С начала 2023 года Роскомнадзор зафиксировал 27 случаев утечки персональных данных, в результате которых в сеть попали 165 миллионов записей о россиянах. Злоумышленники использовали уязвимости в программном обеспечении, серверах и телекоммуникационном оборудовании, многие из которых были использованы впервые.
Самой крупной утечкой в 1 квартале 2023 года является утечка персональных данных участников бонусной платформы «СберСпасибо», которая прошла в 2 этапа. Суммарно в открытом доступе оказалось более 51 млн уникальных номеров телефонов и более 3 млн уникальных адресов электронной почты. Кроме того, слитые данные также содержат даты рождения, даты регистрации и хэши карт участников бонусной платформы «СберСпасибо».
Несмотря на то, что номера банковских карт хранятся в виде хэша, что может предполагать их защищенность, использование устаревшей функции хеширования SHA1 не защищает данные от возможности их расшифровки прямым перебором всех цифр. Это значит, что данные номеров банковских карт могут быть раскрыты злоумышленниками (https://www.securitylab.ru/news/536831.p... и
https://www.securitylab.ru/news/537118.p...).
Кроме утечки персональных данных участников платформы «СберСпасибо» с начала года произошли еще не менее значимые утечки, такие как:
- утечка базы данных пользователей интернет-аптеки ZdravCity (почти 9 млн уникальных номеров телефонов и более 3 млн уникальных адресов электронной почты, а также данные о ФИО, дата рождения, пол клиента, сведения об аптеке, в которой формировался заказ),
https://www.securitylab.ru/news/536235.p...;
- утечка личных данных клиентов ювелирного интернет-магазина zoloto585.ru (более 8 млн уникальных номеров телефонов и более 3 млн уникальных адресов электронной почты, а также данные о ФИО, адрес клиента, паспорт (серия, номер, кем и когда выдан), пол, дата рождения и возраст клиента)
https://www.securitylab.ru/news/537497.p...;
- утечка данных пользователей сервиса по продаже билетов на мероприятия kassy.ru (более 4 млн уникальных номеров телефонов и более 4 млн адресов электронной почты, а также данные о ФИО, идентификаторах заказа, хешированные пароли, пол, дату рождения, идентификатор города, дату создания и обновления профиля)
https://www.securitylab.ru/news/537498.p...;
- утечка данных из личных кабинетов пользователей страховой компании «СОГАЗ» (более 5 млн уникальных номеров телефона и более 7 млн уникальных адресов электронной почты, а также хешированные пароли, дата рождения, место работы, ФИО, логин)
https://www.securitylab.ru/news/537571.p....
Для предотвращения утечки персональных данных, в Роскомнадзоре предлагают привлекать к уголовной ответственности тех, кто торгует данными в сети, и внести соответствующие изменения в Уголовный кодекс РФ. Также ведомство предлагает усилить "специализированные розыскные мероприятия" в отношении киберпреступников и разработать комплексные меры по защите российских сервисов и противодействию хакерским атакам.
