разбор

Хакеры слили имейлы тех, кто планирует участвовать в митинге за Навального. И мой тоже? Есть опасность, что меня теперь взломают?

6 карточек

Мы говорим как есть не только про политику. Скачайте приложение.

1

Что случилось?

Хакеры опубликовали в открытом доступе адреса электронной почты почти 400 тысяч людей, которые сообщили, что планируют выйти на митинг в поддержку Алексея Навального по всей России.

2

А моя почта там есть?

Да, если вы оставляли ее на сайте free.navalny.com до 2 апреля. Кроме того, в этой базе может оказаться ваша почта, если кто-то оставил заявку за вас (например, в шутку). Впрочем, в этом случае вам должно было прийти письмо с предложением подтвердить регистрацию на сайте. Почтовые адреса без подтверждения в счетчике сайта не учитываются.

В утечке почти 530 тысяч записей — заметно больше, чем 2 апреля показывал счетчик на сайте. Там есть как подтвержденные, так и неподтвержденные адреса; почта реальных людей и адреса ботов, вычищенных командой Навального.

3

Меня теперь могут деанонимизировать?

Мы этого не знаем наверняка. В самой утечке фигурируют только почтовые адреса, время подачи заявки и подтверждения регистрации — вроде бы безобидная информация. Тем не менее эти данные могут оказаться довольно «чувствительными». Многое зависит от того, какую почту вы оставили на сайте — рабочую или личную; основную, с помощью которой регистрируетесь везде, или дополнительную, которую завели только для этой акции.

Если вы использовали эту же почту для регистрации, скажем, в фейсбуке, при желании посторонние люди могут установить вашу личность: соцсеть показывает имя и аватар пользователя, чей имейл был введен в поле для входа (даже если указан неверный пароль). Похожим образом какую-то информацию о вас могут выдать и другие сайты, на которых вы регистрировались с этой почтой.

Но дело не только в этом. Можно предположить, что вас просто будут искать в этой «базе оппозиционеров» при случае. Причем это могут быть не только силовики, но и, например, работодатели — или руководство учебного заведения, где вы учитесь. Сделать с этим ничего уже нельзя, хотя смена адреса в нынешних российских условиях, вероятно, разумная мера предосторожности.

4

Что еще можно сделать, чтобы никто не выяснил мои личные данные?

Попробуйте вспомнить, в каких сервисах, где указаны ваши реальные имя или другая личная информация, вы регистрировались с помощью этой почты. И либо поменяйте данные в этих сервисах на что-то, что вас не выдаст, либо зайдите в профили и поменяйте привязанный адрес электронной почты на другой.

Но стоит помнить, что некоторые из адресов электронной почты, оказавшихся в базе сторонников Навального, также могут найтись в других существующих или будущих утечках с самых разных сервисов и сайтов. В некоторых случаях помимо почтового адреса в открытом доступе оказываются имена людей, их дни рождения и адреса — и даже пароли от учетной записи.

5

То есть меня могут взломать?

Теоретически да, если вы не предпримете меры предосторожности или станете жертвой «социальной инженерии».

  • С помощью сайтов haveibeenpwned.com или monitor.firefox.com проверьте, не утекал ли пароль от вашей почты. И если утекал — поменяйте его.
  • Если вы до сих пор используете один пароль для всех сервисов, откажитесь от этой опасной привычки. Заведите себе менеджер паролей.
  • Используйте двухфакторную аутентификацию, но только не с помощью СМС. Установите специальное приложение вроде Authy или andOTP. А еще лучше купите себе токен: он защитит вас от «фишинговых атак».
  • Не переходите по ссылкам и не открывайте вложения в подозрительных письмах.
6

А можно как-то сделать, чтобы вообще не получать фишинговых писем?

Только если вы закроете свой ящик, который оказался в утечке, и заведете вместо него другой.

Если вы по-прежнему хотите получить уведомление о митинге в поддержку Навального, можно зарегистрировать новый ящик на сайте free.navalny.com. А старый — отозвать.

Если вы опасаетесь новой утечки, можете использовать не реальный новый адрес, а дополнительный «секретный»: некоторые сервисы вроде Tutanota или Protonmail позволяют заводить такие адреса в дополнение к основному. Или просто указать, например, запасную гугл-почту — но важно, чтобы, взломав ее, нельзя было узнать, какой имейл у вас основной.

Даже если эти данные утекут, злоумышленники не смогут выяснить ваш главный адрес.

Денис Дмитриев при участии Султана Сулейманова

  • (1) Что происходит при фишинговой атаке?

    Жертва получает письмо от мошенников, которое выглядит как нормальное сообщение от банка, соцсети или другого сервиса. Переходит по ссылке, пытается войти в систему и вводит логин, пароль и даже код двухфакторной аутентификации. Злоумышленники перехватывают все эти данные и получают возможность захватить ваш аккаунт.

  • (2) Это сказано в договоре публичной оферты

    14. Заказчик вправе оказаться от получения Услуг по информированию, написав на почту [email protected].