Копии паспортов и других документов попадают в руки злоумышленников по вине не только их владельцев, но и сотрудников соответствующих ведомств и компаний. Например, сотрудники компаний сотовой связи могут продавать информацию об абонентах и копии их документов, а банковские служащие – сведения о вкладчиках и держателях банковских карт. Утечки происходят и из государственных систем, таких как «Российский паспорт» или «Розыск-магистраль» (содержащей информацию о передвижениях граждан на транспорте)
[468].
КЕЙС Весной 2019 г. российский корреспондент BBC менее чем за 2000 рублей смог приобрести выписку со своими паспортными данными и копии заявлений о выдаче документов, в том числе первого заявления, написанного им в конце 1990-х по достижении 14-летнего возраста. Файлы журналист получил спустя сутки после того, как заплатил за услугу анонимному хакеру
[469].
Если же злоумышленникам удастся завладеть сканом водительских прав (либо использовать информацию из базы данных ГИБДД), они могут создать дубликат – «зеркальные права». Злоумышленник с «зеркальными правами» может совершать правонарушения, а сотрудники правоохранительных органов попытаются привлечь к ответственности владельца настоящих прав
[470].
Публикация фотографий с билетами на авиарейс тоже опасная затея, так как кроме фамилии и имени на них присутствуют такие данные, как код бронирования (PNR) и номер бонусной карты, если таковая используется.
Примечание. На сайтах некоторых авиакомпаний кода бронирования и фамилии достаточно для доступа в личный кабинет или регистрации на рейс через интернет
[471], а также для использования чужих «бонусных миль»
[472].
Даже если кода бронирования в явном виде на билете нет, с помощью специальных утилит его можно извлечь из обязательно имеющегося на нем штрих– или QR-кода. Код бронирования может содержать, например, детальную информацию о маршруте; о тех, кто летит вместе с владельцем билета; сведения об оплате (вплоть до номера банковской карты
[473]), а также в некоторых случаях адрес регистрации, номер телефона, дату рождения и паспортные данные. Хакеры могут получить доступ к информации о пассажире по фотографии его билета, так как при аутентификации на сайте авиаперевозчика запрашиваются автоматически присваиваемые при регистрации фамилия (в качестве логина) и код бронирования (пароль). Все данные, необходимые хакеру для успешного входа в систему, печатаются на билете, а также на бирках, приклеиваемых к багажу (которые также можно фотографировать).
Примечание. Хакер также может перебирать коды бронирования брутфорсом (многие сайты не ограничивают количество попыток), используя в качестве логина наиболее распространенные фамилии. Это несложно, так как код PNR состоит из шести символов в верхнем регистре без нулей, единиц и специальных символов, а некоторые компании к тому же используют несовершенные алгоритмы генерации кодов (например, помещают одинаковые символы в начале кодов, сгенерированных в определенный день, или постоянно используют одни и те же символы для конкретных авиалиний).
Вряд ли хакер воспользуется чужим билетом, чтобы вылететь вместо настоящего владельца, но вполне может подшутить, например, купив билеты на другие рейсы
[474], изменив дату вылета, аннулировав обратный билет или сменив данные владельца на данные преступника из базы правоохранительных органов. Или, определив по коду бронирования, что некий известный человек летит в компании с кем-то еще, но скрывает эту информацию от общественности, злоумышленник может обнародовать эти сведения либо шантажировать жертву в обмен на молчание.
Примечание. Следя за перемещением конкретного человека, хакер может использовать полученную информацию для сложных целевых фишинговых атак, например отправлять этому человеку ссылки на фишинговую страницу от имени используемой им авиакомпании, чтобы он подтвердил данные своей банковской карты. Если в обращении указаны настоящие имя и фамилия, а также рейс и прочие подробности бронирования, это притупит бдительность получателя, особенно если уведомление приходит на мобильное устройство, скрывающее часть адреса фишинговой страницы
[475].
С определенным риском связана и публикация в интернете фотографий ключей от автомобиля или квартиры, так как в некоторых случаях с помощью специальной программы и 3D-принтера злоумышленники могут по снимку создать дубликат ключа (об определении места съемки мы упоминали ранее)
[476].
КЕЙС В 2014 г. американский журналист провел эксперимент: выбрав момент, когда его сосед по дому отвлекся, он взял его ключ от квартиры и за 30 секунд отсканировал с помощью приложения KeyMe на смартфоне. Программа из отсканированного изображения подготовила образ 3D-модели ключа, а через некоторое время исследователь получил дубликат ключа в выбранном терминале KeyMe и смог попасть в квартиру соседа, когда того не было дома
[477].
Кроме того, определив по опубликованным билетам (или даже просто по упоминанию будущего посещения концерта и т. п.) дату и время отсутствия человека дома, а также место его жительства, злоумышленники могут запланировать квартирную кражу.
Интимные фотографии и видеозаписи
Крайне опасно выгружать в интернет и интимные фотографии и видеозаписи, если только вы не хотите сделать их достоянием общественности. Правда, можно ограничить к ним доступ. Но время от времени сайты взламывают, и злоумышленники получают доступ к персональным данным пользователей, как, к примеру, это произошло со службой знакомств AshleyMadison.com
[478]. Но и подписчики из числа друзей могут похищать фотографии и использовать их в корыстных целях. Так, например, поступил американец Кристофер Мадилл, скачав из профиля в Facebook и разместив на российском порносайте 83 фотографии дочери своей близкой подруги
[479].
