Хабрахабр

О безопасности, номерах, электронных почтах и, совсем немного о рекламе

Warning!

Дабы заранее предупредить различные вопросы, а также обеспечить удобство чтения, далее — небольшой дисклеймер: всё, что будет написано далее — основано на личном и субъективном опыте, выражает личное мнение автора и ни в коем случае не является призывом к каким либо противоправным или антигосударственным действиям, статья написана сухим языком и без картинок сгоряча, не является информативной или правдой.

Что-то вроде исторической справки

Наверняка все помнят, как раньше работал интернет для большинства людей: приезжает дядя, проводит кабель, вы на рабочем столе жмёте иконку Internet explorer'a и вуаля, вы — пользователь интернета. Вы могли искать информацию поиском, создавать электронную почту по одному, не факт что реальному ФИО, регистрироваться в блогах и социальных сетях по почте, покупать что-то в интернет магазинах всё так же по ФИО и почте.

Но шло время, корпорации учились зарабатывать на персональных данных, показывать таргетированную и контекстную рекламу, государства, в поисках террористов и «террористов» засовывали свои носы всё глубже в большие данные, пользователи учились беспокоиться о своей конфиденциальности.

Так мы пришли в 2019.

Реальность

А реальность грустна и тревожна: как часто вы при регистрации сталкивались с просьбой указать свой номер? Уверен, за последние 3 года это происходило если не каждый, то в 9 из 10 раз. Более того, редкий из старых сервисов не спросит номер при повторном логине, если вы не заходили года два три.

Всё просто: ваш мобильный номер, оформленный на вас официально — лучший способ вас идентифицировать, привлечь ваше внимание, потревожить вас. Как же так вышло?

По вашему номеру вас может найти кто угодно, от сотрудника центра «Э» до мошенника, чему было много свидетельств и на этом портале в том числе.

Однако самое грустное лично для меня — многие пользователи искренне верят, что просьба указать номер — забота о них, а указав номер, почту и реальные ФИО, они защищают себя, информацию о себе.

Далее — текст о том, почему это не так, а также, почему номер как способ связи и рекламы устарел и вашему сервису по возможности необходимо от него отказываться прямо-прямо сейчас.

Пользователям

Представьте, вы зарегистрировались на очередном портале, будь то интернет магазин или сайт с мемами, указали почту, номер, ФИ, а портал оказался взломан. Или изначально был мошенническим или рекламным, впрочем лучше первое.

Посмотрим на примере меня, сколько можно ТОЛЬКО по открытым источникам узнать о вас информации:

  1. Гуглим никнейм: узнаём, что как минимум я являюсь пользователем Пикабу, когда-то давно играл в браузерки, но сейчас владею аккаунтом на Steam, интересуюсь дизайном, кастомными прошивками для xperia z1 и кардингом.
  2. К сожалению не находим ничего полезного по почте, кроме никнейма, который уже просмотрели выше.
  3. Тем же макаром не находим ничего по номеру. Можно расслабиться? Как бы не так: набираем в плей маркете «определение номера», скачиваем первое попавшееся приложение и внезапно видим, что сразу позволяет узнать как минимум ФИ, как максимум, что я стильно одеваюсь, ходил на какие-то курсы, работал курьером, предположительно разбираюсь в маркетинге и учусь в Международном Университете в Москве на факультете Управления Крупными Городами.

Дальше больше: используя никнейм и сервис поиска по номеру, находим ВКонтакте, где получаем косвенные подтверждения тезисам, высказанным выше по подпискам и информации профиля, и получаем возможность ознакомиться со списком друзей.

Эта информация бесполезна!» Вы спросите: «И что?

Представьте себя в роли недобросовестного полицейского, которому нужна палка, или мошенника. Отнюдь. Данный набор, как минимум, позволяет рекламировать мне определённый набор услуг вроде рекламных ботов, очередных курсов чего-либо, запчастей для старого телефона, новых игр, а как максимум, в расчёте, что я не просто интересуюсь кардингом, пробовать меня шантажировать на эту тему.

Шантажистов ты просто пошлёшь, а реклама — на то и реклама, чтобы её не смотреть. Что тут такого?

Не буду писать о том, как получить доступ к «чёрной» части данных, все цены уже были описаны здесь же: 1;2;3. Снова представим себя в роли недобросовестного полицейского, мошенника и etc:
На самом деле всё что было написано выше для нас — детский лепет, белая вершина чёрной пирамиды.

Лучше подумаем, что с этим можно сделать.

А сделать можно многое, уверяю, из самого очевидного: пробиваем номер карты и баланс, если подозреваем что у меня могут водиться деньги, звоним, представляемся сотрудником сбербанка и просим отправить СМС.

обмана честного пользователя сети интернет, который может оказаться не мной, а любым из вас, ваших родителей и прародителей, друзей. Дальнейшее обычно описывают в заявлении в полицию, не будем заострять на этом внимание, как и на огромном количестве других возможных вариаций нае......

Что же делать?

Мои, хотя почему мои, базовые, рекомендации таковы:

  1. Держите минимум две сим-карты: На одну регистрируйтесь на разных сайтах в интернете, банках, букмекерских конторах и что угодно ещё, но ни в коем случае не публикуйте этот номер в открытом доступе и не говорите никому включая друзей, родственников, etc. Соответственно другую используйте публично, для связи с друзьями. От товарища майора это не защитит, но мошенникам создаст дополнительные препятствия, или хотя бы удорожит их деятельность на ещё пару-тройку тысяч рублей.
  2. То же, что и 1, только с электронными почтами.
  3. Используйте сервисы, предоставляющие временный номер и временную почту для регистраций, ссылку давать не буду т.к. таковые легко гуглятся.
  4. Не публикуйте в интернете важную конфиденциальную информацию нигде, будь то блог в ЖЖ или личные сообщения ВКонтакте.
  5. По возможности не указывайте свои реальные данные нигде.
  6. Не пользуйтесь услугой доставки до дома, или вызывайте курьера на какой-нибудь ближайший адрес (пример — соседний дом, если речь о городе, крупная улица, если о пгт или того хуже)
  7. Не пользуйтесь интернетом.
  8. Уходите в тайгу, а нет, она же сгорела.

Держателям сайтов, приложений, мини-приложений вконтакте, игр и чего угодно ещё.
Данная статья и раздел, в общем-то, подразумевает, что вы — ответственный гражданин, уважаете права человека и конституцию, если это не так — просьба прекратить чтение и следовать далеко-надолго.

Мои варианты ниже: Итак, как же обеспечить безопасность пользователей и сохранить репутацию?

1) Регистрация без почты и телефона.

Идеальный пользователь использует для такого сайта уникальные логин и пароль (не используемые им на других сайтах), что не позволяет даже в случае похищения базы и появления её в открытом доступе установить ассоциации с другими более доступными (читай выше каким образом) сервисами и публичной информацией. Идеальный вариант, в качестве примера которого можно вспомнить известный трёхголовый сайт в .onion зоне, где при регистрации вы вводите логин, отображаемый логин и пароль, и как бы всё.

Из проблем — показ рекламы, который, впрочем, затруднится не сильно, если использовать решения от google, яндекса и прочих, а так же проблемы в взаимоотношениях с государством, которые, в большинстве случаев, решаются регистрацией сайта в иностранной юрисдикции и хостинг их там же, а если вы публикуете информацию о противодействии силовикам, либертарианстве, аниме и котиках и не попадаете в это большинство — тем более.
Важно понимать, что в данном варианте не подразумевается отсутствие записи ip пользователя в ваши базы, сохранение куки и чтение webRTC, такие решения больше для преступных сообществ, речь же именно о защите граждан от всего нехорошего.

2) Регистрация только по номеру.

Удивительно, но вариант гораздо более удобный чем регистрация по почте, которая в 2019м автоматически воспринимается, как «мы будем спамить вам бесполезную рассылку all day every day», и по сути таковым и является.

При использовании такого варианта в идеале использовать двухфакторную аутентификацию, дабы злоумышленник, имеющий номер и пароль, не мог войти без смс-кода, а имеющий дубль сим-карты или переадрессацию смс спотыкался о пароль.

3) Регистрация только по почте.

Вариант для «олдов», который, впрочем, не добавляет никаких дополнительных полезных возможностей к первому, кроме восстановления аккаунта по почте, которым так же зачастую будет пользоваться злоумышленник.

сервису (их безопасность — отдельный огромный вопрос который никто не поднимает по причине нежелания уехать в лес или сесть), однако отказываться от идеальной модели — себя не любить, ведь всё, что не развитие — деградация. Важно понимать, что варианты выше подойдут корпоративному блогу, но не банку и не гос.

Ну и немного про рекламу, в заголовке ведь было обещано

р./опросы/что угодно ещё). 2019 — это когда ты удаляешь письма не читая, 2019 — это когда ты услышав звонок думаешь «снова эти бесплатные юридические консультации/фильтры воды всего за 100 т. Наладьте чат на сайте или в приложении в личном кабинете. 2019 — это год, когда вам и вашему сервису необходимо сократить контакт с клиентом по электронной почте и мобильному номеру до минимума. Это не трудно, не дорого, но это бесценно, когда речь заходит о лояльности.

А если вы не согласны, ответьте на простой вопрос — ответите ли вы на звонок, если увидите, что гугл звонилка, гетконтакт или что-то подобное отметит его как спам, и если да — то с каким настроем.

ЗВОНОК. Из историй из жизни: лето, 10 утра, я на кровати, сплю. Отвечаю на звонок: Гугл определяет как рег.ру.
Просыпаюсь, в голове мысли, что мне сайт эшники прикрывают?

-> Добрый день, это рег.ру, у вас возникали проблемы при использовании нашего сервиса?
-> Нет, сервис удобный, интерфейс понятный.
-> Спасибо, до свидания.

Что это было, я так и не понял, но утро было испорчено, а в голове остался неприятный осадок.
И таких историй миллион только у меня.

Upd: Огромное спасибо пользователю berez, за исправление моих школьных ошибок с запятыми и тся/ться.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть