КЕЙС Эксперт по кибербезопасности Лаксман Мутийя обнаружил способ, позволяющий взломать любую систему, для восстановления доступа в которую следует указать одноразовый цифровой код, отправляемый в SMS-сообщении или генерируемый в приложении-аутентификаторе. Лаксману удалось сделать это на примере сайта Instagram. После ввода телефонного номера жертвы для восстановления доступа на данный номер высылается шестизначный цифровой код. Система была защищена от брутфорс-атак: скорость передачи данных ограничивалась после 250 попыток авторизации с использованием одноразовых кодов. Но она была бессильна против ротации IP-адресов[540] (когда адреса отправителя запроса циклически меняются сервером для усложнения обнаружения атаки) и зависела от порядка исполнения фрагментов кода (была в состоянии гонки). Кроме того, одноразовый код действовал только 10 минут. В своем исследовании Лаксман привлек 1000 разных IP-адресов, чтобы отправить с каждого по 200 запросов до срабатывания защиты от перебора. Для перебора миллиона всех возможных комбинаций потребовалось ли 5000 IP-адресов, которые легко получить, используя облачный сервис, например Amazon или Google. Затраты на атаку Лаксман оценил в 150 долларов[541].
Злоумышленник, получив доступ к аккаунту жертвы, может сменить привязанные к нему номер телефона и адрес электронной почты и дальше от имени владельца взломанного профиля публиковать любой контент, например порнографические (как в случае Селены Гомес[542], Виктории Якубовской[543] и многих других) или политические материалы, дискредитируя имя настоящего владельца; писать друзьям пользователя личные сообщения с просьбой одолжить денег либо требовать у настоящего владельца выкуп за возвращение доступа и т. п. Если же злоумышленник скрывает факт взлома и имеет одновременный с владельцем доступ к его аккаунту, он может просматривать скрытый от посторонних глаз контент (например, с меткой «Только я») и получать информацию о местонахождении владельца: в некоторых социальных сетях указывается, с каких IP-адресов заходит пользователь. Учитывая, что для некоторых пользователей аккаунты в социальных сетях – это их «лицо», основа бизнеса или иной важный фактор жизни, необходимо очень тщательно защищать доступ к своим профилям и следить за тем, с каких устройств (IP-адресов) происходит авторизация.
Внимание! Тщательно выбирайте контрольные вопросы и ответы для восстановления доступа, так как, подобрав ответы на них, злоумышленники нередко получают несанкционированный доступ к аккаунтам. Как правило, пользователи указывают в качестве ответов ту же самую информацию, что и в профиле социальной сети.
Использование устройств с общим доступом (или чужих компьютеров либо мобильников в гостях и т. п.) создает угрозу утечки персональных данных. Две самые явные опасности: пользователи заходят в свои профили и либо забывают выйти из них по завершении сеанса работы, либо не обращают внимания на флажок «Запомнить меня» и не снимают его при авторизации. В первом случае посторонний может сесть за компьютер сразу после вас и войти в ваш профиль автоматически, так как сеанс еще не истек, даже если вы закрыли вкладку или завершили работу браузера. Вы, конечно, через некоторое время можете спохватиться и завершить сеанс с другого устройства, но за это время злоумышленник успеет просмотреть весь ваш профиль или даже перехватить доступ к нему, сменив учетные данные (если нет многофакторной аутентификации). Во втором случае, даже если сеанс истек и для входа в ваш профиль система требует логин и пароль, браузер автоматически подставит его из базы данных, где он сохранен, так как вы не сняли флажок «Запомнить меня». На таких устройствах нельзя не только устанавливать этот флажок, но и сохранять свои учетные данные, включив автозаполнение логина/пароля в настройках браузера. Последняя функция, избавляя от необходимости запоминать пароль, сводит на нет все ваши стратегии безопасности, даже если в качестве пароля используется 50-символьная кодовая фраза.
Вы можете использовать приватные режимы в браузерах. В этом случае логин и пароль, кеш и история посещений не сохранятся (если, конечно, вы завершили работу браузера), но, так как это чужое устройство, вы не можете быть уверены в отсутствии камер наблюдения, а также кейлогеров и прочих вредоносных утилит, перехватывающих учетные данные, да и вообще фиксирующих ввод данных в компьютер.
Безопасность при общении в социальной сети
Наиболее важной причиной утечки персональных данных в социальных сетях, помимо ненадлежащей защиты данных администрацией таких сервисов, остается неосведомленность и безалаберность пользователей. Они необдуманно публикуют лишнюю информацию о себе; оставляют без внимания настройки конфиденциальности и недостаточно надежно защищают свои профили (используют слабые пароли, не применяют средства многофакторной аутентификации; авторизуются на сайтах, используя посторонние устройства и недоверенные сети и т. п.).
Если вы публикуете в социальной сети какую-либо информацию о себе или фотографию, пишете о личных предпочтениях или политических взглядах, лайкаете понравившийся пост или оставляете эмоциональный комментарий, нужно помнить, что любая социальная сеть уже по своему предназначению является общественной, т. е. здесь нет ничего «личного». Любые записи, опубликованные вами даже в закрытых от глаз посторонних пользователей аккаунтах и сообществах (или с пометкой «Вижу только я»), доступны как минимум администрации социальной сети, а также сторонним компаниям, анализирующим переданные сетью персональные данные пользователей для изучения общественного мнения, таргетирования рекламы и т. п. Представители социальных сетей утверждают, что данные, передаваемые сторонним компаниям, обезличены. Но эти утверждения спорны: с помощью своих алгоритмов соцсеть связывает личность каждого пользователя с обозначенным соответствующим идентификатором набором его обезличенных данных. Поэтому сведения о пользователе могут попасть к посторонним. Кроме того, даже относительно небольшой объем обезличенной информации о человеке позволяет с довольно большой вероятностью деанонимизировать его (путем сопоставления с конкретным профилем в этой или другой сети, где тот зарегистрирован).
В целом при использовании социальных сетей следует учитывать все те правила безопасности, которые мы уже обсудили в книге. Необходимо надежно защищать доступ в аккаунт, блокировать спам и фишинговые сообщения, защищаться от вредоносных объектов, учитывать возможность прослушивания голосовых вызовов и чтения сообщений (в том числе и личных) третьими лицами, соблюдать осторожность при публикации фотографий и видеозаписей. Пользователи необдуманно доверяют колоссальные объемы личных данных прежде всего социальным сетям. Следовательно, именно эти сайты в первую очередь интересуют хакеров и государства при сборе информации о конкретном человеке.
На примере трех наиболее популярных в России социальных сетей – Facebook, Instagram и «ВКонтакте» – рассмотрим вопрос о том, какими персональными данными и с кем делится каждый пользователь таких сетей. Каждая социальная сеть придерживается своей политики использования персональных данных, о чем можно узнать на соответствующих страницах их сайтов, но различия между соцсетями не очень велики.
КЕЙС В 2018 г. произошел большой скандал, когда выяснилось, что английская компания Cambridge Analytica, имевшая доступ к данным 87 млн пользователей Facebook, использовала их для агитации за кандидата в президенты США Дональда Трампа[544]. Глава Facebook Марк Цукерберг признал утечку данных, компания Cambridge Analytica начала процедуру банкротства, а разгневанные пользователи запустили акцию с хештегом #DeleteFacebook.
Facebook и Instagram
Согласно политике использования данных[545] сети Facebook, Instagram, Facebook Messenger и другие продукты компании Facebook собирают персональные данные, о которых сказано ниже.
■ Предоставляемая пользователями информация и контент. Сюда относится контент, сообщения и другая информация, которую предоставляют пользователи, в том числе при регистрации аккаунтов, создании и перепосте контента, обмене сообщениями и взаимодействии с другими людьми. Это может быть информация из предоставляемого пользователями контента или сведения о нем (метаданные), например о месте съемки фото, или дата создания файла. Кроме того, соцсеть может собирать данные о том, что видит пользователь, с помощью таких функций Facebook, как фото– и видеосъемка при использовании приложения Facebook Camera[546].
■ Информация о сообществах и о связях пользователя. Собирается информация о людях, профилях, страницах[547], аккаунтах, хештегах и группах, которые связаны с пользователями, а также о взаимодействии с ними пользователей в различных продуктах Facebook. Собирается информация о контактах, если она загружается, синхронизируется или импортируется с устройств (например, адресная книга, журнал вызовов и SMS-сообщений).
■ Информация об использовании продуктов Facebook[548]. Собирается информация о том, как используются продукты Facebook (социальные сети Facebook и Instagram, Messenger, кнопки «Нравится», «Поделиться» и др.): какой тип контента просматривает пользователь, с какими типами кон