После нашумевшей истории с назойливым курьером из Delivery Club, предлагавшим клиентке «провести время вместе», на что компания отреагировала контрмерой, решив скрывать номера телефонов своих заказчиков, теперь вот издание «Коммерсант» публикует историю о происшествии в службе доставки «Авито», на которое последовала не вполне адекватная реакция портала — он стал просто больше данных требовать от своих клиентов. Так, издание сообщает, что в сервисе «Авито» обнаружена новая уязвимость. Используя технологию подмены номера телефона, мошенники могли получить доступ к аккаунту пользователя при продаже товаров через «Авито Доставку» и вывести деньги. В компании утверждают, что уже запрашивают для идентификации клиентов дополнительные данные. Проблему в системе идентификации клиентов «Авито», которая позволяла мошенникам получать доступ к аккаунтам пользователей и выводить деньги за товары, проданные через сервис «Авито Доставка», обнаружил пользователь Pikabu, продавший через портал в декабре прошлого года товар за 119 тыс. руб. Товар был передан Boxberry, а когда покупатель получил его, на счет продавца должна была поступить оплата, но в этот момент аккаунт взломали. После восстановления доступа оказалось, что все данные сменены, а денег на счету уже нет.

Цифровые данные
Цифровые данные
Александр Горбаруков © ИА REGNUM

Пострадавший предположил, что случившееся произошло из-за того, что в накладной Boxberry был указан его номер телефона, мол, для идентификации владельца аккаунта достаточно было звонка с номера, привязанного к профилю «Авито», в службу поддержки компании. Таким образом, обладая данными из накладной, можно позвонить в «Авито» от лица продавца с помощью подмены номера и получить доступ к аккаунту. Однако наивная отговорка последовала и от службы доставки для интернет-магазинов Boxberry. Там ответили, что информация в накладной посылки видна и отправителю, и получателю, покупатель знает номер отправления и номер телефона продавца, доступ к данным о посылках есть и у некоторых сотрудников, которые несут материальную ответственность и подписывают обязательство о неразглашении персональных данных клиентов и коммерческой тайны. В компании, конечно, уже работают над устранением уязвимости — «в ближайшее время покупатель будет получать только номер накладной». Но легче оттого вряд ли кому-нибудь станет, так как эта мера на 100% не защищает от рисков. Как полагают эксперты, сотрудники Boxberry, имеющие доступ к накладной, могли вступить в сговор со злоумышленниками, знающими об уязвимости «Авито».

Открытые данные
Открытые данные

Практически все мнения опрошенных изданием экспертов сводятся к тому, что именно номер телефона является корнем зла, его можно подменять — и число мошенничеств, таким образом, продолжает расти. По данным ЦБ, 80% злоумышленников, звонящих якобы от лица финансовых организаций, используют подмену номеров. Хотя ведущий эксперт «Лаборатории Касперского» Сергей Голованов отмечает, что утечка данных в ситуации с «Авито» могла произойти на любом из этапов: об отправке посылки на крупную сумму знали покупатель, продавец, площадка продажи и сервис доставки.

Но что в итоге в данной ситуации мы наблюдаем?! «Авито», и без того имея массу личных данных о своих клиентах, так как на платформе продаются любые товары от, к примеру, шариковой ручки до недвижимости, теперь будет запрашивать еще больше личных данных. И чем больше возникает платформ, работающих с персональными данными россиян, тем больше рисков возникает для личной жизни граждан. Более того, подобные платформы не только зарабатывают на размещении, в случае с «Авито» — объявлений, но и вполне могут зарабатывать на продаже данных. А открыть интернет-магазин или прочую платформу, где возможен сбор личных данных, как известно, можно свободно и без особых расходов.

3 февраля издание «Известия» опубликовало интервью с президентом группы компаний InfoWatch Натальей Касперской. Примечательно, что статья вышла под заголовком «Нас ждут цифровые «Фукусимы». Как подчеркнула Касперская, подавляющая часть сбора и использования персональных данных происходит сейчас в серой зоне. Сегодня смартфоны подслушивают разговоры своих хозяев даже при выключенной функции голосового помощника, а умные телевизоры распознают жесты, лица и голоса. Умные колонки или умные дома постоянно соединены с облаком, всё время слушают звук и передают данные в облако. Если у смартфона выключить голосовой ввод, проверить, что встроенная функция распознавания речи не включена, всё равно невозможно. При этом, если данные могут собираться вполне законным путем, то их передача и продажа на сторону незаконным путем происходит регулярно. Когда абонент получает на свой мобильный какую-нибудь рекламу, это может быть как раз результат такой продажи его данных. Например, человек пять дней в неделю ездит в строительный супермаркет, замечен в районе с новостройками и ищет в поисковике, как самому положить плитку в ванной? Он явно планирует ремонт квартиры, мы покажем ему баннеры о ваших услугах. А кто-то получит приток новых клиентов. Эти данные, говорит Наталья Касперская, как бы закрытые, о чем написано в пользовательских соглашениях и договорах, но в реальности мобильные операторы часто незаконно продают их на сторону, а также передают госорганам.

Огромный объем данных собирают интернет-компании: это поисковики, интернет-СМИ, социальные сети и платформы (Facebook, Instagram, «ВКонтакте», Twitter). У многих есть свои счетчики, расставленные на сайтах третьих сторон, так что они видят нас не только на своей платформе, но и по всему интернету. Очень много данных пользователей у иностранных игроков (Google, Facebook, Apple). К слову, о чем мы неоднократно писали, подобные агрегаты практически не следуют российскому законодательству.

Социальные сети
Социальные сети
Владимир Чичилимов © ИА Красная Весна

По мнению Касперской, в России должен появиться «цифровой кодекс», регулирующий потоки личной информации. Напомним, норма о защите частной жизни существует в Конституции. Но пока законы, охватывающие эту норму, не разработаны. Есть закон 152-ФЗ, который регулирует сбор и использование персональных данных. Однако, по словам президента группы компаний InfoWatch, закон защищает только те данные, которые явно помечены как персональные, а данные с камер видеонаблюдения или собираемые платформами, под действие этого закона не подпадают.

Тем временем сегодня, по словам советника гендиректора Национальной инжиниринговой корпорации Игоря Бедерова, подделав номер телефона человека, можно получить доступ к его электронной почте, социальным сетям, платежным системам и даже детализации его переговоров и перемещений. Крупные западные IT-компании, подчеркивает господин Бедеров, давно используют более надежные методы идентификации: по устройству или электронной генерации кода. Между тем, заметим, что использование методов идентификации устройства, судя по всему, также не решит проблему. Потому как сами устройства также могут являться источником проблем. Именно государство обязано стоять на защите своих граждан и выработать системный подход, не только на законодательном уровне, но и на техническом.