет на создание подробного профиля для конкретной цели не превышает вполне разумных 20-50 тысяч рублей.

От неперсонализированного мошенничества защититься сравнительно просто: не давать никому номер карты или ее CVC-код, не отвечать на незнакомые номера — да что там, достаточно быть всегда внимательным. Когда преступник знает почти все привычки жертвы, обладает доступом к его аккаунтам и может рассчитывать маршруты перемещения, простор для махинаций становится поистине безграничным. Стопроцентной защиты, конечно, не существует, но снизить шансы на успех злоумышленника всегда приятно.

Наконец, даже без таких апокалиптических сценариев никто не застрахован от того, что спустя годы после утечки каким-нибудь хакерам не понадобится очередная порция реалистично выглядящих аккаунтов в социальных сетях. Для манипуляций общественным мнением перед выборами или дискредитации чьей-нибудь социальной политики, например. Они не будут веерно взламывать случайные профили, а заглянут в давно собранные базы. И если конкретного человека до сих пор не «использовали», он имеет все шансы попасть в свежую выборку.

Далее процесс автоматизирован и довольно прост для профильного специалиста. Сначала проверяются уже известные учетные данные — вдруг человек годами не меняет пароли. Если это не удалось, анализируются известные изменения в секретном слове, необходимом для входа. Да, люди, к сожалению, существа ленивые и весьма предсказуемые. Мы крайне редко меняем пароли полностью, обычно просто добавляем символ, переставляем буквы или используем другой регистр. А значит, посмотрев, что человек делал со своими паролями, если они есть в других базах, можно предсказать существующий. Наконец, даже без этой информации, учитывая слабую изменчивость секретного слова, его подбор ограничивается даже не тысячами или сотнями вариантов, а буквально единицами.

Что делать-то?

К сожалению, в России нет таких мощных инструментов воздействия на законодательство, как в Европе или США. Поэтому педалировать очередное ужесточение «интернет-законов» вроде GDPR и CCPA у нас возможностей мало. Справедливости ради, даже на родинах этих документов с их исполнением серьезные проблемы, а уж о попытках привлечения безалаберных IT-корпораций к ответственности за неисполнение можно еще две таких статьи написать. Поэтому остается руководствоваться старым, добрым принципом «спасение утопающих — дело рук самих утопающих».

Для начала стоит сменить все пароли. Да, все, поскольку если они не изменялись больше года — шансы, что они скомпрометированы, высоки. Даже если Have i been pwned? утверждает, что в утечках нет искомых учетных данных. Ведь специалисты по кибербезопасности находят далеко не все подобные сокровищницы даркнета, многие из них просто не торгуются на специализированных форумах, а хранятся в загашниках укравшей их группы хакеров. И на будущее — взять за правило раз в несколько месяцев пароли менять. На первых порах придется потрудиться, зато порядок в своей «интернет-личности» удастся навести.

Это, кстати говоря, важнейший пункт кибербезопасности: хранение всех учетных данных в надежном месте, где владелец может быстро ими управлять. Выглядит контринтуитивно, поскольку похоже на упаковку всех яиц в одну корзину. Однако при взломе киберпреступник как раз рассчитывает, что подобной собственной базы у жертвы нет.

То есть на поиски резервной почты для восстановления пароля, попытки войти в нее, вспомнить ответ на секретный вопрос и прочие вполне очевидные, но от этого не менее раздражающие меры безопасности владелец взломанного аккаунта потратит много времени. Для слива всех писем из почты, рассылки спама по друзьям в соцсети, расстановки лайков целевому контенту или удаления профиля, чтобы жертва какое-то время полностью отсутствовала в Сети, достаточно нескольких минут.

Для надежного хранения всех учетных данных давно придуманы менеджеры паролей. Это удобные приложения, которые при правильном использовании разительно повышают уровень безопасности. Конкретные решения рекомендовать не будем, дабы не оскорбить чувства любителей программ-конкурентов и не получить обвинения в рекламе. Но вот несколько критически важных критериев выбора:

  • Открытый исходный код. Подобные приложения всегда под прицелом специалистов по кибербезопасности, так что opensource-решение выигрывает у проприетарного — его банально легче проверить на изъяны;
  • Платное лучше бесплатного. На первый взгляд, противоречие с первым пунктом, но не всегда так. Во-первых, решение с открытым исходным кодом может не подойти и придется выбирать дальше. Во-вторых, некоторые разработчики проприетарных продуктов предоставляют их код на ревизию сторонним специалистам. А причина, по которой никогда нельзя выбирать бесплатное решение с закрытым кодом, проста и аналогична таковой для VPN-сервисов и прокси. Вероятность, что его разработали на чистом энтузиазме, всегда ниже, чем то, что его создатели зарабатывают на пользователях скрытым образом (эксплуатируя их данные). С opensource-решением можно хотя бы это проверить;
  • Отсутствие сетевых сервисов. Обмен данными — самое слабое место в любой системе, если мы хотим безопасности, его придется исключить;
  • Браузерные плагины и прочие удобства нежелательны. Да, они сильно упрощают жизнь, но это всегда отдельные куски кода, которые работают в разных областях памяти и передают учетные данные между приложениями. Опасения те же, что при обмене данными в Сети, просто масштаб чуть меньше, поскольку все происходит на одном компьютере;
  • Никаких встроенных в браузеры или продукты других компаний решений. Как бы привлекательно они не выглядели, подобные «функции безопасности» прямо или косвенно зависят от надежности всего программного комплекса, частью которого они являются. Тем более если это приложения, разработанные компаниями, эксплуатирующими личные данные пользователей в рекламных целях;
  • Возможность двухфакторной аутентификации. Это мощнейший инструмент безопасности: менеджер паролей предоставит доступ к своей базе только если ему «покажут» аппаратный ключ в виде флешки или сканера отпечатков пальцев (или вариант два в одном) одновременно с вводом мастер-пароля. Некоторые приложения дают возможность создать секретный файл замаскированный под любой другой, местоположение которого знает только владелец базы. Последнее — не самый лучший вариант, но всегда надежнее одного пароля.

При наличии менеджера учетных данных жизнь в Сети усложняется незначительно, а вот безопасность возрастает радикально. Всего один пароль запомнить проще, да и менять его часто тоже несложно. А за регулярными сменами паролей на всех интернет-сервисах будет следить программа. К тому же она сгенерирует по-настоящему надежные и непредсказуемые комбинации символов каждый раз. Но никогда нельзя забывать, что первичный уровень безопасности всегда находится не в Сети или компьютере, а смотрит на экран и прямо сейчас читает эти строки.

Нашли опечатку? Выделите фрагмент и нажмите Ctrl + Enter.
Позавчера, 11:56
Илья Ведмеденко

В КНР испытали монолитный твердотопливный ракетный двигатель, имеющий самую большую тягу в мире. Разработка изделия важна для создания ракет тяжелого класса.

18 октября
Елена Синицкая

На днях израильский ныряльщик обнаружил на дне Средиземного моря у Хоф-ха-Кармель древние предметы, среди которых оказался меч удивительной сохранности. По мнению специалистов Израильского управления древностей, железный меч с клинком около одного метра и 30-сантиметровой рукоятью принадлежал крестоносцу и датируется XII веком.

Позавчера, 16:31
Мария Осетрова

Ученые из MIT выяснили, что наш мозг не оптимизирован для того, чтобы искать самый короткий маршрут. Вместо этого он выбирает путь, который точнее всего указывает на конечное направление.

18 октября
Елена Синицкая

На днях израильский ныряльщик обнаружил на дне Средиземного моря у Хоф-ха-Кармель древние предметы, среди которых оказался меч удивительной сохранности. По мнению специалистов Израильского управления древностей, железный меч с клинком около одного метра и 30-сантиметровой рукоятью принадлежал крестоносцу и датируется XII веком.

15 октября
Илья Ведмеденко

Компания General Dynamics Land Systems представила макет наземного робота TRX, который выступит носителем беспилотников-камикадзе. Помимо них, он получил квадрокоптер.

Позавчера, 11:56
Илья Ведмеденко

В КНР испытали монолитный твердотопливный ракетный двигатель, имеющий самую большую тягу в мире. Разработка изделия важна для создания ракет тяжелого класса.

13 октября
Мария Азарова

Анализ образцов крови, взятых у российских космонавтов до и после их полета на МКС, показал, что длительное пребывание в космосе может провоцировать повреждение мозга.

12 октября
Алиса Гаджиева

Две тысячи лет назад многие сооружения строили лучше, чем сегодня.

27 сентября
Мария Азарова

Новое исследование генетиков из Германии и Италии, похоже, помогло найти ответ на вопрос, который занимал ученых свыше двух тысяч лет: откуда взялись этруски?

[miniorange_social_login]

Комментарии

17 Комментариев

09.04.2021
-
0
+
То что делает движок сайта со ссылками это лютый феерический песец и повод для анекдотов. Неужели трудно исправить этот косяк господа? Или ваши кодеры познали дзен и решили ничего больше не трогать чтобы еще что-нибудь не отвалилось? Пять раз комент исправлял чтобы привести ссылки в божеский вид, в конце-концов плюнул когда еще и текст оказался "модифицирован"
09.04.2021
-
0
+
К слову о безопасности. Вот в известке пробежало сообщение о возможном взломе sms-паролей. Рекомендуют перейти на push-уведомления и другие способы аутентификации. Или хотя бы пароли-логины сменить в денежных местах.https://iz.ru/1148488/natalia-ilina/vpast-v-kommutator-khakery-gotoviat-moshchnuiu-ataku-na-scheta-rossiian-v-mae
    -
    0
    +
    Батенька, мобильный банкинг - это вообще что-то сильно похожее на русскую рулетку, занятие на грани добра и зла, нечто такое - есть правильный способ, неправильный, и мобильный банкинг. Есть гораздо более надежные способы взаимодействия с банком. Устройство генерации временных паролей, например. И конечно, работать только с ноута\десктопа. Ибо андроид хочется просто придушить за его тупость.
    +
      ещё комментарии
      09.04.2021
      -
      0
      +
      Вообще-то речь идет о кодах подтверждения операций. Ваше отношение к новым технологиям мне известно )) Впрочем "мобильным банкингом" я тоже не пользуюсь - неудобно. Хотя с кнопочным телефоном или отсутствием интернета это единственный способ "взаимодействия с банком" для чего собственно и был придуман.
08.04.2021
-
-1
+
Я в шоке от людей, вы сами о себе пишите в соц.сетях, кто, что, где, фоточки, видосики, номера телефонов, карт банковских.. а потом сидят "ой, а чё это мои данные как это, кто это смог, откуда узнали..?" .. так больше о себе пишите, мало жизнь учит. А представьте не Фэйсбук, а Сбербанк с биометрическими данными, отпечатками капиляров лодони и сетчатки глаз... это посерьёзней ваших фоточек на пляже будет....
    08.04.2021
    -
    0
    +
    Банки совершенно не заинтересованы в утечке данных своих клиентов. И в продаже тоже. И чтобы такого не случалось, там есть специально обученные люди. А данные ваши и так уже есть в самых разных базах данных. Начиная с рождения. И биометрия будет никуда не денетесь. Если не планируете сбежать в тайгу и жить охотой и собирательством. Это просто плата за пользование благами цивилизации. И риски тоже.
    +
      ещё комментарии
-
0
+
Электропочту привязывайте к номеру сотового. Тогда легко будет сбросить взлом пароля. Пароли могут быть относительно публичные (которые приходится кому-то говорить хотя бы однажды) и глубоко частные. Публичные делайте менее защищенными, они все равно рано или поздно утекут в сеть. Примеры публичных паролей - от вайфая, от модема, и т.д.. Я уже нахожу свои публичные пароли в частотных словарях, хотя 5 лет назад их там не было. Пробить оригинальный пароль на уникальность можно попробовать очень просто по гуглопоиску. Частотные словари обычно выложены на гитхабе. Пароли должны быть разными, но сделанными по одному принципу, понятному только вам. Их вообще можно не хранить где-то.
    08.04.2021
    -
    0
    +
    Пароль сделанный по какому-либо принципу это не случайный пароль, а значит уязвимый для подбора. Но конечно так проще, вполне понятный компромисс с безопасностью. И тут возникает любопытный момент - лучше ли такой компромисс сохраненный в голове, чем абсолютно случайный пароль сохраненный в менеджере паролей.Что до статьи то даже интересно сколько бухгалтеров ее прочитало хотя бы до середины и как много из нее запомнило )) По мне так рабочая памятка должна умещаться на одной странице. Ну да не так красиво, зато простор для ложных толкований значительно меньше и есть шанс, что в нее будут хотя бы иногда заглядывать.
    +
      ещё комментарии
      -
      0
      +
      Хотел бы я снова вернуться в то время, когда для решения проблемы достаточно было изучить памятку на 0,5-1 стр., знать о том, что 13 надо класть в 13-й порт, и как запускать нортон коммандер. К сожалению, сейчас этого явно недостаточно. И даже портянка на 10-15 страниц ничего не дает.
        09.04.2021
        -
        0
        +
        Потому и не дает что ее никто не читает. Представьте если при ответе на вопрос "почему в этом месяце я не получил премию" бухгалтер пришлет вам портянку на десять страниц с анализом макроэкономической ситуации в стране. Да еще насыщенную образными сравнениями, случаями из жизни и всяческими понтами, чтобы рассказать от сложностях его профессии и подчеркнуть собственную значимость.
          -
          0
          +
          Не так уж и далеки вы от истины. Например у нас уже давно на вопрос - "почему в этом месяце у меня такой подоходный налог" - наш бухгалтер просто пошлет вас изучать 20-30 страниц налогового кодекса (глава "Индивидуальный подоходный налог"). И не факт что вы поймете хотя бы первую главу - основные термины. Премия регулируется обычно внутрикорпоративными правилами. Я как-то разрабатывал автоматический расчет премий для одного небольшого ТОО (у вас - ООО). Техзадание (рамочное) потянуло на 15-20 листов на екселе. Расчет длился полчаса для 5-10 сотрудников. Первый вариант я признал не очень удачным, переработал ТЗ, запросил 2-й этап, открылась масса непродуманных нюансов. Никто не дал денег, так и считают до сих пор корявым первым вариантов.
07.04.2021
-
0
+
Все это конечно круто, но вы ведь понимаете что точное следование всем правилам безопасности серьезно усложняет жизнь пользователя? Вплоть до утраты доступа к аккаунту если пользователь позабыл свой пароль или потерял другие факторы аутентификации. Так что стоит задуматься когда реально важно быть "анонимусом", а когда можно и остаться Неуловимым Джо.

Подтвердить?
Подтвердить?
Не получилось опубликовать!

Вы попытались написать запрещенную фразу или вас забанили за частые нарушения.

Понятно
Лучшие материалы
Войти
Регистрируясь, вы соглашаетесь с правилами использования сайта и даете согласие на обработку персональных данных.
Ваша заявка получена

Мы скоро изучим заявку и свяжемся с Вами по указанной почте в случае положительного исхода. Спасибо за интерес к проекту.

Понятно
Ваше сообщение получено

Мы скоро прочитаем его и свяжемся с Вами по указанной почте. Спасибо за интерес к проекту.

Понятно

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: