- PVSM.RU - https://www.pvsm.ru -
Дабы заранее предупредить различные вопросы, а также обеспечить удобство чтения, далее — небольшой дисклеймер: всё, что будет написано далее — основано на личном и субъективном опыте, выражает личное мнение автора и ни в коем случае не является призывом к каким либо противоправным или антигосударственным действиям, статья написана сухим языком и без картинок сгоряча, не является информативной или правдой.
Наверняка все помнят, как раньше работал интернет для большинства людей: приезжает дядя, проводит кабель, вы на рабочем столе жмёте иконку Internet explorer'a и вуаля, вы — пользователь интернета. Вы могли искать информацию поиском, создавать электронную почту по одному, не факт что реальному ФИО, регистрироваться в блогах и социальных сетях по почте, покупать что-то в интернет магазинах всё так же по ФИО и почте.
Но шло время, корпорации учились зарабатывать на персональных данных, показывать таргетированную и контекстную рекламу, государства, в поисках террористов и «террористов» засовывали свои носы всё глубже в большие данные, пользователи учились беспокоиться о своей конфиденциальности.
Так мы пришли в 2019.
А реальность грустна и тревожна: как часто вы при регистрации сталкивались с просьбой указать свой номер? Уверен, за последние 3 года это происходило если не каждый, то в 9 из 10 раз. Более того, редкий из старых сервисов не спросит номер при повторном логине, если вы не заходили года два три.
Как же так вышло? Всё просто: ваш мобильный номер, оформленный на вас официально — лучший способ вас идентифицировать, привлечь ваше внимание, потревожить вас.
По вашему номеру вас может найти кто угодно, от сотрудника центра «Э» до мошенника, чему было много свидетельств и на этом портале в том числе.
Однако самое грустное лично для меня — многие пользователи искренне верят, что просьба указать номер — забота о них, а указав номер, почту и реальные ФИО, они защищают себя, информацию о себе.
Далее — текст о том, почему это не так, а также, почему номер как способ связи и рекламы устарел и вашему сервису по возможности необходимо от него отказываться прямо-прямо сейчас.
Представьте, вы зарегистрировались на очередном портале, будь то интернет магазин или сайт с мемами, указали почту, номер, ФИ, а портал оказался взломан. Или изначально был мошенническим или рекламным, впрочем лучше первое.
Посмотрим на примере меня, сколько можно ТОЛЬКО по открытым источникам узнать о вас информации:
Дальше больше: используя никнейм и сервис поиска по номеру, находим ВКонтакте, где получаем косвенные подтверждения тезисам, высказанным выше по подпискам и информации профиля, и получаем возможность ознакомиться с списком друзей.
Вы спросите: «И что? Эта информация бесполезна!»
Отнюдь. Представьте себя в роли недобросовестного полицейского, которому нужна палка, или мошенника. Данный набор, как минимум, позволяет рекламировать мне определённый набор услуг вроде рекламных ботов, очередных курсов чего-либо, запчастей для старого телефона, новых игр, а как максимум, в расчёте, что я не просто интересуюсь кардингом, пробовать меня шантажировать на эту тему.
Что тут такого? Шантажистов ты просто пошлёшь, а реклама — на то и реклама, чтобы её не смотреть.
Снова представим себя в роли недобросовестного полицейского, мошенника и etc:
На самом деле всё что было написано выше для нас — детский лепет, белая вершина чёрной пирамиды. Не буду писать о том, как получить доступ к «чёрной» части данных, все цены уже были описаны здесь же: 1 [5];2 [6];3 [7].
Лучше подумаем, что с этим можно сделать.
А сделать можно многое, уверяю, из самого очевидного: пробиваем номер карты и баланс, если подозреваем что у меня могут водиться деньги, звоним, представляемся сотрудником сбербанка и просим отправить СМС.
Дальнейшее обычно описывают в заявлении в полицию, не будем заострять на этом внимание, как и на огромном количестве других возможных вариаций нае...... обмана честного пользователя сети интернет, который может оказаться не мной, а любым из вас, ваших родителей и прародителей, друзей.
Мои, хотя почему мои, базовые, рекомендации таковы:
Держателям сайтов, приложений, мини-приложений вконтакте, игр и чего угодно ещё.
Данная статья и раздел, в общем-то, подразумевает, что вы — ответственный гражданин, уважаете права человека и конституцию, если это не так — просьба прекратить чтение и следовать далеко-надолго.
Итак, как же обеспечить безопасность пользователей и сохранить репутацию? Мои варианты ниже:
1) Регистрация без почты и телефона.
Идеальный вариант, в качестве примера которого можно вспомнить известный трёхголовый сайт [8] в .onion зоне, где при регистрации вы вводите логин, отображаемый логин и пароль, и как бы всё. Идеальный пользователь использует для такого сайта уникальные логин и пароль (не используемые им на других сайтах), что не позволяет даже в случае похищения базы и появления её в открытом доступе установить ассоциации с другими более доступными (читай выше каким образом) сервисами и публичной информацией.
Из проблем — показ рекламы, который, впрочем, затруднится не сильно, если использовать решения от google, яндекса и прочих, а так же проблемы в взаимоотношениях с государством, которые, в большинстве случаев, решаются регистрацией сайта в иностранной юрисдикции и
Важно понимать, что в данном варианте не подразумевается отсутствие записи ip пользователя в ваши базы, сохранение куки и чтение webRTC, такие решения больше для преступных сообществ, речь же именно о защите граждан от всего нехорошего.
2) Регистрация только по номеру.
Удивительно, но вариант гораздо более удобный чем регистрация по почте, которая в 2019м автоматически воспринимается, как «мы будем спамить вам бесполезную рассылку all day every day», и по сути таковым и является.
При использовании такого варианта в идеале использовать двухфакторную аутентификацию, дабы злоумышленник, имеющий номер и пароль, не мог войти без смс-кода, а имеющий дубль сим-карты или переадрессацию смс спотыкался о пароль.
3) Регистрация только по почте.
Вариант для «олдов», который, впрочем, не добавляет никаких дополнительных полезных возможностей к первому, кроме восстановления аккаунта по почте, которым так же зачастую будет пользоваться злоумышленник.
Важно понимать, что варианты выше подойдут корпоративному блогу, но не банку и не гос. сервису (их безопасность — отдельный огромный вопрос который никто не поднимает по причине нежелания уехать в лес или сесть), однако отказываться от идеальной модели — себя не любить, ведь всё, что не развитие — деградация.
Ну и немного про рекламу, в заголовке ведь было обещано
2019 — это когда ты удаляешь письма не читая, 2019 — это когда ты услышав звонок думаешь «снова эти бесплатные юридические консультации/фильтры воды всего за 100 т. р./опросы/что угодно ещё). 2019 — это год, когда вам и вашему сервису необходимо сократить контакт с клиентом по электронной почте и мобильному номеру до минимума. Наладьте чат на сайте или в приложении в личном кабинете. Это не трудно, не дорого, но это бесценно, когда речь заходит о лояльности.
А если вы не согласны, ответьте на простой вопрос — ответите ли вы на звонок, если увидите, что гугл звонилка, гетконтакт или что-то подобное отметит его как спам, и если да — то с каким настроем.
Из историй из жизни: лето, 10 утра, я на кровати, сплю. ЗВОНОК. Гугл определяет как
Просыпаюсь, в голове мысли, что мне сайт эшники прикрывают? Отвечаю на звонок:
-> Добрый день, это
-> Нет, сервис удобный, интерфейс понятный.
-> Спасибо, до свидания.
Что это было, я так и не понял, но утро было испорчено, а в голове остался неприятный осадок.
И таких историй миллион только у меня.
Upd: Огромное спасибо пользователю berez [10], за исправление моих школьных ошибок с запятыми и тся/ться.
Автор: gohrytt
Источник [11]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/326607
Ссылки в тексте:
[1] Гуглим никнейм:: http://www.google.com/search?q=gohryt
[2] К сожалению не находим ничего полезного по почте: https://www.google.com/search?q=kosachev_alex@mail.ru
[3] Тем же макаром не находим ничего по номеру.: http://www.google.com/search?q=89998386230
[4] внезапно видим: https://habrastorage.org/webt/eh/ax/lt/ehaxltionr8r5-wiepxlmpw65e0.jpeg
[5] 1: https://habr.com/ru/post/461745/
[6] 2: https://habr.com/ru/post/433384/
[7] 3: https://habr.com/ru/post/423947/
[8] известный трёхголовый сайт: http://www.google.com/search?q=hydra
[9] хостинг: https://www.reg.ru/?rlink=reflink-717
[10] berez: https://habr.com/ru/users/berez/
[11] Источник: https://habr.com/ru/post/463159/?utm_campaign=463159&utm_source=habrahabr&utm_medium=rss
Нажмите здесь для печати.