Социальные сети прочно вошли в ежедневный досуг нескольких поколений. Разнообразия хватает на всех: подходящие для себя сервисы находят представители разных возрастов, профессий и интересов. Социальные сети вовлечены и в рабочие процессы: все больше компаний, независимо от размера, ведут аккаунты в социальных медиа, а ключевые фигуры бизнеса являются своего рода голосом компании в интернет-пространстве. Одно неосторожное высказывание сотрудника в личном аккаунте соцсети – и клеймо ложится на всю компанию. Также нередки случаи, когда взлом корпоративного аккаунта или учетной записи представителя компании оборачивался утечкой и распространением конфиденциальной информации.
Эксперты аналитического центра Falcongaze (компании-разработчика программных решений в области предотвращения утечек данных) оценили популярные социальные сети на предмет защищенности и обеспечения безопасности информации пользователя.
Основой для составления рейтинга послужили два критерия:
Безопасность оценивалась по совокупности следующих факторов: наличие двухфакторной авторизации, защищенного протокола, доступность и бесперебойная работа технической поддержки, программа «Баг Баунти» (Bug Bounty) и информация об уязвимостях и утечках данных пользователей, полученная из открытых источников. Места в рейтинге присваивались исходя из комплексной оценки по озвученным выше критериям.
Замыкает пятерку самых популярных соцсетей самая посещаемая в мире социальная сеть (около 1 миллиарда пользователей в день) – Facebook. Детище Марка Цукерберга обеспечено двухфакторной авторизацией, защищенным протоколом, есть программа «Баг Баунти». В октябре 2015 года в Facebook появилась система уведомлений о попытках взлома аккаунтов, призванная оповещать пользователей об угрожающих им кибератаках. Уведомления приходят тем пользователям, чьи аккаунты, по мнению сервиса, могут быть взломаны хакерами, которые работают по заказу какой-либо страны.
Однако, по отзывам пользователей, с технической поддержкой сервиса связаться не всегда легко, равно как и получить ответы на свои вопросы.
Кроме того, разработчики Facebook часто меняют настройки конфиденциальности, вследствие чего пользователи вынуждены повторно возвращаться к ним и вносить необходимые изменения. Также порой бывает сложно понять, какие именно параметры скрываются за тонкими настройками и как они способны повлиять на конфиденциальность информации пользователя и доступ к его странице.
В середине 2013 года подтвердилась информация о том, что АНБ с 2007 года по заданию ФБР собирает данные о пользователях социальных сетей, в том числе и переписку. Помимо прочих сервисов, информацию о пользователях спецслужбам предоставляет и Facebook. От президента США Барака Обамы было получено подтверждение о том, что такая программа в действительности существует, но касается лишь нерезидентов США.
Компания Facebook была вынуждена опубликовать свой первый отчет о количестве данных, которые она передала в первом полугодии 2013 года в ответ на 25 тыс. запросов правительств различных государств.
На основании своего пользовательского соглашения, Facebook оставляет за собой право свободно и на свое усмотрение использовать данные пользователей, в том числе и контактные (адреса электронной почты и номера телефонов), даже после удаления аккаунта из сети.
Звучали и обвинения в нарушении тайны переписки: в январе 2014 года два пользователя Facebook из США подали в суд на социальную сеть, обвинив сервис в сканировании личной переписки для дальнейшего использования в целевой рекламе. Ранее в том же году Facebook объявила о запуске рекламной платформы Atlas, до 2013 года принадлежавшей компании Microsoft. Особенность Atlas, на которой Facebook делала особый акцент, заключалась в том, что в потоке десктопного и мобильного трафика программа следит за поведением конкретного человека.
Помимо этого, в Facebook регулярно выявляются уязвимости, которые ставят под угрозу безопасность данных пользователей. Так, в августе 2016 была обнародована уязвимость в механизме сброса паролей, обнаруженная исследователем информационной безопасности из Калифорнии. Уязвимость позволяла получить доступ к любому аккаунту и выполнять в нем любые действия, включая просмотр личных сообщений и информации о платежных картах.
В июне 2016 пользователям Facebook угрожало вредоносное ПО, которое распространялось через Google Chrome. На электронную почту или в приложении Facebook приходило уведомление о том, что друг якобы упомянул пользователя в комментарии. Переход по ссылке, содержащейся в сообщении, запускал процесс загрузки вредоносного программного обеспечения. При попытке пользователя открыть загруженный файл происходило заражение устройства.
Более того, в июне 2016 года профессор Университета Южной Флориды Келли Бернс, являющаяся экспертом по массовым коммуникациям, доказала, что Facebook занимается прослушкой разговоров пользователей с целью сбора и анализа данных для более точного подбора рекламных объявлений. Бернс сообщила, что для прослушки переговоров применяются приложение Facebook и микрофон мобильного девайса. Чтобы проверить эту гипотезу, исследователь разговаривала на несколько отобранных тем, в то время как поблизости от нее находился смартфон с включенным приложением. Вскоре приложение начало демонстрировать рекламу с тематикой, соответствующей тому, о чем говорила Бернс. Представители Facebook заявили, что микрофоны мобильных устройств не применяются для сбора данных и опровергли утверждения о том, что мобильное приложение ведет запись разговоров.
В марте 2016 года обнаружили еще одну ошибку в безопасности – возможность неограниченное количество раз осуществлять ввод кода для восстановления доступа к учетной записи при условии, если используется не основной домен – facebook.com, а адрес beta.facebook.com.
Не обошлось и без курьезных случаев: используя баг, хакеру удалось «уволить» из Facebook Марка Цукерберга. Непальский хакер нашел в социальной сети уязвимость, позволявшую «уволить» любого пользователя Facebook, у которого указано место работы в аккаунте, путем замены поста о начале работы в компании на пост об ее окончании. Хакер наглядно продемонстрировал проблему, опубликовав ссылку на запись, в которой шла речь об увольнении основателя Facebook.
В августе 2015 года эксперт в области информационной безопасности Реза Моайандин получил доступ к аккаунтам в Facebook, используя настройку приватности. С помощью этой настройки, которая по умолчанию установлена в социальной сети, исследователь привязал тысячи телефонных номеров к аккаунтам в Facebook. А в сентябре этого же года еще одним экспертом была зафиксирована уязвимость, используя которую злоумышленники могли взломать страницы компаний и сообществ – то есть те страницы, которые управлялись более чем одним пользователем.
Как видим, в прошлом эта популярная социальная сеть имела множественные случаи нарушения конфиденциальности данных и общих проблем с безопасностью. И даже несмотря на то, что все уязвимости были исправлены специалистами Facebook, проблема безопасности все еще сохранилась, и подобные случаи раз на раз, но встречаются у Facebook. Поэтому самая посещаемая социальная сеть в мире удостаивается пятого места в рейтинге аналитического центра Falcongaze.
ВКонтакте
На четвертом месте расположилась социальная сеть «ВКонтакте», появившаяся в 2006 году и быстро завоевавшая популярность. По данным Similar Web – это самый посещаемый сайт в России, а по данным Alexa Internet, сайт vk.com находится на третьем месте по посещаемости.
Конечно, социальная сеть занимается вопросами безопасности сервиса. В мае 2015 года «ВКонтакте» учредила программу «Баг Баунти» по поиску уязвимостей и вероятных проблем в безопасности сети. Также «ВКонтакте» защищен соединением HTTPS, в 2014 году появилась двухфакторная авторизация пользователей соцсети. При этом если от нее отказаться и не привязать номер мобильного телефона к аккаунту, «ВКонтакте» будет напоминать об этом упущении всякий раз, когда пользователь пожелает «лайкнуть» понравившийся пост. Если при таком напоминании снова оставить без внимания номер телефона, в качестве альтернативы придется вводить код с картинки.
При кажущейся подозрительной попытке входа социальная сеть присылает пользователю уведомление на девайс, а также на электронную почту.
Техническая поддержка сервиса отвечает относительно оперативно, однако связаться с ней можно только войдя в свой аккаунт. Таким образом, у пользователя, не имеющего возможности попасть на свою страницу в связи с тем, что доступ к ней получили злоумышленники, могут возникнуть трудности при попытке восстановить справедливость и вернуть учетную запись.
Не все пользователи довольны настройками приватности. Сейчас по умолчанию доступен просмотр трех альбомов на закрытой от всех, кроме друзей, странице: фотографии профиля, фотографии на стене, а также альбом с сохраненными фото.
Социальную сеть «ВКонтакте», как и другие подобные сервисы, пытаются использовать в своих целях мошенники. В 2009 году злоумышленники выложили в открытый доступ пароли к 135 тыс. учетных записей. Тогда данные были собраны при помощи троянской программы для Windows. В некоторых случаях пользователи, чьи компьютеры оказались заражены вирусом Win32.HLLW.AntiDurov, даже теряли файлы. Администрация социальной сети обращала внимание пользователей, что заразить компьютер таким образом можно было лишь на внешних сайтах.
В октябре 2015 года эксперт по безопасности из компании HeadLight заявил о возможности перехвата переписки в социальной сети «ВКонтакте» через Wi-Fi. Эксперт по безопасности Михаил Фирстов в своем блоге опубликовал код скрипта, который якобы позволял обрабатывать перехваченную переписку пользователей через приложения «ВКонтакте» для iOS и Android, находящихся в одной локальной сети с «перехватчиком». Сообщалось, что возможность получать сообщения в незашифрованном виде была заложена в приложениях, когда они передавались через протокол HTTP, даже если в настройках была выбрана опция «всегда использовать защищенное соединение».
Представители социальной сети опровергли такую возможность, сообщив, что защищенное соединение HTTPS всегда использовалось в приложении на iOS и отключить его не представлялось возможным. Однако, как стало понятно из слов сотрудников «ВКонтакте», на платформе Android от использования незащищенного соединения HTTP планировалось отказаться в ближайшем будущем, то есть теоретически перехват переписки из приложения на базе Android был возможен.
Также зафиксирован случай, когда в сеть утекли данные более 100 млн пользователей «ВКонтакте». База была выставлена на продажу в даркнете за один биткоин (что составляло в то время около 570 долларов США). Представители социальной сети отреагировали на новость, сообщив, что база логинов и паролей была собрана злоумышленниками в 2011 – 2012 годах, а всем пострадавшим пользователям данные для входа в аккаунт менялись принудительно. Кроме того, после известия социальная сеть провела повторную проверку и убедилась, что база не содержит действующих паролей и логинов пользователей «ВКонтакте».
Чтобы обезопасить аккаунты от взлома, социальная сеть рекомендует пользователям выбирать сложные пароли и не вводить их на посторонних сайтах, а также использовать двухфакторную аутентификацию. Помимо этого, разработчики сервиса создали тест, предназначенный для проверки знаний компьютерной безопасности, размещенный по адресу vk.com/test.
Осенью 2015 года злоумышленниками были похищены данные множества адептов социальной сети, использовавших мобильное приложение «Музыка ВКонтакте», скачанное из Google Play. В состав программы входил вредоносный код, отправлявший преступникам данные, необходимые для входа в аккаунт. Эксперты «Лаборатории Касперского» сообщали, что пользователь мог не замечать факт хищения информации для авторизации в сети «ВКонтакте» вплоть до изменения хакерами пароля к его аккаунту. Ситуация также усугублялась тем, что киберпреступники раз за разом выкладывали новую версию вредоносного приложения вместо предыдущей, уже заблокированной в Google Play.
В апреле 2016 года стало известно об уязвимости, связанной с поиском файлов в социальной сети. Выяснилось, что при загрузке документов и отправке в личных сообщениях сканов паспортов, водительских удостоверений и других документов пользователь фактически открывает доступ к загруженным документам для посторонних пользователей.
Уязвимость была выявлена, когда пользователь из России попытался передать собеседнику «ВКонтакте» файл, который до этого он уже отправлял, и в процессе поиска получил доступ к личным файлам миллионов людей. Выяснилось, что процедура поиска документов практически идентична поиску аудиозаписей. Однако сотрудники «ВКонтакте» не сочли это уязвимостью. Более того, о такой «особенности» раздела «Документы» было известно еще в 2011 году – и основатель социальной сети Павел Дуров еще тогда поделился своей позицией на этот счет, обратив внимание на то, что при загрузке документов пользователи уведомлялись, что файл будет доступен другим пользователям в поиске, и о том, что опцию можно было отключить.
Что касается предоставления данных пользователей по запросу силовых структур, пресс-секретарь «ВКонтакте» Евгений Красников заявил о поддержании данной меры. Красников сообщил, что личные данные пользователей соцсети могут быть переданы российским спецслужбам по первому запросу и при отсутствии соответствующего судебного решения.
Исходя вышеописанного «ВКонтакте» занимает предпоследнюю строчку в нашем хит-параде самых популярных соцсетей по степени надежности.
Одноклассники
Следующая социальная сеть, которую мы будем анализировать – «Одноклассники», которая, по данным SimilarWeb, находится на втором месте по посещаемости среди социальных сетей в России. В рейтинге аналитического центра Falcongaze «Одноклассники» расположились в середине рейтинга.
В «ОК» есть двухфакторная авторизация, большая база по вопросам, оперативная техподдержка, связаться с которой можно, заполнив форму ok.ru/help . Еще недавно защищенный протокол HTTPS можно было включить опционально, а страницы социальной сети были доступны по нешифрованному протоколу. Теперь же социальная сеть полностью перешла на защищенное соединение.
В июле 2015 года «Одноклассники» запустила программу выплат вознаграждений за найденные уязвимости на сайте и во внешних виджетах сервиса.
Большинство инцидентов, затрагивающих безопасность пользователей социальной сети, связаны с мошенничеством и получением пользовательских данных с помощью фишинга. Со взломанных аккаунтов злоумышленники обращаются к друзьям жертвы с просьбой об одолжении денег или о пересылке данных банковской карты, затем с этой карты происходит списание средств. Подобные случаи заканчивались и обнулением счета мобильного телефона. Случалось, что злоумышленники, атаковавшие пользователей соцсети, требовали деньги за разблокировку аккаунтов, присваивая учетные записи.
Какие меры по обеспечению безопасности информации применяют «Одноклассники»? В марте этого года сервис создал свой «черный список» сетевых ресурсов, доступ к которым из социальной сети запрещен. В этот список были внесены все потенциально опасные сайты. Если пользователь попытается перейти из социальной сети на один из них, то система переадресует его на страницу, уведомляющую о переходе на сайт, который может установить на устройство опасное программное обеспечение или получить доступ к личным данным. Также известно, что «Одноклассники» проводила совместную акцию с ESET, когда любой пользователь социальной сети мог бесплатно скачать лицензию антивируса ESET NOD32 на три месяца.
Таким образом, «бронзу», или почетное третье место получает сервис «Одноклассники».
Протокол социальной сети Instagram, принадлежащей компании Facebook, защищен, техническая поддержка находится по адресу help.instagram.com. Программа поиска уязвимостей «Баг Баунти» была учреждена в 2011 году. В 2015 году компания получила более 13 000 сообщений о различных проблемах, 526 из которых оказались реальными уязвимостями.
Известны случаи, когда исследователи безопасности, нашедшие уязвимости в Instagram, не были вознаграждены, а, напротив, подверглись давлению со стороны компании Facebook, которой принадлежит эта социальная сеть. Так, специалист по безопасности Уэсли Вайнберг выявил ряд серьезных уязвимостей Instagram и даже получил через них доступ к аккаунтам сотрудников социальной сети. В октябре 2015 года он сообщил об уязвимости Facebook, которая, однако, выплатила вознаграждение в размере $2500 лишь за один из трех багов. Далее исследователь опубликовал в своем блоге подробное описание своих действий, позволивших получить доступ к пользовательской информации в Instagram, и несколько почтовых писем из переписки с отделом безопасности Facebook. После этого директор по безопасности компании Facebook назвал действия исследователя несанкционированным доступом к конфиденциальной информации пользователей и базе данных сотрудников Instagram, и пригрозил судебным процессом.
Однако есть и позитивные примеры: не так давно стало известно о десятилетнем мальчике из Финляндии, который обнаружил баг в Instagram и получил за это денежное вознаграждение в размере $10 000. Уязвимость позволяла удалять комментарии пользователей социальной сети. Юный исследователь по имени Яни рассказал, что протестировал открытую им уязвимость на тестовом аккаунте – и убедился в том, что мог бы стереть сообщения абсолютно любого пользователя.
Исследователь из Бельгии Арне Свиннен в декабре 2015 года выяснил, что официальное приложение Instagram для Android допускает 1000 попыток аутентификации с одного IP-адреса и только после этого отображает сообщение «введенное имя пользователя не относится к данному аккаунту». После двухтысячной попытки сообщение исчезает, и система начинает чередовать один reliable response (верен пароль или неверен) и один unreliable response (неправильное имя пользователя). Хакеру достаточно было просто создать несложный скрипт, который обращался бы к приложению вплоть до получения reliable response. Свиннен протестировал такую возможность, перебрав 10000 паролей для тестового аккаунта. Кроме того, было доказано, что злоумышленник мог бы войти в скомпрометированную в ходе такой атаки учетную запись с того же самого IP-адреса, который только что использовался для брутфорс-атаки.
Помимо этого, у мошенников была возможность изменять 1700 адресов электронных почтовых ящиков пользователей. По словам исследователя, злоумышленник, получив доступ к персональным данным, мог изменять и номера телефонов в учетных записях Instagram. Изменив телефонный номер, хакер мог применить функцию изменения пароля с помощью SMS – и таким образом получить полный доступ к учетной записи.
В феврале 2016 года в системе уведомлений Instagram была выявлена уязвимость, которая появилась после внедрения в социальную сеть функционала нескольких учетных записей и переключения между ними. Два пользователя, имевших персональные аккаунты и создававшие еще один общий, получали возможность просматривать сообщения, предназначенные для персональных учетных записей друг друга.
В ноябре 2015 из App Store и Google Play было удалено популярное приложение InstaAgent, позволявшее пользователям получать информацию о том, кто просматривал их страницу в соцсети Instagram. Исследователь из Германии рассказал о том, что приложение осуществляло сбор учетных данных, затем пересылало их на удаленный сервер и впоследствии осуществляло компрометацию аккаунтов для публикации на страницах жертв различного спам-контента.
Таким образом, второе место среди наиболее защищенных социальных сетей получает Instagram.
Первое место в контексте безопасности на пьедестале популярных соцсетей получил сервис Twitter, который оценивается компанией Alexa Internet как один из 10 самых посещаемых веб-сайтов по всему миру, а также входит в тройку лидирующих по популярности социальных сетей. У Twitter все в полном порядке: с 2013 года есть двухфакторная авторизация, используется защищенный протокол, техническая поддержка находится по адресу support.twitter.com/forms, где можно, заполнив форму, обратиться за помощью. Также есть официальные аккаунты поддержки на разных языках, которые периодически делятся с читателями различного рода информацией об обновлениях и так далее. К программе «Баг Баунти» социальная сеть Twitter подключилась одной из последних – в 2014 году. Сообщения об уязвимостях можно оставлять посредством заполнения форм: about.twitter.com/ru/company/security.
В России социальной сети Twitter было уделено внимание Роскомнадзора. Глава ведомства в начале года встретился с руководством компании и обратил его внимание на то, что Twitter обрабатывает и хранит персональные данные россиян, таким образом нарушая требования федерального закона № 242 о защите персональных данных.
В июне 2016 г. была обнаружена кража почти 33 миллионов паролей пользователей Twitter. База данных с учетными записями пользователей была выставлена на продажу. Однако, по данным LeakedSource, сам Twitter взломан не был, а учетные записи были, скорее всего, получены злоумышленниками через вредоносное ПО, собирающее информацию с браузеров. Вероятнее всего, ПО распространялось среди пользователей российского сегмента интернета.
В мае этого года исследователи компании Symantec обнаружили более 2,5 тыс. взломанных учетных записей этой соцсети, распространяющих ссылки на порносайты и ресурсы для знакомств. Кроме того, в конце мая 2016 г. был осуществлен взлом аккаунтов многих известных людей, в том числе и одного из основателей этой социальной сети и ее креативного директора Биза Стоуна. Предполагается, что инцидент мог быть связан с утечкой данных из другой социальной сети – LinkedIn, – поскольку всех пострадавших объединяло наличие учетных записей в обоих сервисах.
Немногим ранее, в феврале 2016 года, представители Twitter предупредили пользователей социальной сети о вероятной компрометации информации, которая могла быть вызвана уязвимостью в системе восстановления паролей. Уязвимость могла повлечь хищение информации о телефонных номерах и адресах электронных почтовых ящиков 10000 пользователей. В сообщении, опубликованном представителями компании, было также указано, что проблема устранена.
В конце декабря 2015 года многие пользователи Twitter были предупреждены компанией о попытке кибернападения, осуществленной правительственными хакерами. Кроме того, Twitter наравне с Facebook и еще несколькими крупными компаниями поддержала Apple в споре с ФБР по делу «стрелка из Сан-Бернардино».
Таким образом за заботу о конфиденциальности пользовательской информации и относительно небольшое число утечек данных Twitter получает первое место в рейтинге безопасности соцсетей.
Применяйте данные аналитического центра Falcongaze для безопасного и надежного серфинга в социальных сетях. Помните, что все вышеописанные случаи случались с простыми клиентами самых популярных платформ. Только ваше внимание и применение полученной информации поможет защититься от утечек данных и проблем с безопасностью в сети.