Почему утечка данных пользователей Facebook так опасна и как узнать, не украден ли твой аккаунт

Недавний скандал с Facebook может запросто оказаться отправной точкой для нового витка дискуссии насчет ответственности IT-корпораций перед пользователями. С утечками подобного масштаба интернет давно не сталкивался. Напомним, в январе специализирующееся на новостях тематики хайтек-подразделение сетевого издания Vice — Motherboard — обнаружило бота, продающего личные данные в мессенджере Telegram. От прочих подобных сервисов он отличался огромной базой: более 500 миллионов наборов личных данных пользователей Facebook.

В начале апреля специалист по кибербезопасности, пишущий под псевдонимом Alon Gal, опубликовал информацию об утечке 533 миллионов учетных записей той же социальной сети. Среди них были пользователи из 106 стран, причем почти 10 миллионов — из России (как пишет РБК, вопросом уже занялся Роскомнадзор). Это практически 17% от всей отечественной аудитории Facebook, которая, по данным портала Statista, составляет около 60 миллионов человек. Судя по всему, в обоих отчетах об утечках (январском и апрельском) речь идет об одной и той же колоссальной базе, которая вовсю торгуется на черном интернет-рынке.

Как узнать, украдены ли мои данные

В Сети существует множество специализированных сервисов, позволяющих проверить, в каких известных «сливах» присутствуют конкретные учетные данные. Как правило, для этого требуется указать электронную почту, реже можно «пробить» и номер телефона. Сразу отметим важный момент: полного доверия к надежности таких сайтов тоже нет. С одной стороны, большинство из них созданы известными энтузиастами от кибербезопасности для всеобщего блага.

С другой — ничто не мешает мошеннику сделать такой же портал и просто собирать учетные данные для последующего подбора паролей. Ведь на утечки пользователи будут проверять именно те адреса электронной почты, которые гарантированно используются для регистрации на различных порталах. Ну и обычный скам исключать не стоит: показ рекламы во время фиктивной «проверки» логина по неким «базам». Тем не менее есть ресурсы, к которым доверие достаточно велико.

Один из самых известных — Have i been pwned? («Поимели ли меня?»). Этот сайт неоднократно проверяли на добросовестность ведущие специалисты по кибербезопасности, да и создал его не последний человек в этой сфере. На портале есть подробная информация обо всех используемых базах, включая качество каждой (достоверность, актуальность) и типы данных (логины, пароли, номера телефонов, имена, возраст и тому подобное) в них. Кроме того, ресурс обладает подробной справкой по азам безопасности в Сети и первым шагам, которые нужно предпринять, если личные данные утекли в интернет. Недостаток всего один: русского языка нет (но утечки Рунета он прекрасно обрабатывает).

Чтобы им воспользоваться, необходимо просто ввести на главной странице в поисковую строку электронную почту, за которую вы опасаетесь. Через несколько секунд (время зависит от нагрузки на сервер) появится ответ, содержащий общее количество баз, где введенный адрес был найден, даты обнаружения этих утечек и что именно в них было украдено. Сюрпризы обеспечены: та почта, которая практически не используется, может оказаться в нескольких таких архивах.

Чем это вообще опасно

Скептично настроенный читатель может сказать: «Ну нашел я себя в утечке, и что? Моя учетка в Facebook или VK никуда не делась, электронную почту никто не угнал, и вообще все это вилами по воде писано». В каком-то смысле подобные рассуждения справедливы, принцип «если ты никому не нужен, то и искать тебя никто не будет» работает безотказно. В большинстве случаев.

Перво-наперво, обрисуем картину в целом. Большинство таких баз — не просто таблицы с парами логин-пароль. Это наборы полноценных профилей реальных людей, а точнее — слепков их «интернет-личностей». В них содержатся не только данные для аутентификации, но и огромное количество персональных данных: пол, возраст, имя, номер телефона, геолокация разной степени точности. А также могут быть чисто технические «отпечатки пальцев» вроде предпочитаемого браузера, разрешения экрана, операционной системы, IP-адреса, аппаратных идентификаторов устройств и целый ворох специфических отметок различных сервисов.

Обладая такой подробной информацией, даже разрозненной, легко можно объединять базы в полноценные картотеки. Отслеживать людей, даже если они изменяют какие-то привычки либо полностью «переезжают» в другие социальные сети. Применительно к каждому конкретному человеку это выглядит как-то слишком надуманно, однако вот интересный вопрос: какова гарантия, что важность вашей личности (для кого угодно) резко не вырастет в будущем?

Можно неожиданно выиграть в лотерею, или получить наследство, или просто заработать на новую недешевую машину либо квартиру. Банально — ненароком насолить кому-то злопамятному. Причин «копать» на «маленького человека» можно представить много, и от них не застрахован никто. Благодаря подобным теневым базам с утечками для злоумышленника вопрос поиска болевых точек становится довольно легким. В некоторых случаях бюджет на создание подробного профиля для конкретной цели не превышает вполне разумных 20-50 тысяч рублей.

От неперсонализированного мошенничества защититься сравнительно просто: не давать никому номер карты или ее CVC-код, не отвечать на незнакомые номера — да что там, достаточно быть всегда внимательным. Когда преступник знает почти все привычки жертвы, обладает доступом к его аккаунтам и может рассчитывать маршруты перемещения, простор для махинаций становится поистине безграничным. Стопроцентной защиты, конечно, не существует, но снизить шансы на успех злоумышленника всегда приятно.

Наконец, даже без таких апокалиптических сценариев никто не застрахован от того, что спустя годы после утечки каким-нибудь хакерам не понадобится очередная порция реалистично выглядящих аккаунтов в социальных сетях. Для манипуляций общественным мнением перед выборами или дискредитации чьей-нибудь социальной политики, например. Они не будут веерно взламывать случайные профили, а заглянут в давно собранные базы. И если конкретного человека до сих пор не «использовали», он имеет все шансы попасть в свежую выборку.

Далее процесс автоматизирован и довольно прост для профильного специалиста. Сначала проверяются уже известные учетные данные — вдруг человек годами не меняет пароли. Если это не удалось, анализируются известные изменения в секретном слове, необходимом для входа. Да, люди, к сожалению, существа ленивые и весьма предсказуемые. Мы крайне редко меняем пароли полностью, обычно просто добавляем символ, переставляем буквы или используем другой регистр. А значит, посмотрев, что человек делал со своими паролями, если они есть в других базах, можно предсказать существующий. Наконец, даже без этой информации, учитывая слабую изменчивость секретного слова, его подбор ограничивается даже не тысячами или сотнями вариантов, а буквально единицами.

Что делать-то?

К сожалению, в России нет таких мощных инструментов воздействия на законодательство, как в Европе или США. Поэтому педалировать очередное ужесточение «интернет-законов» вроде GDPR и CCPA у нас возможностей мало. Справедливости ради, даже на родинах этих документов с их исполнением серьезные проблемы, а уж о попытках привлечения безалаберных IT-корпораций к ответственности за неисполнение можно еще две таких статьи написать. Поэтому остается руководствоваться старым, добрым принципом «спасение утопающих — дело рук самих утопающих».

Для начала стоит сменить все пароли. Да, все, поскольку если они не изменялись больше года — шансы, что они скомпрометированы, высоки. Даже если Have i been pwned? утверждает, что в утечках нет искомых учетных данных. Ведь специалисты по кибербезопасности находят далеко не все подобные сокровищницы даркнета, многие из них просто не торгуются на специализированных форумах, а хранятся в загашниках укравшей их группы хакеров. И на будущее — взять за правило раз в несколько месяцев пароли менять. На первых порах придется потрудиться, зато порядок в своей «интернет-личности» удастся навести.

Это, кстати говоря, важнейший пункт кибербезопасности: хранение всех учетных данных в надежном месте, где владелец может быстро ими управлять. Выглядит контринтуитивно, поскольку похоже на упаковку всех яиц в одну корзину. Однако при взломе киберпреступник как раз рассчитывает, что подобной собственной базы у жертвы нет.

То есть на поиски резервной почты для восстановления пароля, попытки войти в нее, вспомнить ответ на секретный вопрос и прочие вполне очевидные, но от этого не менее раздражающие меры безопасности владелец взломанного аккаунта потратит много времени. Для слива всех писем из почты, рассылки спама по друзьям в соцсети, расстановки лайков целевому контенту или удаления профиля, чтобы жертва какое-то время полностью отсутствовала в Сети, достаточно нескольких минут.

Для надежного хранения всех учетных данных давно придуманы менеджеры паролей. Это удобные приложения, которые при правильном использовании разительно повышают уровень безопасности. Конкретные решения рекомендовать не будем, дабы не оскорбить чувства любителей программ-конкурентов и не получить обвинения в рекламе. Но вот несколько критически важных критериев выбора:

• Открытый исходный код. Подобные приложения всегда под прицелом специалистов по кибербезопасности, так что opensource-решение выигрывает у проприетарного — его банально легче проверить на изъяны;
• Платное лучше бесплатного. На первый взгляд, противоречие с первым пунктом, но не всегда так. Во-первых, решение с открытым исходным кодом может не подойти и придется выбирать дальше. Во-вторых, некоторые разработчики проприетарных продуктов предоставляют их код на ревизию сторонним специалистам. А причина, по которой никогда нельзя выбирать бесплатное решение с закрытым кодом, проста и аналогична таковой для VPN-сервисов и прокси. Вероятность, что его разработали на чистом энтузиазме, всегда ниже, чем то, что его создатели зарабатывают на пользователях скрытым образом (эксплуатируя их данные). С opensource-решением можно хотя бы это проверить;
• Отсутствие сетевых сервисов. Обмен данными — самое слабое место в любой системе, если мы хотим безопасности, его придется исключить;
• Браузерные плагины и прочие удобства нежелательны. Да, они сильно упрощают жизнь, но это всегда отдельные куски кода, которые работают в разных областях памяти и передают учетные данные между приложениями. Опасения те же, что при обмене данными в Сети, просто масштаб чуть меньше, поскольку все происходит на одном компьютере;
• Никаких встроенных в браузеры или продукты других компаний решений. Как бы привлекательно они не выглядели, подобные «функции безопасности» прямо или косвенно зависят от надежности всего программного комплекса, частью которого они являются. Тем более если это приложения, разработанные компаниями, эксплуатирующими личные данные пользователей в рекламных целях;
• Возможность двухфакторной аутентификации. Это мощнейший инструмент безопасности: менеджер паролей предоставит доступ к своей базе только если ему «покажут» аппаратный ключ в виде флешки или сканера отпечатков пальцев (или вариант два в одном) одновременно с вводом мастер-пароля. Некоторые приложения дают возможность создать секретный файл замаскированный под любой другой, местоположение которого знает только владелец базы. Последнее — не самый лучший вариант, но всегда надежнее одного пароля.

При наличии менеджера учетных данных жизнь в Сети усложняется незначительно, а вот безопасность возрастает радикально. Всего один пароль запомнить проще, да и менять его часто тоже несложно. А за регулярными сменами паролей на всех интернет-сервисах будет следить программа. К тому же она сгенерирует по-настоящему надежные и непредсказуемые комбинации символов каждый раз. Но никогда нельзя забывать, что первичный уровень безопасности всегда находится не в Сети или компьютере, а смотрит на экран и прямо сейчас читает эти строки.