В России тоже случаются неприятные инциденты с пользовательскими данными, чаще происходящие из-за того, что владельцы сайтов пренебрегают элементарными правилами безопасности. Эта проблема касается не только небольших персональных сайтов, но и крупных ресурсов, в том числе и государственных[55]. В руках у злоумышленников оказываются базы данных социальных сетей, операторов сотовой связи и даже банковских и государственных структур.
Летом 2019 г. стало известно об утечке свыше 450 000 логинов (ими служили адреса электронной почты) и паролей крупного российского онлайн-ритейлера Ozon. Компания сбросила пароли в аккаунтах пользователей, обнаруженных в базе данных. По мнению специалиста по информационной безопасности Cisco Systems Алексея Лукацкого, были возможны три сценария утечки данных: «Базу мог слить сотрудник Ozon, ее мог украсть хакер, залезший внутрь организации, и, наконец, причиной утечки мог стать некорректно настроенный внешний сервер, открывающий несанкционированный доступ к базе любому желающему. Я не могу исключить все три варианта»[56].
Поэтому, чтобы предотвратить возможный несанкционированный доступ к своим аккаунтам, необходимо периодически менять пароли от учетных записей, особенно хранящих банковские реквизиты и важные персональные данные. В теории такой прием должен свести к минимуму возможный «угон» конфиденциальных сведений о вас: доступ к вашему аккаунту у злоумышленника будет только до следующей смены пароля. Но на практике происходит обратное: уровень защиты учетной записи снижается, и вот почему:
1. Пользователю лень запоминать новый сложный пароль, поэтому он сознательно упрощает его (либо использует старый пароль с незначительным изменением). Если злоумышленникам известен его старый пароль, то, используя маски или вычислив алгоритм, по которому пользователь составляет пароли, они могут без особого труда подобрать новый. При таком отношении к правилам безопасности чем чаще мы вынуждены менять пароли, тем большей уязвимости подвержены.
2. Чтобы не потерять новый пароль, пользователь записывает его на стикере или в обычный текстовой файл, что сводит на нет все аспекты безопасности.
Эксперты в области информационной безопасности рекомендуют менять пароли (по крайней мере важные) каждые 30 дней. Кроме того, ни в коем случае нельзя пренебрегать письмами с рекомендацией смены пароля. Как правило, такие сообщения рассылаются при выявлении попытки несанкционированного доступа к серверам компании-отправителя. При этом важно учитывать, что похожие письма могут рассылать и злоумышленники, чтобы перехватить ваши учетные данные. Руководствуясь правилом «нулевого доверия»[57], не переходите по содержащейся в письме ссылке, а самостоятельно откройте в браузере сайт соответствующей компании и смените пароль в настройках аккаунта. Либо, если вы все же уверены в том, что полученное письмо не фишинговое, внимательно проверьте в строке браузера адрес сайта, на котором требуется сменить пароль. И, разумеется,