Обект на експеримента е платформата TikTok, която авторът е използвал в продължение на два месеца, но без да си създава профил.
Възползвайки се от Общия регламент за защита на данните (GDPR) на ЕС, той е поискал от TikTok да му изпрати всички данни, събрани за него.
Отговорът е представлявал таблица с близо 16 хил. реда и 24 колони, съдържаща над 381 хил. единици данни. Освен подробен запис на всички действия, платформата знае: типа на устройството, от което се достъпва и разделителната способност на екрана, телефонния оператор, операционната система, IP адреса и идентификационен код на устройството.
HmbBfDI мотивира решението си с това, че масовото профилиране може да бъде опасно за гражданите и да се използва за манипулиране на демократични решения. Пример: скандалът с Cambridge Analytica и изтичането на данни, засегнали над 500 млн. потребители на Facebook.
Ръководителят на HmbBfDI, Johannes Caspar, призовава регулаторите на останалите страни от Европейския съюз да последват примера на Германия, така че забраната да се приложи за всичките 27 държави-членки на ЕС.
Дали нападателите са получили достъп до чувствителна информация на лабораториите – не знаем.
Това, което знаем е, че който и да е бизнес може да предотврати спирането на работния си процес и да си спести значителни главоболия, ако приложи минимални превантивни мерки.
За целта е нужно:
Администраторите да се уверят, че поверената им организация следва добрите практики в киберсигурността. Ако установят, че това не е така, то те следва да обяснят на разбираем език на собствениците на бизнеса, какви мерки е нужно да бъдат предприети.
Собствениците на бизнес, от своя страна, трябва да разглеждат киберсигурността като инвестиция, а не като разход, и да се вслушват в препоръките на служителите, които сами са наели, за да защитават бизнеса им от онлайн заплахи.
Разбира се, и двете страни могат да се допитат до външни специалисти по киберсигурност, при нужда.
Какви вреди може да причини една DDoS атака
DDoS (Distributed Danial-of-service) е насочена към един от трите основни стълбове на киберсигурността – наличността. Нападателите, които и да са те и каквато и да е целта им, изпращат голям брой заявки от различни източници (DistributedDoS) към вашия сайт или сървър, докато той „откаже“ и изпадне в невъзможност да предоставя на потребителите стандартните си услуги.
Може да запуши цялата ви мрежова честотна лента (bandwith) и по този начин да спре достъпа на всичките ви потребители до ресурса, който им предоставяте (волюметрична DDoS атака – Volumetric bandwidth attack)
Да атакува конкретно ваше устройство – уеб сървър, защитна стена, рутер или друг актив от инфраструктурата ви (атака за изчерпване на ресурса – Resource exhaustion attack)
Да е насочена към протоколите от L7 на OSI модела – HTTP, DNS, FTP и т.н. (атака на ниво приложен слой – Application-layer attack)
Защитната стена на изхода на мрежата ви би могла да филтрира определен размер на DDoS атака. Това би ограничило т.нар. “attack surface”, а именно публично достъпните услуги и протоколи, които са видими в интернет. Един такъв протокол е ICMP (пинг), който често се използва при DDoS атаки.
Наличието на WAF (Web Application Firewall) също би спряло определени DDoS атаки, от L7 например.
За ограничаването на едни от най-големите DDoS атаки препоръчваме използването на CDN (content delivery network). Техният мрежови капацитет е в рамките на 59 Tbps и може да се противопостави на атакуващите, които често разполагат с пъти по-голяма честотна лента (bandwith) от вас.
Всичко, което споделите за себе си в сайта на дадена компания се запазва, с цел да бъде използвано за целенасочена реклама: пол, име, дата на раждане, имейл адрес, IP адресът ви и тези на всички свързани устройства (лаптопи, телефони и др.). Към това се добавя и информация спрямо вашето поведение – хобита, тегло, домашни любимци и т.н. Компаниите съхраняват банковата ви информация, връзките към акаунтите ви в социалните мрежи и данните, които споделяте в тях.
Кои компаниите знаят най-много за вас и какво точно
Социалните медии събират повече данни от всички други онлайн. Според проучване на Clario на първо място в списъка с компаниите за събиране на данни е Facebook. Социалната мрежа разчита на вашите данни, за да ви препоръча приятели, да информира, че имате рожден ден, да ви предложи групи, към които да се присъедините и най-важното – да ви показва реклами. От всички данни, които бизнесът може законно да получи за вас, Facebook събира 70,59%.
Следва Instagram (58,82% от всички налични данни) – хобита, височина, тегло, сексуална ориентация. Подобно на собственика си (Facebook), използва тази информация за реклама и за препоръчване на акаунти, които да следвате.
Приложението за запознанства Tinderсъбира 55,88% от наличните данни, за да ви помогне да се срещнете с вашия перфектен партньор: възраст, ръст, сексуална ориентация, интереси, притежавате ли домашен любимец. Освен това съхранява банковите ви данни (за продажба на премиум опцията – Tinder Plus). Приложението проследява как използвате профилите си в останалите социални мрежи, когато свързвате акаунтите си. Също така съхранява всички съобщения, които изпращате, което означава, че всички ваши чатове могат да бъдат използвани за таргетиране на реклами.
Търговецът на дребно Amazon събира най-малко данни – едва 23,53%. Освен най-необходимото за осъществяване на продажба и доставка (име, имейл, пощенски адрес и банкови данни), платформата проследява как използвате сайта. Следи продуктите, които разглеждате, направените покупки и оставените рецензии, и ги използва, за да ви рекламира нови продукти.
Сайтът за музика, Spotify събира 35,29% от вашите данни, споделени онлайн, като влиза в профилите ви в социалните медии, за да разбере вашите интереси и хобита. Ако някога сте били на концерт и сте споделили снимка от него в Instagram, скоро Spotify ще включи изпълнителя в предложенията си към вас. Плейлистите, които платформата насочва към вас, са базирани на проследяване на музиката, която слушате.
По същия начин Netflix (26,47%) проследява вида на предаванията, които гледате, за да може да ви препоръча подобни заглавия. Целта е да ви осигури по-добро потребителско изживяване, за да си гарантира, че ще се връщате отново и отново.
Как да се предпазите от злонамерено събиране на лична информация
Описаните до тук са примери за събиране на данни, за които вие сте се съгласили. В повечето случаи те се използват за може съответната платформа да задоволи вашия вкус.
Не забравяйте обаче, че събирането на ваши данни може да има и друга, по-тъмна страна – кражба на лична информация от различни злонамерени лица, т.нар. хакери. При това, те се целят много по-високо: вместо навици за пазаруване или пощенски адрес, те се интересуват от данните от кредитните ви карти.
За да се предпазите е нужно да спазвате стриктна „хигиена“ в интернет:
Най-добрата парола (поне 14 символа ) е тази, която можете да запомните, но която ще бъде трудна за отгатване от други хора или злонамерени програми, които изпробват произволни комбинация. Кратко изречение е по-добро от една дума с вмъкнати цифри и символи. Можете да използвате приложение за управление на пароли (Password Manager), за генериране и съхранение на вашите пароли. Мениджърът на пароли също може да ви помогне да генерирате уникални пароли за всеки от вашите онлайн акаунти. За допълнителна сигурност сменяйте паролите си няколко пъти годишно.
Двуфакторната автентикация изисква да потвърдите самоличността си, след като сте влезли с потребителско си име и парола. Ще бъдете помолени да потвърдите самоличността си, като въведете код, изпратен чрез съобщение на телефона или по имейл. Двуфакторното удостоверяване може да ви отнеме няколко допълнителни секунди, за да влезете във вашите акаунти, но ще намали вероятността и други хора да могат да влязат в тях.
Наличието на добра антивирусна защита свежда до минимум риска от заразяване на компютъра ви и причиняване на повече проблеми. Защитете инсталацията и настройките с допълнителна парола.
През последните години социалните мрежи се развиха до мощни машини за извличане на данни, които разполагат с информация за абсолютно всичко свързано с нас – от приятели и семейство до навици за гласуване.
Когато кандидатствате за нова работа, работодателите ще оценят вашата активност онлайн, за да установят дали сте търсения кандидат. Неподходящ туит (tweet) или снимка във Facebook могат да съсипят вашата кариера. Стара присъда, открита в Google, може да направи по-трудно наемането ви на работа, а твърдения за престъпно поведение, разпространявани онлайн (независимо дали са верни или не), могат да ви причинят доста главоболия.
При това дигиталната информация за вас не се ограничава само до това, което вие сами публикувате онлайн – различни компании „пасивно“ събират на информация за вас.
За да поемете контрола върху вашата поверителност и публична информация, на първо място трябва да ограничите онлайн публикациите: Съществува твърдение, че щом нещо е онлайн, то е безсмъртно. Щом като сте решили да „разчистите“ публичния си профил, ето няколко съвета откъде да започнете:
Съвет #1 : ПРОВЕРЕТЕ КАКВО ЗНАЕ GOOGLE ЗА ВАС
Потърсете в Google, за да узнаете точно какво може бързо да се разбере за вас, без използването на специализирани инструменти, социално инженерство или киберразузнаване (reconnaissance). Направете списък за всички уебсайтове и техните домейни, които може да имат информация, свързана с вас, и я оценете. Добавете връзките към акаунти в социалните мрежи, видеоклипове в YouTube и всичко друго, което ви направи впечатление.
Съвет #2 : ВЪЗПОЛЗВАЙТЕ СЕ ОТ ПРАВОТО СИ ИНФОРМАЦИЯТА ЗА ВАС ДА БЪДЕ ЗАЛИЧЕНА
Като гражданин на Европейския съюз, благодарение на действащия Общ регламент относно защитата на данните (GDPR), можете да поискате премахване на информация за вас от търсачката на Google. За целта трябва да попълните този формуляр.
Законодателството дава възможност на Google да ви откаже – по технически причини, дублирани URL адреси, класифициране на информация като „обществен интерес“, финансови измами, служебни злоупотреби и т.н. Но това не означава, че не трябва да опитате.
За да поискате заличаване на ваша информация от други продукти на Google (Blogger, Google Ads или търсачката за изображения), използвайте този формуляр.
Съвет #3 : ПРОВЕРЕТЕ В HAVE I BEEN PWNED
Платформата HaveIBeenPwned (дело на експерта по киберсигурност Troy Hunt) e полезен инструмент, с който да откриете дали информация за ваш акаунт е била компрометирана или включена в масив с изтекли данни (data leak). Ако установите, че ваш имейл адрес е бил хакнат (pwned), незабавно сменете както паролата за този акаунт, така и за всички други акаунти, за достъп до които използвате същата парола.
Съвет #4 : НАСТРОЙТЕ ПОВЕРИТЕЛНОСТТА И СИГУРНОСТТА НА ВАШИЯ GOOGLE ACCOUNT
Посетете https://www.google.com/account/about/: Наличните настройки могат да подобрят вашата поверителност, да намалят събирането на данни или да ви премахнат изцяло от екосистемата на Google.
откажете резултати от търсене и друга активност в Google да бъде пазена във вашият Google Account
изключите историята за вашите местоположения
забраните на Google да пази история, свързана с търсенето и гледането на видеоматериали в YouTube, вашите контакти, информация за устройството ви, гласова и аудио активност, включително записи, събрани от взаимодействие с Google Assistant и др.
разрешите на Google да използва вашата информация, за да ви предлага профилирани реклами
Проверката за сигурност на Google ще ви покаже кои устройства и приложения имат достъп до вашия акаунт – сами преценете дали това да остане така.
Можете да използвате услугата за изтриване (Delete me) на Google за премахване на избрани продукти от тяхната екосистема или на акаунта ви изцяло.
Съвет #5 : ИЗПОЛЗВАЙТЕ (ПЛАТЕНА) УСЛУГА
Съществуват редица компании, които могат да ви помогнат (срещу заплащане) да предпазите информацията си от т.нар. „брокери“ на данни.
Такъв пример е DeleteMe – платена абонаментна услуга, която премахва данни, включително имена, текущи и минали адреси, дати на раждане и псевдоними от ваше име. Тя ще направи така, че вашата лична информация да не се появява в резултатите на различните интернет търсачки и платформи, съдържащи отворени бази данни за търсене на хора.
Услуги като unroll.me могат да изброят всичко, за което сте се абонирали, улеснявайки работата по отписване от бюлетини, новини и др. Тази услуга обаче не е достъпна в ЕС поради действието на GDPR.
Съвет #6 : ЗАКЛЮЧЕТЕ ДОСТЪПА ДО ВАШИТЕ АКАУНТИ В СОЦИАЛНИТЕ МРЕЖИ ИЛИ ГИ ИЗТРИЙТЕ НАПЪЛНО
Във Facebook имате възможност да:
изтеглите цялата информация, която Facebook има за вас (в раздел Настройки)
заключите акаунта си
ограничите само вашите приятели да виждат както новите, така и старите ви публикации (в раздел Поверителност)
забраните имейла и телефонния ви номер да излизат като резултати от търсения
премахнете Facebook профила си от резултати на външни за социалната мрежа търсачки
изключите събирането на данни за вашето местоположение (в раздел Местоположение)
Twitter позволява:
Да получите личният си архив, който съдържа цялата информация, свързана с вас (в раздел Настройки и поверителност)
От менюто за настройки да изберете да заключите изцяло акаунта си и да направите туитовете частни и видими само за одобрени потребители; можете да изключите туитове, съдържащи местоположение, да разрешите или не търсенето на имейл и телефонен номер, които да свържат други хора с вашия профил и да позволите или забраните на други да ви отбелязват на снимки
В раздел Безопасност можете да забраните вашите туитове да се появяват при търсене от страна на потребители, които сте блокирали в платформата за микро-блогове.
Instagram (собственост на Facebook) има редица настройки за поверителност, чрез които можете, за да поддържате приемливо ниво на конфиденциалност. Чрез Настройки –> Поверителност на акаунта -> Частен акаунт, съдържанието ви ще е достъпно само за предварително одобрени от вас потребители.
Като крайна мярка, можете да изтриете всичките си основни акаунти в социалните мрежи.
За да направите това във Facebook, трябва да отидете в Settings –> General -> Manage your account, за да го деактивирате. Вашите настройки, снимки и друго съдържание се запазват, без да бъдат видими – след време може да решите да се завърнете отново в мрежата.
За да изтриете окончателно Facebook акаунта си: Настройки -> Вашата информация във Facebook -> Изтриване на акаунта и информацията, последвано от Изтриване на моя акаунт. Ако имате проблеми с намирането на тази настройка, напишете „изтриване на Facebook“ в помощния център. Процедурата може да отнеме до 90 дни, след 14-дневен гратисен период, в който може да промените решението си.
За да деактивирате Twitter акаунт, трябва да кликнете върху Настройки и поверителност от падащото меню под иконата на вашия профил, след това в раздела Акаунт –> Деактивиране.
Съвет #7 : ИЗТРИЙТЕ / ДЕАКТИВИРАЙТЕ СТАРИ (НЕИЗПОЛЗВАНИ) АКАУНТИ
Имате ли профил в MySpace или друга стара социална мрежа? Имате ли стари, неизползвани акаунти, регистрирани единствено, за да получите последните актуални отстъпки и промоции?
Всеки ваш акаунт съдържа лична информация: име, физически адрес, телефонен номер, данни от кредитна карта. При евентуален пробив на съответния сайт/платформа/приложение, вашите данни също ще „изтекат“.
Колкото повече регистрирани акаунти имате, толкова по-голям е шансът някой от тях да бъде компрометиран и вашите лични данни да попаднат в грешните ръце. Затова, побързайте да се отървете от излишните.
Съвет #8 : ПРЕМАХНЕТЕ ВАШИ СТАРИ ПУБЛИКАЦИИ ОТ СОЦИАЛНИ МРЕЖИ И БЛОГОВЕ
Наистина ли е необходимо да запазите публикацията за това, което сте закусили една сутрин през 2013 г. или отзива си за вече несъществуващ магазин на дребно близо до вас? По-скоро не. Отделете време и усилия за прочистване на старите публикации – резултатът си заслужава, а и това ще ви научи да споделяте по-избирателно в бъдеще.
Ако не разполагате с нужните привилегии за изтриване, свържете се директно с организацията-администратор на форума/блога: Включете линк към съдържанието, което искате да изтриете и опишете мотивите си. Положителният отговор не е гарантиран, но си струва да опитате.
Deseat.me предоставя автоматизиран начин да заявите изтриване на акаунт и премахване на абонамент от онлайн услуги. Ще трябва само временно да позволите на услугата изпраща имейли от ваше име.
Account Killer пък ви дава система, която оценява и описва сложността на процесите за изтриване на акаунти, предоставяни от онлайн услуги.
СЪВЕТ #9 : ИЗПОЛЗВАЙТЕ ПСЕВДОНИМИ И МАСКИ
Ако не можете директно да премахнете акаунт, изтрийте колкото се може повече съдържание от него или заменете личните данни с произволни.
За активните акаунти (Facebook, Twitter), анонимността и псевдонимите могат да помогнат за отделянето на дигиталната ви самоличност от физическата.
Използвайте профилни снимки, които не показват лицето ви и не съдържат нищо, пряко свързано с вас.
СЪВЕТ #10 : ИЗПОЛЗВАЙТЕ ВТОРИ ИМЕЙЛ АДРЕС
Използвайте отделни имейл акаунти за различните онлайн услуги. За еднократни покупки предоставяйте второстепенен адрес, който бързо ще се запълни с промоционални материали, но ще запази основния ви имейл далеч от маркетинговите бази данни.
СЪВЕТ #11 : ИЗПОЛЗВАЙТЕ VPN
Повечето VPN услуги маскират вашия публичен IP адрес и създават тунел между вас и интернет. Това гарантира, че данните и комуникационните пакети, изпратени между вашия браузър и сървъра, са криптирани, което може да попречи на трети страни да подслушват (събират) вашата информация или да проследяват онлайн активността ви.
По-добре е да се регистрирате за платена услуга – никой VPN не е наистина „безплатен“ предвид разходите за създаване и поддържане на инфраструктурата, необходима за маршрутизиране на трафика. Т.е. ако използвате безплатен VPN, най-вероятно вашите данни ще бъдат използвани или продавани на трети страни в замяна на услугата или иначе казано, ако нещо е безплатно, то вие сте продуктът.
СЪВЕТ #12 : ЗАПОЗНАЙТЕ СЕ С TOR, НО ВНИМАВАЙТЕ
Tor (onion router network) се използва от върли фенове на анонимността и поверителността в Интернет, активисти и хора, които търсят средство за заобикаляне на цензурните бариери.
Имайте предвид, че Tor се използва и за злонамерени цели. Затова доста сайтове на държавни и финансови институции няма да ви допуснат ако използвате тази мрежа.
СЪВЕТ #13 : ПРЕКОНФИГУРИРАЙТЕ DNS ПРОТОКОЛА
DNS протоколът служи за преобразуване на домейн към IP адрес. Когато напишете в браузъра си https://freedomonline.bg, DNS сървърът, който използвате ще ви отговори, че той се намира на адрес 104.21.20.81 и 172.67.191.252 и ще запази съответствието (както в телефонен указател).
Вашият интернет доставчик или някой друг по веригата обаче може да събира и препродава информацията за посещенията ви онлайн. Можете да противодействате на тази порочна практика, като смените DNS настройките на вашият рутер вкъщи или в офиса: В полето DNS Settings премахнете конфигурирания от локалния доставчик DNS и използвайте някой публичен DNS доставчик, за който се очаква, че няма да злоупотребява с вашата информация, напр. QUAD9, Cloudflare и OpenDNS.
Заключение:
В началото на 2021 г. все повече се говори за поверителност. Не защото някой е загрижен за личната ви информация, а защото все повече живеем и споделяме в дигиталния свят. COVID-19 ускори още повече този процес: Вече работим, учим, пазаруваме, срещаме се с познати и приятели онлайн.
Следвайки описаните по-горе съвети можете да изградите едно добро ниво на хигиена относно вашата поверителност и да запазите личната си информация доколкото е възможно… лична.
Най-голямото технологично събитие на годината – международното изложение за потребителска електроника CES (Consumer Electronics Show), провело се в периода 10-14 януари 2021 г., представи иновативни мрежови рутери, използващи Mesh WiFi 6E система. Устройствата може да са отговорът на проблемите ви с безжичния сигнал, но не пренебрегвайте темата „поверителност и сигурност“.
Какво представлява Mesh WiFi 6E
Πpи Mesh WiFi 6E мрежите свързаността се разпростира между множество малки безжични устройства, ĸoитo ĸoмyниĸиpaт помежду cи, зa дa пoĸpият по-гoлямa плoщ. Металните врати, които блокират сигнала и отдалечените помещения, в които връзката се губи, вече няма да затрудняват комуникацията ви. Ако сигналът срещне препятствие по пътя на разпространението си, той ще се „раздроби“ на още по-малки части и дори ще ви „заобиколи“ (все пак вие също пречите на сигнала, когато се придвижвате от помещение в помещение) т.е. ще знае къде се намирате (или не се намирате) в момента. Технологията може да се приложи и като ъпгрейд на съществуващите ви рутери ако те поддържат WiFi 6E (очаква се масово разпространение на рутери от това поколение през 2021 г.).
А какво да кажем за сигурността
Много системи имат облачен компонент, което им позволява да се управляват дистанционно. Това обаче ги нарежда в горната част на списъка на най-уязвимите точки за атака. Поставянето на дистанционно управление във всяка стая в дома ви, освен улеснение за вас, предоставя обаче нови възможности за хакерите.
С все по-широкото навлизане на МЕЅН-мpeжитe в домашната ви среда, неизбежно ще се стигне до събирането на лична информация (personally identifiable information – PII). Това би било в противоречие с действащото в ЕС законодателство за защита на личните данни (GDPR). Ще очакваме да видим как законодателите ще интерпретират технологията през следващите години.
WhatsApp отлага въвеждането на промени в практиката си за споделяне на данните на потребителите си. Компанията обяви, че ще работи за „изчистване на дезинформацията“ около политиката си за поверителност.
Как реално промените ще засегнат вашата поверителност
Даването на съгласие за споделяне на личните данни, като задължително условие да продължат да ползват WhatsApp акауните си, се отнася за всички извън Европейския съюз (сред които вече попадат и живеещите на територията на Великобритания).
3/5 There are no changes to WhatsApp’s data-sharing practices in the Europe arising from this update. It remains the case that WhatsApp does not share European Region WhatsApp user data with Facebook for the purpose of Facebook using this data to improve its products or ads.
В действителност, за никого не е тайна, че WhatsApp споделя данните на потребителите си с Facebook още от 2014 г. – заложените промени в новата Политика за поверителност просто ще официализират действията.
Важно е да отбележим, че новите условия всъщност не променят крайната енкрипция на съобщенията, снимките и останалата информация, която изпращате чрез приложението.
Най-същественото, което трябва да знаете като потребители е, че WhatsApp и Facebook няма как да проследят вашата комуникация. Информацията, която ще бъде споделена между компаниите включва телефонния ви номер, логове за това колко, къде и кога използвате приложението, устройството на което го използвате и т.н.
По-важно е вниманието ви да бъде насочено към това, че личната ви информация изобщо се събира. Да, Facebook и WhatsApp си обменят данни за вас, но по-притеснителен е фактът, че същото прави всяка друга безплатна услуга.
Как WhatsApp промени поведението си през изминалите години
Добре известно е, че за “безплатното” понякога трябва да платим доста скъпо. Често цената е личната ни информация (privacy) и повечето от потребители на социалните мрежи и приложенията за комуникация са наясно с това. Тогава защо промяната в условията за ползване на WhatsApp е обект на такова внимание?
Потребителите на чат приложението имат основателна причина да бъдат ядосани: През 2014 г. WhatsApp обяви, че лични данни от акаунтите няма да бъдат предоставяни на току-що придобилия дялове социален гигант – Facebook.
Две години по-късно обаче (през 2016 г.), след като компанията на Mark Zuckerberg увеличи присъствието си в WhatsApp, приложението „реши“ да започне да споделя информация от акаунтите на потребителите си със социалната мрежа, „за да подобри рекламите и продуктовото позициониране“. Тогава обаче на потребителите беше дадена еднократна възможност да не се съгласят с тази промяна и да отхвърлят възможността личните им данни да бъдат споделяни.
Точно това право на избор липсва в последната версия на Политиката за поверителност на WhatsApp, отнасяща се за потребителите извън територията на ЕС.
Препоръка
Съветът ни към вас е обичайният: Ако желаете да използвате безплатна услуга като Facebook, Viber, WhatsApp, Gmail и т.н, първо се запознайте с условията за ползване. Ясно е, че няма безплатен обяд, но е важно да знаете по какъв начин сте заплатили и дали той е приемлив за вас.
Визуализацията (краткият предварителен преглед) на линковете, които си разменяме през чат приложенията, е много удобна функционалност. Тя съдържа картинка и кратък текст, които ни насочват какво е прикаченото съдържание. Оказва се обаче, че това улеснение може да доведе до сериозни нарушения на поверителността и сигурността ви.
Как е възможно една обикновена функция да се превърне в заплаха
За да създаде подходяща визуализация, чат приложението трябва да посети връзката, да отвори файла там и да проучи какво има в него. В резултат на това, изпращането/получаването на линкове в някои чат приложения може да отвори вратички, които недоброжелатели да използват.
Instagram сървърите например изтеглят всеки един директен линк, който се изпраща в съобщение, независимо от големината му. Това означава, че хакерите спокойно могат да инжектират Java script в сървърите на Инстаграм.
Визуализацията на линковете е внедрена в най-популярните приложения за чат на iOS и Android. Кликайки върху нея може да се окаже, че давате достъп до IP адреси, излагате връзки, споделени в криптираните от край до край чатове или изтегляте значителен обем ненужна информация.
Как чат приложенията генерират визуализация на линковете
Използват се следните различни подходи:
Не се генерира визуализация
Най-добрият вариант е да се откажете от прегледа на линкове. Оставете линкът, така както ви е изпратен, така че приложението да не го отваря, без да сте го посетили. Малко от приложенията обаче предлагат тази опция: Signal, Threema, TikTok, WeChat.
Подателят генерира визуализацията на линка
При изпратен линк, приложението изтегля данните, генерира кратък преглед на страницата и го изпраща, прикачен към линка. Получателят има възможност бързо да погледне за какво става дума, без да е нужно да посещава линка – това го защитава от злонамерени съобщения. Така работят iMessage, Signal, Viber, WhatsApp.
Получателят генерира визуализацията на линка
В този случай приложението автоматично отваря всеки получен линк, за да създаде кратък преглед. Това се случва без дори да кликате върху линка – достатъчно е само да отворите чата. Защо това е най-лошият вариант и не се използва от популярните приложения? Подобно на уеб браузърите, чат приложенията посещават адреса (линка) и зареждат съдържанието чрез GET заявка. В нея включват IP адреса на телефона, за да знае сървърът къде да изпрати данните обратно. Това би било от полза за вас ако планирате да отворите линка. Но ако някой иска да узнае къде се намирате?
Сървър генерира визуализацията
Това означава, че когато изпратите линк, той отива във външен сървър, който генерира визуализацията и я изпраща обратно на получателя и/или подателя. На пръв поглед този вариант изглежда по-приемлив от предходния. Но не и когато изпращате лични данни, а сървърът им направи копие, за да генерира визуализация.
Тук възниква и въпросът: Запазва ли сървърът тези данни? Ако отговорът е ДА, то за колко време и какво друго прави той с тях?
Приложенията, които работят по този начин са Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter, Zoom
Какви са рисковете и последиците за поверителността
Създаване на неразрешени копия на лична информация
Споделените в чатовете линкове към документи могат да съдържат лична информация, предназначена само за получателите. Това могат да бъдат сметки, договори, медицински досиета или друга поверителна информация. Приложенията, които разчитат на сървъри за генериране на визуализации на линкове, могат да нарушават поверителността на своите потребители, като изпращат линковете, споделени в личен чат на своите сървъри. Въпреки че приложението се доверява на тези сървъри, не е сигурно какво точно изтеглят те. В държавите от ЕС действа Общ регламент за защита на личните данни (GDPR), който налага ограничения относно събирането, обработката и съхранението на лични данни.
Изтегляне на голямо количество информация
Повечето чат приложения, които разчитат на сървъри за генериране на визуализации на линковете, слагат ограничение на изтегляните данни. Причината за това е, че изтеглянето на твърде голям обем данни може да запълни капацитета на сървъра и да причини прекъсвания на услугите. Има приложения обаче – Facebook Messenger и Instagram – чиито сървъри могат да изтеглят дори много големи файлове (gigabytes).
Сриване на приложения и източване на батерията
Този проблем възниква при чат-приложенията, които не ползват сървъри за генериране на визуализация на линкове и когато приложението не е ограничило данните, които да се изтеглят. Негативният резултат ще е за вас: изтощена батерия и изразходвани данни. Това също може да доведе до непредвидено изчерпване на системни ресурси.
Разкриване на IP адреси
За да отвори връзка, телефонът ви трябва да комуникира със сървъра, към който сочи линка. Това означава, че сървърът ще знае IP адреса на вашия телефон, което може да разкрие приблизителното ви местоположение. Обикновено това не би представлявало голям проблем, ако можете да избегнете отварянето на връзки, които смятате за злонамерени. Но може ли да сте сигурни в това?
Изтичане на криптирани връзки
Някои приложения за чат криптират съобщенията от край до край. Това означава, че само подателят и получателят да ги прочетат. В такъв случай опцията за отваряне на визуализация от сървър трябва да е невъзможна. Но при някои приложения това не е така, например LINE.
Изпълнение на потенциално злонамерен код върху сървърите за визуализация на линкове
Понастоящем повечето уебсайтове съдържат код на Javascript, за да ги бъдат по-интерактивни. Такива са и рекламите, които ни облъчват. Когато генерирате визуализации на линкове е добре да избягвате изпълнението на какъвто и да е код от тези уебсайтове. Никога не трябва да се доверявате напълно на линкове, които получавате в чата, още повече – от непознат.
Чат приложенията не изчерпват списъка
Чат приложенията не са единствените, които генерират визуализация на линкове. Много приложения за електронната поща, бизнес приложения, приложения за запознанства, игри с вграден чат и др. могат да генерират визуализации на линкове по начин, който да окаже негативно влияние върху сигурността и поверителността ви.
Повече информация по темата може да прочетете в това проучване.
Какви може да са последиците за бизнеса на една организация в случай на успешно източени лични данни на потребители? Двата случая с източените от хотелската верига Marriot лични данни се превръщат в пример за това. След рекордните глоби от регулаторите, сега на дневен ред са исковете от засегнатите потребители.
Според публикации в местната преса, Marriott International е обект на съдебно дело в Обединеното кралство, заведено от милиони бивши гости. Те търсят обезщетение за компрометирането на личните им данни.
Делото идва в отговор на инцидент със сигурност, при който хакери са откраднали информация за повече от 300 млн. души между юли 2014 г. и септември 2018 г.
Нарушението, разкрито за първи път през 2018 г., включва данни като имейл адреси, телефонни номера, данни за кредитни карти и паспортни данни на хората, които са направили резервации през веригата Starwood Hotels, собственост на Marriott.
През февруари 2020 г. последва втора атака, която, макар и по-малка по мащаб на пораженията от предходната, показва, че хотелската верига има сериозен проблем със сигурността.
Точно това е и основният мотив на живеещия във Великобритания Martin Bryant – инициатор на масовото съдебно преследване. В изявление той казва, че е завел делото, защото хотелските оператори не са „предприели адекватни стъпки за гарантиране на сигурността на личните данни на гостите и за предотвратяване на неразрешено и незаконно обработване на тези данни“.
Във Великобритания все още тече паралелно дело срещу Marriott International, по което през 2019 г. беше предложено налагането на 99.2 млн. GBP глоба (133 млн. USD по това време) във връзка с нарушение, което компрометира данните за около 7 млн. жители на кралството.