В сети только и разговоров, что о приватности

Тема неприкосновенности данных уже давно вышла за пределы профильных форумов, она бурлит в общественном сознании, особенно в контексте обсуждения прав личности и человека. На всплеск интереса к приватности оказали значительное влияние массовый переход на удалённый режим работы и рост аудитории онлайн-сервисов.

Люди много говорят о конфиденциальности, и крупные компании и регулирующие органы учитывают это. Появляются новые нормативы, технологические гиганты обновляют политику конфиденциальности и совершенствуют алгоритмы. Но идеальная ситуация — прозрачное, честное и разумное использование персональных данных, и для её достижения понадобится ещё много времени, если это вообще возможно.

Существует целый ряд угроз приватности. Одна весьма болезненная и распространённая — доксинг, то есть поиск и злонамеренное раскрытие информации о человеке с целью получения какой-то выгоды, шантажа или травли.

Публикуя те или иные данные в сети, мало кто задумывается, что это может приводить к неприятным последствиям в реальной жизни. Один из ключевых принципов интернета, его идея, заключается в том, чтобы люди по всему миру могли свободно получать доступ к данным. Очевидно, что у этой медали есть обратная сторона, ведь теперь практически любой может найти и опубликовать чужую личную информацию без разрешения. Этим и занимаются доксеры, которые со злым умыслом или по другим причинам собирают самую разную информацию:

• личные фотографии или видео, которые могут поставить человека в неловкое положение;
• фрагменты личной переписки, как правило вырванные из контекста;
• домашний адрес, номер телефона, адреса электронной почты и другие контактные данные;
• данные о работе и роде деятельности;
• медицинская или финансовая информация, сведения о судимости.

Доксинг может приводить к серьёзным негативным последствиям в жизни его жертв: унижению, потере работы и конфликтам с семьёй и друзьями. Угроза актуальна не только для уязвимых групп граждан или публичных людей (например, журналистов, политиков, спортсменов), а буквально для всех. Например, бывают случаи, когда недобросовестные журналисты плохо проверяют информацию и раскрывают личности «негодяев и преступников», которые на самом деле оказываются их тёзками. Таким образом публично раскрываются персональные данные ни в чём не повинных людей, которые начинают получать угрозы здоровью и жизни от незнакомцев.

Если вы когда-либо публиковали сообщения на онлайн-форуме, регистрировались в социальной сети, подписывали онлайн-петицию или покупали недвижимость, вы оставляете след в сети. Много информации хранится в общедоступных базах данных, различных отчётах, поисковых системах и других хранилищах. Разумеется, это не означает, что нужно вообще перестать говорить о чём-либо публично и уехать жить в глухой лес, но лучше подходить к этому делу осознанно: взвешивать риски, прежде чем заполнять очередную анкету на форуме или делиться своей позицией во всеуслышание.

Чтобы защититься от доксинга, нужно стараться фильтровать информацию, выкладываемую в сеть. Если ваши профили в социальных сетях не защищены настройками приватности, то любая информация, которой вы в них делитесь, может быть видна другим людям (это очевидно, но люди об этом почему-то не задумываются): ваше место работы, список друзей, фотографии, члены семьи, что вам нравится и не нравится, где вы бываете и т.д. Доксер может использовать такие данные в том числе для того, чтобы получить ответы на вопросы, которые могут быть заданы, например, для восстановления доступа к аккаунту, типа «Кличка вашего питомца» и «Девичья фамилия матери».

Как работают доксеры?

Существует несколько основных сценариев причинения вреда посредством доксинга:

• установление личности пользователя и передача информации о нём его работодателю. В результате из-за социального давления человек может потерять работу;
• публикация интимных фотографий или видео в открытом доступе. Это распространённый способ вторжения в личную жизнь со злым умыслом, который может иметь серьёзные последствия для жертвы, его ещё называют «порноместью»;
• раскрытие личности, например анонимных блогеров, интернет-пользователей, лидеров мнений и творческих деятелей, может представлять реальную опасность, если жертва находится во враждебной среде;
• сбор данных конкретного человека (потенциальной жертвы), которые содержатся в конфиденциальных или сомнительных материалах, и их передача враждебно настроенным группам или лицам, которые могут использовать эти данные с целью информационного или даже физического насилия.

К сожалению, даже если мы будем бережно относиться к личным данным и не станем делиться ими с кем попало, то все равно не будем застрахованы от утечек, ведь злоумышленники далеко не всегда довольствуются общедоступной информацией. Они прибегают к услугам чёрного рынка, где продают персональные данные. Судя по тем объявлениям, которые видели в даркнете специалисты «Лаборатории Касперского», полный пакет со сканом паспорта, селфи с паспортом, ИНН, СНИЛС сегодня продаётся в теневом сегменте интернета по цене от 300 рублей, скан паспорта с ИНН в среднем от 100 рублей. Активно работает рынок пробива, расценки начинаются от нескольких сотен рублей. Данные попадают в даркнет не только в результате овершеринга, то есть публикации избыточной информации о себе, но и в результате утечек, взломов, действий инсайдеров, программ-вымогателей.

Как ещё доксеры собирают информацию?

Отслеживают IP-адреса, обращаются к брокерам данных, то есть к людям, которые собирают информацию из общедоступных ресурсов или покупают её для дальнейшей перепродажи. Покупателями обычно выступают рекламодатели, но существуют и сайты для поиска как людей, так и сведений о них. Ещё злоумышленники находят данные в WHOIS по доменному имени. Информация о каждом владельце доменного имени публикуется в специальном реестре и обычно доступна через сервисы WHOIS. Если вы купили доменное имя и не скрыли информацию о себе во время покупки, то ваши имя, физический адрес, номер телефона, рабочий и личный адреса электронной почты будут доступны всем.

Узнать, утекли ли данные, практически невозможно. Но есть специальный сайт, на котором можно проверить, не попали ли в публичный доступ логин и пароль, адрес электронной почты, номер телефона, — haveibeenpwned.com.Да, стопроцентная приватность невозможна, любые данные из сети могут быть получены — официально или нет. Однако риска преследования доксеров можно избежать, если знать методы, которыми они пользуются.

Приватность — на примере Telegram

Сегодня люди много общаются через мессенджеры, не только с близкими, коллегами, но и, например, с преподавателями, юристами, представителями онлайн-магазинов и сервисов. Соответственно, большое количество личной информации проходит через такие сервисы. Вот почему отдельно стоит сказать о приватности в мессенджерах. Часто, говоря о связке «мессенджер — приватность», имеют в виду Telegram, который, судя по разным данным, в 2021 году установлен у 61% аудитории рунета.

• Во-первых, сервис позволяет использовать в переписке специально созданный юзернейм (username), то есть скрыть номер телефона.
• Во-вторых, в нем можно включить двухфакторную аутентификацию. Если злоумышленник попытается получить контроль над вашим аккаунтом, кода верификации будет недостаточно, ему потребуется еще и пароль. Для включения двухфакторной аутентификации нужно зайти в раздел «Конфиденциальность» в настройках.
• В-третьих, существует функция «Секретный чат», которую можно использовать для особенно конфиденциальной переписки. Такие чаты привязаны к определенному устройству, иными словами, они сами и данные в них не хранятся нигде, кроме как на устройствах пользователей. К тому же в них доступен таймер самоуничтожения.
• В-четвертых, есть функция «Активные сеансы», которая позволяет видеть, на каких устройствах открыт аккаунт. Это отображается в разделе «Устройства» в настройках. При обнаружении неизвестного или подозрительного устройства рекомендуется завершить сессию и сменить пароль, если он был установлен.
• В-пятых, приложение даёт возможность установить код-пароль и Touch ID. В этом случае в списке чатов появится значок замка для блокировки и разблокировки приложения.

Также можно управлять тем, какая информация о вас из Telegram доступна всем пользователям платформы. Этим можно управлять в разделе «Конфиденциальность» (Privacy and Security):

1. Номер телефона. Выберите «Номер телефона», «Кто видит мой номер телефона», можете выбрать «Никто», далее «Кто может найти меня по номеру» — «Мои контакты».
2. Пользователи, которые могут видеть вашу активность. Выберите «Последняя активность», «Кто видит, когда я в сети», затем «Никто».
3. Пользователи, которые могут видеть фотографию профиля. Выберите «Фотография профиля», затем «Мои контакты».
4. Пользователи, которые могут ссылаться на ваш аккаунт при пересылке сообщений. Выберите «Пересылка сообщений», затем включите «Мои контакты» в разделе «Кто может ссылаться на мой аккаунт при пересылке сообщений».
5. Пользователи, которые могут звонить вам. В разделе «Звонки» можно выбрать «Все» — тогда вам сможет позвонить любой пользователь, либо «Мои контакты» — тогда вы ограничите список.
6. Пользователи, которые могут приглашать вас в группы и каналы. В разделе «Группы и каналы» выберите «Мои контакты» при ответе на вопрос «Кто может добавлять меня», если не хотите попадать в случайные группы без предварительного согласия.

При этом нельзя сказать, что мы рекомендуем отдавать предпочтение какому-то одному сервису: все популярные на сегодняшний день мессенджеры относительно безопасны, так как при передаче сообщений используют шифрование. К тому же они также позволяют выстроить определенные настройки приватности. Важно лишь потратить несколько минут на их изучение.

Как усложнить жизнь злоумышленникам

Пристёгнутый ремень безопасности в автомобиле не защищает от ДТП, но тем не менее снижает риски тяжелых последствий. С доксингом то же самое. Гарантированно защититься от него нельзя, но можно снизить риски, если придерживаться следующих советов:

• не выкладывать конфиденциальные данные, такие как сканы документов, в социальные сети, чаты, форумы, облачные хранилища;
• не делиться информацией о своих друзьях и членах семьи в социальных сетях, если аккаунт открыт всем;
• проверить настройки конфиденциальности в социальных сетях;
• использовать надёжные и разные для каждого аккаунта пароли, периодически менять их, а для создания и хранения использовать менеджеры паролей;
• настроить двухфакторную аутентификацию в тех сервисах, которые это позволяют;
• не передавать данные о других людях без их согласия третьим лицам; следить за тем, что публикуете и рассказываете в интернете, не обязательно высказывать своё мнение везде и всюду; прежде чем публиковать что-либо в соцсетях, обдумывать, могут ли ваши слова вызвать нежелательную реакцию или быть использованы для причинения вам вреда;
• лучше держать профиль в соцсетях закрытым и добавлять в друзья только людей, с которыми знакомы лично и общаетесь;
• не делиться персональными данными без необходимости. Например, можно указать дату рождения, близкую к реальной, и оставлять пустыми поля для дополнительной информации, если их заполнение необязательно;
• использовать в разных ресурсах разные никнеймы.

Ситуации, когда один человек без разрешения публикует в интернете информацию, которую можно использовать для запугивания, преследования, причинения материального и физического вреда другому человеку, сегодня, к сожалению, нередки.

Чтобы помочь пользователям сети больше узнать о том, как может нарушаться их цифровая неприкосновенность и как её защитить, «Лаборатория Касперского» запустила бесплатный онлайн-курс «Доксинг: опасности и меры по предотвращению».

Чтобы пройти его полностью, нужно всего лишь 15-20 свободных минут. В курсе рассказывается, что такое доксинг, чем он опасен, что делать, если вы обнаружили в сети свои персональные данные, которые не хотели бы видеть в открытом доступе, как сохранить цифровую приватность.