Покажи свой аккаунт и я скажу кто ты ...

Мацей Зиарек

Аналитик, Лаборатория Касперского Польша

Несомненно, сайты социальных сетей сейчас переживают свои пять минут в Польше. В этом нет ничего странного - в конце концов, они позволяют нам быстро и легко заводить новых друзей, находить старых друзей, которых мы не видели много лет, а иногда даже найти любовь в своей жизни. В этом отношении сайты социальных сетей гораздо эффективнее интернет-форумов или мессенджеров. Их популярность постоянно растет, появляется все больше и больше пользователей, а значит и персональных данных ...

В статье я сосредоточился в основном на самых популярных сайтах в Польше. К ним относятся Nasza-klasa.pl , Grono.net , Sympatia.pl , Fotka.pl и GoldenLine.pl .

При первом входе в порталы мы видим амбициозные лозунги о поиске старых друзей или о великом онлайн-сообществе. Эти типы лозунгов, безусловно, побудят вас зарегистрироваться и поделиться своими данными. Мы можем убедиться в том, насколько популярны в настоящее время социальные порталы, посмотрев на результаты исследования ( http://www.smgkrc.pl/hotnews5pl.html ), сделанный MillwardBrown SMG / KRC Institute по заказу D-Link Technology Trend . График показывает, сколько процентов пользователей Интернета знают и используют социальные сети.

Рис
Рис. 1. Знание социальных сайтов среди польских интернет-пользователей

Из того же опроса мы узнаем, что 53% поляков знают о существовании таких веб-сайтов, и 31% используют их. Это дает значительное количество нескольких миллионов пользователей.

Этот объем персональных данных, в свою очередь, представляет собой большой объем информации, который потенциально может быть использован, поэтому он должен быть надежно защищен. На интернет-форумах мы обычно предоставляем только адрес электронной почты или, возможно, номер коммуникатора. Социальные сети, с другой стороны, после заполнения профиля могут хранить:

  • Имя и фамилия
  • Дата рождения / возраст
  • Номера IM
  • Номер мобильного телефона
  • Картинки, фильмы
  • Адрес электронной почты
  • Места учебы / работы
  • образование
  • Список друзей / семья
  • CV

Эта информация может быть доступна в некоторых случаях одним щелчком мыши!

Для чего могут быть использованы личные данные? Существует много сценариев, и диапазон методов использования этой информации ограничен только изобретательностью человека, который их собирает. Кто-то может выступать за нас на форумах или в списках рассылки и унижать наше имя или репутацию. Чем больше данных вы получите, тем лучше он сможет заполнить профиль, тем самым подтвердив подлинность ваших утверждений. Публикуя наш адрес электронной почты или номер коммуникатора, мы можем стать жертвами спама и спама (спам, отправляемый через мессенджеры). Это также может привести к мошенничеству как попытке фальсифицировать чью-то личность.

И вы никогда не знаете, с кем на самом деле имеете дело онлайн, общаетесь на форуме или общаетесь с незнакомцем через коммуникатор. Вряд ли кто-нибудь даст новичку такую ​​информацию, как мобильный телефон или собственные фотографии. И все же, некоторые люди предоставляют такие данные на сайтах социальных сетей, позволяя просматривать их всем зарегистрированным? Это не проблема (задать правильный вопрос, например, в Google), чтобы найти информацию о ком-то после элементарной информации, например, номер коммуникатора. В основном благодаря социальным сетям.

Следует также помнить, что в Сети ничего не теряется. Если кто-то добавляет фотографии в ваш аккаунт на границе хорошего вкуса или даже смущающих фотографий, он должен учитывать тот факт, что через 10 лет эти фотографии все равно будут найдены в Интернете, даже если они были удалены ранее. Можно сказать, что интернет не прощает ошибок молодежи ...

В связи с огромным объемом хранимых персональных данных социальные сети должны адаптироваться к действующему в Польше закону, в частности к Закону о защите персональных данных от 29 августа 1997 года. В соответствии с этим актом GIODO (Генеральный инспектор по защите персональных данных) контролирует защиту персональных данных. Закон содержит соответствующие статьи, согласно которым учреждения и службы, занимающиеся сбором и обработкой персональных данных, должны должным образом защищать их:

Давайте посмотрим на правила отдельных социальных сайтов:

Nasza-klasa.pl:

Fotka.pl:

Sympatia.pl:

Grono.net:

GoldenLine.pl:

Из этих правил ясно, что все вышеупомянутые веб-сайты обязуются надлежащим образом хранить личные данные и защищать их от доступа третьих лиц.

16 января 2008 года в офисе GIODO состоялась пресс-конференция: «Насколько безопасны наши личные данные на портале nasza-klasa.pl?» В связи с быстро растущей популярностью этого портала Генеральный инспектор по защите персональных данных решил более внимательно изучить сервис и конкретно проверить, соответствует ли он правилам и обязательствам, налагаемым Законом о защите персональных данных.

4 февраля в офисе GIODO прошла очередная пресс-конференция: «Что случилось с нашим классом?» Результаты проверки представлены на нем. Хотя были некоторые оговорки (включая шифрование при входе на сайт или фактически его отсутствие), в целом сервис был положительным. ДЖИДО Михал Сержицкий сказал на конференции, среди прочего:

После проверки веб-сайта Nasza-klasa.pl со стороны GIODO и принятия решения о том, что данные защищены и хранятся в правильном порядке, спорная и вызывающая беспокойство статья о Hacking.pl появилась относительно быстро. Его автор заявил, что:

Существует угроза утечки личных данных для миллионов пользователей. Автор даже показал, каким образом он загружал вышеупомянутую информацию об учетных записях и сохранял их в виде таблицы в Excel. Этот метод заключался в использовании программы cURL. Это приложение, которое позволяет нам отправлять или скачивать формы с серверов. Он работает из командной строки и поддерживает такие протоколы, как FTP, FTPS, HTTP, HTTPS, SCP, SFTP, TFTP и другие. Не вдаваясь в технические подробности того, как он получил личные данные, автор представил на страницах Hacking.pl скриншот таблицы Excel:

Рис
Рис. 2. Лист Excel, содержащий персональные данные с сайта nasza-klasa.pl

На первый взгляд может показаться, что действительно существовал серьезный недостаток со стороны GIODO, так как ему удалось извлечь так много информации. Однако ситуация становится понятнее, когда мы посмотрим, как работает программа cURL и какие данные получены из нее. Как упоминалось ранее, программа позволяет использовать соответствующий синтаксис для отправки или загрузки формы с сервера. Это означает, что злоумышленник получил только информацию, доступную на портале polskie-klasa.pl, с уровня обычного пользователя. Если бы кто-то дал только имя и фамилию и никакой дополнительной информации, то только это будет в этой таблице Excel. Этот факт также подтверждается командой nasza-klasy.pl.

В следующем отрывке официального комментария мы можем прочитать:

Таким образом, в этом случае нельзя говорить о утечке персональных данных. Никто не получит доступ к нашей электронной почте, если она не является общедоступной или скрытой контактной информацией, такой как номер коммуникатора или номер мобильного телефона. Тем не менее, реакция средств массовой информации была быстрой, и упрощение этого отчета в основном сводилось к добавлению комментариев к новостям из-за более осведомленных ситуаций пользователей.

Аналогичная ситуация имела место ранее (январь 2007 г.), но касалась сайта Grono.net. Дело касалось личных данных, которые были проиндексированы Google и, таким образом, стали доступны любому, даже пользователю Интернета, который не был зарегистрирован на портале Grono.net. Началось с публикации статьи на новостном сайте24, в которой автор после ввода фразы Grono.net в поисковую систему Google получил личные данные пользователей, имена, телефоны, адреса электронной почты и т. Д. Нельзя отрицать, что такие данные, доступные с уровня поисковой системы, неконтролируемы утечка, поэтому ошибка. Как будто этого было недостаточно, была также информация, что с помощью Google вы также можете получить доступ к окнам сообщений на сайте. Grono.net отнесся к этому серьезно. Наконец, причина такого положения вещей была установлена. В отрывке из заявления правления Grono.net мы можем прочитать:

Еще одна угроза, о которой часто ничего не говорится и которой подвергается каждый пользователь крупных веб-сайтов или сайтов социальных сетей, - это фишинг. Это сложный метод извлечения всей информации из компьютера жертвы. Злоумышленник отправляет жертве электронное письмо со ссылкой на зараженный сайт, где пользователь предоставляет такие данные, как банковский счет, или ему предлагается загрузить файл, который оказывается трояном. Кажется, что метод кажется простым и бессмысленным (потому что, кто даст такие данные по запросу незнакомца), но вопрос становится понятным, когда мы посмотрим на такое электронное письмо:

Рис
Рис. 3. Пример фишингового письма

По определению, сообщение должно быть обманчиво похожим на электронное письмо, которое может быть отправлено банком. По крайней мере, так думает жертва. В содержании нас чаще всего просят предоставить новый пароль или авторизовать транзакции на определенной странице. Однако этот веб-сайт не является настоящим банковским веб-сайтом, а веб-сайтом, созданным киберпреступником (адрес этой страницы указан в приведенном выше случае http://host217-36-231-196.in-addr.btopenworld.com/aspnet_client/system_web/1_1_4322/XXXXXX.htm и вам не нужно быть экспертом, чтобы заметить, что это не адрес банка), чтобы получить информацию, представленную на нем.

Тот же механизм может быть применен к сайтам социальных сетей. Пользователи могут получать электронные письма, информирующие их о том, что из-за изменений на портале им предлагается проверить вход в систему. Нажав на ссылку, представленную в списке, они переключаются на страницу, похожую на настоящую. Следующий сценарий повторяется так же, как и в случае с банком.

Два социальных сайта недавно столкнулись с такой проблемой: nasza-klasa.pl и fotka.pl. Сценарий, однако, немного отличался от представленного выше. Учетные записи электронной почты широко распространяли информацию о том, что пользователь написал нам сообщение или хотел показать свои фотографии. Подлинность этого сообщения заключалась в добавлении контента от пользователя вместе со ссылкой на исходную страницу напоминания.

Рис
Рис. 4. Поддельные новости с сайта Fotka.pl

После перехода на страницу, представленную в списке, на экране появилось сообщение о том, что содержимое страницы не может быть отображено из-за отсутствия соответствующей версии Flash Player.

Рис
Рис. 5. Поддельный и зараженный сайт, на который ведет ссылка с указанного выше адреса электронной почты.

Было предложено загрузить файл с именем get_new_flashplayer.exe, который должен был установить последнюю версию программного обеспечения на нашем компьютере. Конечно, это был не бэкдор Flash Player: Backdoor.Win32.Agent.cri.

Рис
Рис. 6. Вредоносная программа, обнаруженная программным обеспечением «Лаборатории Касперского»

Как я уже писал ранее, с подобной проблемой столкнулся nasz-klasa.pl.

Рис
Рис. 7. Поддельные новости от nasz-klasa.pl

Рис
Рис. 8. Запрос на скачивание и установку соответствующего программного обеспечения

Несколько деталей позволили отличить эти сообщения от настоящих:

  • в теме сообщения отсутствовал польский символ (пользователь, а не пользователь);
  • в большинстве электронных писем, отправляемых пользователям Интернета, появлялись имена пользователей с иностранным звучанием, а начало сообщения часто было написано на другом языке;
  • ссылка в сообщении не совпадает с адресом загружаемой страницы;
  • почти все ссылки на зараженном сайте начали загружать зараженный файл;
  • в ссылках были домены, отличные от польских (pl).

Службы безопасности быстро отреагировали, сообщив о подозрительных сообщениях. Те же порталы, что и fotka.pl и nasza-klasa.pl, также размещают информацию, используемую на их страницах.

Почему фальшивомонетчики выбрали эти порталы? Чтобы ответить на этот вопрос, просто обратитесь к статистике популярности, которую я разместил в начале статьи. И nasz-klasa.pl, и fotka.pl являются наиболее известными и посещаемыми польскими социальными сетями, и поскольку злоумышленники отправляли сообщения случайным людям, вероятность попасть в пользователей этих порталов была очень велика (особенно в случае our-klasy.pl). Кроме того, был задействован элемент социальной инженерии. С сегодняшнего дня не известно, что человек любопытен по своей природе. В этих письмах вы можете видеть только короткий фрагмент сообщения, поэтому была очень высокая вероятность того, что заинтригованный пользователь щелкнет ссылку.

Однако нельзя преувеличивать - регистрация на сайтах социальных сетей сама по себе не представляет угрозы. Тем не менее, это увеличивает риск того, что мы будем случайно обмануты - если кто-то никогда не регистрировался на таком портале и вдруг получает информацию о приглашении, ожидающем его нахождения в кругу друзей, он должен быстро понять, что это ложное письмо.

В конце я снова вернусь к исследованию, выполненному Институтом MillwardBrown SMG / KRC по заказу D-Link Technology Trend . На этот раз я хочу обратить внимание на осведомленность пользователей о рисках, связанных с предоставлением личных данных в Интернете.

Рис
Рис. 9. Осведомленность о риске, связанном с предоставлением персональных данных

28 января 2008 года Каролина Возняк и GIODO поговорили с Михалем Сержицким в Живецких Варшавах. Вот как он ответил на вопрос о безопасности личных данных в сети.

Принимая во внимание фрагмент вышеупомянутого разговора и вышеупомянутое исследование, он, безусловно, рад, что почти 2/3 пользователей веб-сайтов социальных сетей осознают риск, о котором говорил GIODO, и не размещают более важную информацию о себе. С другой стороны, остается 1/3 пользователей, которые либо не заботятся о безопасности своих личных данных, либо знают о риске - они берут его на себя. Мы ценим ваши данные, вашу конфиденциальность и вашу личность. Всем нужно знать номер вашего коммуникатора и номер телефона? Нужно ли иметь 30 разных фотографий в своем профиле, которые являются сечением вашей жизни и даже жизни ваших родственников и друзей? Если это возможно, скрыть данные для незарегистрированных лиц и тех, кого нет среди ваших друзей. Помните, что если кто-то очень хочет с вами связаться, он сделает это, отправив обычное электронное письмо.

Для чего могут быть использованы личные данные?
И все же, некоторые люди предоставляют такие данные на сайтах социальных сетей, позволяя просматривать их всем зарегистрированным?
Pl?
Почему фальшивомонетчики выбрали эти порталы?
Всем нужно знать номер вашего коммуникатора и номер телефона?
Нужно ли иметь 30 разных фотографий в своем профиле, которые являются сечением вашей жизни и даже жизни ваших родственников и друзей?

Новости

Как сбалансировать юзабилити и дизайн при создании сайта — User House
Красота или уродство в веб-дизайне всегда связаны с восприятием конкретного человека. То, что для одного «красиво», может быть «ужасным» для другого и наоборот. Но как же так получается, что многие популярные

Чем лучше юзабилити сайта – тем больше лояльных клиентов
Хотите понять, как посетители воспринимают сайт? Это очень просто. Представьте, что вы говорите по телефону с директором, и в это время вам звонит кто-то из родственников, а у вас еще работы на четыре

Знакомство с юзабилити-тестированием сайта. // webknowledge.ru
Перевод статьи:   An Introduction To Website Usability Testing. Автор:   Thomas Churm. При создании нового сайта необходимо учитывать множество факторов. Для того чтобы у посетителей возникло

Специалист по web-usability – боец невидимого фронта
Ярослав Перевалов Что такое usability engineering? Часто ли вы, бродя по Сети, обращаете внимание на то, насколько качественно структурирована информация на сайте и насколько удобно устроена навигация?

Гид по UX исследованиям для начинающих
В индустрии, в основе которой лежит использование людьми наших продуктов, услуг и приложений, исследования просто необходимы. Мы задаем вопросы. Мы делаем пометки. Мы стараемся узнать все, что возможно,

25 советов как улучшить юзабилити (usability) вашего сайта. | Блог об интернет деятельности и трудовых буднях Максима Вячеславовича
Доброго времени суток, дорогие друзья! Сегодня мы поговорим с вами о такой важной вещи как U sability (юзабилити) сайта , о том, как улучшить данный фактор, зная его основные принципы и правила.

Что такое юзабилити и зачем оно нужно
Юзабилити включает простоту, удобство в пользовании, тестирование, проведение аудита проекта. Юзабилити сайтов, интернет-магазинов — это неотъемлимая часть выгодного ведения бизнеса. Задача юзабилити

Юзабилити тестирование сайта турагентства
«Когда информации много и она дешева, дорогим становится внимание». James Gleick Представим сайт, владелец которого считает его достаточно хорошим, удобным и привлекательным. Он размещает рекламные объявления

Юзабилити
Юзабилити (от англ. слова «usability» – практичность, простота использования) – это весьма распространенное ныне понятие объединяет максимальное удобство использования сайта и полезность информации, на

5 шагов для успешного юзабилити-тестирования приложения
Представьте: вы придумали и разработали мобильное приложение с приятным, на ваш взгляд, дизайном, удобным функционалом, полезными опциями, выпустили релиз продукта, но… Несмотря на мощную маркетинговую

Карта