Хакеры слили имейлы тех, кто планирует участвовать в митинге за Навального. И мой тоже? Есть опасность, что меня теперь взломают?
Что случилось?
Хакеры опубликовали в открытом доступе адреса электронной почты почти 400 тысяч людей, которые сообщили, что планируют выйти на митинг в поддержку Алексея Навального по всей России.
А моя почта там есть?
Да, если вы оставляли ее на сайте free.navalny.com до 2 апреля. Кроме того, в этой базе может оказаться ваша почта, если кто-то оставил заявку за вас (например, в шутку). Впрочем, в этом случае вам должно было прийти письмо с предложением подтвердить регистрацию на сайте. Почтовые адреса без подтверждения в счетчике сайта не учитываются.
В утечке почти 530 тысяч записей — заметно больше, чем 2 апреля показывал счетчик на сайте. Там есть как подтвержденные, так и неподтвержденные адреса; почта реальных людей и адреса ботов, вычищенных командой Навального.
Меня теперь могут деанонимизировать?
Мы этого не знаем наверняка. В самой утечке фигурируют только почтовые адреса, время подачи заявки и подтверждения регистрации — вроде бы безобидная информация. Тем не менее эти данные могут оказаться довольно «чувствительными». Многое зависит от того, какую почту вы оставили на сайте — рабочую или личную; основную, с помощью которой регистрируетесь везде, или дополнительную, которую завели только для этой акции.
Если вы использовали эту же почту для регистрации, скажем, в фейсбуке, при желании посторонние люди могут установить вашу личность: соцсеть показывает имя и аватар пользователя, чей имейл был введен в поле для входа (даже если указан неверный пароль). Похожим образом какую-то информацию о вас могут выдать и другие сайты, на которых вы регистрировались с этой почтой.
Но дело не только в этом. Можно предположить, что вас просто будут искать в этой «базе оппозиционеров» при случае. Причем это могут быть не только силовики, но и, например, работодатели — или руководство учебного заведения, где вы учитесь. Сделать с этим ничего уже нельзя, хотя смена адреса в нынешних российских условиях, вероятно, разумная мера предосторожности.
Что еще можно сделать, чтобы никто не выяснил мои личные данные?
Попробуйте вспомнить, в каких сервисах, где указаны ваши реальные имя или другая личная информация, вы регистрировались с помощью этой почты. И либо поменяйте данные в этих сервисах на что-то, что вас не выдаст, либо зайдите в профили и поменяйте привязанный адрес электронной почты на другой.
Но стоит помнить, что некоторые из адресов электронной почты, оказавшихся в базе сторонников Навального, также могут найтись в других существующих или будущих утечках с самых разных сервисов и сайтов. В некоторых случаях помимо почтового адреса в открытом доступе оказываются имена людей, их дни рождения и адреса — и даже пароли от учетной записи.
То есть меня могут взломать?
Теоретически да, если вы не предпримете меры предосторожности или станете жертвой «социальной инженерии».
- С помощью сайтов haveibeenpwned.com или monitor.firefox.com проверьте, не утекал ли пароль от вашей почты. И если утекал — поменяйте его.
- Если вы до сих пор используете один пароль для всех сервисов, откажитесь от этой опасной привычки. Заведите себе менеджер паролей.
- Используйте двухфакторную аутентификацию, но только не с помощью СМС. Установите специальное приложение вроде Authy или andOTP. А еще лучше купите себе токен: он защитит вас от «фишинговых атак».
- Не переходите по ссылкам и не открывайте вложения в подозрительных письмах.
А можно как-то сделать, чтобы вообще не получать фишинговых писем?
Только если вы закроете свой ящик, который оказался в утечке, и заведете вместо него другой.
Если вы по-прежнему хотите получить уведомление о митинге в поддержку Навального, можно зарегистрировать новый ящик на сайте free.navalny.com. А старый — отозвать.
Если вы опасаетесь новой утечки, можете использовать не реальный новый адрес, а дополнительный «секретный»: некоторые сервисы вроде Tutanota или Protonmail позволяют заводить такие адреса в дополнение к основному. Или просто указать, например, запасную гугл-почту — но важно, чтобы, взломав ее, нельзя было узнать, какой имейл у вас основной.
Даже если эти данные утекут, злоумышленники не смогут выяснить ваш главный адрес.