Рисковый поход: в Сеть утекли данные клиентов «Почты России»
Хакеры выложили в Сеть очередную базу персональных данных россиян — на этот раз «Почты России». Предположительно, в нее попало по меньшей мере 4 млн телефонов и других идентифицирующих клиентов сведений. Массовые утечки перестали быть сенсацией: перед «Почтой России» были обнародовали данные пользователей Wildberries, «Яндекс.Еды» и других популярных площадок. Стоит ли выдумывать себе отдельную личность для интернет-шопинга, можно ли проверить форму оплаты или пора смириться с невозможностью сохранить конфиденциальность при покупках, читайте в материале «Известий».
Что случилось с «Почтой России»
Зачинщики утечек данных образовательного центра GeekBrains, службы доставки Delivery Club, бизнес-школы «Сколково» и других обнародовали информацию об отправлениях «Почты России» 29 июля.
«В выложенном образце ровно 10 млн строк, содержащих номер отслеживания (трек-номер отправления), ФИО или название компании отправителя/получателя, телефон получателя (всего порядка 4 млн номеров россиян. — Ред.), город/индекс отправителя/получателя, вес/статус отправления, дата/время отправления», — сообщил Telegram-канал компании Data Leakage & Breach Intelligence.
«Почта России» подтвердила частичную утечку. По данным оператора, хакеры атаковали подрядчика, из-за чего «фрагмент данных действительно попал в руки взломщиков». Пресс-служба «Почты России» подчеркнула, что атака не навредит клиентам, поскольку банковская информация не попала в открытый доступ.
Роскомнадзор запросил у компании информацию об инциденте, однако 1 июля выяснилось, что у ведомства нет полномочий расследовать утечки персональных данных. Причина — мораторий на проверки бизнеса, который действует до конца года. Из-за этого РКН не вправе даже запрашивать материалы об утечках.
Пока Госдума разбирается с исключением операторов персональных данных из списка «неприкасаемых», пользователям стоит самостоятельно озаботиться безопасностью интернет-шопинга. Утечка данных «Почты России» — отнюдь не первая, ранее в Сети были обнародованы сведения клиентов СДЭК, Wildberries и многих других сервисов.
Самой крупной остается утечка данных клиентов «Яндекс.Еды». При этом эти сведения были перенесены на интерактивную карту, которая со временем пополнилась сведениях о клиентах других сервисов и организаций.
Данные в обмен на шопинг
— Любой интернет-магазин, безусловно, заинтересован в том, чтобы получить как можно больше реальных данных о своих клиентах. Это помогает ему делать правильные предложения для человека, предугадывать его потребительское поведение и, соответственно, увеличивать продажи, — отмечает Константин Степанов, исполнительной директор российской IT-компании HFLabs, которая работает с массивными клиентскими базами данных.
Самые ценные данные для продавцов — контактные, добавляет собеседник «Известий». С практической точки зрения невозможно обойтись без указания реального адреса — в случае доставки товара той же «Почтой России» или иной курьерской службой. Без него не получится рассчитать и стоимость этой доставки.
«Покупатель предоставляет свои регистрационные данные (в том числе персональные), включая, но не ограничиваясь: ФИО, номер телефона, адрес электронной почты, адрес места нахождения, пол, дату рождения, сведения о параметрах фигуры (размере одежды), реквизиты электронных средств платежа (номер, срок действия, код CVV/CVC) и т.д.», — говорится в правилах Wildberries.
При регистрации покупатель автоматически соглашается, что предоставил информацию о себе добровольно и на неограниченный срок. Пока клиент не отозвал его (а для этого нужно написать специальное заявление), любая подобная площадка вправе хранить эти данные, использовать их для рекламы и передавать их лицам, перечень которых указывается в пользовательских соглашениях.
Путь инкогнито
А вот обязан ли покупатель указать настоящие данные о себе — в частности, имя, — правила не оговаривают. Использование псевдонима — один из способов сберечь персональную информацию, утверждают советчики в Сети.
— Как правило, большинство маркетплейсов не требуют верификации ФИО. Вместе с тем при оформлении заказов указывается банковская карта, содержащая ФИО владельца, — отмечает член адвокатской палаты Московской области Денис Фролов.
По словам руководителя отдела продвижения продуктов компании «Код безопасности» Павла Коростелева, использование никнейма имеет смысл только в том случае, если вам хочется отследить, из какого именно источника произошла утечка данных. «Предотвратить кражу личной информации такой способ не поможет», — подчеркивает он.
Кроме того, это противоречит законодательству. Оно разрешает пользоваться вымышленными именами журналистам, авторам художественных произведений, абонентам операторов связи, а также судам и силовым ведомства — для сокрытия личности участников дела и в рамках уголовного процесса, объясняет член ассоциации юристов России Мария Спиридонова.
— Если говорить о правоотношениях, возникающих при заключении сделок и договоров, использование псевдонима недопустимо, — говорит собеседница «Известий».
В таком случае люди используют «идентифицирующие личность данные», без которых, в частности, при неудачном раскладе невозможно отстоять свои права в суде.
Остановка перед оплатой
Еще один способ снизить риски — завести под покупки отдельный электронный ящик. Это удобно, так как нет необходимости везде «светить» свой основной email, к которому могут быть привязаны, например, аккаунты в социальных сетях или на «Госуслугах», замечает Константин Степанов. Apple же, например, и вовсе предоставляет сервис для сокрытия почтового ящика.
— Некоторые люди даже заводят специальные телефонные номера для покупок — вполне вероятно, что через некоторое время мы увидим всплеск интереса к временным мобильным номерам, — добавляет эксперт.
У такого подхода, однако, есть обратная сторона. Выдуманные email и иные данные мешают интернет-магазину бороться с недобросовестными покупателями. Продавцы, в частности, теряют деньги на клиентах, которые постоянно делают большие заказы и не выкупают их, объясняет Константин Степанов. Другим пользователям они тоже могут доставлять хлопот: пока любитель оптовых заказов сметает ассортимент маркетплейса, полюбившийся вам товар пропадает из наличия, а на склад потом возвращается нередко порченным.
Самая чувствительная информация, которую приходится передавать при интернет-покупках, — платежная. Эксперты сходятся во мнении, что для шопинга имеет смысл обзавестись отдельной банковской картой.
Вместе с тем Павел Коростелев из «Кода безопасности» подчеркивает: да, желательно использовать и отдельные карты, и электронные ящики, и номера телефонов. Но есть нюанс: «Надо понимать — это реактивные меры, которые защищают не от утечки, а от ее последствий».
В случае с непроверенными интернет-магазинами стоит сразу обратить внимание на форму оплаты. Коммерческий директор компании «БСС-Безопасность» Валерий Степанов объясняет, что для каждой покупки она должна генерироваться индивидуально.
— Данные пользователей должны быть надежно защищены от злоумышленников и передаваться в банк-эквайер в зашифрованном виде с помощью криптографического протокола TLS (Transport Layer Security), — объясняет собеседник «Известий».
Кроме того, безопасность оплаты должна подтверждаться сертификатом безопасности PCI DSS (Payment Card Industry Data Security Standard). «Важным звеном в процессе является и технология 3D Secure, которая предусматривает подтверждение операции с помощью кода из SMS, который отправляется на привязанный к карте покупателя номер», — добавляет Валерий Степанов.
Никакой надежности
14 июля президент РФ Владимир Путин подписал закон, который призван усилить защиту персональных данных россиян. Теперь их операторы обязаны без промедлений уведомлять ответственные органы власти об утечках. Весной были утверждены поправки, которые запрещают продавцам запрашивать у клиентов избыточные сведения. Для нарушителей планируется ввести штрафы в размере от 5 тыс. до 50 тыс. рублей.
Как правило, необходимый минимум для анкеты покупателя — это имя, фамилия, платежная информация, контактные данные и адрес (в случае доставки товара).
В редких случаях магазины могут требовать дополнительные сведения — например, при покупке ювелирных украшений дороже 40 тыс. рублей.
— Мы рекомендуем в формах для клиентов на сайтах не делать обязательных для заполнения полей. Если человек не хочет оставлять информацию о себе, лучше дать ему такую возможность. В противном случае он заполнит обязательные поля вымышленными данными, — рассказывает Константин Степанов из HFLabs. — Лучше знать о клиентах меньше, но пусть эта информация будет актуальной и правдивой.
Чем больше анкета, тем выше вероятность, что магазин получит «мусорные» данные, с которыми сложно разобраться. Клиентам от этого тоже мало прока, а соблазн использовать псевдоним и выдуманные сведения о себе грозят проблемами. Человек попросту рискует остаться без товара, если не сможет идентифицировать свою личность перед продавцом или службой доставки. В первую очередь это касается «Почты России», объясняет юрист Мария Спиридонова.
Самостоятельно обезопасить свои персональные данные можно только одним способом — нигде их не оставлять либо очень внимательно выбирать сервисы, говорит руководитель отдела продвижения продуктов компании «Код Безопасности» Павел Коростелев.
— Но практика показывает, что действительно надежных мест не так много — в силу разных причин, — заключает собеседник «Известий». — А учитывая, что онлайн-торговля очень удобна, надо отдавать себе отчет: риск утечки существует всегда и, по большому счету, сделать с этим ничего нельзя.
