Антонио Георгопалис. Крупнейшая утечка паролей в 2024 году: 16 миллиардов данных скомпрометированы

В пятницу 11 июля утром было объявлено, что около 16 миллиардов паролей были скомпрометированы в результате беспрецедентной утечки данных. Среди них были данные пользователей крупных технологических компаний, таких как Facebook, Google и Apple. Об этом сообщила платформа по кибербезопасности Cybernews, назвав это «крупнейшей утечкой данных в истории». Однако это утверждение не совсем верно.

Это не единичный взлом, а совокупность бесчисленных мелких утечек данных, объединённых в один гигантский файл. Самой крупной утечкой в истории остаётся утечка Yahoo в 2016 году, когда были украдены данные всех трёх миллиардов пользователей.

Тем не менее, ситуация остаётся крайне тревожной. Поскольку весь этот огромный объём информации теперь доступен централизованно, киберпреступникам становится значительно проще проводить серьёзные фишинговые атаки или совершать кражи личных данных.

Гигиена паролей важна как никогда

В публикации от 11 июля подчеркивается важность соблюдения гигиены паролей. Это означает не только регулярную смену паролей, но и включение двухфакторной аутентификации и использование менеджера паролей для безопасного управления учетными записями. Это единственный способ защитить себя от всё более изощрённых форм цифрового мошенничества.

DeepSeek: китайское приложение искусственного интеллекта, которое знает больше, чем вам хотелось бы

Но утечки данных — не единственная угроза конфиденциальности пользователей. Приложения на основе искусственного интеллекта всё чаще собирают персональные данные в огромных масштабах, часто без точного понимания того, что происходит с их данными. Один из самых недавних и противоречивых примеров — китайское приложение на основе искусственного интеллекта DeepSeek.

DeepSeek стал невероятно популярным и занял первое место в нескольких магазинах приложений, но эксперты бьют тревогу. Приложение, помимо прочего, сохраняет паттерны нажатия клавиш пользователей, то есть манеру набора текста, включая ритм и скорость. Теоретически такая информация может быть использована для идентификации личности или даже для определения её эмоционального состояния. Это особенно тревожное событие.

Вмешательство европейских регуляторов

В Европе органы по защите конфиденциальности уже отреагировали. Итальянский орган по защите данных полностью заблокировал приложение. По его словам, предоставленная DeepSeek информация о сборе данных «совершенно недостаточна». Ирландия также запросила информацию, а Нидерланды в пятницу объявили о начале официального расследования.

Алейд Вольфсен, председатель Нидерландского управления по защите данных, подчёркивает серьёзность проблемы: «Мы призываем пользователей быть крайне осторожными с этим приложением. Политика конфиденциальности непрозрачна, и, судя по всему, персональные данные обрабатываются несправедливо и ненадёжно».

Россия: конфиденциальность под контролем государства

В России же, напротив, государство подходит к вопросу конфиденциальности с совершенно иной точки зрения. В последние годы российское государство создало строгую правовую базу для управления данными, но эта база в первую очередь служит государственным целям, таким как внутренняя слежка, цензура и обеспечение цифрового суверенитета.

Согласно российскому законодательству, иностранные технологические компании обязаны хранить данные российских граждан на серверах в России. Эта политика привела к блокировке таких платформ, как LinkedIn. В то же время российские технологические компании, такие как «ВКонтакте», «Яндекс» и «Сбер», также собирают огромные объёмы данных пользователей. Однако защита конфиденциальности граждан минимальна, а независимый контроль за тем, как правительство или компании используют эти данные, практически отсутствует.

Российские эксперты отмечают, что Россия всё больше изолирует свой внутренний трафик данных от внешнего мира. Это создаёт своего рода цифровую интранет-сеть, предоставляя государству полный контроль над информацией и коммуникациями. В этих условиях право на неприкосновенность частной жизни подчиняется интересам национальной безопасности и политической стабильности.

ИИ также играет здесь все большую роль: российские разработчики создают системы распознавания лиц в общественных местах, поведенческого анализа и профилирования — часто с недостаточной прозрачностью и защитой для граждан.

Нет такого понятия, как «бесплатно»

DeepSeek бесплатен, но это не значит, что пользователи не платят за него. Они платят своими данными. Всё введённое — текст, речь или изображения — отправляется на серверы в Китае. В отличие, например, от ChatGPT, DeepSeek не предлагает возможности отключить передачу данных для обучения.

Помимо введённых данных, приложение также собирает дополнительную информацию, такую как IP-адрес, информацию об устройстве и операционной системе. Многие приложения делают это, но DeepSeek идёт дальше, сохраняя также информацию о нажатиях клавиш.

DeepSeek также не оправдывает ожиданий в плане безопасности.

По данным американской компании Wiz, специализирующейся на кибербезопасности, недавно была обнаружена серьёзная утечка данных в DeepSeek. Более миллиона пользовательских чатов оказались в свободном доступе в интернете. Утечка была устранена, но доступ к данным был настолько лёгким, что, по словам Wiz, «весьма вероятно, что кто-то уже получил к ним доступ».

Уязвимости в модели ИИ

Эти технические казусы — не единственная проблема. Исследователи из Cisco и Пенсильванского университета провели тестирование DeepSeek на прошлых выходных, предоставив модели пятьдесят так называемых запросов на джейлбрейк — команд, предназначенных для обхода встроенных систем безопасности моделей ИИ.

В то время как конкурентам, таким как ChatGPT или Gemini, удалось отразить многие из этих подсказок, DeepSeek потерпел неудачу по всем направлениям. Его ИИ-модель не распознала ни одну из пятидесяти вредоносных подсказок, что обеспечило беспрепятственный доступ к инструкциям по таким темам, как разжигание ненависти, изготовление взрывчатых веществ и распространение пропаганды.

Эксперт Cisco рассказал изданию Wired , что DeepSeek поставил безопасность выше скорости и выхода на рынок. И теперь, похоже, общественность расплачивается за это наличными — не деньгами, а своими данными и цифровой безопасностью.