Сколько стоит досье на интернет-пользователя?

Александр Панасенко 14 Июня 2013 - 12:17

...

Деловая газета The Financial Times оценила стоимость информации об интернет-пользователе. В публикации называется «оптовая» цена досье с базовыми данными об одном пользователе – 0,0005 доллара США. В такую подборку входит информация с именем, полом, возрастом и местоположением человека.

По информации издания, на рынке стоимость таких досье меняется в зависимости от важности собранных данных. Например, за досье на более «важного» в собственном кругу человека в среднем придется заплатить в полтора раза больше. За данные о доходах и истории покупок человека заинтересованные лица платят в два раза больше, то есть около 0,001 доллара. По данным газеты, полную подборку данных о человеке можно купить не более чем за доллар, пишет lenta.ru.

The Financial Times в пример приводит компании, открыто ведущие такую деятельность. В частности, сочетание из имени и почтового адреса больного раком или диабетом компания LeadsPlease.com продает за 26 центов, а также предлагает большие скидки при «оптовых» закупках. По словам самой компании, данные она получает непосредственно от пользователей.

В другом примере приводится находящийся в открытых источниках список клиентов компании ALC Data, которая продает данные о пользователях, сортируя их по платежеспособности и качеству кредитной истории. Услугами ALC Data пользовались такие компании, как оператор связи Sprint Nextel и электрическая компания TXU Energy. Также ALC Data предлагает информацию о роженицах, так как у компании есть официальная информация о большинстве рожденных в США детей.

Своей публикацией The Financial Times призвала читателей обратить внимание на пробелы в законодательстве о личных данных. Как подчеркнула газета, зачастую деятельность по сбору и продаже пользовательских данных является законной. В частности, медицинские данные можно передавать третьим лицам, если через них нельзя установить личность человека.

В последнее время в США тема защиты личных данных активно обсуждается в обществе. Причиной этого стали публикации в прессе, в которых рассказывалось, что спецслужбы США по некоему секретному решению суда имеют право запрашивать любые пользовательские данные у крупнейших американских интернет-компаний: Microsoft, Yahoo!, Google, Facebook, AOL, Skype и Apple.

Впоследствии компании опровергли подозрения в передаче данных, а часть из них пообещала обнародовать запросы спецслужб, которые они получали за последнее время. Спецслужбы США, в свою очередь, заявили, что они действовали согласно закону, так как собирали информацию только на тех пользователей, которые не являются жителями США и находятся за пределами страны.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 24 Апреля 2026 - 13:32

Малый и средний бизнес Корпорации Системы аутентификации Парольная защита (пароли)Средства генерации одноразовых паролей (OTP)

Компании привыкли доверять сбросу пароля. Злоумышленники этим пользуются

По данным специалистов Forrester, каждый сброс пароля обходится компании примерно в $70 (5 284 руб.), а для атакующих это ещё и удобная точка входа: если убедить сотрудника службы поддержки сбросить пароль, можно обойти MFA и получить доступ к аккаунту без эксплуатации уязвимостей.

На эту проблему обратили внимание специалисты Specops, разобрав риски, связанные с процедурами сброса пароля.

Даже при наличии инструментов вроде SSPR команды техподдержки всё равно часто участвуют в сбросе паролей: помогают с регистрацией, разбирают нестандартные случаи или вручную обрабатывают обращения пользователей.

Хороший пример того, как всё может пойти не так, — атака на британского ретейлера Marks & Spencer в апреле 2025 года. Она привела к масштабным сбоям и пятидневной остановке онлайн-продаж. Потери оценивались примерно в £3,8 млн (387 млн руб.), в день.

По имеющимся данным, злоумышленники, которых связывают с группировкой Scattered Spider, получили первоначальный доступ, выдав себя за сотрудника M&S и обратившись в стороннюю службу поддержки. После сброса пароля они получили легитимные учётные данные без необходимости искать баги или эксплуатировать уязвимости.

Дальше атака развивалась уже внутри инфраструктуры. Киберпреступники использовали Active Directory, извлекли файл NTDS.dit с хешами паролей доменных пользователей, взломали часть из них офлайн и получили дополнительные учётные данные. Затем они постепенно расширяли доступ, перемещаясь по сети с помощью обычных инструментов и легитимных входов.

Когда прав оказалось достаточно, злоумышленники развернули шифровальщик. Под удар попали системы, связанные с платежами, электронной коммерцией и логистикой. M&S пришлось отключать сервисы, что нарушило работу магазинов и онлайн-каналов.

Главная сложность таких атак в том, что для техподдержки они выглядят вполне обычно. Сотрудник видит не подозрительную активность, а очередного пользователя, который просит сбросить пароль. Поэтому стандартных вопросов вроде «назовите дату рождения» или «уточните отдел» уже недостаточно: такую информацию можно найти, купить или выведать заранее.

Specops предлагает закрывать этот риск через более строгую проверку личности перед сбросом пароля. Например, агент службы поддержки может отправить одноразовый код на доверенное устройство пользователя или задействовать уже существующие провайдеры идентификации, такие как Duo или Okta.

Эксперты также напоминают о базовых практиках. Временные пароли должны быть одноразовыми, короткоживущими и передаваться только через защищённые каналы. Отправка временного пароля по обычной почте или диктовка по телефону создаёт лишние риски.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!