Дайджест крупнейших утечек персональных данных ко дню защиты ПДн

Утечки персональных данных — серьезный инцидент в цифровом мире. При утечке персональных данных люди подвергаются риску мошенничества и другим неприятным последствиям. Поэтому каждая единица ПДн требует защиты со стороны операторов данных и внимательного отношения со стороны самих субъектов. Ко дню защиты персональных данных экспертно-аналитический центр ГК InfoWatch (ЭАЦ) составил дайджест утечек персональных данных.

По данным ЭАЦ, более 70% всех утечек конфиденциальной информации в мире содержат персональные данные. Компрометации подвержены имена и фамилии, паспортные сведения, контактная информация, адреса и другая личная информация о людях, которая при определенных условиях может использоваться для мошеннических действий, причиняя финансовые потери и моральные страдания.

В декабре 2024 г. хакерской атаке подверглась Национальная комиссия по рынкам и конкуренции Испании (CNMC). Утекло более 2 млрд записей персональных данных владельцев телефонных линий. В настоящее в стране порядка 60 млн активных пользователей мобильной связи, поэтому другие записи, предположительно, соответствуют бывшим абонентам. Всего злоумышленники украли данные объемом порядка 240 ГБ. Поскольку киберпреступники атаковали государственный орган, атака квалифицируется как угроза национальной безопасности.

Летом 2024 г. хакеры завладели 1,4 млрд учетных записей пользователей сервисов китайского конгломерата Tencent, который объединяет социальные сети, игровые платформы и финтех-проекты. В частности, затронуты данные пользователей платформы QQ для обмена сообщениями и мессенджера WeChat. Известно, что скомпрометированная информация включает адреса электронной почты, номера телефонов, имена пользователей, пароли (вероятно, в хэшированном виде) и другие персональные данные (могла утечь история транзакций, данные о местоположении, а также ID). Известно, что украденные данные распространялись на форумах в дарквебе и различных хакерских площадках. Таким образом, для 1,4 млрд пользователей возникли риски кражи других данных, фишинговых атак и вторжений в личную жизнь. Кроме того, злоумышленники могли взламывать учетные записи в случае успешной расшифровки паролей.

В мае 2024 г. группа исследователей из проекта Cybernews обнаружила, что в Сети распространяются более 1,2 млрд записей персональных данных китайских пользователей. Неизвестный хакер владел архивом, включающим номера телефонов, адреса и номера удостоверений личности. Выяснилось, что большая часть распространяемых данных была скомпилирована из ранее зарегистрированных утечек, но в архиве также были новые и неведомые исследователям записи.

Исследователи из компании CloudSec обнаружили в дарквебе объявление о продаже информации 750 млн мобильных абонентов из Индии. Этот пакет данных продавали сразу две группировки хакеров, причем его полная стоимость составляла всего 3000 долларов. За эти деньги покупатель получал базу данных объемом 1,8 ТБ, включающую имена абонентов, телефонные номера, адреса. Особую тревогу вызывает тот факт, что в базе были сведения из индийской биометрической системы идентификации Aaadhaar. Злоумышленники утверждают, что получили огромный пакет данных не в результате взлома системы, а по каналам в правоохранительных органах. Расследование CloudSec показало, что в руки хакеров попали данные абонентов всех основных операторов связи Индии.

На одном из подпольных форумов весной 2024 г. хакеры разместили пост о продаже персональных данных 630 млн человек (8% мирового населения). В образцах представленных данных были имена и фамилии пользователей, национальные ID, домашние адреса, номера мобильных телефонов, пол, а также номера банковских карт. Злоумышленники, стоящие за этим лотом, утверждают, что номера карт есть в 30% записей. По данным Cybernews, анализ выборки показал, что большинство пользователей, чьи данные оказались скомпрометированы, владеют картами китайской платежной системы UnionPay.

Эксперты предупреждают, что утечка даже небольших деталей персональных данных может представлять серьезную опасность. Злоумышленники используют вновь утекшую информацию для пополнения своих баз, обогащения цифровых профилей о тех или иных пользователях. Чем более подробный набор данных есть у преступников, тем проще им совершать целенаправленные мошеннические действия: о кражи персональных данных и фишинговых атак до оформления льгот на чужое имя, совершения несанкционированных покупок и получения кредитов.

Традиционно с 2007 года 28 января отмечается Международный день защиты персональных данных, учрежденный в годовщину принятия в 1981 году европейской конвенции «О защите лиц при автоматизированной обработке данных». Эта дата служит напоминанием пользователям о соблюдении правил поведения в Сети, которые призваны обезопасить их жизнь.