Как и почему утекают персональные данные: причины, каналы, последствия
По данным InfoWatch, в 2024 году в России было зафиксировано более 380 публичных утечек данных — более 1,5 миллиарда записей. В большинстве случаев пострадавшие компании не считали себя уязвимыми. Утечки происходят не только у крупных корпораций: автоматизированные сканеры находят незакрытые уязвимости на сайтах любого размера. Ниже — разбор четырёх главных каналов утечек с реальными российскими примерами.
Канал 1: технические уязвимости
Технические атаки — второй по частоте, но первый по масштабу канал утечек. Основные векторы:
SQL-инъекции
Атакующий вводит SQL-код в поле формы — и база данных выполняет произвольный запрос. Если приложение не фильтрует ввод, злоумышленник получает полную копию базы за несколько минут. По данным OWASP, SQL-инъекции остаются одной из пяти наиболее распространённых уязвимостей веб-приложений.
Открытые S3-bucket и неверно настроенные облака
Компания загружает резервные копии базы данных в облачное хранилище и забывает закрыть публичный доступ. Такие объекты регулярно находят независимые исследователи безопасности. В 2023–2024 годах сотни российских компаний хранили базы клиентов в открытых Yandex Object Storage контейнерах — и не знали об этом.
Уязвимости в CMS и плагинах
WordPress, Bitrix, OpenCart — для каждой популярной CMS существуют публично известные эксплойты. Если сайт не обновляется, автоматические сканеры находят его и эксплуатируют уязвимость без участия человека. По данным Sucuri, более 60% взломанных сайтов использовали устаревшую версию CMS или плагина на момент атаки.
Слабые пароли и отсутствие 2FA
Пароль «123456» или «admin» открывает административную панель. Перебор по словарям и credential stuffing (использование паролей из ранее утёкших баз) занимают минуты. Без двухфакторной аутентификации один скомпрометированный аккаунт администратора = полная база данных клиентов.
В Telegram появились объявления о продаже базы данных клиентов крупнейшего российского логистического оператора. По информации DLBI (сервис мониторинга утечек), база содержала имена, телефоны, адреса доставок. Предположительный вектор — уязвимость в административном интерфейсе. СДЭК официально не подтвердил инцидент.
В открытый доступ попала база с именами, телефонами и адресами клиентов. На сайте «Утечки баз» пользователи могли проверить свои данные по номеру телефона. Роскомнадзор возбудил дело. Яндекс выплатил штраф 60 000 рублей по КоАП — ещё до принятия ФЗ-420 с многомиллионными санкциями.
Канал 2: инсайдеры
Более 60% российских утечек — это действия сотрудников. Необязательно злонамеренные: половина случаев — ошибки без умысла.
Намеренные утечки
Увольняющийся менеджер выгружает клиентскую базу перед уходом. Сотрудник продаёт доступ конкуренту. Инсайдер в банке передаёт данные кредитных историй мошенникам. Типичный сценарий: доступ к данным не ограничен по принципу наименьших привилегий — сотрудник видит больше, чем нужно для работы.
Случайные утечки
Письмо с базой данных клиентов отправлено не тому адресату. Ноутбук с незашифрованными данными оставлен в такси. Таблица с ПДн открыта по публичной ссылке Google Drive — «на минуту» для совместной работы, но забыта на месяцы. По данным Verizon DBIR 2024, ошибки сотрудников составляют 14% всех инцидентов с данными.
Сотрудник отдела взыскания задолженности продал данные клиентов кредитных карт. Была установлена конкретная личность: менеджер передал выписки по счетам сторонним лицам. Это одно из немногих дел, дошедших до уголовного преследования. Сбербанк сообщил об инциденте самостоятельно.
Канал 3: социальная инженерия и фишинг
Злоумышленник не ломает систему — он обманывает человека, у которого есть доступ к системе.
Фишинг
Сотрудник получает письмо «от банка» или «от руководства» с просьбой срочно ввести логин и пароль на поддельной странице. Credentials попадают к атакующему, который получает легитимный доступ к корпоративным системам. По данным CISCO, 90% взломов начинаются с фишингового письма.
Вишинг и претекстинг
Звонок «из технической поддержки» с просьбой предоставить временный пароль. Запрос данных через мессенджер «от руководителя» (аккаунт взломан или подделан). Сотрудник, не обученный распознавать такие атаки, выдаёт доступ из вежливости или страха нарушить рабочий процесс.
ИП и небольшие ООО — привлекательная цель: уровень защиты ниже, а данных клиентов достаточно для продажи. Автоматизированные сканеры находят уязвимые сайты быстрее, чем их успевают залатать. Первый шаг — аудит сайта, который покажет открытые уязвимости без ручного тестирования.
Канал 4: организационные просчёты
Технически всё защищено, но процессы выстроены так, что данные уходят «через парадный вход».
Избыточный сбор данных
Форма заказа спрашивает дату рождения, серию паспорта, адрес регистрации — хотя для доставки нужны только имя, телефон и адрес доставки. Чем больше данных собрано, тем больший ущерб при утечке. Принцип минимизации из статьи 5 152-ФЗ — не только юридическое требование, но и практическая защитная мера.
Неограниченное время хранения
Данные клиентов из акций 2018 года до сих пор лежат в базе — «вдруг понадобятся». Но хранение без цели нарушает 152-ФЗ и увеличивает риск: если эти данные утекут, ответственность несёт оператор.
Отсутствие договоров с подрядчиками
CRM-система, email-рассылки, аналитика, колл-центр — каждый такой сервис получает доступ к ПДн клиентов. Если в договоре нет положения об обработке ПДн, вы нарушаете 152-ФЗ. Если подрядчик допустит утечку — претензии предъявят вам.
Что грозит за утечку данных в 2026 году
С принятием ФЗ-420 (вступил в силу 30 мая 2025 года) санкции за утечки ПДн существенно ужесточились:
| Нарушение | Штраф для ООО/ИП |
|---|---|
| Утечка 1–10 тыс. субъектов | 3–5 млн ₽ |
| Утечка 10–100 тыс. субъектов | 5–10 млн ₽ |
| Утечка более 100 тыс. субъектов | 10–15 млн ₽ |
| Повторная утечка | до 500 млн ₽ или 3% выручки |
| Незаконный оборот ПДн (УК РФ ст. 272.1) | до 10 лет лишения свободы |
Что нужно сделать при обнаружении утечки
152-ФЗ (статья 21.1, введена ФЗ-266) обязывает оператора:
- В течение 24 часов — уведомить РКН через портал pd.rkn.gov.ru
- В течение 72 часов — направить в РКН результаты внутреннего расследования с указанием причин и принятых мер
- Параллельно — локализовать утечку, заблокировать скомпрометированные доступы, зафиксировать факт инцидента в журнале безопасности
Непредставление уведомления в РКН в установленные сроки — отдельное нарушение статьи 13.11 КоАП с отдельным штрафом. Если утечка произошла, попытка скрыть её только усугубляет ответственность.
Базовые меры защиты для малого бизнеса
- Обновляйте CMS, плагины, PHP-версию — хотя бы раз в квартал
- Включите двухфакторную аутентификацию для всех административных аккаунтов
- Ограничьте доступ сотрудников по принципу наименьших привилегий
- Не храните резервные копии базы данных в публично доступных местах
- Подпишите договоры с подрядчиками, обрабатывающими ПДн клиентов
- Установите срок хранения данных и удаляйте их после его истечения
- Проводите ежегодный аудит: что собирается, где хранится, кто имеет доступ
Узнайте, насколько защищён ваш сайт
Автоматическая проверка сайта на соответствие 152-ФЗ: базовая проверка бесплатно, полный отчёт с рекомендациями — 390 ₽.
Проверить сайт бесплатноЧасто задаваемые вопросы
По данным Роскомнадзора и ФСТЭК, более 60% утечек ПДн в России происходят по вине инсайдеров — сотрудников, намеренно или случайно раскрывающих данные. Технические взломы составляют около 25% инцидентов, организационные просчёты — около 15%.
В течение 24 часов уведомить РКН через портал pd.rkn.gov.ru, в течение 72 часов сообщить результаты расследования. Параллельно — локализовать утечку и заблокировать скомпрометированные доступы. Невыполнение сроков — отдельное административное нарушение.
Административная: штраф до 15 млн руб. за первичную утечку и до 500 млн руб. за повторную (ФЗ-420). Уголовная: ст. 272.1 УК РФ — до 10 лет за незаконный оборот ПДн при крупном ущербе или более чем 100 тыс. субъектов.
Да. Автоматизированные сканеры ищут уязвимости на всех сайтах без различия размера. Устаревшая CMS, простой пароль от базы данных или открытый облачный контейнер — типичные векторы для небольших сайтов. Малый бизнес часто становится жертвой именно из-за отсутствия базовой гигиены безопасности.
Намеренные утечки часто сопровождаются нетипичными паттернами: массовая выгрузка в нерабочее время, доступ к данным за пределами должностных обязанностей, отправка архивов на внешние адреса. DLP-системы и SIEM помогают отслеживать такие аномалии автоматически.