Взлом персональных данных

Содержание

Чем опасна кража личных данных в сети и как от нее защититься

Взлом персональных данных

Если хакерам нужно получить секретную информацию о человеке или опустошить его кошелек, самое простое — «взломать» его личность. Вскрывать базы данных банка или социальной сети — муторная и дорогостоящая операция, которая не гарантирует успех.

Выбрав жертву, преступники собирают персональную информацию: номера документов, банковских карт и телефонов, имена родственников и домашних животных, место работы, планы на ближайшее будущее и многое другое. С этими данными можно оформить поддельные документы, украсть деньги, устроить шантаж, получить доступ к вашему аккаунту в соцсетях.

Как обычно крадут

Есть два способа собрать «пакет» личных данных и составить подробный портрет жертвы.

Первый — анализ цифрового следа, который мы все оставляем в сети. Это ФИО, email-адреса, никнеймы, фотографии, посты и комментарии в соцсетях, номера телефонов, домашний адрес, геолокации.

Второй — социальная инженерия, или фишинг, когда из жертвы обманом вытягивают важную информацию. В последнем случае злоумышленники обычно рассылают пользователям поддельные письма от банка, онлайн-магазинов и даже соцсетей или мессенджеров.

Отправитель просит прислать ему личную информацию (например, логин и пароль, данные банковской карты) для идентификации пользователя. Чаще всего, мошенники просят сделать это как можно скорее, иначе закончится акция или вашему аккаунту грозит удаление.

Что интересует преступников

Деньги, конечно. Попытки получить доступ к финансовым сервисам жертвы, пожалуй, самая распространенная махинация в сети. Опубликованные данные паспортов или водительских прав позволят совершить аферу от вашего имени или получить кредит.

Номер телефона чаще всего интересует телефонных спамеров. В редких случаях злоумышленники делают копию SIM-карты, после чего им становятся доступны операции с банковской картой жертвы и обман близких.

Фотографии крадут в основном компрометирующие, чтобы потом требовать за них выкуп или продать соответствующим ресурсам.

Все ловушки киберпреступников, о которых вы не знали

Как соцсети помогают мошенникам

Из постов с подробными рассказами о собственной жизни опытный интернет-мошенник может вытянуть много ценной информации: от кличек домашнего питомца до вашей девичьей фамилии. Затем можно подобрать ответ на контрольный вопрос и получить доступ к аккаунту.

Получив общедоступную информацию, как имя и год рождения, мошенники могут найти ваш домашний адрес. Как выяснило британское издание The Telegraph, преступники проверяют данные в доступных базах, находят недостающие фрагменты и начинают готовить поддельные документы.

Украсть ценную информацию можно и через сайты знакомств.

Зарегистрированным пользователям даже необязательно создавать пару и включаться в беседу. Любой мошенник может узнать больше о жертве или даже найти ее в реальной жизни с помощью анкеты. Это еще один повод не указывать у себя на странице ссылки на соцсети, номер телефона, email, место работы и другие слишком личные данные.

Ну и, конечно, не стоит делиться финансовой информацией или одалживать деньги незнакомцам. Это верный признак того, что вас рассматривают как потенциальный объект развода.

Кроме того, не забывайте, что сайты знакомств могут взломать, как это произошло с сервисом измен Ashley Madison в 2015 году. В итоге распалось немало семей.

Другая опасность в распространении тестов, которые анализируют ваш профиль и составляют психологический портрет: насколько вы запрограммированы на счастье, какое будущее вас ждет, как к вам относятся ваши друзья.

Платформа, которая размещает такой тест, непременно запросит доступ к вашему аккаунту в соцсети. Если дать прав больше, чем это необходимо, можно подарить злоумышленникам всю личную информацию.

Например, доступ к фотографиям из всех чатов и секретных альбомов.

Как защититься

Удалить страницы или закрыть полностью доступ к вашим профилям — не выход. Лучше поройтесь в настройках приватности. Так вы снизите вероятность общения с подозрительными незнакомцами и будете делиться новостями только с друзьями.

Публикуйте информацию обдуманно: не выкладывайте фото документов, авиабилетов, объявлений с указанием ваших банковских реквизитов, домашних или рабочих адресов.

Внимательно читайте, какие права доступа запрашивают приложения, удалите ненужные сервисы, добавляйте в друзья тех, кого знаете лично. Отключайте геолокацию там, где в ней нет необходимости или используйте ее только во время работы с определенными приложениями. По возможности избегайте использования геотегов в сообщениях.

Если вы активно пользуетесь сервисами знакомств, всегда обращайте внимание на речь собеседника, его манеру и интересы. Не переходите по странным ссылкам и не отправляйте личных фотографий незнакомцам.

Мессенджеры не умеют хранить секреты

Мессенджеры являются удобным инструментом для обмена рабочими документами, личными фотографиями и другой ценной информацией. Но нельзя забывать, что на серверах мессенджеров хранится вся история ваших чатов, иногда за несколько лет.

Эти залежи личных данных могут оказаться не в тех руках, если вы оставляете телефон без присмотра. Войти в мессенджер с другого устройства можно, прочитав всего одно SMS с кодом.

Соискатели могут стать жертвой кибермошенничества

Ежегодно хакеры пытаются обмануть десятки тысяч человек с помощью мошеннических схем, построенных вокруг приема на работу. Потенциальных соискателей заманивают привлекательными условиями работы, предлагая заполнить формы заявления, пройти тестирование для оценки навыков.

Таким образом мошенники могут перехватить персональную информацию жертвы или получить через нее доступ к сетям компаний, в которых они работают.

Например, если вам приходит на почту предложение о работе, а вы ее даже не ищете.

Ошибки при использовании онлайн-сервисов и незащищенных сайтов

Часто по никнейму в игровых и других сервисах можно определить фамилию и год рождения пользователя: например, mishaivanov91. Далее по нику можно вычислить человека и собрать о нем немало информации: связанные аккаунты, адрес электронной почты, фотографии и другие детали.

Это бот, собирающий базу телефонов потенциальных жертв массового обзвона.

Веб-камеры могут быть уязвимы

Возможность доступа к вашим веб-камерам кажется многим особенно пугающей. И для кражи видеоархивов совсем необязательно рассылать вредоносные программы или взламывать пользователей.

Удаленное подключение к устройствам легко осуществить с помощью программ TeamViewer и Radmin. Если на таком ПО не поменять пароль, который задается автоматически, то подобрать его будет относительно несложно.

С помощью общедоступных приложений хакеры могут также находить компьютеры с открытыми приложениями удаленного доступа и осуществлять атаку на пароли. Особенно опасно ставить пиратские версии таких программ. Они могут быть заражены вредоносным ПО изначально, и видеотрансляция с вашего компьютера начнется сразу после установки.

А незащищенные паролем и подключенные к интернету веб-камеры даже и взламывать не нужно — список открытых устройств можно спокойно найти в сети.

Давайте покороче:

  1. Удалите лишние аккаунты в соцсетях, заблокируйте почтовые ящики, которые не используете.
  2. Не указывайте личную информацию там, где этого можно избежать.
  3. Избегайте разглашения любой финансовой информации. Не публикуйте фото своих банковских карт, не вводите платежные данные на сомнительных сайтах.

    Также не стоит сохранять данные для входа в онлайн-банк в памяти браузеров.

  4. Не выкладывайте в общедоступные чаты фото документов, авиабилетов и договоров.
  5. Избегайте заманчивых предложений о скидках или установке полезных приложений: часто это обман.

  6. Используйте двухфакторную аутентификацию для соцсетей и электронной почты. Также регулярно меняйте пароли ваших аккаунтов.
  7. Если сменили номер телефона: не забудьте удалить привязку к банковским и другим онлайн-сервисам.

    В противном случае, номер будет продан заново и, оказавшись в руках злоумышленника, поможет украсть деньги с банковской карты.

  8. Используйте шифрование для папок с важной информацией на облачных сервисах.
  9. Храните персональные данные на домашнем компьютере в папках с паролем.

    Любой внешний носитель с фотографиями или важными документами должен также находиться в защищенном месте.

  10. При трудоустройстве на новую работу — не стесняйтесь уточнять, как будет храниться ваша персональная информация и кто к ней имеет доступ.

Интересное на тему безопасности:

Что опасного в приложениях для знакомств и как защитить себя

Источник: https://hi-tech.mail.ru/review/chem-opasna-krazha-lichnyh-dannyh-v-seti-i-kak-ot-nee-zashchititsya/

Ответственность за нарушение закона о персональных данных

Взлом персональных данных

Екатерина Добрикова

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. “Виды ответственности за нарушение закона о персональных данных”

Вид ответственностиНарушениеСанкцияНорма
АдминистративнаяНеправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информацииАдминистративный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.Статья 5.39 КоАП РФ
Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данныхПредупреждение или административный штраф:

  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.
Часть 1 ст. 13.11 КоАП РФ
Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласиеАдминистративный штраф:

  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.
Часть 2 ст. 13.11 КоАП РФ
Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данныхПредупреждение или административный штраф:

  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.
Часть 3 ст. 13.11 КоАП РФ
Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данныхПредупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
  • на юридических лиц – от 20 тыс. до 40 тыс. руб.
Часть 4 ст. 13.11 КоАП РФ
Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.
Часть 5 ст. 13.11 КоАП РФ
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении нихАдминистративный штраф:

  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.
Часть 6 ст. 13.11 КоАП РФ
Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методовПредупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.Часть 7 ст. 13.11 КоАП РФ
Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном видеАдминистративный штраф:

  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.
Статья 19.7 КоАП РФ
УголовнаяНезаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИШтраф до 200 тыс. руб., либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до одного года, либо принудительные работы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет или без такового), либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет)Статья 137 Уголовного кодекса
То же деяние, совершенное с использованием служебного положенияШтраф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет)
Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданийШтраф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительные работы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет)
Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам гражданШтраф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти летСтатья 140 УК РФ
Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копированиеШтраф до 200 тыс. руб., либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительные работы на срок до двух лет, либо лишение свободы на тот же срокСтатья 272 УК РФ
Гражданско-правоваяПричинение лицу убытков в результате нарушения правил обработки его персональных данных.Под убытками при этом понимаются:

  • расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
  • утрата или повреждение его имущества;
  • неполученные доходы, которые лицо получило бы, не будь его право нарушено.
Возмещение убытковСтатья 15 Гражданского кодекса
Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данныхКомпенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)Статья 24 закона о персональных данных, ст. 151 ГК РФ
ДисциплинарнаяРазглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностейУвольнениеПодпункт “в” п. 6 ч. 1 ст. 81 Трудового кодекса
Иные нарушения в области персональных данных при их обработкеЗамечание или выговорСтатья 90, ст. 192 ТК РФ

Источник: https://www.garant.ru/actual/persona/otvetstvennost/

Персональные данные: строго «не» конфиденциально

Взлом персональных данных

Персональные данные: строго «не»

конфиден­циально

Как защитить личную информацию

Кто в группе риска?

Все, кто имеет счёт в банке, обслуживается в районной поликлинике, ездит в командировки, останавливается в гостиницах, делает покупки в интернет-магазинах и обращается в социальные службы – могут оказаться среди тех, чьи личные данные уйдут «на сторону».

Получая ту или иную услугу, мы вынуждены предоставлять взамен информацию о себе: место жительства, наличие имущества, данные паспорта и пенсионного свидетельства, номер телефона и адрес электронной почты.

А что с нашими персональными данными происходит потом? Защищены ли они от посторонних глаз, как того требует закон? Как мошенники могут использовать конфиденциальную информацию посторонних людей в своих преступных целях? И можем ли мы сами обезопасить себя от посягательств на личную информацию?

Давайте разбираться.

Как происходит утечка персональных данных?

Рассмотрим типичную ситуацию.

Человек обратился в турагентство за путевкой. Сотрудник, заполняя необходимые формуляры, автоматически вносит его в базу данных клиентов. Формальности соблюдены. Однако отпускник не знает, что, возможно:

База персональных данных клиентов этого турагентства не защищена. Доступ к ней имеют все (добросовестные и не очень) работники сети турагентства.

Список клиентов с именами и контактами висит в облаке на Google-диске для удобства персонала, разбросанного по нескольким городам, а то и регионам страны.

В компании нет службы безопасности.

Базу с паспортными данными клиентов могут взломать и продать на чёрном рынке.

Клиентская база может попасть к продавцам или страховщикам, которые начнут надоедать звонками и навязывать свои услуги.

Кто бы ни был мошенник – хакер или работник – украсть и «слить» информацию ему никто не помешает

К сожалению, возможных сценариев утечки персональных данных – масса. Причинами могут стать технический сбой, компьютерная неграмотность, простая небрежность персонала и, в конце концов, корыстные цели сотрудников.

Чем грозит утечка ваших персональных данных?

Завладев паспортными или другими персональными данными, мошенники могут:

• оформить кредит в банке;

• «повесить» долги или фирму;

• совершить незаконные действия с вашей недвижимостью;

• распорядиться средствами с банковских карт;

• открыть электронный кошелек;

• зарегистрироваться на сайтах знакомств, онлайн-игр и казино;

• шантажировать вас или ваших родственников;

• использовать вашу личность как «подменную» для мошеннических действий;

• использовать ваши данные в собственных интересах, например, навязывать услуги.

Конечно, в некоторых случаях мошенникам нужны пособники, например, нечистые на руку сотрудники компаний или учреждений. Хотя навредить может даже рассекреченный номер телефона и не самая закрытая информация, например, место работы.

Этого достаточно, чтобы интернет-магазин включил вас в спам-рассылку или мошенник выудил данные, используя социальную инженерию.

Кстати, по той же причине не стоит раскрывать слишком много информации о себе в социальных сетях: это зацепки, которые преступники смогут использовать против вас.

Как защитить свои персональные данные?

Пострадать от незаконного использования персональных данных может абсолютно любой социально-активный гражданин. Однако знание некоторых законов и правил поможет уберечь личную информацию от посягательств мошенников.

Алексей Парфентьев, ведущий аналитик
компании-разработчика средств информационной безопасности «СёрчИнформ»

Помните, что паспорт не может быть предметом залога. Если администратор фитнес-центра или пункта проката коньков требует у вас этот документ, знайте, что это незаконно. Не передавайте свой паспорт и охранникам на входе в офисные и другие здания. Требовать этот документ и брать его в руки может только сотрудник полиции.

Предоставляйте свои паспортные данные только подписав бумагу об обработке персональных данных. Отдельно должно быть прописано, что оператор обязуется не использовать данные в других целях.

Если подобная «Политика защиты и обработки персональных данных» в компании есть и данные переданы на её основе, то в будущем, при выявлении мошеннических действий с вашими данными, оператора можно привлечь к ответственности.

Аналогично – в интернете. Знайте, что вписывая свой адрес и телефон при оформлении покупки в онлайн-магазине, вы передаете свои персональные данные. Лучше, если магазин понимает свою ответственность и гарантирует вам их защиту. Здесь вы даете согласие на обработку данных одним кликом.

По возможности используйте ксерокопию или сканкопию своих документов с watermark «для поликлиники/для салона связи/для автосервиса/для гостиницы». Пусть надпись размещается по ширине документа. Можно также скрыть подпись и номер печати.

Не передавайте свои данные по телефону, если не уверены, что на другом конце провода действительно сотрудник банка, страховой компании и т.д. Предложите встретиться в офисе и решить вопрос очно.

Не выкладывайте фото автомобильных номеров, авиабилетов, банковских карт, паспортов и других документов в социальные сети*. Информация, собранная по крупице, в конце концов, может стать хорошим досье, с помощью которого мошенник обведет вас вокруг пальца»

*Если вы похвастались фотографией золотой кредитки в фейсбук, а мошенники использовали эти данные против вас, воспользоваться законом №152 «О персональных данных» будет сложнее. Использование такой информации без вашего разрешения – в любом случае мошенничество, но тот факт, что вы сами обнародовали данные будет играть против вас.

Знаете ли вы основные правила информационной безопасности?
Проверьте это с помощью нашего теста.

Что делать, если вы обнаружили свои персональные данные в интернете?

Прежде всего свяжитесь с администрацией ресурса, где опубликована информация, или владельцем аккаунта, если речь о социальных сетях.

Подкрепите требования ссылками на нормы закона № 152 «О персональных данных», который запрещает использовать информацию без разрешения субъекта данных.

Предупредите, что в случае отказа вы вправе обратиться в суд согласно статье 24 закона (ответственность за нарушение требований ФЗ № 152).

Чтобы удалить личные данные из результатов поиска, обратитесь в техническую поддержку поискового сервиса. Например, у «Яндекса» есть специальная форма «Сообщить о нарушении».

Однако компания предупреждает: поисковая машина индексирует страницы, которые принадлежат третьим лицам, и не отвечает за их содержание.

«Яндекс» может помочь пользователю, но только в том случае, если данные удалили, а они по-прежнему видны в поисковой выдаче.

Когда невозможно установить источник распространения персональных данных или связаться с ним напрямую, обратитесь в надзорные органы: прокурату или Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Случаи утечек информации в разных странах мира

Скандальный сайт «Миротворец», который курирует член коллегии МВД Антон Геращенко, обнародовал персональные данные аккредитованных в ДНР журналистов и обвинил их в «сотрудничестве с боевиками».

В сети были опубликованы имена и фамилии около 5 тысяч журналистов, их адреса, номера телефонов, должностей с указанием места работы.

Помимо украинских СМИ, в список попали корреспонденты всемирно известных изданий BBC, Independent, Bloomberg, CNN, Reuters.

В Санкт-Петербурге чиновники городской администрации опубликовали в открытом доступе персональные данные граждан, участвующих в долевом строительстве жилья. Информацию о 1627 включенных в реестр обманутых дольщиках на официальном сайте правительства обнаружил интернет-пользователь, который ранее сообщил об аналогичной утечке персональных данных на сайте министерства ЖКХ Московской области.

Бюро кредитных историй Equifax в США заявило о взломе персональных данных 143 миллионов американцев.

Злоумышленники использовали уязвимость в системе безопасности приложения на веб-сайте компании и получили доступ к номерам социального страхования, датам рождения, адресам и в ряде случаев к номерам водительских удостоверений.

Кроме того, преступники получили доступ к данным кредитных карт 209 тысяч человек и к документам с персональными данными еще 182 тысяч человек. Среди них оказались жители Канады и Великобритании.

Жертвами утечки персональных данных оказались 48,2 тысячи сотрудников госучреждений, коммунальных служб и банков.

Незащищенный массив с конфиденциальной информацией включал полные имена, данные удостоверений личности, номера телефонов, адреса электронной почты, пароли, реквизиты банковских карт, сведения о доходах и расходах сотрудников.

Среди пострадавших организаций – компании Insurer AMP и Utility UGL, банк Rabobank, австралийское Министерство финансов, Австралийская избирательная комиссия.

Алексей Парфентьев, ведущий аналитик
компании-разработчика средств информационной безопасности «СёрчИнформ»

Некоторые организации требуют предоставления паспортных данных, поскольку в противном случае не смогут оказать вам услугу, например, банки – при оформлении займа или авиаоператоры – при покупке билета.

Закон позволяет это при условии, что вы согласны передать свои данные, а организация обязуется соблюсти принципы и условия обработки персональной информации. Причем соглашаться вы должны не на словах.

Компания в соответствии с собственной «Политикой обработки персональных данных» должна объяснить вам, какие именно персональные данные необходимы и зачем, где и как долго они будут храниться. Отдельно должно быть прописано, что оператор обязуется не использовать полученную информацию в других целях.

Если вы согласны – подписывайте официальную бумагу, передавайте информацию о себе и будьте уверены, что сможете привлечь компанию к ответственности в случае, если она не выполнит свои обязанности и не защитит данные. Если не согласны – воспользуйтесь услугами другой компании, которая персональных данных не требует.

Впрочем, иногда требование компании предоставить личные данные может нарушать ваши права. Например, «Почта России» отказывается выдавать заказное письмо, пока не получит ваши паспортные данные на извещении, хотя Минкомсвязи этого не требует. Если такое произошло, следует обращаться с жалобой в Роскомнадзор. Это ведомство вправе возбуждать дела по Статье 13.

11 КоАП РФ Нарушение законодательства Российской Федерации в области персональных данных с 01.07.2017.

Государство всерьез озабочено проблемой защиты персональных данных: Роспотребнадзор планирует наказывать рублем тех, кто необоснованно требует личную информацию и угрожает отказать в сделке/услуге, если клиент откажется ее передавать.

Необоснованно – это когда номер вашего паспорта требуют в театральной кассе, а номер водительского удостоверения – в поликлинике: зачем они им? Пока что разбираться, где компании перегибают палку, приходится самостоятельно, но Роспотребнадзор пообещал разработать перечень несправедливых условий, нарушающих права потребителей.

Проект подготовлен при участии ООО «СёрчИнформ»

Источник: https://ria.ru/20171205/1508949158.html

Кража персональных данных статья 152 ук РФ

Взлом персональных данных

В последнее время СМИ практически каждый день сообщают о краже личных данных граждан, они стали популярным товаром на черном рынке информации в даркнете.

Снижается сложность использования технических и программных средств, применяемых для хищения информации.

Они становятся доступными даже школьнику, вредоносные программы свободно размещены в Интернете, а готовые скрипты позволяют начинающему хакеру создать программу, способную украсть не очень хорошо защищенную информацию. 

Кто рискует утратить данные

Персональные данные граждан утекают из двух источников – информационных систем организаций и личных устройств граждан, мобильных или стационарных. Если на организации и используемые ими средства защиты может повлиять регулятор – Роскомнадзор, ФСТЭК, Центробанк, то граждане беспечны и часто добровольно передают информацию мошенникам.

В 2020 году уже сообщалось, что наиболее популярным способом похищения персональных данных стала установка программных ловушек при заходе на сайт-обманку с мобильного устройства. В этом случае похищаются сведения о номере телефона и паспортные данные, которые вводились при приобретении мобильного устройства.

Также часто в телефоны внедряется вредоносное программное обеспечение. 

Четыре самых распространенных способа похищения персональных данных:

1. Социальная инженерия. В большинстве случаев граждане сами сообщают номера кредитных карт, логины и пароли неизвестным, представляющимся сотрудниками безопасности банков, или переходят по ссылкам, в фишинговых письмах.

2. Интернет-магазины и агрегаторы заявок на мини-кредитование, специально создаваемые для сбора информации. Такие сайты собирают данные при помощи вредоносного кода или просто агрегируют их в большом объеме для дальнейшей перепродажи.

3. Сайты объявлений. Они не всегда защищены и безопасны, в итоге при оплате за продвижение объявления можно «засветить» данные банковской карты.

4. Интернет-ресурсы содержащие вредоносный код.

Базы, содержащие ПД, попадают в даркнет из-за намеренного хищения информации у операторов, банков или провайдеров мобильной связи.  

Интересно, что граждане, напуганные информацией из СМИ, часто отказываются взаимодействовать даже с добросовестными операторами, например, записываться на прием в поликлинику по Интернету. 

Статистика утечек 

По данным аналитиков в 2019 году было скомпрометировано 1,04 млрд пользовательских записей, что в 27 раз больше, чем годом ранее.

Наиболее часто индивидуальные данные граждан похищают из личных кабинетов банков и интернет-магазинов, особенно подвержены рискам утечек данных небольшие банки, использующие серые схемы платежей и не считающие необходимым полностью применять рекомендации регуляторов.

Центробанк в 2019 году опубликовал доклад, в котором рассмотрел наиболее популярные способы хищения индивидуальной информации. Специалисты регулятора отметили, что до 97 % преступлений происходят при помощи использования методов социальной инженерии.

Уголовно-правовое и административное регулирование

Кража персональных данных наказывается в рамках административного и уголовного права. Самостоятельной нормы УК РФ, предусматривающей ответственность именно за похищение ПД, не предусмотрено. 

Суд, в зависимости от сути преступления, применяет один из двух составов:

  • ст. 137 УК РФ «Нарушение неприкосновенности частной жизни»;
  • ст. 272 УК РФ «Неправомерный доступ к компьютерной информации».

Наказания по обеим нормам невелики – от штрафа в несколько тысяч рублей до ограничения права занимать определенные должности.

В самых серьезных случаях, при наличии существенного ущерба, использовании служебного положения или публичном распространении информации о несовершеннолетних они не превышают 5 лет лишения свободы.

Но эти нормы УК РФ широко применяются при расследовании преступлений, связанных с нарушением мер защиты индивидуальных данных, предусмотренных законом «О персональных данных» № 152-ФЗ.

Способы кражи данных с использованием социальной инженерии

Популярная сегодня социальная инженерия, вынуждающая граждан добровольно передавать данные граждан мошенникам, не преследуется уголовным законодательством. Под этим термином понимается совокупность навыков манипулирования человеком. Крайне редко социнженерию можно квалифицировать как мошенничество или обман и злоупотребление доверием с целью завладения чужим имуществом.

Для квалификации похищения персональных данных по ч. 3 ст.

158 УК РФ необходимо установить факт кражи денег с банковских счетов, сопровождающийся высокотехнологическими хакерскими атаками или использованием средств манипуляции личностью либо средствами социальной инженерии.

В судебной практике встречается упоминание методов социальной инженерии, при помощи которых создавался сайт, схожий по дизайну с интернет-магазином обуви.

По сути, мошенники завлекают посетителей на фишинговый сайт, чтобы внедрить в их компьютеры вредоносный код, созданный с целью хищения и дальнейшей продажи персональных данных.

В случае многократной повторяемости такого преступления и причинения существенного вреда интересам граждан есть вероятность, что дело будет доведено до суда и приговора.

Высокая квалификация сотрудников правоохранительных органов помогает проводить анализ информационной системы злоумышленника, устанавливать факт внедрения вредоносного кода и его использования с целью хищения данных.

Как избежать похищения персональных данных

Для защиты от похищения информации пользователи должны соблюдать простые правила безопасности, которые помогут избежать дальнейшего хищения не только конфиденциальной информации, но и из электронного кошелька или с банковской карты: 

  • никогда не сообщать данные своей учетной записи или банковской карты по телефону, кем бы ни представился человек на другом конце линии;
  • никогда не предоставлять персональные данные организациям и гражданам, лично или по Интернету, без оформления письменного согласия;
  • совершать платежи через Интернет, с помощью отдельной банковской карты с минимальной суммой на счету;
  • контролировать использование и распространение своих ПД и персональных данных детей, например, исключать случаи публикации сведений о детях в открытом доступе на сайте образовательного учреждения, например, путем обращения в Роскомнадзор;
  • использовать средства фильтрации электронной почты, это поможет избежать проникновения вредоносных программ и фишинговых писем;
  • использовать средства защиты баз данных телефонов и адресов знакомых, дополнительные пароли, архивирование, шифрование;
  • в случае выявления утечки своих ПД, например, появления их в продаже в открытых источниках, при понимании, какой оператор виновен в утечках, взыскивать с него причиненный финансовый и моральный ущерб;
  • никогда не передавать логины и пароли от любых учетных записей третьим лицам, даже коллегам по работе в производственных целях.

Выявление похищения персональных данных должно побудить гражданина немедленно совершить ряд действий в защиту своих интересов:

  • обратиться с заявлением в Роскомнадзор, если выяснилось, что утечка произошла от легитимно получившего персональные данные оператора. Направить заявление можно по электронной почте, воспользовавшись формой на сайте ведомства, обычной почтой, заказным письмом с уведомлением о вручении, при личном визите в региональное подразделение на прием к руководителю;
  • подать заявление в прокуратуру, а если можно предполагать, что в данной ситуации применяется ст. 137 УК РФ, – в МВД РФ с просьбой проверить сведения и возбудить уголовное дело;
  • незамедлительно сменить логины и пароли на всех устройствах, заблокировать скомпрометированную карту;
  • установить на мобильные устройства антивирусные программы.

Выполнение этих рекомендаций поможет устранить причину похищения ПД и привлечь к ответственности преступника или недобросовестного оператора.

Процесс обработки персональных данных часто связан с тем, что недобросовестные сотрудники совершают хищение информации ради перепродажи, и не всегда оператор готов нести ответственность за недобросовестность сотрудника. Эти обстоятельства следует учитывать, определяя виновника причиненного ущерба.

В рамках Федерального закона «О персональных данных» оператора-организации или его должностное лицо можно привлечь к административной ответственности, сотрудник понесет уголовную по 137-й или 272-й ст. УК РФ.

03.03.2020

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/federalnyj-zakon-o-personalnyh-dannyh/krazha-personalnykh-dannykh-statya-152-uk-rf/

Кто сливает персональные данные?

Взлом персональных данных

Я уже много раз читал тут про то, что людям начинает поступать много звонков от всех подряд после того, как они воспользуются услугами СДЭК. Я думал, что это совпадение, или преувеличение…

сегодня с утра я сделал заказ в интернет магазине с доставкой через СДЭК, и через полтора часа мне позвонили из банка Русский Стандарт (Это реклама! Пользуйтесь их услугами!). Раньше я с этим банком никаких дел не имел, а теперь точно не буду. Думаю, скоро мне начнут названивать специалисты службы безопасности сбербанка…

Я не верю в совпадения, скорее поверю в то, что слив данных носит централизованный и систематический характер. Есть ли тут представители СДЭКа? Жрите дерьмо!

СДЭК Персональные данные Негатив Текст Пост ещё не редактировался пользователями

Продаю на известной барахолке наушники iBasso it03. Ценник ниже некуда. Сегодня ночью в Вацап пришел “покупатель”. Скрин переписки ниже.

“скрин” типа СДЭК крупным планом .

Особенно п3. В ых сообщениях этот клиент хриплым голосом меня убеждает, что это надежно и он очень боится что я его кину. Ну для меня уже все было ясно. На сайте СДЭК я не нашёл подобной инфы. Ради очистки совести зашёл в офис СДЭК, показал “скрин”, операторы сразу сказали – развод. И уже не один случай в моём городе. Так что будьте бдительны, товарищи. Бм чуть-чуть ругался. Но зря.

Показать полностью 2

6 ноября 2020 года основатель сервиса поиска утечек и мониторинга даркнета «DLBI» Ашот Оганесян сообщил, что база данных сайта «РЖД Бонус» попала в открытый доступ.

Первый информацию об этой утечке опубликовал Telegram-канал DC8044 F33d.

Оганесян в Telegram-канале «Утечки информации» пояснил, что резервная копия (бекап) MySQL-дампа с базой данных сайта «РЖД Бонус» (rzd-bonus.ru) размером около 2.4 ГБ по какой-то непонятной причине была выложена администратором в корне сайта.

Оказалось, что как минимум несколько человек успели ее скачать до того момента, как сайт стал недоступен.

Вдобавок там же были размещены и доступны для сохранения: bash-скрипт, в котором был прописан путь к дампу базы данных и находился логин и пароль пользователя, а также приватный ключ RSA.

Оганесян в своей публикации на напомнил, что скачивать на свой ПК и распространять в сети Интернет подобные архивы нежелательно. Технически это может попасть под некоторые статьи УК РФ, например, ч. 1 ст. 183 УК РФ — незаконное получение и разглашение сведений, составляющих коммерческую тайну; ч. 1 ст. 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации.

Анализ части данных показал, что в утекшем дампе есть таблица «b_user», в которой содержатся данные 1 360 836 зарегистрированных пользователей. Там есть логины и хешированные пароли (сайт на Битриксе, поэтому там обычный MD5 с солью), адреса электронной почты, ID-пользователей, даты регистрации и последнего входа в систему.

Показать полностью 1 РЖД Взлом Персональные данные Новости Негатив Всем привет. Пост просто информативный, даже без рейтинга. Не хайпа ради, а просветления для.

Заказал я тут намедни, паяльный фен с Алиэкспресс. Прилетает вчера, второго ноября, уведомление, что, мил человек, все отправили тебе, с Российского склада, компанией транспортной, CDEK именуемой. То есть сам я даже, в эту конторку и не обращался, все за меня сделали.

На почту пришло письмо мне в 17:07 по местному времени.

А уже в 17:23 звонит мне служба безопасности Сбербанка. Причем не Сбера, (как он ныне именуется), а именно Сбербанка. Младший специалист Екатерина обкосячилась.

Показать полностью 3 Без рейтинга Сбербанк Телефонные мошенники СДЭК Негатив Длиннопост

9 октября мне отправили посылку. Прошло 10 дней сдэк молчит, на сайте указано “посылка вручена”. Решил узнать где моя долгожданная посылка, и почему такое вот происходит. Позвонил, говорят, что находится на сортировке бла…бла… Дайте нам 10 дней и мы вам его привезем.

Проходит время, а посылки нет. Написал во все соцсети сдэка, меня начали уверять, что “посылка не потеряна, склад загружен, не успевает обработать и т.п”. Прошу дайте видео из пвз, где происходила отправка. не предоставляют!!! Горячая линия предоставляет стандартные ответы.

Смотрю на сайте в разделе отслеживания, там указано что “посылка вручена”. Спрашиваю почему??? Говорят на ПВЗ ошиблись, не правильно указали. И тут у меня появляются большие сомнения, а не своровали ли мою посылку в самом пвз????

В итоге прошло огромное количество времени, я звоню в сдэк, они мне заявляют: “Ваша посылка утеряна. Извините такое у нас бывает”.

Какими можно быть наглыми безответственными, чтобы потерять целый мешок и никакой реакции!? В такое сложно экономическое время, такое хамское отношение!???

Звоню менеджеру с которой сотрудничаем Дорониной Т – не берет трубку!!! Такое вот свинское отношение.

Если хотите чтобы потеряли вашу посылку – обращайтесь в сдэк!

Не знаю, есть ли смысл разбираться дальше.

[моё] СДЭК Украл Посылка Жалоба Текст Сервис Негатив

Только вчера с женой посмотрели очередную серию “Спасской”. Там, где мошенник очаровывал женщин и хитростью выманивал у них деньги, в т.ч. по телефону прямо с тюрьмы.

Меня еще удивило – что же за харизма должна быть у мужика, чтобы очаровывать по телефону. Т.е. только голосом. Буквально 10 минут тому назад звонок с неизвестного номера. Мой телефон – рабочий, звонят часто клиенты, в т.ч. с новых номеров.

Беру. И слышу прямо таки бархатный голос. Далее диалог (Я-я, Ж-жулик):

Я: Алло

Ж: привет, (называет мое имя)

Я: слушаю

Ж: узнал?

Я: нет, кто это?

Ж: стоило номер телефона сменить, и ты уже друзей не узнаешь?
Я: кто это?

Ж: ну как можно не узнать хороших друзей?

Я: кто звонит?

Ж: узнавай, мы же вместе недавно так здорово погуляли

Я: Вы кто?

Ж: как можно не узнать родственника?

И вот тут я чувствую, что мною жестко начинают манипулировать. Текстом это не передать, но тембр голоса, интонации, построение фраз, все дико влияло на меня . Хотелось доверять этому человеку, “узнать” его.

И мое сознание уже почти “узнало” его, если бы у меня был хотя бы один друг/родственник с похожим голосом. Дело в том, что у всех моих друзей/родственников очень примечательные голоса (скрипучие, низкие, высокие и т.п.).

А то был просто идеальный тембр.

Как только я понял, что мной манипулируют, я сказал “представьтесь, или я повешу трубку”. Он опят завел “узнай меня” и я повесил трубку.

И тут я вспомнил, что пару дней назад я получал груз в СДЭК. До этого я тоже получал груз в СДЭК, но давно – пару лет тому назад. Видимо у них течет не главная база, а база оперативных заказов. Но это предположение.

После этого телефонного разговора меня аж потряхивало. Следы манипулятивного воздействия. Но фигня, главное, вовремя прервал звонок. Но какая сила воздействия, я уже почти его “узнал”, только логические нестыковки и моя натренированность видеть манипуляции спасли. Если на меня, мужика так подействовало, то из баб этот жулик просто будет веревки вить.

И все же вопрос – а что дальше стал бы делать жулик после “узнавания”? Просить денег перевести на счет? Кто сталкивался?

Наконец-то удалось на себе убедиться в реальности слива СДЭК'ом информации о своих клиентах в колл-центры “служб безопасности Сбербанка”. До этого, мне, обычно, звонили разного рода соц.

опросы, провайдеры с предложениями невероятно выгодных тарифов и прочие продованы, которые даже имени моего не знали и рассказывали о том, что номер “система” набирает мой номер случайным образом.

Но стоило связаться с СДЭК и…

И так, хронология событий…

07.10.2020г. из Екатеринбурга СДЭК'ом из офиса по адресу Грибоедова, д. 9, примерно в 17:00 по Москве, мне была отправлена небольшая посылка посылка:

Источник: https://pikabu.ru/story/kto_slivaet_personalnyie_dannyie_7828011

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.