Хакеры слили имейлы тех, кто планирует участвовать в митинге за Навального. И мой тоже? Есть опасность, что меня теперь взломают?
Мы говорим как есть не только про политику. Скачайте приложение.
1.
Что случилось?
2.
А моя почта там есть?
3.
Меня теперь могут деанонимизировать?
4.
Что еще можно сделать, чтобы никто не выяснил мои личные данные?
5.
То есть меня могут взломать?
6.
А можно как-то сделать, чтобы вообще не получать фишинговых писем?
Что случилось?
Хакеры опубликовали в открытом доступе адреса электронной почты почти 400 тысяч людей, которые сообщили, что планируют выйти на митинг в поддержку Алексея Навального по всей России.
А моя почта там есть?
Да, если вы оставляли ее на сайте free.navalny.com до 2 апреля. Кроме того, в этой базе может оказаться ваша почта, если кто-то оставил заявку за вас (например, в шутку). Впрочем, в этом случае вам должно было прийти письмо с предложением подтвердить регистрацию на сайте. Почтовые адреса без подтверждения в счетчике сайта не учитываются.
В утечке почти 530 тысяч записей — заметно больше, чем 2 апреля показывал счетчик на сайте. Там есть как подтвержденные, так и неподтвержденные адреса; почта реальных людей и адреса ботов, вычищенных командой Навального.
Меня теперь могут деанонимизировать?
Мы этого не знаем наверняка. В самой утечке фигурируют только почтовые адреса, время подачи заявки и подтверждения регистрации — вроде бы безобидная информация. Тем не менее эти данные могут оказаться довольно «чувствительными». Многое зависит от того, какую почту вы оставили на сайте — рабочую или личную; основную, с помощью которой регистрируетесь везде, или дополнительную, которую завели только для этой акции.
Если вы использовали эту же почту для регистрации, скажем, в фейсбуке, при желании посторонние люди могут установить вашу личность: соцсеть показывает имя и аватар пользователя, чей имейл был введен в поле для входа (даже если указан неверный пароль). Похожим образом какую-то информацию о вас могут выдать и другие сайты, на которых вы регистрировались с этой почтой.
Но дело не только в этом. Можно предположить, что вас просто будут искать в этой «базе оппозиционеров» при случае. Причем это могут быть не только силовики, но и, например, работодатели — или руководство учебного заведения, где вы учитесь. Сделать с этим ничего уже нельзя, хотя смена адреса в нынешних российских условиях, вероятно, разумная мера предосторожности.
Что еще можно сделать, чтобы никто не выяснил мои личные данные?
Попробуйте вспомнить, в каких сервисах, где указаны ваши реальные имя или другая личная информация, вы регистрировались с помощью этой почты. И либо поменяйте данные в этих сервисах на что-то, что вас не выдаст, либо зайдите в профили и поменяйте привязанный адрес электронной почты на другой.
Но стоит помнить, что некоторые из адресов электронной почты, оказавшихся в базе сторонников Навального, также могут найтись в других существующих или будущих утечках с самых разных сервисов и сайтов. В некоторых случаях помимо почтового адреса в открытом доступе оказываются имена людей, их дни рождения и адреса — и даже пароли от учетной записи.
То есть меня могут взломать?
Теоретически да, если вы не предпримете меры предосторожности или станете жертвой «социальной инженерии».
- С помощью сайтов haveibeenpwned.com или monitor.firefox.com проверьте, не утекал ли пароль от вашей почты. И если утекал — поменяйте его.
- Если вы до сих пор используете один пароль для всех сервисов, откажитесь от этой опасной привычки. Заведите себе менеджер паролей.
- Используйте двухфакторную аутентификацию, но только не с помощью СМС. Установите специальное приложение вроде Authy или andOTP. А еще лучше купите себе токен: он защитит вас от «фишинговых атак».
- Не переходите по ссылкам и не открывайте вложения в подозрительных письмах.
А можно как-то сделать, чтобы вообще не получать фишинговых писем?
Только если вы закроете свой ящик, который оказался в утечке, и заведете вместо него другой.
Если вы по-прежнему хотите получить уведомление о митинге в поддержку Навального, можно зарегистрировать новый ящик на сайте free.navalny.com. А старый — отозвать.
Если вы опасаетесь новой утечки, можете использовать не реальный новый адрес, а дополнительный «секретный»: некоторые сервисы вроде Tutanota или Protonmail позволяют заводить такие адреса в дополнение к основному. Или просто указать, например, запасную гугл-почту — но важно, чтобы, взломав ее, нельзя было узнать, какой имейл у вас основной.
Даже если эти данные утекут, злоумышленники не смогут выяснить ваш главный адрес.
(1) Что происходит при фишинговой атаке?
Жертва получает письмо от мошенников, которое выглядит как нормальное сообщение от банка, соцсети или другого сервиса. Переходит по ссылке, пытается войти в систему и вводит логин, пароль и даже код двухфакторной аутентификации. Злоумышленники перехватывают все эти данные и получают возможность захватить ваш аккаунт.
(2) Это сказано в договоре публичной оферты
14. Заказчик вправе оказаться от получения Услуг по информированию, написав на почту [email protected].