Снижение числа утечек данных: реальность или смена тактики
В первом полугодии 2026 года, по данным ИБ-компании F6, выявлено 88 новых публикаций утечек баз данных российских компаний и организаций.

Канал публикации сузился, риск не исчез
F6 связывает снижение с блокировкой Telegram-каналов, которые специализировались на распространении баз данных. По данным источника, падение продолжается два квартала подряд. Во втором квартале 2026 года число впервые опубликованных утечек снизилось на 70%, а объём строк — на 97% по сравнению с первым кварталом.
Технически это означает только одно: видимость новых сливов в публичных каналах стала ниже. Не путайте это с исчезновением самих компрометаций. Если база не опубликована в привычном Telegram-канале, она может уйти в закрытую продажу, использоваться точечно или всплыть позже в агрегированных наборах.
Проверьте, что мониторинг не завязан на один источник. Нужны минимум три слоя:
- контроль утечек корпоративных доменов и служебных ящиков;
- проверка появившихся пар email/пароль;
- отслеживание аномалий входа в почтовые аккаунты и панели рассылок.
Если в утечке есть email, это уже рабочий идентификатор. Если рядом есть пароль — считайте, что начался подбор. Если пароль повторно использовался в почте, CRM, helpdesk или ESP, инцидент переходит из внешнего шума во внутренний риск.
Что именно попадает в открытый доступ
По данным источника, чаще всего в опубликованных базах оказываются ФИО, адреса проживания, пароли, даты рождения, паспортные данные, номера телефонов и электронная почта. Для email-безопасности критичны не только пароли. Связка ФИО + телефон + email даёт нормальную заготовку для убедительного фишинга. Добавьте дату рождения или паспортные данные — и атака становится персонализированной.
Основная доля утечек в первом полугодии пришлась на ретейл и интернет-магазины, образовательные платформы, здравоохранение и госсектор. Это типовые источники адресных баз для массовых рассылок, поддельных уведомлений, имитации личных кабинетов и писем «от поддержки».
Минимальный порядок действий для администратора домена:
1. Проверьте SPF, DKIM и DMARC. Политика DMARC без мониторинга — слабая защита. Политика p=none годами — фактически режим наблюдения без запрета.
2. Запретите повторное использование паролей для почты, CRM, ESP и административных панелей.
3. Включите MFA для почтовых ящиков, особенно для бухгалтерии, HR, поддержки и маркетинга.
4. Проверьте правила пересылки в почтовых ящиках. Скрытый forward на внешний адрес — частый признак захвата.
5. Разделите сервисные ящики и персональные аккаунты. Не используйте один ящик как общий вход в подрядчиков, рассылочные платформы и доменные панели.
Для рассылок отдельно проверьте сегменты. Утекшая база клиентов быстро превращается в источник жалоб, если по ней начнут работать злоумышленники с похожими доменами и поддельными письмами.
Трансграничные данные: проверьте маршрут до ESP и CRM
Параллельно меняется регуляторный контур. По данным Techora.ru, 8 июля 2026 года Госдума приняла в третьем чтении закон, ужесточающий правила трансграничной передачи персональных данных россиян. Роскомнадзор должен оценивать не только наличие законодательства в стране-получателе, но и фактическую практику защиты информации.
Из 152-ФЗ убираются формулировки, привязанные к Конвенции Совета Европы 1981 года. Основным ориентиром, как указано в источнике, остаётся приказ регулятора. Отдельно отмечено: США не входят в перечень стран с адекватной защитой, поэтому передача данных туда уже сейчас требует разрешительного порядка. Одного уведомления недостаточно — оператору нужно дождаться решения Роскомнадзора, и оно может быть отрицательным.
Для почтовых команд это не абстрактная юридическая строка. Проверьте фактическую схему обработки:
- где хранится первичная база подписчиков;
- куда уходит email при подписке, оплате, регистрации и обращении в поддержку;
- какие ESP, CRM, CDP и helpdesk получают персональные данные;
- есть ли передача в зарубежные облака через формы сайта, API, вебхуки и интеграции.
Если страна исключается из перечня «безопасных», режим передачи может измениться без изменения вашей архитектуры. Вчера поток был допустим в уведомительном порядке, сегодня требует разрешения. При отказе регулятора передача становится незаконной.
Вывод для инфраструктуры прямой. Снижение числа опубликованных утечек не отменяет инвентаризацию данных. Сначала карта потоков. Затем SPF/DKIM/DMARC, MFA, контроль пересылок, аудит ESP и проверка трансграничных передач. Без этого падение статистики по сливам не снижает реальную площадь атаки.