Тема неприкосновенности данных уже давно вышла за пределы профильных форумов, она бурлит в общественном сознании, особенно в контексте обсуждения прав личности и человека. На всплеск интереса к приватности оказали значительное влияние массовый переход на удалённый режим работы и рост аудитории онлайн-сервисов.
Люди много говорят о конфиденциальности, и крупные компании и регулирующие органы учитывают это. Появляются новые нормативы, технологические гиганты обновляют политику конфиденциальности и совершенствуют алгоритмы. Но идеальная ситуация — прозрачное, честное и разумное использование персональных данных, и для её достижения понадобится ещё много времени, если это вообще возможно.
Существует целый ряд угроз приватности. Одна весьма болезненная и распространённая — доксинг, то есть поиск и злонамеренное раскрытие информации о человеке с целью получения какой-то выгоды, шантажа или травли.
Публикуя те или иные данные в сети, мало кто задумывается, что это может приводить к неприятным последствиям в реальной жизни. Один из ключевых принципов интернета, его идея, заключается в том, чтобы люди по всему миру могли свободно получать доступ к данным. Очевидно, что у этой медали есть обратная сторона, ведь теперь практически любой может найти и опубликовать чужую личную информацию без разрешения. Этим и занимаются доксеры, которые со злым умыслом или по другим причинам собирают самую разную информацию:
- личные фотографии или видео, которые могут поставить человека в неловкое положение;
- фрагменты личной переписки, как правило вырванные из контекста;
- домашний адрес, номер телефона, адреса электронной почты и другие контактные данные;
- данные о работе и роде деятельности;
- медицинская или финансовая информация, сведения о судимости.
Доксинг может приводить к серьёзным негативным последствиям в жизни его жертв: унижению, потере работы и конфликтам с семьёй и друзьями. Угроза актуальна не только для уязвимых групп граждан или публичных людей (например, журналистов, политиков, спортсменов), а буквально для всех. Например, бывают случаи, когда недобросовестные журналисты плохо проверяют информацию и раскрывают личности «негодяев и преступников», которые на самом деле оказываются их тёзками. Таким образом публично раскрываются персональные данные ни в чём не повинных людей, которые начинают получать угрозы здоровью и жизни от незнакомцев.
Если вы когда-либо публиковали сообщения на онлайн-форуме, регистрировались в социальной сети, подписывали онлайн-петицию или покупали недвижимость, вы оставляете след в сети. Много информации хранится в общедоступных базах данных, различных отчётах, поисковых системах и других хранилищах. Разумеется, это не означает, что нужно вообще перестать говорить о чём-либо публично и уехать жить в глухой лес, но лучше подходить к этому делу осознанно: взвешивать риски, прежде чем заполнять очередную анкету на форуме или делиться своей позицией во всеуслышание.
Чтобы защититься от доксинга, нужно стараться фильтровать информацию, выкладываемую в сеть. Если ваши профили в социальных сетях не защищены настройками приватности, то любая информация, которой вы в них делитесь, может быть видна другим людям (это очевидно, но люди об этом почему-то не задумываются): ваше место работы, список друзей, фотографии, члены семьи, что вам нравится и не нравится, где вы бываете и т.д. Доксер может использовать такие данные в том числе для того, чтобы получить ответы на вопросы, которые могут быть заданы, например, для восстановления доступа к аккаунту, типа «Кличка вашего питомца» и «Девичья фамилия матери».
Как работают доксеры?
Существует несколько основных сценариев причинения вреда посредством доксинга:
- установление личности пользователя и передача информации о нём его работодателю. В результате из-за социального давления человек может потерять работу;
- публикация интимных фотографий или видео в открытом доступе. Это распространённый способ вторжения в личную жизнь со злым умыслом, который может иметь серьёзные последствия для жертвы, его ещё называют «порноместью»;
- раскрытие личности, например анонимных блогеров, интернет-пользователей, лидеров мнений и творческих деятелей, может представлять реальную опасность, если жертва находится во враждебной среде;
- сбор данных конкретного человека (потенциальной жертвы), которые содержатся в конфиденциальных или сомнительных материалах, и их передача враждебно настроенным группам или лицам, которые могут использовать эти данные с целью информационного или даже физического насилия.
К сожалению, даже если мы будем бережно относиться к личным данным и не станем делиться ими с кем попало, то все равно не будем застрахованы от утечек, ведь злоумышленники далеко не всегда довольствуются общедоступной информацией. Они прибегают к услугам чёрного рынка, где продают персональные данные. Судя по тем объявлениям, которые видели в даркнете специалисты «Лаборатории Касперского», полный пакет со сканом паспорта, селфи с паспортом, ИНН, СНИЛС сегодня продаётся в теневом сегменте интернета по цене от 300 рублей, скан паспорта с ИНН в среднем от 100 рублей. Активно работает рынок пробива, расценки начинаются от нескольких сотен рублей. Данные попадают в даркнет не только в результате овершеринга, то есть публикации избыточной информации о себе, но и в результате утечек, взломов, действий инсайдеров, программ-вымогателей.
Как ещё доксеры собирают информацию?
Отслеживают IP-адреса, обращаются к брокерам данных, то есть к людям, которые собирают информацию из общедоступных ресурсов или покупают её для дальнейшей перепродажи. Покупателями обычно выступают рекламодатели, но существуют и сайты для поиска как людей, так и сведений о них. Ещё злоумышленники находят данные в WHOIS по доменному имени. Информация о каждом владельце доменного имени публикуется в специальном реестре и обычно доступна через сервисы WHOIS. Если вы купили доменное имя и не скрыли информацию о себе во время покупки, то ваши имя, физический адрес, номер телефона, рабочий и личный адреса электронной почты будут доступны всем.
Узнать, утекли ли данные, практически невозможно. Но есть специальный сайт, на котором можно проверить, не попали ли в публичный доступ логин и пароль, адрес электронной почты, номер телефона, — haveibeenpwned.com.Да, стопроцентная приватность невозможна, любые данные из сети могут быть получены — официально или нет. Однако риска преследования доксеров можно избежать, если знать методы, которыми они пользуются.
Приватность — на примере Telegram
Сегодня люди много общаются через мессенджеры, не только с близкими, коллегами, но и, например, с преподавателями, юристами, представителями онлайн-магазинов и сервисов. Соответственно, большое количество личной информации проходит через такие сервисы. Вот почему отдельно стоит сказать о приватности в мессенджерах. Часто, говоря о связке «мессенджер — приватность», имеют в виду Telegram, который, судя по разным данным, в 2021 году установлен у 61% аудитории рунета.
- Во-первых, сервис позволяет использовать в переписке специально созданный юзернейм (username), то есть скрыть номер телефона.
- Во-вторых, в нем можно включить двухфакторную аутентификацию. Если злоумышленник попытается получить контроль над вашим аккаунтом, кода верификации будет недостаточно, ему потребуется еще и пароль. Для включения двухфакторной аутентификации нужно зайти в раздел «Конфиденциальность» в настройках.
- В-третьих, существует функция «Секретный чат», которую можно использовать для особенно конфиденциальной переписки. Такие чаты привязаны к определенному устройству, иными словами, они сами и данные в них не хранятся нигде, кроме как на устройствах пользователей. К тому же в них доступен таймер самоуничтожения.
- В-четвертых, есть функция «Активные сеансы», которая позволяет видеть, на каких устройствах открыт аккаунт. Это отображается в разделе «Устройства» в настройках. При обнаружении неизвестного или подозрительного устройства рекомендуется завершить сессию и сменить пароль, если он был установлен.
- В-пятых, приложение даёт возможность установить код-пароль и Touch ID. В этом случае в списке чатов появится значок замка для блокировки и разблокировки приложения.
Также можно управлять тем, какая информация о вас из Telegram доступна всем пользователям платформы. Этим можно управлять в разделе «Конфиденциальность» (Privacy and Security):
- Номер телефона. Выберите «Номер телефона», «Кто видит мой номер телефона», можете выбрать «Никто», далее «Кто может найти меня по номеру» — «Мои контакты».
- Пользователи, которые могут видеть вашу активность. Выберите «Последняя активность», «Кто видит, когда я в сети», затем «Никто».
- Пользователи, которые могут видеть фотографию профиля. Выберите «Фотография профиля», затем «Мои контакты».
- Пользователи, которые могут ссылаться на ваш аккаунт при пересылке сообщений. Выберите «Пересылка сообщений», затем включите «Мои контакты» в разделе «Кто может ссылаться на мой аккаунт при пересылке сообщений».
- Пользователи, которые могут звонить вам. В разделе «Звонки» можно выбрать «Все» — тогда вам сможет позвонить любой пользователь, либо «Мои контакты» — тогда вы ограничите список.
- Пользователи, которые могут приглашать вас в группы и каналы. В разделе «Группы и каналы» выберите «Мои контакты» при ответе на вопрос «Кто может добавлять меня», если не хотите попадать в случайные группы без предварительного согласия.
При этом нельзя сказать, что мы рекомендуем отдавать предпочтение какому-то одному сервису: все популярные на сегодняшний день мессенджеры относительно безопасны, так как при передаче сообщений используют шифрование. К тому же они также позволяют выстроить определенные настройки приватности. Важно лишь потратить несколько минут на их изучение.
Как усложнить жизнь злоумышленникам
Пристёгнутый ремень безопасности в автомобиле не защищает от ДТП, но тем не менее снижает риски тяжелых последствий. С доксингом то же самое. Гарантированно защититься от него нельзя, но можно снизить риски, если придерживаться следующих советов:
- не выкладывать конфиденциальные данные, такие как сканы документов, в социальные сети, чаты, форумы, облачные хранилища;
- не делиться информацией о своих друзьях и членах семьи в социальных сетях, если аккаунт открыт всем;
- проверить настройки конфиденциальности в социальных сетях;
- использовать надёжные и разные для каждого аккаунта пароли, периодически менять их, а для создания и хранения использовать менеджеры паролей;
- настроить двухфакторную аутентификацию в тех сервисах, которые это позволяют;
- не передавать данные о других людях без их согласия третьим лицам; следить за тем, что публикуете и рассказываете в интернете, не обязательно высказывать своё мнение везде и всюду; прежде чем публиковать что-либо в соцсетях, обдумывать, могут ли ваши слова вызвать нежелательную реакцию или быть использованы для причинения вам вреда;
- лучше держать профиль в соцсетях закрытым и добавлять в друзья только людей, с которыми знакомы лично и общаетесь;
- не делиться персональными данными без необходимости. Например, можно указать дату рождения, близкую к реальной, и оставлять пустыми поля для дополнительной информации, если их заполнение необязательно;
- использовать в разных ресурсах разные никнеймы.
Ситуации, когда один человек без разрешения публикует в интернете информацию, которую можно использовать для запугивания, преследования, причинения материального и физического вреда другому человеку, сегодня, к сожалению, нередки.
Чтобы помочь пользователям сети больше узнать о том, как может нарушаться их цифровая неприкосновенность и как её защитить, «Лаборатория Касперского» запустила бесплатный онлайн-курс «Доксинг: опасности и меры по предотвращению».
Чтобы пройти его полностью, нужно всего лишь 15-20 свободных минут. В курсе рассказывается, что такое доксинг, чем он опасен, что делать, если вы обнаружили в сети свои персональные данные, которые не хотели бы видеть в открытом доступе, как сохранить цифровую приватность.
Читать первым в Telegram-канале «Код Дурова»