← На главную

Тысячная утечка в Have I Been Pwned: компании молчат, боясь исков

08.06.2026 03:17 · hackernews

Трой Хант, создатель Have I Been Pwned, загрузил в сервис тысячную утечку данных. И сразу задался вопросом: почему он вообще всё ещё нужен? Ведь прошло уже 12 с половиной лет, появились GDPR и CCPA. Ответ кроется в самой статье — задержки с раскрытием информации становятся только хуже.

Вот свежий пример — Carnival. О взломе стало известно 24 апреля, когда ShinyHunters выложили данные в открытый доступ. Carnival знали об утечке. И что? Они рассказали людям только 27 мая. Спустя 43 дня. Всё это время пострадавшие — с именами, датами рождения, номерами лояльности — понятия не имели, что их данные гуляют по даркнету. А на вопросы компания отвечала отписками — «юристы заняты оценкой».

Потом — DentaQuest. Там задержка составила 45 дней. Ещё хуже. Хант жалуется: стандартная отговорка «мы оценивали масштаб» не работает. Вытащить email-адреса и предупредить людей можно за минуту. Проблема в другом. Он замечает закономерность: задержки растут из-за коллективных исков. Поиск по DentaQuest выдаёт три рекламы адвокатов из первых четырёх результатов. Организации боятся не за клиентов, а за свои активы.

Хант цитирует пост Роби Джойса, который узнал об утечке ZenBusiness через HIBP. Когда Джойс обратился в компанию, ему ответили: «Если мы решим, что ваши данные скомпрометированы, уведомим по закону». Джойс назвал это не «защитой клиентов», а «судебной позой».

И это не единичный случай. Законы оставляют лазейки. В UK и Австралии уведомлять нужно только при «высоком риске серьёзного вреда». Определения «чувствительных данных» в CCPA и GDPR жёсткие и узкие: номера соцстраха, биометрия, здоровье, сексуальная ориентация. Всё остальное — имена, email, история покупок — под это не подпадает. Charter недавно заявил, что у них не украли «чувствительную PII», и просто промолчал. Формально — законно.

Хант признаёт: все эти компании — жертвы преступников. Но их цели и цели людей, чьи данные утекли, разошлись. Законы позволяют молчать, суды пугают, а пострадавшие остаются в неведении. Поэтому спустя 1000 утечек HIBP всё ещё работает.

Читать оригинал →