Ес­ли ты не нашел свои пас­пор­тные дан­ные, адре­са элек­трон­ной поч­ты, домаш­ний адрес и номер телефо­на в сли­тых базах дан­ных и телег­рам‑ботах — зна­чит, пло­хо искал. Убе­речь­ся от попада­ния тво­ей пер­сональ­ной информа­ции в пуб­личное прос­транс­тво край­не неп­росто. Сегод­ня мы погово­рим о том, что делать, если ты стал жер­твой такого сли­ва.

Ког­да твои лич­ные дан­ные вне­зап­но ста­новят­ся дос­тупны­ми для все­го мира, мож­но почувс­тво­вать себя в роли глав­ного героя какого‑нибудь гол­ливуд­ско­го трил­лера. Поменять имя и адрес? Сме­нить номер телефо­на и пас­порт? Спо­собы опре­делен­но дей­ствен­ные, но у нас есть идеи получ­ше. Ведь утеч­ка лич­ной информа­ции — это не конец све­та, а прос­то начало нового прик­лючения. Важ­но лишь знать, как дей­ство­вать в подоб­ном слу­чае.

Как извес­тно, ковар­ные хакеры не дрем­лют и взла­мыва­ют всё, что попадет­ся им под руку. А попасть­ся им под руку могут базы дан­ных:

Ба­зы дан­ных самых раз­ных сер­висов могут быть похище­ны и ока­зать­ся у нехоро­ших людей или вооб­ще в откры­том дос­тупе. Пос­ле того как их объ­еди­нят в одну и про­ведут с ними некото­рые кор­реляции, прак­тичес­ки вся твоя жизнь будет как на ладони — любому жела­юще­му ста­нут извес­тны адре­са и даты, ког­да ты поль­зовал­ся так­си, куда заказы­вал гам­бурге­ры или туалет­ную бумагу, в каких сер­висах регис­три­ровал­ся, какие зап­части покупа­ешь для сво­его авто­моби­ля и так далее. Давай подума­ем, что мож­но сде­лать, что­бы сни­зить эффект уте­чек и обе­зопа­сить себя.

Определяем зону поражения

От­куда берут­ся пер­сональ­ные дан­ные в утеч­ках? Оче­вид­но, что в сов­ремен­ном мире все это хра­нит­ся в элек­трон­ных базах — СНИЛС, адре­са регис­тра­ции, пас­пор­тные и налого­вые дан­ные, номера бан­ков­ских карт. Мес­то тво­его фак­тичес­кого про­жива­ния перес­тает быть сек­ретом бла­года­ря утеч­кам из служб дос­тавки. Короче, если сущес­тву­ет элек­трон­ная БД, то, как и всё в этом мире, она может быть похище­на хакера­ми и выс­тавле­на на про­дажу.

Оче­вид­но, что нам­ного про­ще взло­мать интернет‑магазин или служ­бу дос­тавки, чем банк или государс­твен­ную струк­туру. Сле­дова­тель­но, наломав дос­таточ­ное количес­тво более‑менее популяр­ных магази­нов или сер­висов, мож­но получить боль­шой объ­ем пер­сональ­ных дан­ных мил­лионов людей. Эту информа­цию и исполь­зуют мошен­ники в сво­их неб­лаговид­ных целях.

Да­вай при­кинем, какие дан­ные зап­рашива­ют магази­ны, служ­бы дос­тавки или так­си. Обыч­но это:

info

Глав­ное ору­жие мошен­ников всех мас­тей, поз­воля­ющее им убе­дитель­но зву­чать в телефо­не, — это информа­ция о тебе. И в 90% слу­чаев это ору­жие им в руки любез­но пре­дос­тавил ты сам!

И это толь­ко «безобид­ные» сер­висы — нап­ример, если зло­умыш­ленни­ки доберут­ся до элек­трон­ных сис­тем круп­ней­ших сетевых оте­лей, то в руки к ним попадут уже твои пас­пор­тные дан­ные, как и пас­пор­тные дан­ные всех тех людей, которые были с тобой в этом заведе­нии. Пред­став­ляешь, каким это может стать подар­ком для мошен­ников, кар­деров, да и вооб­ще жуликов всех мас­тей? А если взло­мают медицин­скую орга­низа­цию?

Не нарушай закон

Не забывай, что граж­данин любого государс­тва дол­жен неукос­нитель­но сле­довать его законам. Законо­датель­ством регули­руют­ся мно­гие области челове­чес­кой деятель­нос­ти, в том чис­ле исполь­зование псев­донимов.

info

Ес­ли верить Википе­дии, псев­доним — это вымыш­ленное имя (фамилия), которое человек исполь­зует в пуб­личной деятель­нос­ти вмес­то нас­тояще­го (дан­ного при рож­дении, зафик­сирован­ного в офи­циаль­ных докумен­тах). В кон­тек­сте этой статьи я упот­ребляю сло­во «псев­доним» для обоз­начения вымыш­ленных анкетных дан­ных.

Что каса­ется Рос­сий­ской Федера­ции, то, нап­ример, исполь­зование псев­донимов, то есть вымыш­ленно­го име­ни, закон­но, если псев­доним не укра­ден у кого‑то дру­гого. Ины­ми сло­вами, любой граж­данин нашей стра­ны может на совер­шенно закон­ных осно­вани­ях выб­рать для себя никем не занятый псев­доним, хотя при этом называть себя, нап­ример, Вик­тором Оле­гови­чем Пелеви­ным или Кри­сом Кас­пер­ски не име­ет пра­ва.

Но есть и огра­ниче­ния. Недопус­тимо при­обре­тать и осу­щест­влять пра­ва и обя­зан­ности, исполь­зуя псев­доним. То есть нель­зя, нап­ример, под псев­донимом при­обрести авто­мобиль или иное тре­бующее регис­тра­ции иму­щес­тво, офор­мить стра­ховой полис или купить билет на самолет. Более под­робно читай в ГК РФ, статья 19.

Так­же законом стро­го зап­рещено где бы то ни было исполь­зовать чужие пер­сональ­ные дан­ные без сог­ласия граж­данина. Тут нуж­но понимать, что твои лич­ные, выдуман­ные тобой псев­донимы и чужие пер­сональ­ные дан­ные с позиции закона две боль­шие раз­ницы. Нап­ример, фамилию, имя, отчес­тво, дату рож­дения, адрес регис­тра­ции, вооб­ще дру­гие све­дения, пря­мо или кос­венно отно­сящи­еся к опре­делен­ному челове­ку, исполь­зовать без его пись­мен­ного сог­ласия катего­ричес­ки зап­рещено. Подоб­ную информа­цию защища­ет федераль­ный закон «О пер­сональ­ных дан­ных» от 27.07.2006 № 152-ФЗ. Исполь­зование фотог­рафий реаль­ного челове­ка так­же зап­реща­ет ГК РФ (статья 152.1).

То же самое каса­ется и пра­вил исполь­зования раз­личных сер­висов — читай эти пра­вила и не нарушай их.

Готовимся к возможным утечкам заранее

На самом деле к тому, что твои лич­ные дан­ные могут попасть в паб­лик без тво­его ведома, необ­ходимо готовить­ся заранее. При регис­тра­ции на сай­тах ста­рай­ся всег­да ука­зывать раз­ные адре­са элек­трон­ной поч­ты и по воз­можнос­ти исполь­зуй раз­ные номера телефо­нов, нап­ример там, где номер нужен толь­ко для регис­тра­ции, а по фак­ту на него ник­то никог­да не зво­нит. Тут при­годят­ся мно­гочис­ленные сер­висы, пре­дос­тавля­ющие «одно­разо­вые» телефон­ные номера имен­но на слу­чай регис­тра­ции акка­унтов. Одна­ко пом­ни, что ты не смо­жешь вос­ста­новить забытый пароль с помощью одно­разо­вого кода, прис­ланно­го в SMS, если регис­три­ровал этот акка­унт на арен­дован­ный телефон­ный номер.

Имей в виду, что даже если ты при регис­тра­ции на каж­дом сер­висе исполь­зовал раз­ные псев­донимы, зарегал вагон и малень­кую тележ­ку поч­товых ящи­ков, но телефон был всег­да оди­нако­вый, то он и ста­нет тво­им уни­каль­ным иден­тифика­тором, по которо­му тебя могут выс­ледить, а потом объ­еди­нить осталь­ные дан­ные. Та же исто­рия с элек­трон­ной поч­той: час­то быва­ет, что для регис­тра­ции на сай­тах и сер­висах исполь­зует­ся не основной адрес, а спе­циаль­но соз­данный для спа­ма. Это пра­виль­ный под­ход, но пом­ни, что если им зло­упот­реблять и пос­тоян­но исполь­зовать один и тот же адрес, то имен­но он в ито­ге прев­ратит­ся в твой уни­каль­ный иден­тифика­тор.

Лич­ные кабине­ты некото­рых интернет‑магази­нов, сер­висов дос­тавки и подоб­ных служб час­то пред­лага­ют ука­зать дан­ные, которые сов­сем не отно­сят­ся к их про­филю деятель­нос­ти. Нап­ример, мес­сен­джер про­сит ввес­ти дату рож­дения, бан­ков­ские при­ложе­ния тре­буют дать им дос­туп к геоло­кации и адресной кни­ге, какие‑то сер­висы могут пред­ложить ука­зать даже стра­ницы в соци­аль­ных сетях. Ну, положим, при­ложе­ние бан­ка исполь­зует адресную кни­гу для облегче­ния денеж­ных перево­дов тво­им друзь­ям и родс­твен­никам, а геоло­кацию — что­бы показать на кар­те бли­жай­ший бан­комат. Если ты можешь обой­тись без этих фун­кций, луч­ше их на вся­кий слу­чай отклю­чить. В общем, ста­рай­ся не пре­дос­тавлять сер­висам избы­точ­ные дан­ные о себе. Чем мень­ше информа­ции ока­жет­ся в руках мошен­ников в слу­чае утеч­ки, тем луч­ше!

Ес­ли ты не поль­зуешь­ся какими‑то сай­тами — уда­ляй лич­ные кабине­ты на них. Час­то быва­ет, что при совер­шении даже одной покуп­ки авто­мати­чес­ки соз­дает­ся учет­ка на сай­те, где ука­зан адрес дос­тавки, имя получа­теля, телефон и элек­трон­ная поч­та. В ито­ге этот лич­ный кабинет прев­раща­ется еще в одну точ­ку потен­циаль­ной утеч­ки информа­ции о тебе. Такие лич­ные кабине­ты нуж­но уда­лять, если ты боль­ше не пла­ниру­ешь что‑то покупать в этом интернет‑магази­не или поль­зовать­ся услу­гами сай­та. В самом край­нем слу­чае зарегис­три­руешь­ся там еще раз.

Пе­ред уда­лени­ем замени свои дан­ные несущес­тву­ющи­ми, выж­ди некото­рое вре­мя, что­бы база дан­ных син­хро­низи­рова­лась, и толь­ко потом уда­ляй учет­ку. Если фун­кции уда­ления нет, то прос­то поменяй все свои лич­ные дан­ные на вымыш­ленные. Кро­ме все­го про­чего, мож­но написать в адми­нис­тра­цию или служ­бу тех­ничес­кой под­дер­жки с прось­бой уда­лить твой лич­ный кабинет.

info

Да, невоз­можно точ­но узнать, уда­лил ли интернет‑магазин дан­ные о тебе или прос­то пометил их как неак­тивные, про­дол­жая хра­нить их у себя. Но в любом слу­чае луч­ше пос­тарать­ся хоть как‑то обе­зопа­сить себя от воз­можных сли­вов информа­ции, чем не делать вооб­ще ничего.

Обманываем обманщиков

Те­перь погово­рим о том, что делать, если ты не успел как сле­дует под­готовить­ся, твои дан­ные уже утек­ли и находят­ся в руках мошен­ников. Уда­лять лич­ные кабине­ты уже поз­дно (хотя все рав­но сде­лать это необ­ходимо). В подоб­ной печаль­ной ситу­ации нужен иной под­ход — тре­бует­ся прев­ратить твои акту­аль­ные дан­ные в неак­туаль­ные!

Де­ло в том, что подоб­ные взло­мы и утеч­ки информа­ции про­исхо­дят доволь­но час­то. Кому нуж­на база дан­ных какого‑то магази­на кошачь­его кор­ма или служ­бы дос­тавки за 2005 год? Ее ник­то не купит, потому что полови­на хра­нящей­ся в ней информа­ции уже дав­но потеря­ла свою акту­аль­ность.

А вот све­жие утеч­ки всег­да в цене! Пос­ле оче­ред­ной кра­жи базы кли­ентов некото­рые умель­цы из дар­кне­та могут объ­еди­нять дан­ные нес­коль­ких уте­чек из раз­ных сер­висов в одну боль­шую мегаба­зу. Имен­но такие базы исполь­зуют все­воз­можные ОСИНТ‑боты в телег­раме. Эти базы обновля­ются, ког­да про­исхо­дят новые утеч­ки дан­ных.

Вот этот самый факт мы и можем исполь­зовать в сво­их инте­ресах. При­няв кое‑какие меры даже пос­ле того, как твои дан­ные утек­ли в паб­лик, мож­но как минимум зас­памить подоб­ные базы, а имен­но — поменять акту­аль­ные дан­ные в утеч­ках на несущес­тву­ющие.

Мож­но, конеч­но, написать мошен­никам про­ник­новен­ное пись­мо: «Дорогие жулики, замени­те, пожалуй­ста в вашей сли­той базе мои пер­сональ­ные дан­ные липовы­ми», но такой путь тер­нист и неэф­фекти­вен. Вмес­то это­го прос­то меня­ем информа­цию в лич­ных кабине­тах сер­висов, которые допус­тили утеч­ку: ско­рее все­го, через какое‑то вре­мя хакеры захотят опять угнать базу, что­бы обно­вить ее и про­дать по более выгод­ной цене. И в новой утеч­ке твои дан­ные либо будут уже неак­туаль­ны (если хакеры решили не объ­еди­нять ста­рую и новую базы), либо сме­шают­ся с пре­дыду­щими дан­ными, и тог­да будет слож­но понять, какая информа­ция нас­тоящая, а какая — фейк.

Пред­ставь такую ситу­ацию: есть номер телефо­на, по которо­му в одном магази­не делал заказ Username1, в дру­гом — Username2, в треть­ем — Username3. Утеч­ка из так­си показы­вает, что по это­му номеру телефо­на вызыва­ет машины Username4, а служ­ба дос­тавки зна­ет, что у нее совер­шает заказы Username5. Вдо­бавок у них у всех раз­ная, нап­ример, элек­трон­ная поч­та. В таком слу­чае мошен­ники не смо­гут дос­товер­но опре­делить, что вооб­ще про­исхо­дит: может, номер телефо­на уже не акту­ален и опе­ратор переп­родал его дру­гому або­нен­ту? Да и вооб­ще, как, нап­ример, при­менять соци­аль­ную инже­нерию к челове­ку, имя которо­го ты даже тол­ком не зна­ешь? При помощи такого зас­памли­вания мож­но попор­тить нер­вы тем, кто зво­нит тебе, называя твое имя и пыта­ясь ввес­ти в заб­лужде­ние или навязать кре­дит.

Выводы

Сог­лашусь, исполь­зовать для регис­тра­ции целую кучу спе­циаль­но соз­данных акка­унтов доволь­но уто­митель­но. Но кто зна­ет, что луч­ше: отби­вать­ся от мил­лион­ных дол­гов в сот­не мик­рофинан­совых орга­низа­ций или пот­ратить вре­мя на зачис­тку сво­их пер­сональ­ных дан­ных? Каж­дый реша­ет для себя сам. Если сле­довать этим нес­ложным пра­вилам, ты слег­ка испортишь жизнь мошен­никам и смо­жешь обе­зопа­сить себя, ког­да твои пер­сональ­ные дан­ные ока­жут­ся в чужих руках. Но не забывай, что делать это нуж­но, не нарушая законы и пра­ва дру­гих людей!