Уважаемые пользователи форума. Собрал руководство по безопасности в Интернете.
Заранее предупреждаю, текста будет очень много.
Я собрал руководство по небольшим отрывкам из Даркнета и соединил в одно единое.
Это руководство не про анонимность.
Анонимность - это полное скрытие информации о себе, вплоть до личности. Чтобы было невозможно понять, кто вы. Поддерживать анонимность в Сети трудно даже людям из организованных хакерских группировок. Начинать следует с приватности - скрытии информации о вашей личной жизни. Поддерживать приватность проще, это как гигиена.
Это руководство не про сопротивление большому брату и корпорациям.
У меня нет цели рассказать вам, как стать неуловимым и не дать заработать на себе большим компаниям. Вы уже в системе, вас уже используют, вы уже товар. А если вы уверенно возражаете и считаете себя анонимным - вероятно, вы находитесь в другой системе, может даже криминальной, и вряд ли почерпнёте здесь что-то новое.
Это руководство про ценность личной информации.
Каждый волен сам решать, что ему скрывать. Мне лишь хочется показать, как используются данные, которые вы не скрыли, и как пресечь это использование. Как понять, насколько ценна информация, которую вы собираетесь ввести в окошко и нажать кнопку "Сохранить". Как не продать свои персональные данные по цене шавермы.
Это руководство про приватность и counter-[tooltip=409]OSINT[/tooltip].
Вы узнаете о том, как мыслят люди, которые собирают информацию о вас. Чем они пользуются и руководствуются, какие данные для них важны. Что они с этой информацией могут сделать (и делают!).
И, конечно же, вы получите инструкции по тому, как свести риски потери вашей приватности к нулю. Фактически, это путеводитель для новичков в мир персональной контрразведки.
Трудно оставаться вне зоны доступа в наше цифровое время. Отшельник может иметь телефон для экстренной связи, а собака, хоть и не каждая, - аккаунт в Инстаграме.
Проникновение социальных сетей и средств связи могло бы быть исключительно позитивным, если бы не приводило к массе печальных последствий. От звонков фальшивых сотрудников Сбербанка с просьбой продиктовать пароль из СМС, и до коллекторов, внезапно требующих вернуть кредит, взятый на ваш паспорт.
В последние годы появился тренд на приватность и защиту информации о пользователях: GDPR, CCPA, LGBD. Компании обязали заботиться о сохранности персональных данных и о предотвращении их утечек. Но стали они собирать о нас меньше информации? Никак нет. Для них наши данные - источник прибыли.
Но и ужесточения правовых норм для компаний недостаточно. Вы наверняка оставили много "хлебных крошек", потому что уже не первый год в Интернете. Старые аккаунты, объявления, публичные переписки, фотографии. По этим следам можно вплотную подойти к вам и использовать это в любых целях.
Огромный массив данных о людях, который возможно легко собрать подручными средствами, привёл к популярности [tooltip=409]OSINT[/tooltip] - методологии сбора данных из открытых источников. Часто под этим термином сейчас подразумевают средства слежки за людьми, хотя изначально это методология разведки. Любое средство можно использовать как в благих, так и в плохих целях - об этом следует не забывать.
Чтобы понять, какие данные важнее и что следует больше защищать, необходимо знать современные реалии с поправкой на Рунет. Это мы и разберём далее, и чтобы попытаться быть объективными, используем OPSEC.
Термин OPSEC, как и [tooltip=409]OSINT[/tooltip], пришёл из американской разведки. Он означает процесс анализа и защиты критически важной информации.
Для начала перечислим все первичные данные, которые так или иначе раскрывают нашу личность, но существуют физически вне Интернета.
Таких данных не так много. Но, имея хотя бы часть, можно притвориться вами и обмануть третих лиц. Например, разослать знакомым сообщение с просьбой срочно перевести деньги из-за трудной ситуации.
При этом мошенники не обязательно будут заинтересованы конкретно в вашей личности. Например, они могут купить базу и сотни "свежих" паспортов, чтобы привязывать паспортные данные к электронным кошелькам QIWI для увеличения лимитов по выводу денег.
Любые личные данные могут быть использованы. Например, восстановление доступа к аккаунтам социальных сетей часто требует ответить на контрольный вопрос. Таким образом, знание девичьей фамилии матери или любимого музыканта повышает шансы взломать вас.
Очевидно, что знания первичных данных недостаточно для проведения мошеннических схем. Таковые обычного основаны на социальной инженерии и предполагают дистанционное взаимодействие через звонок или сообщения. То есть, мы неявно подразумеваем, что у недоброжелателям уже известны наши вторичные данные, виртуальные идентификаторы - номер телефона, электронная почта, адрес аккаунта социальной сети. Таким образом, получение информации об этих данных несет в себе не меньшую угрозу.
Базовая цифровая гигиена
Сформулируем нашу цель так: минимизировать количество данных, которые можно собрать о вас в одном месте.
Не класть яйца в одну корзину.
Почему это важно?
Пример 1
Вы пользуетесь услугами компании, которая тратит слишком мало денег на безопасность. В один прекрасный момент их взламывают, и вся клиентская [tooltip=71]база[/tooltip] оказывается в руках злоумышленников: телефоны, почтовые адреса, имена, фамилии, ваши покупки. Почти всегда такие [tooltip=71]базы[/tooltip] в итоге оказываются в публичном доступе. В итоге ваши данные станут доступны всем желающим.
Пример 2
Вы пользуетесь услугами компании в высококонкурентном бизнесе, где цена данных клиентов очень высока. Некоторые сотрудники уходят к компаниям-конкурентам, скопировав себе клиентскую базу. Каким образом эта [tooltip=71]база[/tooltip] будет использована, и не пойдёт ли она дальше по рукам - нет никаких гарантий.
Пример 3
Вы пользуетесь услугами компании, которая собирает данные своих клиентов, чтобы предлагать скидки и акции. Для этого они рассылают рекламу, пользуясь услугами другой компании. Эта компания делает рассылки постоянно, и заинтересована иметь свои данные по клиентам. Поэтому у второй компании накапливаются [tooltip=71]базы[/tooltip] с данными чужих клиентов, которые могут быть потом переиспользованы для других рассылок.
Наверняка у вас возникло возражение: неужели это никак не контролируются законом? Они не могут легально пользоваться этими данными!
К сожалению, законодательство в сфере обработки персональных данных (ПДн) не поспевает за реалиями. Обмен виртуальными (не физическими!) данными трудно отследить и пресечь. Более того, рынок нелегального обмена ПДн настолько развит, что большие игроки лоббируют его легализацию. В таких условиях нельзя положиться на защиту государства или гарантии компаний, и нам необходимо относиться более сознательно к тому, какие данные и в каком количестве мы отдаём другим.
Телефонный номер
Ранее мы говорили, что телефонный номер - это вторичный идентификатор. С точки зрения здравого смысла это так: вы можете избавиться от телефона, разорвать контракт с оператором, а может приобрести 100 номеров, и тогда любопытные погрузятся в аналитический паралич, пытаясь с этим разобраться.
Но с точки зрения онлайн-платформ телефон - самое удобное средство связи с вами и подтверждения вашей личности. Поэтому практически все используют номер в качестве первичного, уникального идентификатора.
Отсюда следует очевидный вывод. Почти любой сайт знает ваш телефонный номер и обладает своими сведениями о вас. Этими сведениями сайт может обмениваться (и делает это!) с другими компаниями - в рамках услуг, за деньги, бартером.
Примеры таких сайтов и платформ:
Соединив все кусочки информации по вашему номеру телефона из разных мест, можно собрать ваш портрет. Что с этим делать?
Разделяем личную жизнь и работу
Почти все мы имеем рабочие и личные дела. Поэтому начать стоит с разделения этих сфер жизни.
Большинство крупных компаний предлагают сотрудникам корпоративную связь: или вы берёте новую сим-карту от компании, или на ваш личный номер подключают рабочий тариф.
Но даже если такой возможности нет, всегда заводите отдельный номер телефона. У меня есть несколько аргументов:
Используем виртуальный номер
Разумеется, подобные сервисы не рекомендуется использовать для получения чувствительной информации и привязывания к своим личным аккаунтам, так как полученные сообщения и коды доступа может увидеть кто угодно.
Почтовый ящик
Адрес электронный почты был и остаётся самым распространённым идентификатором для аккаунта в Сети. У вас может не быть телефонного номера, но у вас должен быть ящик - это неписанное правило.
Наличие электронной почты само по себе раскрывает о вас некоторую информацию. Прежде всего, это алиас, имя ящика, слева от символа собаки "@". Первый и очевиднейший совет -- не стоит выбирать именем ваши инициалы, фамилию и год рождения, если это не сугубо личный или рабочий ящик.
Второй, но немаловажный совет -- внимательно изучите провайдера электронной почты. Наиболее известные бесплатные сервисы почты "вдогонку" к email дают вам аккаунты в других продуктах. Это относится прежде всего к Google и Яндекс, так как эти компании ведут свой бизнес в большом количестве других сфер, и предоставить вам бесплатный ящик за то, что вы станете пассивным потребителем десятка других сервисов -- их хлеб.
Разделение личностей
Долой ящики для подписок, мусора и спама
Отдельно стоит отметить привычку большого количества людей использовать отдельный "мусорный" почтовый ящик для некритичных сервисов и разнообразных спам-подписок. Само по себе разделение почтовых ящиков полезно, но только если оно сознательно (см. выше).
Если же вы не заглядываете в такой ящик, и письма там лежат непрочитанными тысячами и более, то это важный сигнал: разберитесь, действительно ли вам нужен этот ящик. Если нет, то отпишитесь от всех рассылок и удалите связанные с ним аккаунты, чтобы минимизировать вероятность использования этого email-адреса для сбора информации о вас.
Одноразовые ящики электронной почты
Существует большое количество сервисов, предоставляющих одноразовые почтовые ящики на 10-15 минут. Они хороши для одноразовых регистраций на сайтах, куда вы попадаете в первый раз и больше, скорее всего, не воспользуетесь. Здесь рассмотрим те сервисы, которые создаются на случайных доменах с абсолютно случайным именем.
Общедоступные ящики электронной почты
Также в Интернете можно найти сервисы, которые дают возможность использовать ваш алиас для временного ящика. Такие почтовые адреса удобно использовать для сервисов, в которых email должен выглядеть правдоподобно.
Пересылка почты с других почтовых ящиков
Сервисы, которые позволяют пересылать письма используют, так называемые "маски", позволяющие скрыть ваш настоящий электронный адрес.
Принцип работы очень простой:
Пример на основе Firefox Relay.
Сначала предоставляется маска, которая скрывает настоящий адрес.
Теперь, используя данный адрес-маску мы можем получать письма на свой электронный адрес, не показывая его всему Интернету.
Фамилия, имя, отчество, дата рождения
Почему эта информация вынесена в отдельный раздел? Как правило, ФИО и даты достаточно, чтобы найти конкретного человека, так как вероятность совпадения всех этих данных у двух людей очень низкая.
Государственные учреждения
В различных областях действуют нормы, обязывающие или поощряющие публикацию документов с персональными данными. С одной стороны, открытость в этих областях помогает прозрачности в отрасли (например, госзакупки, списки прошедших/выпускников), но нас более волнует, что, однажды попав в такой документ, нам будет сложно из него удалиться.
К России относятся следующее:
Вход через другой сайт (Single sign-on)
Современная архитектура авторизации и регистрации в онлайн-сервисах предполагает активное использование сторонних "проверенных" учётных записей. Например, почти везде в зарубежном сегменте интернета есть возможность входа через Facebook, в то время как в России всё больше распространяется вход через VK. В каких-то сервисах это подразумевается неявно, например, вход в YouTube через Google-аккаунт.
Если вы таким образом авторизуетесь на неосновном и общедоступном устройстве (например, телевизор или игровая приставка), то есть риск раскрытия о себе публично отображаемой информации, например, имени и фамилии. Для минимизации этого риска стоит переименовывать аккаунт с "Имя Фамилия" на что-нибудь нейтральное, например, "Аккаунт".
Адрес и местоположение
Для начала выделим несколько сущностей, на которые имеет смысл обращать внимание с точки зрения OPSEC.
Это:
К сожалению, в отличие от США, где ваш адрес = ваш почтовый ящик, в России адрес строго привязан к физической недвижимости. Поэтому у нас невозможны фокусы с "кочевничеством" как в Техасе или Южной Дакоте, где вам необязательно иметь место жительства. Однако, есть возможность использовать абонентские ящики, о чём сказано ниже.
Как предотвратить утечки адресов
Использование абонентских ящиков
В России есть единый государственный оператор почтовой сети: Почта России. Он осуществляет большинство почтовых отправлений.
Для доставки обычно используется адрес пребывания человека и его имя, т.е., необходимо указывать ФИО, почтовый индекс, а также полный адрес, включая номер квартиры. Обычные письма или извещения о заказных письмах/посылках доставляются почтальонами вплоть до почтового ящика на двери дома или в подъезде многоквартирного дома.
Однако, существует возможность анонимной для отправителя доставки писем с использованием абонентских ящиков. Это выделенный ящик для почты в конкретном почтовом подразделении. Каждый ящик имеет свой номер, онлайн можно выбрать любой незанятый, наппример, 777. Также при договоре заключении аренды ему можно присвоить произвольное имя - это платная (и относительно дорогая) услуга. Единственный минус с точки зрения приватности - для аренды ящика необходимо создать аккаунт на abox.pochta.ru, указав свой номер телефона и паспортные данные.
После заключения договора вы получите ключ от ящика, и можете открыть его в любое время. Но важно понимать, что ящики расположены на территории почтовых отделений, и доступ к ним регламентирован его временем работы. Поэтому удобнее выбирать самые большие отделения, где абонентский отдел работает круглосуточно. В Москве, например, это почта на улице Мясницкой, индекс 101000.
Каким образом теперь отправлять письма? В качестве адреса просите ваших корреспондентов указывать только индекс и номер ящика. Возьмём примеры выше.
Каноничная запись: 101000, а/я 777
Или же коротко: 101000, 777
А если вы присвоили ящику имя "Свалка", то: 101000, свалка
[tooltip=744]Правила[/tooltip] доставки отправлений касаются и абонентских ящиков. Это значит, что для заказных писем вам будут класть только извещения, и для их получения необходимо продиктовать работнику абонентского отдела номер телефона, получить смс, и только после этого вам выдадут письмо. Но обычные письма, конечно, будут класть прямо в ящик.
Пароль
Главный принцип: Никогда не используйте одинаковые или похожие пароли
По двум причинам:
Но как держать в голове много паролей? И где их брать? Советую не относиться ко всем паролям как к данным, которые всегда должны быть у вас в голове. Экономьте место у себя в памяти.
Самый оптимальный способ: создание одного достаточно длинного пароля-фразы для хранилища паролей (или для учётной записи, к которой привязан ваш браузер, в котором хранятся все пароли).
Как придумывать стойкие пароли
Стандартные рекомендации по использованию 8 символов, которые включают в себя специальные символы, буквы, цифры не работают! Ведь P@ssw0rd тоже подходить под эти требования, а это не самый крутой пароль, поэтому давайте разбирать методы для создания стойких паролей.
Три случайных слова
Существует простой, но действенный метод для создания паролей - метод 3-х случайных слов.
В чем заключается данный метод? Когда мы регистрируем новый аккаунт, мы просто придумываем 3 случайных слова и ставим их как наш пароль, например: NETWORKINGHYGIENEDEVELOPMENT согласитесь, это намного легче запомнить, чем: asndjBDHJBSDhjSBADHJadbzhjF, да и простым перебором по словарю перебрать такое будет достаточно сложно.
Такие пароли можно усилить, используя LEET, заменяя некоторые буквы на цифры, то есть наш пароль будет иметь следующий вид: N3TW0RKHY6I3N3D3V3L0PM3NT Таким образом наш пароль становится более стойким, приэтом его сложность для запоминания увиличивается не на много, а если вы были знакомы с LEET, до этого, то вам будет еще проще.
Для еще большей стойкости можно разделять слова при помощи разных спецсимволов, например: -, ~, =.
Русские слова в английской раскладке
Еще один простой, но действенный метод - использование случайных русских слов в английской раскладке.
Мы просто берем случайные слова на русском языке и пишим их в английской раскладке, например из ехалгрекачерезреку мы можем получить следующее t[fkuhtrfxthtphtre.
Выглядит интересно и довольно стойко, но можно дополнять символами/цифрами в конце, например: t[fkuhtrfxthtphtre123! t[fkuhtrfxthtphtre34345!
Менеджеры паролей
Это то, чем должен пользоваться каждый! Вспоминаем главный принцип из первой строки и сразу в голову приходит вопрос - "Ну, мне что теперь, запоминать 100 паролей!?!?". Нет, не нужно запоминать 100 паролей, требуется один, это пароль от менеджера паролей.
Менеджер паролей позволит генерировать стойкие пароли и хранить их в одном, а что главное - безопасном месте.
Фотография
К сожалению, фотографии (и вообще любые изображения) уже давно стали легко распознаваемым и индексируемым контентом. Поисковики могут искать похожие фотографии, различать на них текст, предметы, конкретных людей. Социальные сети могут распознать вас на произвольной фотографии и поставить там отметку со ссылкой на вас даже без вашего ведома.
Но, к счастью, в последние годы тренд на приватность усилился, и поэтому соцсети вводят разумные ограничения на распознавание людей. А поисковики и вовсе отказываются от точного поиска по лицам. Это снижает вероятность злостного использования таких функций, но не мешает использовать подобные технологии в целом. Сейчас инструменты распознавания можно легко создать самостоятельно либо использовать условно-бесплатные аналоги.
Как проверить себя
На постсоветском пространстве для поиска по фотографии лица всё ещё можно использовать Яндекс. Также из бесплатных специализированных поисковиков можно отметить search4faces, позволяющий искать по фотографиям из ВКонтакте, Одноклассников, TikTok, Clubhouse.
Если вы активно использовали социальные сети, то можете обнаружить не только свой аккаунт, но и фотографии с вашим лицом в аккаунтах ваших друзей, знакомых или других людей, которые даже не имеют к вам отношения. Разумеется, такие фото удалить чрезвычайно затруднительно, и если вы не хотите, чтобы они указывали на вас, то следует грамотно удалить аккаунт.
Фото лица как биометрия
Клоакинг
Для борьбы с инструментами распознавания людей на изображениях используется так называемый клоакинг. Суть метода в искажении фотографии таки образом, чтобы визуально мы воспринимали её как оригинал, но программы не видели там человека или лица.
Методы для искажения бывают как ручными (блюр/ретушь/искажение отдельных частей фото), так и автоматическими. Из последних можно отметить специальные программы, которые используют алгоритмы распознавания лиц в обратную сторону, модифицируя фотографию так, чтобы поиск был не возможен. Пример такой программы: Fawkes.
Разумеется, подобная постобработка фото или видео не поможет превентивно. Для затруднения распознавания лиц "умными камерами" в реальной жизни придумываются оригинальные и не очень способы, примеры можно прочесть по ссылкам в конце страницы.
Метаданные фотографий и прочее в этом разделе - [tooltip=409]Osint[/tooltip] фотографий
Утечки баз данных и [tooltip=414]пробив[/tooltip]
Паспортные данные
Внимательно подходите к выбору мест при оформлении сим-карт. Чем менее оно престижно, тем больше вероятность утечки из него сканов паспортов, которые необходимы при регистрации номера. Выбирайте официальные салоны операторов; места, где оказывается максимальное количество услуг и для физических, и для юридических лиц.
Известные большие утечки
В феврале 2022 года произошла утечка базы доставки Яндекс.Еды. Были опубликованы имена и фамилии клиентов, номера телефонов, полный адрес доставки клиента и комментарии к заказу. Всего почти 7 миллионов уникальных номеров из России, Казахстана и Беларуси, даты с 19.06.2021 по 04.02.2022.
Для проверки своих данных энтузиастами был поднят сервис
Как удалить себя из утечек?
Никак. Вы можете попросить популярные сервисы убрать вашу запись, но вы ничего не сделаете с огромным количеством копий баз данных, которые уже разошлись по рукам, частным и закрытым сервисам.
Определение источника утечки
Поиск себя в утечках
Существует много сайтов, которые позволяют по телефону, почте или даже ФИО самостоятельно найти себя в утечках информации и слитых базах. Использовать их надо с осторожностью, потому что за любым онлайн-поиском может стоять дополнительная цель в обогащении данных. Например, сбор IP-адреса, связывание нескольких поисков одного человека для сбора информации о его окружении.
Поэтому предпочтительным вариантом всегда остаётся самостоятельный поиск в файлах утечек. Но это может быть затруднительно: надо найти файл (или много файлов, если нужен исчерпывающий поиск), понять его структуру, выполнить эффективный поиск.
Если же вы пошли более простым путём, то рекомендую использовать такие ресурсы, по убыванию рисков:
Общеизвестные безопасные площадки
Самая известная: Have I Been Pwned, поддерживаемая известным безопасником и дающая гарантии приватности.
Другие:
Коммерческие альтернативы
Часто дают условно-бесплатный доступ, найти разные сайты можно по ключевым словам check, leak:
Боты в Telegram
Большинство ботов не указывают источник, из которого получена информация. Список некоторых ресурсов: Google Spreadsheet.
Уведомления
Некоторые из перечисленных выше сайтов также предоставляют функциональность уведомлений вам на почту, если произошла новая утечка с вашими данными. Если вы ведёте активную виртуальную жизнь, то крайне рекомендую пользоваться таким сервисом.
Использование алиасов/фейковых почтовых адресов
Gmail и другие крупные почтовые сервисы поддерживают специальные символы для создания алиасов вашего почтового ящика. Почта, отправленная на алиас, придёт к вам, но в поле "Получатель" вы будете явно видеть, куда она пришла.
То есть, [email protected] будет эквивалентен [email protected]:
Строго рекомендуется использовать эту возможность во всех сайтах, где она поддерживается. Таким образом:
Разумеется, при сборе утечек часто используется нормализация почт: удаление подобных частей алиасов и очистка лишнего. Поэтому можно говорить только про снижение риска, а не стопроцентную защиту.
Отдельно стоит упомянуть про указание почтовых адресов для отправки чеков при покупках в Интернете.
Согласно п. 2 ст.1.2 закона № 54-ФЗ, кассовый чек должен быть направлен в электронной форме,
если покупатель сообщил свой абонентский номер или адрес электронной почты до момента расчета.
Этим пользуются такие крупные Telegram-боты как Глаз Бога, сохраняя себе всю вашу платёжную информацию и добавляя указанный email к той информации, которую выдаёт бот.
Поэтому, если вы не заинтересованы в чеке, то указывайте заведомо неправильный почтовый адрес, указывающий на источник утечки, например, [email protected]. Либо используйте упомянутые выше алиасы, явным образом раскрывающие, где ящик был указан.
Использование разных имён для отслеживания
Кроме непосредственно поиска себя в базах, вы можете проактивно оставить "маячки", по которым быстро найдёте сайт или компанию-виновника. Чаще всего в жизни это происходит при спам-звонках, в которых упоминают ваше имя, например, указанное на сайте с объявлениями.
Сайты по-разному относятся к корректности имени и фамилии аккаунтов. Кто-то требует того, чтобы они совпадали с паспортными данными (например, в ВК), кто-то только сверяет их с документами в случае финансовых операций, а большинство вообще не валидируют.
В зависимости от строгости правил сервиса (ToS, Terms of Service) можно использовать трюки, перечисленные ниже. Но перед использованием я настоятельно советую изучить, какие санции возможны, если вы укажете некорректное имя, и оценить эти риски для себя.
Используем имена/фамилии, созвучные либо начинающиеся с тех же букв, что и сайт/компания.
Таким образом, при утечке ФИО в связке с номером или почтой вы будете знать, откуда эта информация:
Используем вариации имени кириллицей или латиницей
Прежде всего это относится к полной/сокращённой форме имени:
Но в силу различий между языками, у имени бывает по несколько "латинских" форм. Даже банки часто дают возможность выбора правильной транслитерации имён. Так, имя "Анатолий" может быть представлено как:
Канарейки
Канарейки очень чувствительны к примесям опасных газов в воздухе. Поэтому долгое время шахтёры брали их с собой в шахты: если птица переставала петь, то это значило, что дышать воздухом становится опасно.
Подобный же принцип используется и в информационной сфере. Многие компании используют уведомление пользователей о том, что за ними никто не следит, чтобы при получении судебного ордера убрать эту фразу. Тем самым компания даёт сигнал пользователям, что отсутствие слежки больше не гарантируется.
Но мы собираемся скрываться не от корпораций, а от любопытных лиц. Что мы можем предпринять?
Canary tokens
Возможно, вы видели ссылки в биографии на странице ВК, которые никуда не ведут (либо ведут в приложение "Узнай, кто за тобой шпионит" или вроде того). Это простейшая форма канарейки.
Существует замечательный онлайн-сервис - Canary Tokens, который позволяет создавать своих собственных канареек.
Он позволяет создать различного рода канарейки, которые мы можем использовать для детектирования любопытных сотрудников вашей организации или обнаружить компрометацию ваших систем еще до того как злоумышленник сможет выполнить некоторые деструктивные действия.
Какие виды можно сгенерировать и при каких условиях будет получено уведомление:
Как сделать утечки бесполезными
Можно ли сделать утечки менее полезными при сборе информации о вас? Да, хоть это и не гарантированно поможет, а лишь усложнит жизнь тем, кто собирает про вас данные.
Разберём некоторые стратегии сопротивления, подходящие для случаев, когда данные о вас уже попали в Интернет.
Создание нового фейкового аккаунта
Создаём аккаунт с идентификаторами, которые используются в активном поиске по данным из утечек.
Фальшивые связи с общеиспользуемыми идентификаторами
Почты:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
Номера телефонов:
+79123456789
+79111111111
Приватность телефонных аппаратов
Тема приватности на мобильных устройствах заслуживает отдельного большого путеводителя. Данные пользователя представляют слишком большой финансовый интерес для всех вендоров. И если на западном рынке наблюдаются подвижки в сторону приватности (например, Apple урезает возможность сбора данных всем сторонним приложениям, а Google с каждой версией Android улучшает работу с доступами приложений), то на азиатском рынке (Samsung, Xiaomi и масса мелких вендоров) пользовательские данные оседают в больших количествах и бесконтрольно.
Что с этим можно сделать за короткое время и без сложных манипуляций вроде получения [tooltip=539]root[/tooltip] или jailbreak? К сожалению, самый минимум - следить за тем, какие приложения вы ставите и какие разрешения им даёте. Разберём самые очевидные случаи.
Контакты из телефонной книги
Многие приложения сделали свой бизнес только лишь на доступе к телефонной книге пользователя. Самое нашумевшее - GetContact, которое прошлось волной и по российским пользователям. Принцип прост -- связка из имени контакта и телефонного номера из вашей книги утекают на сервера, там объединяются в одну базу данных. После чего становится возможным узнать ФИО по номеру телефона, запросив напрямую в базе. А иногда и профессию, и возраст, и вообще что угодно. Для примера: "Иван ФСБ", "Александр Клиент", "Валерия Хрущёва 42", "Машка Петрова Якобы Модель". Сейчас все эти данные можно легко получить через Telegram-ботов.
Некоторые другие приложения (например, вполне официальные вроде Сбербанка) запрашивают доступ к телефонной книге, чтобы сократить телодвижения для переводам по номеру телефона на пару кликов. При этом, очевидно, контакты в любом случае загрузятся к ним на сервер, и что там с ними произойдёт - неизвестно.
Поэтому первым и очевидным шагом в сторону приватности (как себя, так и своих близких и знакомых) будет ограничение доступа к телефонной книге -- не даём его приложениям по запросу, т.к. они должны функционировать без него (Сбербанк прекрасно обходится и без этого). В противном случае внимательно изучаем приложение и ищем альтернативы, если оно безоговорочно требует дать ваши номера.
Устанавливаемые приложения
Продолжая тему из предыдущего абзаца: приложения для сбора контактов работали не только явно, но скрыто, внедряясь за деньги в другие, бесплатные приложения. Таким образом, большое количество невнимательных людей сами сливали свои данные, не обращая внимание на то, что очередная игра из Google Play запрашивает слишком много расширений. А лицензионные соглашения в наше время мало кто читает, увы.
Приватность соцсетей и мессенджеров
В этом разделе приведены описания настроек приватности для всех популярных сайтов и платформ на территории СНГ.
Напоминаю, что это руководство направлено на скрытие вашей информации от чужих глаз в Сети. К сожалению, практически всё, что вы пишете в соцсетях и мессенджерах, доступно самим платформам. То есть, большому количеству сотрудников этой компании, правоохранительным и другим органам, имеющим право эту информацию запрашивать, а также иногда большому количеству других лиц, полулегально поддерживающих деятельность сайта.
Полностью защититься от утечки своей личной информации - не пользоваться никакими платформами, не гарантирующими end-to-end шифрование и абсолютную безопасность ваших данных, но таких сайтов чрезвычайно мало, и их распространённость среди ваших друзей и знакомых наверняка близка у нулю.
В текущий момент оставим в стороне размышления о том, использовать или нет большие сайты, зарабатывающие на вас деньги и готовые продать ваши данные. Примем как факт, что вам приходится их использовать, и займёмся их настройкой.
Facebook
Обсудим настройки приватности в самой популярной соцсети по всём мире - в Facebook. Как и в других главах, убираем общедоступность и по возможности ставим максимальные уровни, комментируя их предназначение и сопутствующие риски.
Для начала разберём уровни приватности, которые Facebook позволяет выставить для своей информации и публикаций.
Также для "Друзей и подписок" есть дополнительные уровни видимости "Друзья, кроме..." и "Определённые друзья", которые являются вариантами последнего.
Важное замечание: уровень "Друзья" предполагает, что этой группе людей вы можете доверять больше, но не стоит недооценивать возможности социальной инженерии. Вы можете без долгих раздумий подтвердить запрос на добавление в друзья человека, похожего на вашего знакомого. Который на деле таковым не окажется, а добавится исключительно ради получения вашей приватной информации.
Заходим в раздел "Настройки и конфиденциальность" => "Быстрые настройки конфиденциальности". Открываем первую карточку "Кто может видеть ваши публикации" и последовательно разбираем экраны с настройками.
Кто может видеть ваши публикации
Информация профиля
Публикации и истории
Блокировка
В этом разделе можно добавлять людей в чёрный список. Нашей целью сейчас это не является, но если вы озаботились приватностью, зная о конкретном подозрительном профиле - заблокируйте его здесь.
Как люди могут находить вас на Facebook
Этот раздел в "Быстрых настройках конфиденциальности" очень важен для нас - он позволяет "разорвать связь" между вашим телефоном и почтой и аккаунтом.
[tooltip=529]Запросы[/tooltip] на добавление в друзья
Как уже упоминалось выше, добавление может быть инициировано только лишь ради того, чтобы увидеть ваши приватные данные.
Номер телефона и электронный адрес
Обе настройки выставлены во "Все". Это означает, что номеру телефона и адресу электронной почты вас можно найти через встроенный поиск Facebook! Разумеется, ставим "Только я".
Поисковые системы
Эта настройка включена по умолчанию и разрешает индексацию вашего профиля. Выключаем и тема самым запрещаем находить наш профиль в результатах поиска по имени Google, Yandex и т.д.
Telegram
Перейдём к настройкам приватности в мессенджере, который считается одним из самых приватных - в Telegram. Как и в других главах, убираем общедоступность и по возможности ставим максимальные уровни, комментируя их предназначение и сопутствующие риски.
Заходим в настройки, раздел "Конфиденциальность". Начнём с одноимённого подраздела.
Конфиденциальность
Telegram даёт возможность гибко управлять белыми и чёрными списками по доступу к вашим данным. Для пунктов в этом подразделе можно скрыть информацию от всех или показать всем либо использовать список ваших контактов. Также возможно добавлять точечно исключения в виде отдельных аккаунтов или всех людей, состоящих в определённых группах.
Контактами в данный момент в Telegram считаются не только те аккаунты, для которых вам известен телефон (так было ранее), но и аккаунты, вручную добавленные в контакты приложения. Поэтому полагаться на список контактов в настройках сильно не следует -- как минимум, в вашей телефонной книге уже могут быть посторонние номера, а контакты внутри приложения легко добавить по ошибке. Поэтому рекомендуется сделать ревизию телефонной книги либо вообще не расшаривать к ней доступ. Подробнее смотрите в разделе (доступов для мобильных приложений)(./mobile-apps-privacy.md).
Номер телефона
Ставим опцию "Кто видит мой номер телефона" в значение "Никто", иначе любой аккаунт в Telegram в любом чате сможет видеть ваш номер телефона.
Также видим, что есть опция "Кто может найти меня по номеру". Это одна из наиболее ценных настроек приватности Telegram. Она была добавлена исключительно из-за массовых протестов в Гонкконге и недовольства протестующих из-за той лёгкости, с которой полиция могла раскрывать их номера.
К сожалению, до сих пор эта опция не имеет значения "Никто". Ставим эту опцию в "Мои контакты", и теперь только аккаунты из ваших контактов смогут добавить вас по номеру телефона. Помним при этом ограниченное доверие к группе контактов (см. выше).
Последняя активность
В платформе есть особенность -- ограничения на время последней активности (был N минут назад в сети) действует в две стороны. Ставим в значение "Никто", но помним, что при этом и вы не сможете видеть активность других аккаунтов. К счастью, конкретных людей при необходимости можно добавить в исключения и удалить после проверки.
Группы и каналы
Разрешение на добавление вас в группы и каналы имеет ограничение -- нельзя запретить всем, но можно разрешить только своим контактам. Также для опции действуют отдельные точечные запреты.
Ставим опцию в значение "Мои контакты". Помним при этом ограниченное доверие к группе контактов (см. выше).
Звонки
Антиспам в Telegram работает хорошо, поэтому звонки от спамеров довольно редки. Также, к счастью, сам звонок не раскрывает о вас никакой информации, если не включён режим Peer-to-peer. В этом режиме Telegram устанавливает прямое соединение от вашего устройства к устройству собеседника, и становится возможным определить IP-адрес.
Ставим "Кто может мне звонить" в значение "Мои контакты", если вы готовы добавлять вручную аккаунты в контакты и следить за их "чистотой". Ставим опцию "Peer To Peer" в значение "Никто".
Фотография профиля
При включённой опции другие аккаунты теряют возможность видеть ваш аватар. Эта довольно полезная опция тоже ограничена уровнем доступа контактов, но также может быть включена вручную для конкретных аккаунтов.
Ставим опцию в значение "Мои контакты". Помним при этом ограниченное доверие к группе контактов (см. выше).
Пересылка сообщений
С определённой версии Telegram научился для пересланных (forward) сообщений убирать ссылку на автора. Таким образом, даже если ваше сообщение скопируют в другой чат, через него невозможно будет выйти на ваш профиль. Ранее это позволяло отслеживать аккаунты, которые оставили хотя бы одно сообщение в любом чате.
Ставим опцию "Кто может ссылаться на мой аккаунт при пересылке сообщений" в значение "Никто".
ВКонтакте
Настройки
Общее
Блок "Настройки профиля". Включаем опцию "Скрывать блок подарков".
Приватность
Для всех настроек в списках ниже сначала выставляем "Только я", при необходимости добавляем людей через опции "Только друзья", Некоторые друзья" или "Все друзья, кроме...".
В блоке "Кого видно в списке моих друзей и подписок" выбираем всех друзей и все подписки.
Заходим в панель управления "Отметки на фото" и снимаем все галочки:
Связь со мной
"С кем устанавливать прямое соединение в звонках" - выбираем "Только друзья"
"Кто может найти мой профиль при импорте контактов" - выбираем "Никто"
"Что видно вместо моего фото при импорте контактов" - выбираем "Картинку с буквой"
Прочее
"Кому в интернете видна моя страница" - выбираем "Только пользователям ВКонтакте"
"Какие обновления видят в новостях мои друзья" - снимаем все отметки
"Тип профиля" - "Закрытый"
"Кто видит количество моих шагов в Шагах ВКонтакте" - выбираем "Только я"
"Кто может видеть мою активность в играх" - выбираем "Никто"
"Кто может видеть мою активность в мини-приложениях" - выбираем "Никто"
Привязывать телефон к аккаунту - не всегда хорошая идея
Не используйте подтверждение через номер телефона там, где это необязательно.
[tooltip=355]2FA[/tooltip] используется для усиления безопасности. Используйте дополнительный фактор для входа в сайт, когда вы осознаете, что аккаунт на конкретном сайте для вас важен (переписки, покупки, финансы), и что вы сознательно будете подтверждать вход каждый раз.
Однако, если есть выбор, что именно использовать для подтверждения, - номер телефона либо что-то другое - то используйте другое. Компании заинтересованы в том, чтобы знать ваш номер: рассылать вам СМС, проверять вашу личность, связывать её с другими сайтами. Так же легко они выдадут часть вашего номера при попытке входа в ваш аккаунт или когда ваш друг даст приложению доступ к своим контактам.
Также плохой идеей будет привязывать чужой телефон. Например, привязать телефон бабушки к своему аккаунту в Google, потому что Google зачем-то потребовал от вас добавить телефон. Зная ваш аккаунт, будет возможно получить часть номера телефона бабушки через, например, восстановление доступа.
Где вообще возможны утечки информации о ваших учётных записях?
Во всех этих местах возможна утечка второго фактора (номера телефона), который вы привязываете к аккаунту.
Удаление информации о себе
Удаление собственных аккаунтов
Несмотря на то, что интернет всё помнит, удаление аккаунтов остаётся одним из самых сильных средств против базовой разведки по вам. Кажется, что это тривиальная тема, но есть несколько важных нюансов:
Перед удалением:
После этого аккаунт можно удалять встроенными средствами платформы.
[tooltip=529]Запрос[/tooltip] на удаление
Не во всех сервисах удаление возможно штатными средствами. Или же оно спрятано так глубоко, что найти его невозможно. К счастью, есть вспомогательные сайты с информацией о том, как удалиться.
Даже если вы не смогли найти инструкцию по удалению для нужного вам сайта - не отчаивайтесь. Всегда остаётся возможность написать в поддержку и запросить удаление вашей учётной записи согласно GDPR.
Удаление выдачи в поисковиках
Google предлагает целый ряд различных форм, через которых можно запросить удаление и обновление контента в поисковой выдаче.
Удаление информации об утечках
Удаления себя из Telegram-бота Глаз Бога
В Глазе Бога реализован [tooltip=529]запрос[/tooltip] на удаление личных данных в пункте меню Аккаунт бота. После заполнения анкеты с ФИО, номером телефона, датой рождения и e-mail заявка рассматривается несколько дней. После принятия заявки введённые вами данные удаляются из поиска другими людьми, а при попытке поиска вы получаете уведомление.
[IMG=align=left;alt=%5BIMG%5D]https://lztcdn.com/files/e082242f-0076-4671-9fce-e08b4f9cd824.webp[/IMG]
[IMG=align=left;alt=%5BIMG%5D]
[IMG=align=left;alt=%5BIMG%5D]https://lztcdn.com/files/e913c9af-9c7e-4bf9-bb20-5a23d1a8c2cb.webp[/IMG]
[IMG=align=left;alt=%5BIMG%5D]https://lztcdn.com/files/a068900b-7656-475a-8d09-ab73dc30fb7c.webp[/IMG]
Блокировка поиска по себе из Telegram-бота TELESINT
TeleSINT предоставляет возможность скрывать себя от поиска, присылать оповещения, если вас пытаются найти через бота, а также просматривать список тех, кто вас искал. К сожалению, для этого нужна платная подписка.
Скрытие данных о себе из Telegram-бота Quick [tooltip=409]OSINT[/tooltip]
В Политике обработки персональных данных сервиса сказано:
Срок обработки персональных данных является неограниченным. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление @Quick_OSINT_support с пометкой «Отзыв согласия на обработку персональных данных».
Все [tooltip=529]запросы[/tooltip] на удаление обрабатываются вручную, необходимо заполнить заявление о блокировке данных из общедоступных источников с указанием полных паспортных данных, адреса бота, а также идентификаторов для блокировки, после чего отправить его фото или сканированное изображение Оператору. Данные удалят в течение 7 дней.
Скрытие данных о себе из Telegram-бота Insight
Для скрытия данных о себе в боте Insight необходимо:
Скрытие данных о себе из Telegram-бота GTA
Для скрытия данных о себе в боте GTA (Global Tech Aggregator) достаточно удалить данные о вашем номере: Мой аккаунт, Моя статистика, Удалить мой номер, поделиться номером телефона и нажать "Подтвердить".
После этого при попытках поиска по вашим данным будет отображаться сообщение "владелец номера ограничил доступ", но при этом возможные имена в телефонных книгах останутся доступны. Также вы будете получать уведомления при попытках поиска.
Отключение поиска данных о своём номере в GetContact
В GetContact возможно произвольно отключить отображение имён, которые известны по вашему номеру, либо отключить поиск совсем.
Чтобы сделать это, надо перейти по этой ссылке и авторизоваться через мессенджер, затем выключить.
Также надо отметить, что в этом разделе сайта можно отслеживать поисковые [tooltip=529]запросы[/tooltip] по вашему номеру. При отключении поиска эта возможность теряется так же как и получение нотификаций о поиске вас из приложения. Однако, при повторном входе в приложение GetContact эта возможность возвращается.
Россия
Документы
Все приведённые ниже идентификаторы можно использовать для поиска владельца.
Главный государственный сервис - Госуслуги. Возможно восстановление доступа через любой из первых трёх документов физического лица, при этом раскроется часть вашего мобильного телефона или почты. Не рекомендуется вносить СНИЛС или ИНН в личный кабинет без явной необходимости.
[tooltip=414]Пробив[/tooltip]
Какие услуги по получению данных через сотрудников доступны в России?
Утечки данных в публичный доступ
В декабре 2021 года произошла утечка программного кода регионального сайта Госуслуг. Федеральный сайт не был затронут, но вероятность утечки данных с него существует.
В феврале 2022 года произошла утечка базы доставки Яндекс.Еды. Были опубликованы имена и фамилии клиентов, номера телефонов, полный адрес доставки клиента и комментарии к заказу. Всего почти 7 миллионов уникальных номеров из РФ и Казахстана, даты с 19.06.2021 по 04.02.2022. Для проверки своих данных энтузиастами был поднят сервис https://saverudata.info/.
Другие утечки
Украина
Документы
Все приведённые ниже идентификаторы можно использовать для поиска владельца.
Государственные сервисы:
В январе 2022 года появилась информация об утечке [tooltip=71]базы[/tooltip] сервиса Дія. Несмотря на заверения властей о том, что утечка фальшивая, энтузиастами было подтверждено её происхождение.
Проверить факт утечки ваших данных из сервиса можно здесь.
Беларусь
Документы
Все приведённые ниже идентификаторы можно использовать для поиска владельца.
[tooltip=414]Пробив[/tooltip]
Утечки данных в публичный доступ
В 2021 было хакеры заявили о получении доступа к АИС "ГАИ-Центр", АИС "Паспорт", к базе УСБ и "Беспорядки" МВД Беларуси, а также о взломе БД сотрудников СК Беларуси. В публичном доступе были выложены только некоторые данные, но журналистам также предоставили возможность проверить персональные данные конкретных людей и проанализировать массив персональных данных 1.4 миллиона умерших жителей.
В феврале 2022 года произошла утечка базы доставки Яндекс.Еды. Были опубликованы имена и фамилии клиентов, номера телефонов, полный адрес доставки клиента и комментарии к заказу. Всего 206 тысяч уникальных номеров из Беларуси, даты с 19.06.2021 по 04.02.2022. Для проверки своих данных энтузиастами был поднят сервис https://saverudata.info/.
Статья подошла к концу.
Надеюсь вы взяли для себя достаточное количество информации :finger_up:
Заранее предупреждаю, текста будет очень много.
Я собрал руководство по небольшим отрывкам из Даркнета и соединил в одно единое.
Это руководство не про анонимность.
Анонимность - это полное скрытие информации о себе, вплоть до личности. Чтобы было невозможно понять, кто вы. Поддерживать анонимность в Сети трудно даже людям из организованных хакерских группировок. Начинать следует с приватности - скрытии информации о вашей личной жизни. Поддерживать приватность проще, это как гигиена.
Это руководство не про сопротивление большому брату и корпорациям.
У меня нет цели рассказать вам, как стать неуловимым и не дать заработать на себе большим компаниям. Вы уже в системе, вас уже используют, вы уже товар. А если вы уверенно возражаете и считаете себя анонимным - вероятно, вы находитесь в другой системе, может даже криминальной, и вряд ли почерпнёте здесь что-то новое.
Это руководство про ценность личной информации.
Каждый волен сам решать, что ему скрывать. Мне лишь хочется показать, как используются данные, которые вы не скрыли, и как пресечь это использование. Как понять, насколько ценна информация, которую вы собираетесь ввести в окошко и нажать кнопку "Сохранить". Как не продать свои персональные данные по цене шавермы.
Это руководство про приватность и counter-[tooltip=409]OSINT[/tooltip].
Вы узнаете о том, как мыслят люди, которые собирают информацию о вас. Чем они пользуются и руководствуются, какие данные для них важны. Что они с этой информацией могут сделать (и делают!).
И, конечно же, вы получите инструкции по тому, как свести риски потери вашей приватности к нулю. Фактически, это путеводитель для новичков в мир персональной контрразведки.
Трудно оставаться вне зоны доступа в наше цифровое время. Отшельник может иметь телефон для экстренной связи, а собака, хоть и не каждая, - аккаунт в Инстаграме.
Проникновение социальных сетей и средств связи могло бы быть исключительно позитивным, если бы не приводило к массе печальных последствий. От звонков фальшивых сотрудников Сбербанка с просьбой продиктовать пароль из СМС, и до коллекторов, внезапно требующих вернуть кредит, взятый на ваш паспорт.
В последние годы появился тренд на приватность и защиту информации о пользователях: GDPR, CCPA, LGBD. Компании обязали заботиться о сохранности персональных данных и о предотвращении их утечек. Но стали они собирать о нас меньше информации? Никак нет. Для них наши данные - источник прибыли.
Но и ужесточения правовых норм для компаний недостаточно. Вы наверняка оставили много "хлебных крошек", потому что уже не первый год в Интернете. Старые аккаунты, объявления, публичные переписки, фотографии. По этим следам можно вплотную подойти к вам и использовать это в любых целях.
Огромный массив данных о людях, который возможно легко собрать подручными средствами, привёл к популярности [tooltip=409]OSINT[/tooltip] - методологии сбора данных из открытых источников. Часто под этим термином сейчас подразумевают средства слежки за людьми, хотя изначально это методология разведки. Любое средство можно использовать как в благих, так и в плохих целях - об этом следует не забывать.
Чтобы понять, какие данные важнее и что следует больше защищать, необходимо знать современные реалии с поправкой на Рунет. Это мы и разберём далее, и чтобы попытаться быть объективными, используем OPSEC.
Термин OPSEC, как и [tooltip=409]OSINT[/tooltip], пришёл из американской разведки. Он означает процесс анализа и защиты критически важной информации.
Для начала перечислим все первичные данные, которые так или иначе раскрывают нашу личность, но существуют физически вне Интернета.
- Фамилия, имя, отчество
- Дата рождения
- Паспортные данные (серия, номер и т.д.)
- Физический адрес
- Личные документы (водительское удостоверение и т.д.)
- Биометрические данные
- Прочая личная и идентифицирующая информация
Таких данных не так много. Но, имея хотя бы часть, можно притвориться вами и обмануть третих лиц. Например, разослать знакомым сообщение с просьбой срочно перевести деньги из-за трудной ситуации.
При этом мошенники не обязательно будут заинтересованы конкретно в вашей личности. Например, они могут купить базу и сотни "свежих" паспортов, чтобы привязывать паспортные данные к электронным кошелькам QIWI для увеличения лимитов по выводу денег.
Любые личные данные могут быть использованы. Например, восстановление доступа к аккаунтам социальных сетей часто требует ответить на контрольный вопрос. Таким образом, знание девичьей фамилии матери или любимого музыканта повышает шансы взломать вас.
Очевидно, что знания первичных данных недостаточно для проведения мошеннических схем. Таковые обычного основаны на социальной инженерии и предполагают дистанционное взаимодействие через звонок или сообщения. То есть, мы неявно подразумеваем, что у недоброжелателям уже известны наши вторичные данные, виртуальные идентификаторы - номер телефона, электронная почта, адрес аккаунта социальной сети. Таким образом, получение информации об этих данных несет в себе не меньшую угрозу.
Базовая цифровая гигиена
Сформулируем нашу цель так: минимизировать количество данных, которые можно собрать о вас в одном месте.
Не класть яйца в одну корзину.
Почему это важно?
Пример 1
Вы пользуетесь услугами компании, которая тратит слишком мало денег на безопасность. В один прекрасный момент их взламывают, и вся клиентская [tooltip=71]база[/tooltip] оказывается в руках злоумышленников: телефоны, почтовые адреса, имена, фамилии, ваши покупки. Почти всегда такие [tooltip=71]базы[/tooltip] в итоге оказываются в публичном доступе. В итоге ваши данные станут доступны всем желающим.
Пример 2
Вы пользуетесь услугами компании в высококонкурентном бизнесе, где цена данных клиентов очень высока. Некоторые сотрудники уходят к компаниям-конкурентам, скопировав себе клиентскую базу. Каким образом эта [tooltip=71]база[/tooltip] будет использована, и не пойдёт ли она дальше по рукам - нет никаких гарантий.
Пример 3
Вы пользуетесь услугами компании, которая собирает данные своих клиентов, чтобы предлагать скидки и акции. Для этого они рассылают рекламу, пользуясь услугами другой компании. Эта компания делает рассылки постоянно, и заинтересована иметь свои данные по клиентам. Поэтому у второй компании накапливаются [tooltip=71]базы[/tooltip] с данными чужих клиентов, которые могут быть потом переиспользованы для других рассылок.
Наверняка у вас возникло возражение: неужели это никак не контролируются законом? Они не могут легально пользоваться этими данными!
К сожалению, законодательство в сфере обработки персональных данных (ПДн) не поспевает за реалиями. Обмен виртуальными (не физическими!) данными трудно отследить и пресечь. Более того, рынок нелегального обмена ПДн настолько развит, что большие игроки лоббируют его легализацию. В таких условиях нельзя положиться на защиту государства или гарантии компаний, и нам необходимо относиться более сознательно к тому, какие данные и в каком количестве мы отдаём другим.
Телефонный номер
Ранее мы говорили, что телефонный номер - это вторичный идентификатор. С точки зрения здравого смысла это так: вы можете избавиться от телефона, разорвать контракт с оператором, а может приобрести 100 номеров, и тогда любопытные погрузятся в аналитический паралич, пытаясь с этим разобраться.
Но с точки зрения онлайн-платформ телефон - самое удобное средство связи с вами и подтверждения вашей личности. Поэтому практически все используют номер в качестве первичного, уникального идентификатора.
Отсюда следует очевидный вывод. Почти любой сайт знает ваш телефонный номер и обладает своими сведениями о вас. Этими сведениями сайт может обмениваться (и делает это!) с другими компаниями - в рамках услуг, за деньги, бартером.
Примеры таких сайтов и платформ:
- Системы авторизации в публичном Wi-Fi (97-ФЗ)
- Скидочные и дисконтные карты
- Авторизация / верификация в социальных сетях и мессенджерах
Соединив все кусочки информации по вашему номеру телефона из разных мест, можно собрать ваш портрет. Что с этим делать?
Разделяем личную жизнь и работу
Почти все мы имеем рабочие и личные дела. Поэтому начать стоит с разделения этих сфер жизни.
Большинство крупных компаний предлагают сотрудникам корпоративную связь: или вы берёте новую сим-карту от компании, или на ваш личный номер подключают рабочий тариф.
Но даже если такой возможности нет, всегда заводите отдельный номер телефона. У меня есть несколько аргументов:
- Ваши аккаунты невозможно будет связать по номерам автоматически, кроме как через договор с оператором. А это уже высокий уровень защиты!
- С отдельным телефоном на порядок легче мыслить в категориях приватности. У вас есть выбор, какой номер привязать к смс-банкингу, а какой на публичном сайте компании.
- Работа есть работа, она должна быть отделена от отдыха и вашей личной жизни. И второй телефон пойдёт только на пользу. :)
Используем виртуальный номер
Разумеется, подобные сервисы не рекомендуется использовать для получения чувствительной информации и привязывания к своим личным аккаунтам, так как полученные сообщения и коды доступа может увидеть кто угодно.
Почтовый ящик
Адрес электронный почты был и остаётся самым распространённым идентификатором для аккаунта в Сети. У вас может не быть телефонного номера, но у вас должен быть ящик - это неписанное правило.
Наличие электронной почты само по себе раскрывает о вас некоторую информацию. Прежде всего, это алиас, имя ящика, слева от символа собаки "@". Первый и очевиднейший совет -- не стоит выбирать именем ваши инициалы, фамилию и год рождения, если это не сугубо личный или рабочий ящик.
Второй, но немаловажный совет -- внимательно изучите провайдера электронной почты. Наиболее известные бесплатные сервисы почты "вдогонку" к email дают вам аккаунты в других продуктах. Это относится прежде всего к Google и Яндекс, так как эти компании ведут свой бизнес в большом количестве других сфер, и предоставить вам бесплатный ящик за то, что вы станете пассивным потребителем десятка других сервисов -- их хлеб.
Разделение личностей
Долой ящики для подписок, мусора и спама
Отдельно стоит отметить привычку большого количества людей использовать отдельный "мусорный" почтовый ящик для некритичных сервисов и разнообразных спам-подписок. Само по себе разделение почтовых ящиков полезно, но только если оно сознательно (см. выше).
Если же вы не заглядываете в такой ящик, и письма там лежат непрочитанными тысячами и более, то это важный сигнал: разберитесь, действительно ли вам нужен этот ящик. Если нет, то отпишитесь от всех рассылок и удалите связанные с ним аккаунты, чтобы минимизировать вероятность использования этого email-адреса для сбора информации о вас.
Одноразовые ящики электронной почты
Существует большое количество сервисов, предоставляющих одноразовые почтовые ящики на 10-15 минут. Они хороши для одноразовых регистраций на сайтах, куда вы попадаете в первый раз и больше, скорее всего, не воспользуетесь. Здесь рассмотрим те сервисы, которые создаются на случайных доменах с абсолютно случайным именем.
Общедоступные ящики электронной почты
Также в Интернете можно найти сервисы, которые дают возможность использовать ваш алиас для временного ящика. Такие почтовые адреса удобно использовать для сервисов, в которых email должен выглядеть правдоподобно.
Пересылка почты с других почтовых ящиков
Сервисы, которые позволяют пересылать письма используют, так называемые "маски", позволяющие скрыть ваш настоящий электронный адрес.
Принцип работы очень простой:
- Адрес-маска получает письмо
- С этого адреса идет пересылка письма на ваш настоящий адрес
Пример на основе Firefox Relay.
Сначала предоставляется маска, которая скрывает настоящий адрес.
Теперь, используя данный адрес-маску мы можем получать письма на свой электронный адрес, не показывая его всему Интернету.
- SimpleLogin
- AnonAddy - делает адреса по шаблону *@ivanov.anonaddy.com
- Firefox Relay - делает случайные адреса на домене mozmail.com
- erine.email - делает адреса по шаблону *[email protected]
Фамилия, имя, отчество, дата рождения
Почему эта информация вынесена в отдельный раздел? Как правило, ФИО и даты достаточно, чтобы найти конкретного человека, так как вероятность совпадения всех этих данных у двух людей очень низкая.
Государственные учреждения
В различных областях действуют нормы, обязывающие или поощряющие публикацию документов с персональными данными. С одной стороны, открытость в этих областях помогает прозрачности в отрасли (например, госзакупки, списки прошедших/выпускников), но нас более волнует, что, однажды попав в такой документ, нам будет сложно из него удалиться.
К России относятся следующее:
- списки абитуриентов в университетах: часто выкладываются с полными ФИО, количеством баллов, из года приказа о зачислении можно сделать вывод о возрасте;
- информация об индивидуальных предпринимателях, руководителях и учредителях компаний (ЕГРЮЛ/ЕГРИП);
- публичные картотеки судебных дел: однажды совершив правонарушение и даже сумев оправдаться, вас можно будет найти по истории дел;
- общедоступные телефонные базы: большей частью содержат неактуальную информацию, но с привязкой к дому и квартире;
- публичные реестры задолженностей и залогов;
- и так далее.
Вход через другой сайт (Single sign-on)
Современная архитектура авторизации и регистрации в онлайн-сервисах предполагает активное использование сторонних "проверенных" учётных записей. Например, почти везде в зарубежном сегменте интернета есть возможность входа через Facebook, в то время как в России всё больше распространяется вход через VK. В каких-то сервисах это подразумевается неявно, например, вход в YouTube через Google-аккаунт.
Если вы таким образом авторизуетесь на неосновном и общедоступном устройстве (например, телевизор или игровая приставка), то есть риск раскрытия о себе публично отображаемой информации, например, имени и фамилии. Для минимизации этого риска стоит переименовывать аккаунт с "Имя Фамилия" на что-нибудь нейтральное, например, "Аккаунт".
Адрес и местоположение
Для начала выделим несколько сущностей, на которые имеет смысл обращать внимание с точки зрения OPSEC.
Это:
- геолокация: ваше местоположение в реальном времени, которое чаще всего утекает по цифровым каналам; это могут быть как координаты, так и адрес до квартиры;
- адрес постоянной регистрации: то, что чаще всего называют "пропиской" - анахронизм постсоветской России, требуемый во многих государственных системах, но почти везде вытесняемый следующим адресом
- адрес фактического проживания: адрес, по которому вы "временно зарегистрированы", также требуемый различными законами и актами для возможности оказания вам различных услуг.
К сожалению, в отличие от США, где ваш адрес = ваш почтовый ящик, в России адрес строго привязан к физической недвижимости. Поэтому у нас невозможны фокусы с "кочевничеством" как в Техасе или Южной Дакоте, где вам необязательно иметь место жительства. Однако, есть возможность использовать абонентские ящики, о чём сказано ниже.
Как предотвратить утечки адресов
- Не публикуйте фотографии в "сыром" виде, файлами. Часто они содержат информацию о месте съёмки.
- Если пользуетесь доставкой, указывайте минимально необходимое количество информации в стандартных полях адреса. Самый предпочтительный вариант - указать лишь номер дома и встретить курьера снаружи. Всё остальное (этаж/квартира/домофон) пишите в поле дополнительной информации - курьер его легко прочтёт, а вот в базу данных с вашим адресом такая неструктурированная информация попадёт с меньшей вероятностью.
Использование абонентских ящиков
В России есть единый государственный оператор почтовой сети: Почта России. Он осуществляет большинство почтовых отправлений.
Для доставки обычно используется адрес пребывания человека и его имя, т.е., необходимо указывать ФИО, почтовый индекс, а также полный адрес, включая номер квартиры. Обычные письма или извещения о заказных письмах/посылках доставляются почтальонами вплоть до почтового ящика на двери дома или в подъезде многоквартирного дома.
Однако, существует возможность анонимной для отправителя доставки писем с использованием абонентских ящиков. Это выделенный ящик для почты в конкретном почтовом подразделении. Каждый ящик имеет свой номер, онлайн можно выбрать любой незанятый, наппример, 777. Также при договоре заключении аренды ему можно присвоить произвольное имя - это платная (и относительно дорогая) услуга. Единственный минус с точки зрения приватности - для аренды ящика необходимо создать аккаунт на abox.pochta.ru, указав свой номер телефона и паспортные данные.
После заключения договора вы получите ключ от ящика, и можете открыть его в любое время. Но важно понимать, что ящики расположены на территории почтовых отделений, и доступ к ним регламентирован его временем работы. Поэтому удобнее выбирать самые большие отделения, где абонентский отдел работает круглосуточно. В Москве, например, это почта на улице Мясницкой, индекс 101000.
Каким образом теперь отправлять письма? В качестве адреса просите ваших корреспондентов указывать только индекс и номер ящика. Возьмём примеры выше.
Каноничная запись: 101000, а/я 777
Или же коротко: 101000, 777
А если вы присвоили ящику имя "Свалка", то: 101000, свалка
[tooltip=744]Правила[/tooltip] доставки отправлений касаются и абонентских ящиков. Это значит, что для заказных писем вам будут класть только извещения, и для их получения необходимо продиктовать работнику абонентского отдела номер телефона, получить смс, и только после этого вам выдадут письмо. Но обычные письма, конечно, будут класть прямо в ящик.
Пароль
Главный принцип: Никогда не используйте одинаковые или похожие пароли
По двум причинам:
- Имея вашу почту и пароль от сайта 1, кто-нибудь обязательно попробует зайти с ними на сайт 2 - и дело не лично в вас, рынок продажи взломанных аккаунтов очень большой, а это товар.
- Если данные о ваших аккаунтах вместе с паролями всплыли в утечках, то получится сопоставить между собой даже совершенно разные почты и номера телефонов.
Но как держать в голове много паролей? И где их брать? Советую не относиться ко всем паролям как к данным, которые всегда должны быть у вас в голове. Экономьте место у себя в памяти.
Самый оптимальный способ: создание одного достаточно длинного пароля-фразы для хранилища паролей (или для учётной записи, к которой привязан ваш браузер, в котором хранятся все пароли).
Как придумывать стойкие пароли
Стандартные рекомендации по использованию 8 символов, которые включают в себя специальные символы, буквы, цифры не работают! Ведь P@ssw0rd тоже подходить под эти требования, а это не самый крутой пароль, поэтому давайте разбирать методы для создания стойких паролей.
Три случайных слова
Существует простой, но действенный метод для создания паролей - метод 3-х случайных слов.
В чем заключается данный метод? Когда мы регистрируем новый аккаунт, мы просто придумываем 3 случайных слова и ставим их как наш пароль, например: NETWORKINGHYGIENEDEVELOPMENT согласитесь, это намного легче запомнить, чем: asndjBDHJBSDhjSBADHJadbzhjF, да и простым перебором по словарю перебрать такое будет достаточно сложно.
Такие пароли можно усилить, используя LEET, заменяя некоторые буквы на цифры, то есть наш пароль будет иметь следующий вид: N3TW0RKHY6I3N3D3V3L0PM3NT Таким образом наш пароль становится более стойким, приэтом его сложность для запоминания увиличивается не на много, а если вы были знакомы с LEET, до этого, то вам будет еще проще.
Для еще большей стойкости можно разделять слова при помощи разных спецсимволов, например: -, ~, =.
Русские слова в английской раскладке
Еще один простой, но действенный метод - использование случайных русских слов в английской раскладке.
Мы просто берем случайные слова на русском языке и пишим их в английской раскладке, например из ехалгрекачерезреку мы можем получить следующее t[fkuhtrfxthtphtre.
Выглядит интересно и довольно стойко, но можно дополнять символами/цифрами в конце, например: t[fkuhtrfxthtphtre123! t[fkuhtrfxthtphtre34345!
Менеджеры паролей
Это то, чем должен пользоваться каждый! Вспоминаем главный принцип из первой строки и сразу в голову приходит вопрос - "Ну, мне что теперь, запоминать 100 паролей!?!?". Нет, не нужно запоминать 100 паролей, требуется один, это пароль от менеджера паролей.
Менеджер паролей позволит генерировать стойкие пароли и хранить их в одном, а что главное - безопасном месте.
Личной рекомендацией будет сервис Bitwarden (Не реклама!) Для личного использования его хватит с головой, бесплатная версия включает хранение неограниченного количества паролей, использование с неограниченного количества устройств и все основные функции менеджеров паролей. Помимо хранения паролей, также можно хранить свои номера банковских карточек и заметки. Генератор паролей позволяет сгенерировать стойкий пароль и проверить его в утечках, что несомненно является одной из "Killer Feature".
Фотография
К сожалению, фотографии (и вообще любые изображения) уже давно стали легко распознаваемым и индексируемым контентом. Поисковики могут искать похожие фотографии, различать на них текст, предметы, конкретных людей. Социальные сети могут распознать вас на произвольной фотографии и поставить там отметку со ссылкой на вас даже без вашего ведома.
Но, к счастью, в последние годы тренд на приватность усилился, и поэтому соцсети вводят разумные ограничения на распознавание людей. А поисковики и вовсе отказываются от точного поиска по лицам. Это снижает вероятность злостного использования таких функций, но не мешает использовать подобные технологии в целом. Сейчас инструменты распознавания можно легко создать самостоятельно либо использовать условно-бесплатные аналоги.
Как проверить себя
На постсоветском пространстве для поиска по фотографии лица всё ещё можно использовать Яндекс. Также из бесплатных специализированных поисковиков можно отметить search4faces, позволяющий искать по фотографиям из ВКонтакте, Одноклассников, TikTok, Clubhouse.
Если вы активно использовали социальные сети, то можете обнаружить не только свой аккаунт, но и фотографии с вашим лицом в аккаунтах ваших друзей, знакомых или других людей, которые даже не имеют к вам отношения. Разумеется, такие фото удалить чрезвычайно затруднительно, и если вы не хотите, чтобы они указывали на вас, то следует грамотно удалить аккаунт.
Фото лица как биометрия
Клоакинг
Для борьбы с инструментами распознавания людей на изображениях используется так называемый клоакинг. Суть метода в искажении фотографии таки образом, чтобы визуально мы воспринимали её как оригинал, но программы не видели там человека или лица.
Методы для искажения бывают как ручными (блюр/ретушь/искажение отдельных частей фото), так и автоматическими. Из последних можно отметить специальные программы, которые используют алгоритмы распознавания лиц в обратную сторону, модифицируя фотографию так, чтобы поиск был не возможен. Пример такой программы: Fawkes.
Разумеется, подобная постобработка фото или видео не поможет превентивно. Для затруднения распознавания лиц "умными камерами" в реальной жизни придумываются оригинальные и не очень способы, примеры можно прочесть по ссылкам в конце страницы.
Метаданные фотографий и прочее в этом разделе - [tooltip=409]Osint[/tooltip] фотографий
Утечки баз данных и [tooltip=414]пробив[/tooltip]
Паспортные данные
Внимательно подходите к выбору мест при оформлении сим-карт. Чем менее оно престижно, тем больше вероятность утечки из него сканов паспортов, которые необходимы при регистрации номера. Выбирайте официальные салоны операторов; места, где оказывается максимальное количество услуг и для физических, и для юридических лиц.
Известные большие утечки
В феврале 2022 года произошла утечка базы доставки Яндекс.Еды. Были опубликованы имена и фамилии клиентов, номера телефонов, полный адрес доставки клиента и комментарии к заказу. Всего почти 7 миллионов уникальных номеров из России, Казахстана и Беларуси, даты с 19.06.2021 по 04.02.2022.
Для проверки своих данных энтузиастами был поднят сервис
Как удалить себя из утечек?
Никак. Вы можете попросить популярные сервисы убрать вашу запись, но вы ничего не сделаете с огромным количеством копий баз данных, которые уже разошлись по рукам, частным и закрытым сервисам.
Определение источника утечки
Поиск себя в утечках
Существует много сайтов, которые позволяют по телефону, почте или даже ФИО самостоятельно найти себя в утечках информации и слитых базах. Использовать их надо с осторожностью, потому что за любым онлайн-поиском может стоять дополнительная цель в обогащении данных. Например, сбор IP-адреса, связывание нескольких поисков одного человека для сбора информации о его окружении.
Поэтому предпочтительным вариантом всегда остаётся самостоятельный поиск в файлах утечек. Но это может быть затруднительно: надо найти файл (или много файлов, если нужен исчерпывающий поиск), понять его структуру, выполнить эффективный поиск.
Если же вы пошли более простым путём, то рекомендую использовать такие ресурсы, по убыванию рисков:
Общеизвестные безопасные площадки
Самая известная: Have I Been Pwned, поддерживаемая известным безопасником и дающая гарантии приватности.
Другие:
Коммерческие альтернативы
Часто дают условно-бесплатный доступ, найти разные сайты можно по ключевым словам check, leak:
Боты в Telegram
- https://t.me/PhoneLeaks_bot - поиск источников утечки
Большинство ботов не указывают источник, из которого получена информация. Список некоторых ресурсов: Google Spreadsheet.
Уведомления
Некоторые из перечисленных выше сайтов также предоставляют функциональность уведомлений вам на почту, если произошла новая утечка с вашими данными. Если вы ведёте активную виртуальную жизнь, то крайне рекомендую пользоваться таким сервисом.
Использование алиасов/фейковых почтовых адресов
Gmail и другие крупные почтовые сервисы поддерживают специальные символы для создания алиасов вашего почтового ящика. Почта, отправленная на алиас, придёт к вам, но в поле "Получатель" вы будете явно видеть, куда она пришла.
То есть, [email protected] будет эквивалентен [email protected]:
Строго рекомендуется использовать эту возможность во всех сайтах, где она поддерживается. Таким образом:
- Вы в случае утечек или рассылки спама будете точно знать, откуда была получена почта.
- В случае целенаправленного сбора информации по вашему email информация с нескольких сайтов с меньшей вероятностью будет объединена в одно досье.
Разумеется, при сборе утечек часто используется нормализация почт: удаление подобных частей алиасов и очистка лишнего. Поэтому можно говорить только про снижение риска, а не стопроцентную защиту.
Отдельно стоит упомянуть про указание почтовых адресов для отправки чеков при покупках в Интернете.
Согласно п. 2 ст.1.2 закона № 54-ФЗ, кассовый чек должен быть направлен в электронной форме,
если покупатель сообщил свой абонентский номер или адрес электронной почты до момента расчета.
Этим пользуются такие крупные Telegram-боты как Глаз Бога, сохраняя себе всю вашу платёжную информацию и добавляя указанный email к той информации, которую выдаёт бот.
Поэтому, если вы не заинтересованы в чеке, то указывайте заведомо неправильный почтовый адрес, указывающий на источник утечки, например, [email protected]. Либо используйте упомянутые выше алиасы, явным образом раскрывающие, где ящик был указан.
Использование разных имён для отслеживания
Кроме непосредственно поиска себя в базах, вы можете проактивно оставить "маячки", по которым быстро найдёте сайт или компанию-виновника. Чаще всего в жизни это происходит при спам-звонках, в которых упоминают ваше имя, например, указанное на сайте с объявлениями.
Сайты по-разному относятся к корректности имени и фамилии аккаунтов. Кто-то требует того, чтобы они совпадали с паспортными данными (например, в ВК), кто-то только сверяет их с документами в случае финансовых операций, а большинство вообще не валидируют.
В зависимости от строгости правил сервиса (ToS, Terms of Service) можно использовать трюки, перечисленные ниже. Но перед использованием я настоятельно советую изучить, какие санции возможны, если вы укажете некорректное имя, и оценить эти риски для себя.
Используем имена/фамилии, созвучные либо начинающиеся с тех же букв, что и сайт/компания.
Таким образом, при утечке ФИО в связке с номером или почтой вы будете знать, откуда эта информация:
- Макдональдс: Максим
- ВКонтакте: Вова
- Одноклассники: Олег
Используем вариации имени кириллицей или латиницей
Прежде всего это относится к полной/сокращённой форме имени:
- Александр
- Саша
- Саня
- Шура
Но в силу различий между языками, у имени бывает по несколько "латинских" форм. Даже банки часто дают возможность выбора правильной транслитерации имён. Так, имя "Анатолий" может быть представлено как:
- Anatoly
- Anatolii
- Anatoliy
Канарейки
Канарейки очень чувствительны к примесям опасных газов в воздухе. Поэтому долгое время шахтёры брали их с собой в шахты: если птица переставала петь, то это значило, что дышать воздухом становится опасно.
Подобный же принцип используется и в информационной сфере. Многие компании используют уведомление пользователей о том, что за ними никто не следит, чтобы при получении судебного ордера убрать эту фразу. Тем самым компания даёт сигнал пользователям, что отсутствие слежки больше не гарантируется.
Но мы собираемся скрываться не от корпораций, а от любопытных лиц. Что мы можем предпринять?
Canary tokens
Возможно, вы видели ссылки в биографии на странице ВК, которые никуда не ведут (либо ведут в приложение "Узнай, кто за тобой шпионит" или вроде того). Это простейшая форма канарейки.
Существует замечательный онлайн-сервис - Canary Tokens, который позволяет создавать своих собственных канареек.
Он позволяет создать различного рода канарейки, которые мы можем использовать для детектирования любопытных сотрудников вашей организации или обнаружить компрометацию ваших систем еще до того как злоумышленник сможет выполнить некоторые деструктивные действия.
Какие виды можно сгенерировать и при каких условиях будет получено уведомление:
- URL-токен. При переходе по ссылке.
- DNS-токен. При разрешение доменного имени.
- AWS-ключи. При использовании ключа AWS.
- Microsoft Word/Excel Document. При открытии файла.
- Kubeconfing. При использовании Kubeconfig.
- WireGuard [tooltip=419]VPN[/tooltip]. При использовании конфига.
- Cloned Website. При клонировании веб-сайта.
- MySQL [tooltip=398]Dump[/tooltip]. При загрузке дампа MySQL.
- [tooltip=566]Windows[/tooltip] Folder. При попытке открыть папку.
- Fast Redirect. При попытке посетить сайт, с последующим перенаправлением.
- Slow Redirect. При попытке посетить сайт, с последующим медленным перенаправлением, для получения большей информации.
- Custom Image Web [tooltip=583]Bug[/tooltip]. При просмотре вашей картинки.
- Acrobat Reader PDF Document. При открытии PDF документа в Adobe Reader.
- Custom exe / binary. При запуске исполняемых файлов.
- SQL Server. При загрузке [tooltip=71]базы[/tooltip] данных SQL Server.
- SVN. При открытии папки SVN.
- Unique email address. При отправке почты на электронный адрес.
Как сделать утечки бесполезными
Можно ли сделать утечки менее полезными при сборе информации о вас? Да, хоть это и не гарантированно поможет, а лишь усложнит жизнь тем, кто собирает про вас данные.
Разберём некоторые стратегии сопротивления, подходящие для случаев, когда данные о вас уже попали в Интернет.
Создание нового фейкового аккаунта
Создаём аккаунт с идентификаторами, которые используются в активном поиске по данным из утечек.
Фальшивые связи с общеиспользуемыми идентификаторами
Почты:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
Номера телефонов:
+79123456789
+79111111111
Приватность телефонных аппаратов
Тема приватности на мобильных устройствах заслуживает отдельного большого путеводителя. Данные пользователя представляют слишком большой финансовый интерес для всех вендоров. И если на западном рынке наблюдаются подвижки в сторону приватности (например, Apple урезает возможность сбора данных всем сторонним приложениям, а Google с каждой версией Android улучшает работу с доступами приложений), то на азиатском рынке (Samsung, Xiaomi и масса мелких вендоров) пользовательские данные оседают в больших количествах и бесконтрольно.
Что с этим можно сделать за короткое время и без сложных манипуляций вроде получения [tooltip=539]root[/tooltip] или jailbreak? К сожалению, самый минимум - следить за тем, какие приложения вы ставите и какие разрешения им даёте. Разберём самые очевидные случаи.
Контакты из телефонной книги
Многие приложения сделали свой бизнес только лишь на доступе к телефонной книге пользователя. Самое нашумевшее - GetContact, которое прошлось волной и по российским пользователям. Принцип прост -- связка из имени контакта и телефонного номера из вашей книги утекают на сервера, там объединяются в одну базу данных. После чего становится возможным узнать ФИО по номеру телефона, запросив напрямую в базе. А иногда и профессию, и возраст, и вообще что угодно. Для примера: "Иван ФСБ", "Александр Клиент", "Валерия Хрущёва 42", "Машка Петрова Якобы Модель". Сейчас все эти данные можно легко получить через Telegram-ботов.
Некоторые другие приложения (например, вполне официальные вроде Сбербанка) запрашивают доступ к телефонной книге, чтобы сократить телодвижения для переводам по номеру телефона на пару кликов. При этом, очевидно, контакты в любом случае загрузятся к ним на сервер, и что там с ними произойдёт - неизвестно.
Поэтому первым и очевидным шагом в сторону приватности (как себя, так и своих близких и знакомых) будет ограничение доступа к телефонной книге -- не даём его приложениям по запросу, т.к. они должны функционировать без него (Сбербанк прекрасно обходится и без этого). В противном случае внимательно изучаем приложение и ищем альтернативы, если оно безоговорочно требует дать ваши номера.
Устанавливаемые приложения
Продолжая тему из предыдущего абзаца: приложения для сбора контактов работали не только явно, но скрыто, внедряясь за деньги в другие, бесплатные приложения. Таким образом, большое количество невнимательных людей сами сливали свои данные, не обращая внимание на то, что очередная игра из Google Play запрашивает слишком много расширений. А лицензионные соглашения в наше время мало кто читает, увы.
Приватность соцсетей и мессенджеров
В этом разделе приведены описания настроек приватности для всех популярных сайтов и платформ на территории СНГ.
Напоминаю, что это руководство направлено на скрытие вашей информации от чужих глаз в Сети. К сожалению, практически всё, что вы пишете в соцсетях и мессенджерах, доступно самим платформам. То есть, большому количеству сотрудников этой компании, правоохранительным и другим органам, имеющим право эту информацию запрашивать, а также иногда большому количеству других лиц, полулегально поддерживающих деятельность сайта.
Полностью защититься от утечки своей личной информации - не пользоваться никакими платформами, не гарантирующими end-to-end шифрование и абсолютную безопасность ваших данных, но таких сайтов чрезвычайно мало, и их распространённость среди ваших друзей и знакомых наверняка близка у нулю.
В текущий момент оставим в стороне размышления о том, использовать или нет большие сайты, зарабатывающие на вас деньги и готовые продать ваши данные. Примем как факт, что вам приходится их использовать, и займёмся их настройкой.
Обсудим настройки приватности в самой популярной соцсети по всём мире - в Facebook. Как и в других главах, убираем общедоступность и по возможности ставим максимальные уровни, комментируя их предназначение и сопутствующие риски.
Для начала разберём уровни приватности, которые Facebook позволяет выставить для своей информации и публикаций.
- Доступно всем / Все - информацию будут видеть как все пользователи Facebook, так и весь Интернет - доступ будет открыт поисковикам.
- Друзья - информацию будут видеть только ваши друзья.
- Только я - информация будет отображаться только вам. Максимальная приватность!
- Настройки пользователя - гибкий настраиваемый список тех, кто может и кто не может видеть информацию. Доступны как отдельные люди, так и категории "Друзья" и "Друзья друзей".
Также для "Друзей и подписок" есть дополнительные уровни видимости "Друзья, кроме..." и "Определённые друзья", которые являются вариантами последнего.
Важное замечание: уровень "Друзья" предполагает, что этой группе людей вы можете доверять больше, но не стоит недооценивать возможности социальной инженерии. Вы можете без долгих раздумий подтвердить запрос на добавление в друзья человека, похожего на вашего знакомого. Который на деле таковым не окажется, а добавится исключительно ради получения вашей приватной информации.
Заходим в раздел "Настройки и конфиденциальность" => "Быстрые настройки конфиденциальности". Открываем первую карточку "Кто может видеть ваши публикации" и последовательно разбираем экраны с настройками.
Кто может видеть ваши публикации
Информация профиля
- Электронный адрес и Дата рождения - на деле эти данные нас идентифицируют, ставим Только я.
- Родной город и Город проживания - если они различаются, то третьи лица могут легко связать информацию о вас в молодости/до переезда с текущей информацией. В таком случае также рекомендуется ставить Только я.
- Образование - аналогично предыдущему пункту (эта информация может выдавать ваш родной).
- Работа - обычно не представляет тайны, если это публичная работа. Зависит от вашей ситуации.
- Кто может видеть список друзей в вашем профиле? и Кто может видеть людей, Страницы и списки, на которые вы подписаны? - информация о социальном графе потенциально даёт возможность узнать про вас многое из вышеперечисленного косвенным образом. Наверняка у вас в друзьях есть и сослуживцы, и одногруппники, и одноклассники. Поэтому также ставим "Только я".
Публикации и истории
- Будущие публикации - определяет, какое значение будет выставлено по умолчанию для новых постов. Позволяет избежать случайной публикации поста с неверными настройками приватности. Рекомендуется выставить "Друзья".
- Истории - они видны только 24 часа, но не только в Facebook, но и в Messenger. Не пренебрегаем рисками узнать информацию о нас через ещё одну платформах, поэтому выставляем "Друзья".
- Ограничить доступ к старым публикациям - важная настройка, которая даёт возможность массово сменить настройки видимости для всех старых публикаций. Нажимаем "Ограничить доступ" и подтверждаем своё решение.
Блокировка
В этом разделе можно добавлять людей в чёрный список. Нашей целью сейчас это не является, но если вы озаботились приватностью, зная о конкретном подозрительном профиле - заблокируйте его здесь.
Как люди могут находить вас на Facebook
Этот раздел в "Быстрых настройках конфиденциальности" очень важен для нас - он позволяет "разорвать связь" между вашим телефоном и почтой и аккаунтом.
[tooltip=529]Запросы[/tooltip] на добавление в друзья
Как уже упоминалось выше, добавление может быть инициировано только лишь ради того, чтобы увидеть ваши приватные данные.
Номер телефона и электронный адрес
Обе настройки выставлены во "Все". Это означает, что номеру телефона и адресу электронной почты вас можно найти через встроенный поиск Facebook! Разумеется, ставим "Только я".
Поисковые системы
Эта настройка включена по умолчанию и разрешает индексацию вашего профиля. Выключаем и тема самым запрещаем находить наш профиль в результатах поиска по имени Google, Yandex и т.д.
Telegram
Перейдём к настройкам приватности в мессенджере, который считается одним из самых приватных - в Telegram. Как и в других главах, убираем общедоступность и по возможности ставим максимальные уровни, комментируя их предназначение и сопутствующие риски.
Заходим в настройки, раздел "Конфиденциальность". Начнём с одноимённого подраздела.
Конфиденциальность
Telegram даёт возможность гибко управлять белыми и чёрными списками по доступу к вашим данным. Для пунктов в этом подразделе можно скрыть информацию от всех или показать всем либо использовать список ваших контактов. Также возможно добавлять точечно исключения в виде отдельных аккаунтов или всех людей, состоящих в определённых группах.
Контактами в данный момент в Telegram считаются не только те аккаунты, для которых вам известен телефон (так было ранее), но и аккаунты, вручную добавленные в контакты приложения. Поэтому полагаться на список контактов в настройках сильно не следует -- как минимум, в вашей телефонной книге уже могут быть посторонние номера, а контакты внутри приложения легко добавить по ошибке. Поэтому рекомендуется сделать ревизию телефонной книги либо вообще не расшаривать к ней доступ. Подробнее смотрите в разделе (доступов для мобильных приложений)(./mobile-apps-privacy.md).
Номер телефона
Ставим опцию "Кто видит мой номер телефона" в значение "Никто", иначе любой аккаунт в Telegram в любом чате сможет видеть ваш номер телефона.
Также видим, что есть опция "Кто может найти меня по номеру". Это одна из наиболее ценных настроек приватности Telegram. Она была добавлена исключительно из-за массовых протестов в Гонкконге и недовольства протестующих из-за той лёгкости, с которой полиция могла раскрывать их номера.
К сожалению, до сих пор эта опция не имеет значения "Никто". Ставим эту опцию в "Мои контакты", и теперь только аккаунты из ваших контактов смогут добавить вас по номеру телефона. Помним при этом ограниченное доверие к группе контактов (см. выше).
Последняя активность
В платформе есть особенность -- ограничения на время последней активности (был N минут назад в сети) действует в две стороны. Ставим в значение "Никто", но помним, что при этом и вы не сможете видеть активность других аккаунтов. К счастью, конкретных людей при необходимости можно добавить в исключения и удалить после проверки.
Группы и каналы
Разрешение на добавление вас в группы и каналы имеет ограничение -- нельзя запретить всем, но можно разрешить только своим контактам. Также для опции действуют отдельные точечные запреты.
Ставим опцию в значение "Мои контакты". Помним при этом ограниченное доверие к группе контактов (см. выше).
Звонки
Антиспам в Telegram работает хорошо, поэтому звонки от спамеров довольно редки. Также, к счастью, сам звонок не раскрывает о вас никакой информации, если не включён режим Peer-to-peer. В этом режиме Telegram устанавливает прямое соединение от вашего устройства к устройству собеседника, и становится возможным определить IP-адрес.
Ставим "Кто может мне звонить" в значение "Мои контакты", если вы готовы добавлять вручную аккаунты в контакты и следить за их "чистотой". Ставим опцию "Peer To Peer" в значение "Никто".
Фотография профиля
При включённой опции другие аккаунты теряют возможность видеть ваш аватар. Эта довольно полезная опция тоже ограничена уровнем доступа контактов, но также может быть включена вручную для конкретных аккаунтов.
Ставим опцию в значение "Мои контакты". Помним при этом ограниченное доверие к группе контактов (см. выше).
Пересылка сообщений
С определённой версии Telegram научился для пересланных (forward) сообщений убирать ссылку на автора. Таким образом, даже если ваше сообщение скопируют в другой чат, через него невозможно будет выйти на ваш профиль. Ранее это позволяло отслеживать аккаунты, которые оставили хотя бы одно сообщение в любом чате.
Ставим опцию "Кто может ссылаться на мой аккаунт при пересылке сообщений" в значение "Никто".
ВКонтакте
Настройки
Общее
Блок "Настройки профиля". Включаем опцию "Скрывать блок подарков".
Приватность
Для всех настроек в списках ниже сначала выставляем "Только я", при необходимости добавляем людей через опции "Только друзья", Некоторые друзья" или "Все друзья, кроме...".
- Кто видит основную информацию моей страницы
- Кто видит мои сохранённые фотографии
- Кто видит список моих групп
- Кто видит список моих аудиозапией
- Кто видит список моих подарков
- Кто видит моих скрытых друзей
В блоке "Кого видно в списке моих друзей и подписок" выбираем всех друзей и все подписки.
- Кто видит чужие записи на моей странице
- Кто может оставлять записи на моей странице
- Кто видит комментарии к записям
- Кто может комментировать мои записи
- Кто может отмечать меня на фотографиях
- Кто видит фотографии, на которых меня отметили
- Кто видит местоположение моих фотографий
Заходим в панель управления "Отметки на фото" и снимаем все галочки:
- Распознавать меня на фото. Алгоритмы ВКонтакте будут предлагать вам фотографии , на которых вы сможете отметить себя
- Показывать друзьям распознанные фото со мной. Друзья увидят в ленте фотографии с вами и смогут отметить вас. Подтвердить отметку можете только вы.
- Распознавать друзей на моих фото. Алгоритмы будут предлагать вам отметить друзей на ваших фотографиях
- Показывать блок «Это вы на фотографии?» в ленте. В ленте появится блок, где вы сможете подтвердить или удалить отметку
- Показывать блок «Это друг на фото?» в ленте. [tooltip=712]Искусственный интеллект[/tooltip] найдёт на фотографиях ваших друзей и предложит их отметить
Связь со мной
"С кем устанавливать прямое соединение в звонках" - выбираем "Только друзья"
"Кто может найти мой профиль при импорте контактов" - выбираем "Никто"
"Что видно вместо моего фото при импорте контактов" - выбираем "Картинку с буквой"
- Кто может видеть мои истории
- Кто может отвечать историями на мои истории
- Кто может отправлять мнения к моим историям
- Кто может видеть поздравления для меня в историях
Прочее
"Кому в интернете видна моя страница" - выбираем "Только пользователям ВКонтакте"
"Какие обновления видят в новостях мои друзья" - снимаем все отметки
"Тип профиля" - "Закрытый"
"Кто видит количество моих шагов в Шагах ВКонтакте" - выбираем "Только я"
"Кто может видеть мою активность в играх" - выбираем "Никто"
"Кто может видеть мою активность в мини-приложениях" - выбираем "Никто"
Привязывать телефон к аккаунту - не всегда хорошая идея
Не используйте подтверждение через номер телефона там, где это необязательно.
[tooltip=355]2FA[/tooltip] используется для усиления безопасности. Используйте дополнительный фактор для входа в сайт, когда вы осознаете, что аккаунт на конкретном сайте для вас важен (переписки, покупки, финансы), и что вы сознательно будете подтверждать вход каждый раз.
Однако, если есть выбор, что именно использовать для подтверждения, - номер телефона либо что-то другое - то используйте другое. Компании заинтересованы в том, чтобы знать ваш номер: рассылать вам СМС, проверять вашу личность, связывать её с другими сайтами. Так же легко они выдадут часть вашего номера при попытке входа в ваш аккаунт или когда ваш друг даст приложению доступ к своим контактам.
Также плохой идеей будет привязывать чужой телефон. Например, привязать телефон бабушки к своему аккаунту в Google, потому что Google зачем-то потребовал от вас добавить телефон. Зная ваш аккаунт, будет возможно получить часть номера телефона бабушки через, например, восстановление доступа.
Где вообще возможны утечки информации о ваших учётных записях?
- Форма входа. Например, сервис может отвечать сообщениями "пользователь с таким email не существует" и "вы ввели неправильный пароль", что однозначно подтверждает наличие аккаунта с вашим почтовым ящиком.
- Форма регистрации. Сайт не даст вам зарегистрировать аккаунт на телефон, который уже есть в системе: "этот телефон уже используется". А если его там нет, то на телефон скорей всего отправится уведомление.
- Форма восстановления доступа. Чаще всего вводятся одни данные, например, никнейм аккаунта, а сервис отвечает что-то вроде Новый пароль отослан на ящик iva*****[email protected] или Мы отослали СМС на номер, оканчивающийся на 93. Или просит ввести email, а потом пишет "если такой аккаунт существует, то мы отправили уведомление". А Meta (Facebook) достаточно знать только ID аккаунта.
Во всех этих местах возможна утечка второго фактора (номера телефона), который вы привязываете к аккаунту.
Удаление информации о себе
Удаление собственных аккаунтов
Несмотря на то, что интернет всё помнит, удаление аккаунтов остаётся одним из самых сильных средств против базовой разведки по вам. Кажется, что это тривиальная тема, но есть несколько важных нюансов:
Перед удалением:
- Запросите у сервиса выгрузку своих личных данных по GDPR. Это поможет на следующих шагах и даст вам понимание того, что сервис знает о вас.
- Переименуйте свой аккаунт, удалите/поменяйте фото, выждите несколько дней. Это необходимо, чтобы сайты-индексаторы и поисковики успели обновить информацию про ваш аккаунт, и впоследствии вас нельза было найти по его последней копии. Также не забывайте, что с этого момента нельзя оставлять какие-либо комментарии и сообщения публично.
- Все старые комментарии/твиты/сообщения желательно удалить. В соцсетях и мессенджерах есть механизмы, позволяющие выйти на вас даже после удаления: упоминания (ссылка на ваш профиль, выглядящая как имя), пометка авторства, репосты/ретвиты. От всех подобных зацепок стоит избавиться.
- Обновите выдачу поисковиков, попросив их переиндексировать вашу изменённую страницу (Google) и подождите некоторое время, чтобы другие системы, сохраняющие информацию из соцсетей, также получили новую версию вашего аккаунта.
После этого аккаунт можно удалять встроенными средствами платформы.
[tooltip=529]Запрос[/tooltip] на удаление
Не во всех сервисах удаление возможно штатными средствами. Или же оно спрятано так глубоко, что найти его невозможно. К счастью, есть вспомогательные сайты с информацией о том, как удалиться.
- JustDeleteMe - прекрасный каталог по платформам, даёт ссылки и описание нужных действий, показывает сложность удаления. Также у создателей есть родственные сайты JustGetMyData и JustWhatsTheData для выполнения пункта 1 выше.
- AccountKiller - инструкции по удалению для большого количества сайтов, преимущественно западных.
Даже если вы не смогли найти инструкцию по удалению для нужного вам сайта - не отчаивайтесь. Всегда остаётся возможность написать в поддержку и запросить удаление вашей учётной записи согласно GDPR.
Удаление выдачи в поисковиках
Google предлагает целый ряд различных форм, через которых можно запросить удаление и обновление контента в поисковой выдаче.
- Удаление устаревшего контента из поиска - хорошо подходит для страниц, которые нужно переиндексировать (см. выше п. 4 про удаление аккаунтов).
- Форма запроса на удаление личных данных в Google
- Новая форма запроса на удаление личных данных
Удаление информации об утечках
Краткие инструкции по удалению ваших данных из популярных сервисов - Have I Been Pwned, Leakcheck, IntelX и т.д.
Удаления себя из Telegram-бота Глаз Бога
В Глазе Бога реализован [tooltip=529]запрос[/tooltip] на удаление личных данных в пункте меню Аккаунт бота. После заполнения анкеты с ФИО, номером телефона, датой рождения и e-mail заявка рассматривается несколько дней. После принятия заявки введённые вами данные удаляются из поиска другими людьми, а при попытке поиска вы получаете уведомление.
[IMG=align=left;alt=%5BIMG%5D]https://lztcdn.com/files/e082242f-0076-4671-9fce-e08b4f9cd824.webp[/IMG]
[IMG=align=left;alt=%5BIMG%5D]
[IMG=align=left;alt=%5BIMG%5D]https://lztcdn.com/files/e913c9af-9c7e-4bf9-bb20-5a23d1a8c2cb.webp[/IMG]
[IMG=align=left;alt=%5BIMG%5D]https://lztcdn.com/files/a068900b-7656-475a-8d09-ab73dc30fb7c.webp[/IMG]
Блокировка поиска по себе из Telegram-бота TELESINT
TeleSINT предоставляет возможность скрывать себя от поиска, присылать оповещения, если вас пытаются найти через бота, а также просматривать список тех, кто вас искал. К сожалению, для этого нужна платная подписка.
Скрытие данных о себе из Telegram-бота Quick [tooltip=409]OSINT[/tooltip]
В Политике обработки персональных данных сервиса сказано:
Срок обработки персональных данных является неограниченным. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление @Quick_OSINT_support с пометкой «Отзыв согласия на обработку персональных данных».
Все [tooltip=529]запросы[/tooltip] на удаление обрабатываются вручную, необходимо заполнить заявление о блокировке данных из общедоступных источников с указанием полных паспортных данных, адреса бота, а также идентификаторов для блокировки, после чего отправить его фото или сканированное изображение Оператору. Данные удалят в течение 7 дней.
Скрытие данных о себе из Telegram-бота Insight
Для скрытия данных о себе в боте Insight необходимо:
- чтобы было не менее ₽1000 пополнений за всё время с аккаунта
- обратиться в поддержку внутри бота с просьбой удалить свои данные
Скрытие данных о себе из Telegram-бота GTA
Для скрытия данных о себе в боте GTA (Global Tech Aggregator) достаточно удалить данные о вашем номере: Мой аккаунт, Моя статистика, Удалить мой номер, поделиться номером телефона и нажать "Подтвердить".
После этого при попытках поиска по вашим данным будет отображаться сообщение "владелец номера ограничил доступ", но при этом возможные имена в телефонных книгах останутся доступны. Также вы будете получать уведомления при попытках поиска.
Отключение поиска данных о своём номере в GetContact
В GetContact возможно произвольно отключить отображение имён, которые известны по вашему номеру, либо отключить поиск совсем.
Чтобы сделать это, надо перейти по этой ссылке и авторизоваться через мессенджер, затем выключить.
Также надо отметить, что в этом разделе сайта можно отслеживать поисковые [tooltip=529]запросы[/tooltip] по вашему номеру. При отключении поиска эта возможность теряется так же как и получение нотификаций о поиске вас из приложения. Однако, при повторном входе в приложение GetContact эта возможность возвращается.
Россия
Документы
Все приведённые ниже идентификаторы можно использовать для поиска владельца.
- Номер паспорта
- СНИЛС - cтраховой номер индивидуального лицевого счёта
- ИНН - идентификационный номер налогоплательщика
- УИН – уникальный идентификатор начислений
- ОГРН - основной государственный регистрационный номер
- Номер автомобиля
- Номер полиса ОСАГО - обязательное страхование гражданской ответственности
- Номер СТС - свидетельство о регистрации транспортного средства
- ВУ - водительское удостоверение
Главный государственный сервис - Госуслуги. Возможно восстановление доступа через любой из первых трёх документов физического лица, при этом раскроется часть вашего мобильного телефона или почты. Не рекомендуется вносить СНИЛС или ИНН в личный кабинет без явной необходимости.
[tooltip=414]Пробив[/tooltip]
Какие услуги по получению данных через сотрудников доступны в России?
- Данные от мобильных операторов: Билайн, Мегафон, МТС. Детализация звонков, местоположение (так называемая "Вспышка").
- ПФР (Пенсионный фонд России). СНИЛС, выписка с лицевого счета застрахованного лица (СЗИ-6), дата смерти, актуальное место работы, материнский капитал.
- МВД (Министерство внутренних дел). [tooltip=71]Базы[/tooltip] ИБД-Р, ИБД-Ф, Роспаспорт, Поток, Мигрант, Магистраль, Рубеж.
- ГИБДД (подразделение МВД). Карточки, штрафы, ограничения, список авто, карты [tooltip=74]ТС[/tooltip] (транспорных средств), ВУ.
- ФНС (Федеральная налоговая служба). СНИЛС, счета, ЕГРН, ЕГРЮЛ, 2НДФЛ, книги покупки и продажи, архивная выписка, декларация, аффилированность, страховые взносы, задолженности.
Утечки данных в публичный доступ
В декабре 2021 года произошла утечка программного кода регионального сайта Госуслуг. Федеральный сайт не был затронут, но вероятность утечки данных с него существует.
В феврале 2022 года произошла утечка базы доставки Яндекс.Еды. Были опубликованы имена и фамилии клиентов, номера телефонов, полный адрес доставки клиента и комментарии к заказу. Всего почти 7 миллионов уникальных номеров из РФ и Казахстана, даты с 19.06.2021 по 04.02.2022. Для проверки своих данных энтузиастами был поднят сервис https://saverudata.info/.
Другие утечки
- ФОМС - фонд обязательного медицинского страхования
- УФМС
- ПФР
- СНИЛСы граждан
Украина
Документы
Все приведённые ниже идентификаторы можно использовать для поиска владельца.
- Номер паспорта
- РНОКПП (ІПН) - регистрационный номер учетной карточки налогоплательщика
- ВУ - водительское удостоверение
Государственные сервисы:
- Дія - электронный сервис государственных услуг
В январе 2022 года появилась информация об утечке [tooltip=71]базы[/tooltip] сервиса Дія. Несмотря на заверения властей о том, что утечка фальшивая, энтузиастами было подтверждено её происхождение.
Проверить факт утечки ваших данных из сервиса можно здесь.
Беларусь
Документы
Все приведённые ниже идентификаторы можно использовать для поиска владельца.
- УНП - учётный номер плательщика
[tooltip=414]Пробив[/tooltip]
Утечки данных в публичный доступ
В 2021 было хакеры заявили о получении доступа к АИС "ГАИ-Центр", АИС "Паспорт", к базе УСБ и "Беспорядки" МВД Беларуси, а также о взломе БД сотрудников СК Беларуси. В публичном доступе были выложены только некоторые данные, но журналистам также предоставили возможность проверить персональные данные конкретных людей и проанализировать массив персональных данных 1.4 миллиона умерших жителей.
В феврале 2022 года произошла утечка базы доставки Яндекс.Еды. Были опубликованы имена и фамилии клиентов, номера телефонов, полный адрес доставки клиента и комментарии к заказу. Всего 206 тысяч уникальных номеров из Беларуси, даты с 19.06.2021 по 04.02.2022. Для проверки своих данных энтузиастами был поднят сервис https://saverudata.info/.
Статья подошла к концу.
Надеюсь вы взяли для себя достаточное количество информации :finger_up: