Социальные сети: обзор политик безопасности и конфиденциальности
Мы пользуемся социальными сетями каждый день и даже не задумываемся о том, насколько защищена та информация, которую мы там оставляем. Как платформы ею распоряжаются? Какие политики безопасности они используют? А что насчет утечек данных и взломов? Как часто они случаются у компаний? Аналитический отдел Falcongaze постарался объективно представить ответы на эти вопросы. Мы заглянули в политики безопасности компаний, а также разузнали об утечках и взломах, которые случились за последние 2-3 года. Надеемся, что эта статья поможет объективно подходить к выбору платформы для общения.
Компания собирает ту информацию о пользователях, которую они предоставляют при использовании ее продуктов. Считываются все данные регистрации, контента, подписок, а также переписки с другими пользователями. Также компания собирает информацию о том, как пользователь взаимодействует с ее продуктом: какой контент просматривает, какие функции использует, какие действия совершает и так далее. Если пользователь делает покупки с помощью платформы Facebook, то у компании сохраняется вся платежная информация, данные о транзакции и контактные данные.
Считывается и информация об используемых устройствах: не только о телефонах, компьютерах или планшетах, но и ТВ и других девайсах, которые подключены к интернету и интегрируются с продуктами компании. Данные включают в себя атрибуты устройства (ОС, версии аппаратного и программного обеспечения, уровень заряда аккумулятора, сила сигнала и т.д.), действия на устройстве (движения мыши, расположение окон и т.д.), идентификаторы (ID устройств, приложений, аккаунтов), сигналы устройств, настройки, сеть и подключения, данные файлов cookie.
Более того, Facebook получает информацию о пользователях от своих партнеров, которые используют инструменты Facebook для бизнеса. Эта информация выходит за пределы социальной сети: компания знает, какие сайты посещает пользователь, какие покупки он совершает, в какие игры играет.
Зачем Facebook столько информации? С помощью нее компания персонализирует и совершенствует свои продукты. Facebook помогает рекламодателям и другим партнерам понять, насколько результативны их рекламные кампании и сервисы и какие люди ими пользуются. Компания сканирует эти данные на предмет наличия спама и вредоносного контента.
Тем не менее, платформа также предоставляет пользователям возможность исправить или удалить их данные.
Что касается политик безопасности, то Facebook приняла следующие меры. Платформа использует защищенный протокол https, который автоматически шифрует подключение. Чтобы повысить безопасность своего аккаунта, можно воспользоваться функцией получения уведомлений о подозрительных попытках входа. Это значит, что пользователь будет их получать, когда в его аккаунт будет совершен вход с незнакомого устройства или браузера.
Присутствует также функция двухфакторной аутентификации. Есть несколько способов проверки: код, который генерируется сторонним приложением, или SMS-код. После этого можно дополнить двухфакторную аутентификацию одобрением попытки входа, использованием ключа безопасности или кодов восстановления (список из 10 кодов, которые можно использовать для входа и восстановления аккаунта, когда нет телефона рядом).
На платформе предусмотрены также случаи, когда пользователь заходит в свой аккаунт с использованием, например, общественных компьютеров из библиотеки, которые не всегда являются надежными и защищенными. В таком случае Facebook предоставляет функцию одноразового пароля, который будет выслан пользователю. Однако она недоступна, если включена двухфакторная аутентификация.
Для проверки надежности сайтов платформа использует собственные системы безопасности и технологию Google Safe Browsing, которая предоставляет список адресов, где были замечены вредоносное программное обеспечение или фишинговые сообщения.
Facebook известен большим количеством утечек пользовательских данных. В апреле 2019 года 540 млн записей о пользователях платформы были выложены в открытый доступ на облачном сервисе Amazon. Ответственными за это стали два сторонних разработчика – Cultura Colectiva, медиа-компания с базой в Мексике, и At the Pool – приложение для знакомств и организации офлайн встреч.
В сентябре 2019 года в открытый доступ попало 419 млн записей. Они содержали не только номера телефонов некоторых пользователей, но и их идентификаторы Facebook. Некоторые из записей содержали детали местонахождения.
А в декабре 2019 года случилась утечка данных 267 млн пользователей. На две недели незащищенная база данных оказалась в открытом доступе в даркнете. Боб Дьяченко, исследователь, обнаруживший утечку, был уверен, что ее организовали злоумышленники из Вьетнама.
В августе 2020 года стало известно об утечке данных 81,5 млн пользователей платформы. Имена, фамилии, ссылки на профили, страна проживания, место работы, должность, данные по подписчикам, контактная информация – все это оказалось в открытом доступе.
В ноябре 2020 года стало известно, что Facebook выплатит штраф в размере $6,06 млн. Штраф на компанию наложила Комиссия по защите персональной информации Южной Кореи. Она обвинила Facebook в том, что платформа передавала данные по меньшей мере 3,3 млн пользователей третьим лицам. Это происходило, потому что пользователи использовали авторизацию Facebook, чтобы зарегистрироваться на других платформах. Информация передавалась без их согласия. Длилось это с мая 2012 года по июнь 2018.
ВКонтакте
Социальная сеть ВКонтакте руководствуется несколькими принципами защиты информации о пользователях. Компания выступает за свободный и безопасный интернет. Она считает, что у пользователей должно быть пространство, где они свободно могут выражать свои мысли и идеи, а также выбирать, что именно и кому рассказывать.
ВКонтакте пишет, что собирает информацию о пользователях без ущерба их приватности. Компании интересно, как они взаимодействуют с их продуктом. Это нужно, чтобы понимать потребности пользователей и создавать сервисы, которые помогают персонализировать контент. Например, умную ленту новостей, персональные уведомления и музыкальные рекомендации.
ВКонтакте предоставляет настройки приватности, где можно определить, кто будет комментировать записи, кто может приглашать вас в сообщества, кому видна ваша основная информация и т.д.
Информация, которой пользователь делится с платформой, используется ею для улучшения сервисов и их персонализации. Например, если он открыл доступ к своему местоположению, социальная сеть подскажет, какие мероприятия есть поблизости. Если указана дата рождения, то друзьям пользователя в назначенный день придет уведомление об этом.
ВКонтакте собирает регистрационные данные пользователя: имя, фамилию, номер телефона, пароль, пол и дату рождения. Также компании важно, какие сервисы использует пользователь. ВКонтакте уверяет, что не хранит пароли в открытом виде. Платформа считывает местоположение пользователя, его обращения в техподдержку, данные из описания профиля, историю посещения платформы и данные об устройстве, с которого был выполнен вход. Такие данные обычно включают информацию о контактах из телефонной книги, установленных приложениях – все делается с согласия пользователя.
Некоторую информацию ВКонтакте собирает автоматически: если пользователь делится информацией или авторизовывается с помощью сервиса. Платформа считывает историю публикаций и подписок. Что касается сообщений, ВКонтакте хранит имена отправителя и получателя, дату и время отправки сообщения, его текст и вложения. Как объясняет компания в блоге, это делается для того, чтобы пользователь мог полноценно использовать мессенджер ВКонтакте.
Сохраняются у компании и платежные данные пользователя, если хотя бы однажды он пользовался соответствующими сервисами. ВКонтакте сохранит первые и последние цифры банковской карточки, с которой был совершен перевод. Отвязать карту можно в разделе «Способы оплаты».
Если другой пользователь разрешает доступ к своей телефонной книге, а там есть информация о вас, то ВКонтакте будет объединять эти данные и сохранять себе.
Это все нужно компании, чтобы улучшать свои продукты и сервисы, повышать их безопасность и приватность. Также ВКонтакте анализирует, как пользователи используют различные функции, и проводит на этой основе обезличенные исследования. По словам компании, собранные данные также помогают в борьбе со спамом, мошенничеством и нарушениями правил платформы.
ВКонтакте передает информацию о вас другим пользователям, но вы можете это регулировать с помощью настроек приватности. Если вы используете приложения внутри сети, то информацию о вас получает разработчик этого приложения. Получают информацию о пользователях и поставщики услуг для ВКонтакте. Это могут быть сервисы, помогающие осуществлять платежи или проводить исследования.
При наличии законных оснований данные о пользователе будут переданы государственным органам.
В России ВКонтакте внесена в реестр организаторов распространения информации, поэтому если пользователь удаляет свой аккаунт, то его переписка хранится еще полгода, а другая информация – год.
ВКонтакте просит пользователей обращать внимание на доменное имя страницы, на которой вы вводите свои данные, так как злоумышленники могут создать сайт очень похожий на оригинал визуально. Настоящий домен – это vk.com.
Что касается шифрования сообщений, то по мнению iguides, этой функции быть не может с технической точки зрения, так как это означает, что переписка не будет синхронизироваться на отдельных устройствах.
У ВКонтакте есть функция двухфакторной аутентификации. При ее активации пользователь получает список одноразовых кодов, которые запрашиваются при входе в аккаунт. Однако компания напоминает, что двухфакторная аутентификация станет надежной защитой только, если пользователь использует актуальный email и телефон, а также свои фотографии.
В 2018 году у социальной сети случилась утечка: личные данные 400 тысяч пользователей попали в открытый доступ. Эти пользователи разрешили доступ к личной информации сторонним приложениям. Компания объяснила случившееся тем, что пользователи использовали ненадежные VPN-сервисы – они передавали данные третьим лицам.
Весной 2019 года аудиосообщения пользователей оказались в сети. Их легко можно было найти в поиске ВКонтакте. Компания же отрицала наличие уязвимостей. Пресс-служба сообщила, что все голосовые сообщения защищены, а в открытом доступе оказались те, которые пользователи загружали при помощи сторонних сервисов. ВКонтакте пообещала отключить поиск аудиосообщений в документах.
В январе 2020 года пользователи ВКонтакте жаловались на то, что страницы стали отображаться как удаленные. В списке друзей можно было обнаружить, что некоторые пользователи обозначены как DELETED, при этом они не знали об этом, потому что их страницы продолжали работать как прежде.
Instagram принадлежит компании Facebook и, по ее словам, был создан для того, чтобы разные точки зрения могли существовать в безопасной и открытой среде. Платформа руководствуется международными нормами в области прав человека при оценке вреда или пользы, который может нанести публикуемый контент. Поэтому Instagram просит пользователей публиковать только те фото или видео, которые они создали сами, не делиться фото и видео с обнаженными телами, не использовать механизмы накрутки лайков, подписчиков и репостов. Социальная сеть призывает соблюдать закон, то есть не пропагандировать терроризм, преступность, продажу сексуальных услуг. Модераторы удаляют контент, который содержит угрозы, враждебные высказывания, унижает или позорит частных лиц.
Instagram собирает информацию, которую предоставляет сам пользователь – контент, сообщения, регистрационное данные. Также считывается информация о людях, страницах, хештегах и группах, с которыми связан пользователь. Собирает компания и информацию, которую пользователь синхронизирует или импортирует с устройства. Информация об устройстве, которые интегрируются с продуктами компании, нужна ей для персонализации контента или для анализа успешности рекламных кампаний. Что касается партнеров, то они предоставляют информацию о действиях пользователей вне Facebook.
Instagram старается создать сообщество, в котором пользователи будут свободно делиться контентом и выбирать, кому он будет виден. Так, если пользователь не хочет, чтобы другой видел его посты и истории, он может его заблокировать. Пользователь может выбрать, кто будет комментировать его посты, а также он может выбрать, какие слова и эмоджи он не хочет видеть у себя в комментариях. Instagram использует инструмент с машинным обучением, который обнаруживает и автоматически прячет комментарии с враждебными высказываниями. Присутствует функция, которая не показывает контент другого пользователя, при этом подписка на него остается.
Instagram дал пользователям возможность сделать свой аккаунт приватным: только подписчики будут видеть публикуемый контент. Есть возможность двухфакторной аутентификации. Чтобы войти в аккаунт с другого устройства, пользователю придет SMS с кодом, либо будет выдан список одноразовых кодов.
В 2019 году Цукерберг стал продвигать идею по объединению платформ Instagram Direct, Messenger и WhatsApp. Планировали унифицировать инфраструктуру, но оставить приложения функционировать как независимые. Это пригодится, если нужно отправить сообщение пользователю, например, в Messenger, а у него нет там аккаунта, зато есть в WhatsApp. Во все сервисы также планировали встроить технологию сквозного шифрования.
В августе 2020 уже появились новости о том, что у некоторых пользователей в Instagram появляются уведомления о новом способе отправлении сообщений. В конце сентября 2020 года в некоторых странах пользователи Messenger и Instagram уже смогли воспользоваться новой функцией. Компания оставляет за пользователями право решать, объединять ли свои мессенджеры или нет. Ожидается скорое объединение с WhatsApp.
В мае 2019 года исследователь безопасности Анураг Сен обнаружил базу данных Instagram, которая содержала информацию о 49 млн пользователей. Большинство из них были крупные инфлюенсеры, знаменитости и блогеры. Их число увеличивалось каждый час. А база данных не требовала пароля для входа. TechCrunch отследил, что утечка случилась из-за фирмы Chtrbox в Мумбаи, которая хотела узнать, сколько нужно платить инфлюенсерам, основываясь на количестве фолловеров, лайках, репостах и другой информации. Именно поэтому среди пострадавших много пользователей с большим количеством подписчиков и те, кто публикует спонсорский контент. Instagram попытался разобраться в том, что произошло. Однако компания по кибербезопасности Outpost24 выразила убежденность, что Instagram не смог удостовериться в надежности политик безопасности своих партнеров.
В январе 2020 года сервис Social Captain, который помогает своим пользователям увеличить число подписчиков в Instagram, слил тысячи имен и паролей аккаунтов Instagram в открытый доступ. Причиной стала уязвимость на сайте сервиса. Instagram обвинил его владельцев в нарушении правил обслуживания – в неправильном хранении учетных данных.
235 млн пользователей Instagram, TikTok и YouTube стали жертвами утечки в августе 2020 года. Это случилось из-за платформы Social Data, которая продает информацию об инфлюенсерах маркетологам. База данных также не требовала пароля или какой-либо аутентификации для просмотра содержимого – имен, контактов, персональной информации и статистики по подписчикам.
Исследователь безопасности Боб Дьяченко выявил, что большое количество данных указывали на компанию Deep Social – названия массивов данных включали в себя имя платформы (напр., accounts-deepsocial-90). Однако Deep Social обвинила во всем Social Data, которая признала утечку и изъяла базу данных из доступа тремя часами спустя. Facebook и Instagram перестали сотрудничать с Deep Social еще в 2018 году. Компании пригрозили судебным иском, если она продолжит заниматься веб-скрейпингом, чтобы собрать данные об их пользователях.
2021 год тоже начался не с самых приятных новостей для платформы. Недавно было обнаружено, что у компании Socialarks случилась утечка. В открытый доступ попало 408 ГБ информации об 214 млн аккаунтов Facebook, Instagram и LinkedIn по всему миру. Пароли и платежная информация не пострадали. Так получилось, потому что компания использовала метод веб-скрейпинга публичной информации о пользователях Facebook, Instagram и LinkedIn. Это значит, что в открытый доступ попали данные, которые пользователи разрешили видеть другим пользователям, чаще всего – это полные имена, фото профиля, чисто подписок и подписчиков, связанные аккаунты. Однако были среди утекших данных и те, которые не были открыты для других пользователей. Например, номера телефонов и электронные адреса. Как у компании получилось достать эту информацию пока остается неизвестным.
Одноклассники
Рассмотрим политики безопасности социальной сети, которая считается популярной среди людей старшего возраста. Чтобы обезопасить свой аккаунт и не попасться мошенникам, работники социальной сети советуют не переходить по сомнительным ссылкам, даже если их прислали ваши друзья, проверять адреса ссылок, проверять компьютер на вирусы, не указывать нигде, кроме «Одноклассников», свои данные для входа, также не передавать их никому, указывать номер телефона при регистрации, периодически менять пароль к своему аккаунту, использовать комбинацию из букв и цифр при его создании.
Есть в «Одноклассниках» и возможность двухфакторной аутентификации: при входе в аккаунт помимо пароля нужно будет вводить одноразовый код, который обычно высылается на номер телефона. Также социальная сеть использует безопасное подключение HTTPS.
Если пользователь заметил подозрительную активность у себя в профиле, он может проверить историю посещений, где будет видна вся информация о подключениях к его профилю. Все процессы нужно завершить и поменять пароль, как советует компания Mail.ru, которой принадлежит соцсеть.
Какая информация о пользователях считывается? Социальная сеть собирает учетные данные, то есть те, которые необходимы для создания профиля (имя, фамилия, дата рождения, пол, номер мобильного телефона), и дополнительную информацию, которой пользователь делится добровольно (адрес электронной почты, семейное положение, родной город, город проживания, информация об образовании и карьере, месте прохождения воинской службы, изображения). Также считывается активность пользователя во время использования соцсети (клики, переходы, взаимодействие со списком друзей и т.д.) и информация о действиях других пользователей (отметки на видеозаписях и фотографиях). Данную информацию социальная сеть собирает со всех платформ – веб-версия, приложения для Android и iOS.
Дополнительно веб-версия также считывает технические данные (IP-адрес, ОС, тип браузера, географическое положение, интернет-провайдер, данные, полученные в результате доступа к камере, микрофону и другим устройствам).
Если потребуется, «Одноклассники» передадут информацию о пользователе правоохранительным органам. Она хранится, пока все юридические вопросы не будут решены. Компания также может поделиться данными со своими партнерами и третьими лицами. Это может понадобиться для того, чтобы предоставить услуги сайта пользователям, либо управлять сайтом, если пользователь делится своими данными на других платформах соцсетей.
Судя по всему, последний инцидент в «Одноклассниках» произошел в 2018 году, когда платформу подозревали в утечке данных пользователей Литвы. Все началось с того, что Национальный центр по кибербезопасности при минобороны Литвы заявил, что приложение «Яндекс.Такси» создает условия для сбора информации о пользователях. Также центр посчитал, что утечка данных может случиться из-за того, что жители Литвы пользуются российскими соцсетями, в том числе «Одноклассниками». Компания опровергла это высказывание, заявив, что их политика работы с данными прозрачна для всех пользователей. Они также руководствуются GDPR – регламентом ЕС о защите данных.
Компания Twitter, как и все предыдущие компании, рекомендует установить надежный пароль на свой аккаунт и не использовать его для других сайтов. Платформа оснащена двухфакторной аутентификацией. Вторым этапом для входа может быть код, приложение или физический ключ безопасности. Twitter просит пользователей проверять домен сайта – это всегда https://twitter.com/. Это нужно, чтобы не стать жертвой фишинга.
Если вход в учетную запись совершили с другого устройства, Twitter отправит уведомление через приложение или по электронной почте. Такое уведомление пользователь будет получать каждый раз при входе в учетную запись, если он использует браузер в режиме инкогнито.
Свои твиты на платформе можно «защитить», то есть скрыть от посторонних пользователей, но открыть своим подписчикам. Однако Twitter обращает внимание, что, если пользователь предоставил доступ к своей учетной записи стороннему приложению, у него также появляется доступ к твитам пользователя.
По умолчанию компания не определяет точное местоположение пользователя. Он может включить эту функцию сам, если хочет показать, откуда был сделан твит. Также компания пишет, что если определение точного местоположения включено, то Twitter собирает, хранит и использует эту информацию, чтобы предоставлять местные актуальные темы и рекламные объявления, которые соответствуют местоположению.
Что касается той информации о пользователе, которую компания собирает, то это относится к личным (напр., адрес вашей электронной почты, номер телефона, контакты адресной книги) и дополнительным данным (тип устройства, IP-адрес). Это используется для обеспечения безопасности пользователя и персонализированных рекомендаций. Twitter дает пользователям возможность решать, какую информацию о них компания может считывать.
Если пользователь предоставил платформе платежную информацию, то она сохраняется для того, чтобы обрабатывать совершаемые операции и отслеживать попытки мошенничества.
Когда пользователь переходит по внешней ссылке или рекламному объявлению, владелец сайта получает информацию о том, откуда пользователь переходит, а также информацию о характеристиках аудитории, для которой предназначено рекламное объявление, идентификаторах файлов cookie или IP-адрес.
Интересно, что, даже если пользователь еще не создал учетную запись на платформе, она уже получает информацию о нем. У Twitter есть так называемые «Данные журнала» – сюда сохраняется вся информация о том, с какими сервисами компании взаимодействует пользователь и какой контент он просматривает. Данные журнала включают в себя IP-адрес, тип браузера, ОС, данные о посещенных веб-страницах, местоположение, мобильный оператор, данные о мобильном устройстве, информацию от файлов cookie.
Twitter получает информацию о пользователях и от своих рекламных партнеров, и от аффилированных лиц. Среди этих данных может быть ID cookie-файлов браузера, ID мобильного устройства или криптографический хэш адреса электронной почты, данные об интересах, просмотренном контенте.
Есть у Twitter блок информации о пользователе, передачу которой последний может контролировать. Если нужно предоставить доступ к его учетной записи стороннему приложению или веб-клиенту, то компания делает это только с разрешения пользователя. Тем не менее Twitter оставляет за собой право хранить, использовать и разглашать персональные данные пользователей, если это требуется государственным органом или для юридического процесса. Также компания пишет:
«В случае, если мы [Twitter] будем вовлечены в процедуру банкротства, слияния, поглощения, реорганизации или продажи активов, ваши персональные данные могут быть проданы или переданы как часть процесса ведения коммерческой деятельности».
В мае 2019 году на платформе случился сбой, из-за которого «утекли» данные о местоположении пользователей с устройствами iOS. Баг быстро исправили, однако компания предоставила очень мало информации о том, кого задела утечка, когда сбой обнаружили и кто получил доступ к слитым данным.
В ноябре 2019 года Facebook и Twitter сообщили об утечке данных сотен пользователей Android. Это случилось из-за приложения One Audience, которое предоставляло доступ к личным данным пользователей сторонним разработчикам. Компании предупредили пользователей, чтобы те могли принять меры.
Также в ноябре 2019 года в открытом доступе обнаружили базу данных, которая содержала личные данные 1,2 млрд пользователей соцсетей – Facebook, Twitter и LinkedIn. Объем данных насчитывал 4 ТБ. Исследователь, обнаруживший утечку, сообщил, что она содержала 4 комплекта данных. 3 из них указывали на брокера данных – People Data Labs.
В феврале 2020 года Twitter сообщила, что исправила уязвимость, которая позволяла соотнести номера телефонов пользователей с их аккаунтами. Известно о ней компании стало в декабре 2019.
Последний крупный взлом Twitter произошел в июле 2020 года. Пострадали более 130 аккаунтов, которые принадлежали знаменитостям – Бараку Обаме, Илону Маску, Канье Уэсту, Биллу Гейтсу. Хакеры опубликовали на их страницах пост о том, что если прислать биткоины по ссылке, то можно получить их обратно в двойном размере. Скамеры заработали на этом $120,000 примерно за 300 транзакций. Вернуть контроль к аккаунтам был сложно, но компании удалось это сделать.
В августе стало известно об утечке 200 млн записей пользователей Twitter и Weibo. В случае с Twitter было обнаружено 44 028 450 профилей. Утечка произошла из-за неправильной конфигурации серверов Elasticsearch, которые принадлежали китайской компании CYYUN.
Аналитический отдел компании Falcongaze ставил перед собой задачу рассказать о политиках безопасности и конфиденциальности социальных сетей, а также об утечках и взломах, в которых они были замечены. Вряд ли нам удалось рассмотреть все, случившиеся за последние 2-3 года. Тем не менее, мы надеемся, что вам теперь легче будет выбирать платформу для общения и передачи информации, учитывая те меры безопасности, которые они предлагают.