Как пробивают персональные данные — откуда берут информацию?
«Пробив» персональных данных: существует ли? Каким образом злоумышленники получают доступ к конфиденциальным данным?
Как пробивают данные
Во-вторых, да, «пробив» существует. Различные личные данные, отдельного человека и целые базы, давно уже существуют в виде товара. Если человеку очень нужно и имеются необходимые деньги, узнать об любом можно многое. Причем от и до.
Как такое возможно? Хакеры — первое, что приходит в голову. Эти таинственные ребята, могут не только президентов назначать. А, например, узнать ваши секретные пароли.
Но все гораздо проще. Да, хакеры вносят свой вклад. Но скорее на уровне «администрирования». О взломах различных баз данных речь не идёт. В этом просто нет необходимости.
Весь «пробив» и похищение персональных данных основывается на обычном человеческом факторе. Куча организаций и компаний имеют доступ к нашим «секретам». Куча договоров и соглашений с нашей подписью, по которым мы сами позволяем обрабатывать наши данные. Но даже без подписи, закон позволяет легально заключать договора на основе публичной оферты.
А далее все наши данные обрабатываются далеко не одними роботами и алгоритмами. К нашим данным имеют доступ сотрудники компаний и организаций. Есть закон о защите персональных данных. Но есть “нюансы”. И, как можно было догадаться, основной источник “пробива” и слива данных — люди, которые имеют доступ к базам.
И это классика хакерства. Знаменитый хакер (есть и такие) Кевин Митник написал книгу Вторжение. Где делился своим опытом. И сильным методом взлома Митник называет “Социальную инженерию”. Когда взлом систем производят не через алгоритмы и аппаратную часть. А через человека, имеющего нужный доступ. Этого человека вводят в заблуждение или “договариваются”.
Например, банковская информация. Если вы позвоните на горячую линию, вам могут сообщить о том, что сотрудники банка работают на удаленке. То есть находятся дома и работают с банковской информацией через домашний компьютер. Без камер, без наблюдения. Да, теоретически система может вводить ограничения к доступу и фиксацию действий сотрудника. Но всегда остается риск злоупотребления. Например, если сотрудник “зайдет” на нужную страницу и сделает фото.
Очень популярным объектом “пробива” являются номера телефона и все с ними связанное. Сейчас по номеру телефона может сказать многое о человеке. И рядовые сотрудники сотовых операторов без труда могут, например, заглянуть в детализацию звонков. А могут не только “заглянуть” (доступ к номеру телефона означает доступ к социальным сетям или банковским картам).
Тоже касается и других данных. Внутренние органы, паспорта, регистрации, автомобильные номера. Вплоть до информации с камер наблюдения. Если есть человек, который имеет доступ к конфиденциальным данным, значит есть риск утечек информации.
Как все это организовано
“Пробивают” информацию либо через сотрудников напрямую, либо через “агентства”. Что значит напрямую, думаю, и так понятно. Заинтересованное лицо выходит на нужного человека в организации и договаривается о сливе информации.
Что значит “агентства”? Некие организаторы занимаются “вербовкой” людей с нужными доступами к базам данных и поиском клиентов. Как правило, системы баз данных позволяют одному человеку иметь доступ к данным клиентам организации или компании по всей стране. Это значит, что “организаторам” не нужно искать десяток “информаторов”. Достаточно одного.
Клиентов на конфиденциальную информацию ищут через интернет. Говорят о “даркнете”. Но подобные “секретные” уголки интернета означают ограниченный круг самих клиентов. Делают проще. Например, через Телеграм.
Забавная особенность. Паша Дуров, отказываясь предоставлять данные пользователей, позволяет злоумышленникам торговать конфиденциальными данными через свой сервис. А если бы позволил сделать Телеграмм открытым, сливали бы данные пользователей самого Телеграмма.