5 речей, які не можна надсилати відкритим текстом

Ми надсилаємо сотні повідомлень щодня. Telegram, WhatsApp, email, SMS – це стало настільки автоматичним, що ми майже ніколи не замислюємося про безпеку.

Але деяку інформацію категорично не можна надсилати відкритим текстом через месенджери, пошту або SMS. Одне необережне повідомлення може призвести до наслідків, усунення яких підуть місяці чи роки.

1. Паролі та дані для входу

"Скинь пароль у Візок" - мабуть, найнебезпечніша фраза в цифровому спілкуванні.

Згідно з звітом Verizon Data Breach Investigations 2024, 81% зломів були пов'язані зі вкраденими або слабкими обліковими даними. Проте мільйони людей щодня відправляють паролі через месенджери.

Чому це бомба уповільненої дії

• Історія чатів зберігається назавжди. Навіть якщо ви видалите повідомлення, воно залишається на пристрої одержувача, у хмарних бекапах та на серверах.

• Пошук знаходить миттєво. Будь-хто, хто має доступ до пристрою, може знайти «пароль» через пошук.

• Скріншоти неконтрольовані. У момент відправлення ви втрачаєте повний контроль.

• Вкрадений телефон = повний витік. Усі паролі, які будь-коли передавались у цьому чаті, скомпрометовані.

2023 року EA Games втратила 780 ГБ вихідного коду після того, як хакери отримали облікові дані, якими ділилися в каналі Slack. "Захищений" корпоративний месенджер виявився недостатньо захищеним.

2. Номери банківських карток та фінансова інформація

"Тільки цього разу" відправлю номер картки - а це повідомлення назавжди залишиться в історії чату.

Одне повідомлення перетворюється на постійний запис. Чати резервуються в хмару, синхронізуються між пристроями і стають доступними будь-кому, хто отримає доступ до облікового запису.

Тривожна статистика

За даними ЦБ РФ, обсяг шахрайських операцій з банківськими картами в Росії в 2023 році склав більше 15,8 мільярда рублів. 16 цифр номера картки, 3 цифри CVV і термін дії - це все, що потрібно для онлайн-покупки.

Надіслати дані карти через месенджер - все одно, що залишити гаманець на столику в кафе і піти.

3. Паспортні дані та номери документів

Паспорт, СНІЛС, ІПН, посвідчення водія — ці ідентифікатори неможливо змінити після компрометації.

За даними МВС Росії, кількість кіберзлочинів із використанням персональних даних зростає на 30-40% щороку. Вкрадені паспортні дані використовуються для оформлення кредитів, реєстрації SIM-карток та створення фіктивних компаній.

Масштаб шкоди

• Пароль можна змінити. Паспортні дані - на все життя.
• Відновлення після крадіжки ідентичності займає в середньому від 6 місяців до декількох років.
• Звичка фотографувати паспорт та відправляти до месенджера при оренді житла або укладанні договорів особливо небезпечна.

4. Медична інформація та дані про здоров'я

Результати аналізів, рецепти, дані страховки, діагнози — медична інформація входить до найчутливіших персональних даних.

У багатьох країнах небезпечна передача медичних даних незаконна. HIPAA у США передбачає штрафи до $1,5 млн за кожну категорію порушення. GDPR ЄС відносить дані про здоров'я до «особливої ​​категорії», яка потребує посиленого захисту. Закон про персональні дані в Росії (152-ФЗ) також встановлює підвищені вимоги до обробки медичних даних.

Наслідки витоку

• Відмова у страхуванні
• Дискримінація під час працевлаштування
• соціальна стигматизація
• Інформація необоротна - не можна змусити когось «забути» ваш діагноз

5. Комерційна таємниця та API-ключі

Вихідний код, API-ключі, внутрішні документи, дані клієнтів — інтелектуальна власність, де тримається бізнес.

Звіт GitGuardian за 2024 рік виявив понад 12 мільйонів витоків секретів тільки в публічних репозиторіях GitHub. Ключі, якими діляться через месенджери, навіть не потрапляють до цієї статистики.

Ціна одного витоку

• Один втечений AWS API-ключ може призвести до несанкціонованих витрат понад $50 000 за лічені години.
• Uber постраждав від масштабного злому в 2022 після того, як облікові дані були скомпрометовані через внутрішні повідомлення в Slack.
• Один розкритий API-ключ може дати доступ до всієї інфраструктури, бази клієнтів та фінансових систем.

Що робити натомість

Для кожного типу конфіденційної інформації є безпечна альтернатива:

| Тип інформації Безпечна альтернатива |---------------|----------------------| | Паролі | Посилання з паролем (LOCK.PUB – функція захищених нотаток) | | Фінансові дані | Зашифровані канали або передачі особисто | | Номери документів | Документи, захищені паролем | Медичні дані | Захищені медичні портали | API-ключі | Менеджери секретів (Vault, .env) + захищені посилання для одноразової передачі

За допомогою LOCK.PUB ви можете перетворити будь-який конфіденційний текст на захищене паролем посилання з обмеженим терміном дії. Вміст доступний лише за паролем і автоматично видаляється після закінчення терміну - набагато безпечніше, ніж залишати його в історії чату назавжди.

Золоте правило: якщо не готові повісити на рекламний щит — не надсилайте відкритим текстом

Простий тест: Було б вам комфортно, якщо ця інформація з'явиться на білборді на Невському проспекті?

Якщо відповідь ні, не надсилайте відкритим текстом.

Зручність та безпека не повинні бути ворогами. Створення захищеного посилання займає 30 секунд. Відновлення після витоку даних – місяці чи роки.

Почніть захищати свою інформацію прямо зараз

Наступного разу, коли захочете вставити конфіденційну інформацію у вікно чату, зупиніться на секунду.

Створити безкоштовне посилання з паролем на LOCK.PUB. 30 секунд обережності можуть заощадити роки проблем.

** Деяка інформація надто цінна, щоб надсилати її відкритим текстом.**