Что происходит с вашей информацией после утечек данных

Утечки персональных данных становятся настолько частыми, что воспринимаются как что-то обыденное. И всё же за этой «нормой» скрывается серьёзная угроза безопасности компаний. В России в 2024 году Роскомнадзор зафиксировал 135 инцидентов с утечками баз данных, в которых оказалось более 710 млн записей о гражданах. При этом InfoWatch оценивает общий объем скомпрометированных записей в России за год в 1,58 млрд — рост более чем на 30 % по сравнению с 2023 годом.

Если вы думаете: «Меня-то это не касается, я — обычный пользователь», —увы, это одно из самых больших заблуждений. Мошенники и злоумышленники заинтересованы прежде всего в телефонах, адресах, логинах обычных пользователей. 

Масштабы проблемы

Представьте, вы заполняете форму на сайте доставки еды или регистрируетесь в госуслугах, а ваши данные уже через неделю появляются в даркнете. Утечки персональных данных — это не редкость, а системная проблема, которая растёт как снежный ком. По официальным данным Роскомнадзора, в 2023 году зафиксировали 168 инцидентов, когда утекло около 300 млн записей о россиянах — в основном из сфер страхования, медицины, торговли и образования. К 2024-му число случаев снизилось до 135, но объём взлетел до более 710 млн записей, с пиком в торговле и услугах — один инцидент "слил" 500 млн. А за первое полугодие 2025-го РКН выявил 35 утечек, компрометирующих свыше 39 млн записей, с штрафами по ст. 13.11 КоАП РФ.

Что происходит с данными после утечки

Когда ваша информация оказывается «в сети», она вступает в так называемую активную жизнь. Вот основные сценарии, которые могут произойти с вашими личными данными:

Даркнет и продажа баз данных

Злоумышленники выставляют базы на маркетплейсах даркнета. Цена — от центов до долларов за запись, в зависимости от полноты данных (ПДн + логины/пароли).

Фишинг и социальная инженерия

На основании ваших данных (имя, компания, должность) составляются письма или звонки «от банка», «от службы поддержки». Злоумышленник уже знает часть критической информации, и это значительно повышает шансы мошенничества.

Кража личности и кредиты на ваше имя

Используя паспортные данные, снилс, ИНН, «наполняют» фиктивные заявки на кредит или покупку в рассрочку. Вас начнут «доставать» коллекторы за что-то, чего вы не делали.

Целевые атаки на компанию

Если в утечке оказался набор сотрудников и их корпоративной почты, злоумышленники могут составлять фишинг-цепочки и проникнуть в компанию изнутри. Это уже стартовая точка для крупной компрометации.

Многократное перепродажа данных

База может быть куплена одним злоумышленником, потом перепродана другому, и так далее.

Список сценариев можно продолжать: SIM-своп, компрометация учетных записей, внедрение на этапе восстановления пароля — всё это реальные кейсы.

Примеры громких утечек

«Яндекс.Еда»

Служба безопасности сервиса выявила утечку из-за недобросовестных действий одного сотрудника. В сеть попали телефоны клиентов и детали заказов (состав, время доставки) за период с 19 июня 2021 по 4 февраля 2022 года — это сотни тысяч записей. Банковские данные и пароли не пострадали, но компания сократила доступ к информации втрое и отправила уведомления пострадавшим. Следственный комитет даже возбудил уголовное дело по статьям о нарушении неприкосновенности данных.

Delivery Club

Здесь утекла огромная база — около 250 млн строк с ФИО, адресами доставки (включая домофоны и этажи), email, IP-адресами, составом заказов и датами. Банковские реквизиты не затронули, но Роскомнадзор запросил разъяснения. Компания провела аудит и извинилась, отметив, что это часть волны утечек 2022 года. Анализ от Роскомсвободы показал, что 89% email были новыми в базах компрометаций.

Утечки у операторов связи и банков.

В 2024–2025 годах фокус сместился на крупных игроков. Например, в феврале 2025-го у МТС утекли данные сотен тысяч абонентов — номера, адреса и детали контрактов — из-за взлома партнерской платформы.

По оценкам «Сбера», в открытом доступе уже находятся около 3,5 млрд строк, содержащих персональные данные россиян. 2023 год стал пиком утечек данных.

Yahoo

В августе 2013-го хакеры взломали серверы, затронув все 3 млрд аккаунтов: утекли имена, email, телефоны, даты рождения, хэши паролей и вопросы безопасности (шифрованные и нет). В 2014-м добавилось 500 млн. Yahoo скрыла инцидент до 2016-го, что привело к штрафам от SEC в $35 млн и падению цены сделки с Verizon.

Facebook

В результате взлома в 2019 году была раскрыта личная информация 533 миллионов пользователей Facebook из 157 стран с помощью метода, известного как «скрапинг». Злоумышленники воспользовались уязвимостью в функции импорта контактов Facebook и с помощью автоматизированных инструментов собирали пользовательские данные, вводя миллионы случайно сгенерированных телефонных номеров.

Чем это грозит

Частным лицам:

• увеличение спама и целевых атак;
• списки паролей попадают в базы утечек, и вы можете внезапно получить доступы к аккаунтам;
• подозрительная активность по кредитам и займам;
• кража аккаунтов в соцсетях, с вымогательством.

Бизнесу:

• штрафы и административные санкции по 152-ФЗ «О персональных данных» (до миллионов рублей);
• проверки со стороны Роскомнадзора;
• потеря клиентов и доверия, негатив в СМИ;
• существенные расходы на восстановление, аудит, судебные тяжбы.

Как защитить себя и бизнес

Несмотря на то, что угроза кражи данных достигает глобальных масштабов и ей подвергаются даже крупные компании, принять меры для своей защиты просто необходимо:

1. Проверяйте, «утекли ли вы»

Используйте сервисы: HaveIBeenPwned, BI.ZONE Leaks Detector, «Слился?» — они уведомят вас, если ваши данные появятся в базах.

2. Двухфакторная аутентификация (2FA)

Даже если ваш пароль скомпрометирован, без второго фактора злоумышленник не войдёт.

3. Минимизируйте хранение личных данных

Храните только то, что действительно нужно, и зачищайте устаревшие записи.

4. Контроль доступа внутри компании

Права пользователей делите строго по ролям — «минимум прав» спасает от внутрикорпоративных утечек.

5. Партнёрство с ИБ-провайдером / SOC-аутсорсинг

Даже если вы не хотите содержать SOC внутри, доверить его аутсорсеру — грамотное решение.

Для еще большей защиты вы также можете проводить дополнительные аудиты и пентесты, покупайте сертифицированные средства защиты и обучать сотрудников безопасному поведению (фишинг-тренинги и т.п.).

Заключение

Утечки персональных данных действительно одна из глобальных угроз нашей современной жизни. Но можно научиться себя защищать и избегать рисков и минимизировать ущерб. Понимание того, что происходит с украденной информацией, — уже полдела.

Следите за своими данными, ставьте 2FA, проверяйте сервисы. Если вы  представитель бизнеса, серьезно относитесь к защите, аудитам и партнерствам, строя устойчивую систему и постоянно обучая сотрудников.

А если у вас еще остались вопросы, всегда лучше обратиться к профессионалам!