Утечки баз данных в России: почему ваши данные давно в сети
За последние три года в публичный доступ попали базы, в которых содержатся данные большинства совершеннолетних жителей России: ФИО, телефоны, паспортные данные, СНИЛС, адреса доставки, остатки на счетах. По данным Роскомнадзора, только за 2024 год зафиксировано несколько сотен крупных инцидентов, а суммарный объём утёкших записей измеряется миллиардами строк.
Это не значит, что «всё пропало». Это значит, что отдельная утечка пароля или номера телефона больше не является катастрофой — катастрофой стала привычка считать любую базу «закрытой». Понимание масштаба помогает выбрать разумные меры защиты, а не идти на крайности.
Ниже — что именно утекло, откуда берутся слитые базы и как это влияет на риски обычного человека.
Коротко
- По данным РКН и ТАСС, за 2023–2025 в сеть утекли миллиарды строк персональных данных россиян.
- Чаще всего в открытом доступе: ФИО, телефон, e-mail, дата рождения, паспорт, адрес доставки.
- Источники — три группы: бизнес-CRM (доставка, маркетплейсы, банки), госбазы и слитые сотрудниками выписки.
- Большая часть «свежих» баз — это объединение старых утечек с одним новым полем (например, телефон → банк).
- Полностью «убрать себя» из этих баз невозможно. Можно снизить риски: 2FA, отдельные e-mail для разных сервисов, перезвон через официальный канал.
Что именно утекло: типы данных
Большинство утечек последних лет однотипны — это выгрузки клиентских баз сервисов с массовой аудиторией. По публикациям TASS и независимых исследователей структура полей повторяется.
Идентификационные данные
ФИО, дата рождения, пол, паспортные данные (серия/номер, иногда скан), СНИЛС, ИНН. Чаще всего попадают из выгрузок банков, страховых, операторов связи и сервисов доставки.
Контактные данные
Телефон, e-mail, адрес доставки (включая код домофона), геопозиция последних заказов. Это самый «торгуемый» сегмент — именно по нему мошенники строят правдоподобный сценарий звонка.
Финансовые маркеры
Не сами реквизиты карт (их утечки сравнительно редки), а косвенные сигналы: в каком банке клиент, средний чек, факт активного кредита, остаток на брокерском счёте. Достаточно для социальной инженерии «от службы безопасности банка».
Поведенческие следы
История заказов на маркетплейсах, поездок в такси, медицинских визитов, заказанных лекарств. По таким следам строится «цифровой двойник» — профиль, по которому собеседник может убедительно изобразить осведомлённость.
Откуда обычно берутся базы
| Источник | Что попадает | Как обычно утекает |
|---|---|---|
| CRM сервисов доставки и маркетплейсов | ФИО, телефон, адрес, история заказов | Взлом облака, инсайдер, незакрытый API |
| Банки и страховые | Паспорт, ИНН, СНИЛС, факт кредитов | Сотрудник скачал выписку, утечка подрядчика |
| Операторы связи | Телефон, паспорт, биллинг, геолокация | Подкупленный сотрудник салона связи |
| Государственные базы | Паспорт, СНИЛС, регистрация, родственники | Сливы из ФНС/МВД/Росреестра, выгрузки на заказ |
| Медицинские сервисы | Полис ОМС, диагнозы, визиты | Незащищённые CRM клиник, утечки лабораторий |
| Старые утечки в сборках | Перепродажа объединённых баз | «Свежая» база — это часто old × old с одним новым полем |
Как проверить прямо сейчас
Wanted Radar не работает с базами утечек — мы ведём поиск по реестру розыска МВД (источник: Медиазона). Но если вы пришли сюда после «странного» звонка от мошенников и хотите убедиться, что в публичных репрессивных реестрах вас нет — это можно сделать здесь.
Для самих утечек используйте отдельные инструменты — об этом подробно в нашем гайде «Как проверить утечку данных».
Что это значит на практике
Сам факт утечки телефона или паспорта в большинстве случаев не даёт мошеннику немедленной возможности украсть деньги. Большинство атак опирается на социальную инженерию: правдоподобный звонок + знание контекста + спешка. Если убрать спешку и перезванивать через официальный канал — большая часть схем рассыпается.
Серьёзнее — утечки паспортных данных и СНИЛС: их используют для оформления микрозаймов и подложных доверенностей. Тут защищают не пароль, а юридическую процедуру (запрет на сделки без личного присутствия в МФЦ, самозапрет на кредиты в БКИ).
Что делать дальше
- Включить двухфакторную аутентификацию во всех важных сервисах — желательно не SMS, а приложение-аутентификатор.
- Оформить самозапрет на кредиты через Госуслуги (доступно с 2025 г.) — закрывает риск микрозаймов по слитому паспорту.
- Использовать разные e-mail для финансовых, коммуникационных и развлекательных сервисов.
- Любой неожиданный звонок «из банка» / «от следователя» — закончить и перезвонить по номеру с обратной стороны карты или с официального сайта.
- Регулярно проверять e-mail через сервисы вроде Have I Been Pwned.
- Не оставлять номер телефона и адрес в опросах, программах лояльности и в «акциях».
- Подробнее о цифровом следе государства — в материале «Что о нас знает ФСБ».
Дисклеймер: материал носит информационный характер и не является юридической консультацией. По вопросам обработки персональных данных конкретным оператором обращайтесь в Роскомнадзор или к адвокату.
Вывод
Утечки баз данных в России перестали быть редким инцидентом — это фоновое состояние интернета. Об этом открыто говорят и государственные источники (TASS), и зарубежные расследования (The Guardian (ресурс заблокирован в РФ)). Полностью защититься невозможно, но базовая цифровая гигиена закрывает большую часть рисков.