Небезопасные шутки: как приватность становится жертвой ради интернет-забав

С самого появления социальных сетей эксперты по безопасности призывают пользователей держать свои профили максимально приватными. Внимают таким заявлениям далеко не все, результатом становятся масштабные кампании, от которых страдают десятки тысяч пользователей. В этой статье мы собрали несколько ярких примеров.

В начале 2023 года компании Hyundai и Kia выпустили бесплатные патчи безопасности для миллионов своих автомобилей. Поводом стала волна автоугонов, которую спровоцировал вирусный флешмоб в TikTok. Недобросовестные пользователи, известные как Kia Boyz, размещали в сети обучающие видеоролики, позволявшие обойти систему безопасности автомобиля с помощью простого USB-кабеля.

Первопричиной была техническая уязвимость ПО: во многих моделях Hyundai и Kia 2015–2019 годов выпуска нет электронных иммобилайзеров, и завести их можно было без ключа зажигания. Однако именно соцсети сыграли решающую роль: информация, которая раньше была бы «профессиональным секретом» угонщиков, быстро разошлась по интернету, а видео с применением эксплойта стали бесплатным учебным пособием для преступников.

По сообщению Национальной администрации безопасности дорожного движения США (National Highway Traffic Safety Administration), за так называемым Kia Challenge последовали сотни угонов по всей стране, как минимум 14 зарегистрированных аварий и восемь смертельных случаев. Экстренный патч безопасности коснулся более 8 миллионов автомобилей: 3,8 миллиона моделей Hyundai и 4,5 миллиона Kia. Автовладельцам необходимо было доставить свои машины в дилерский центр, где специалисты менее чем за час устраняли проблему. Модернизированные автомобили также получали наклейку на окно, указывающую на то, что они оснащены противоугонной технологией.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Угон машин был связан не с TikTok-челленджем [как таковым], а с тем, что Kia и Hyundai не закрывали дыру в безопасности, до тех пор, пока об этой уязвимости не стало известно из социальной сети Тик-Ток. Все это связано с тем, что доступность дешевого мобильного интернета, смартфонов полностью измена стиль и скорость распространения информации. Если раньше про уязвимости знал только узкий круг специалистов, то теперь такая информация легко распространяется среди массы людей. Это надо понимать всем разработчикам ПО и электроники.

Время реакции устранение уязвимости значительно уменьшилось в последние 10 лет, так что кое-кому надо быть просто более расторопным и при обнаружении уязвимости не прятать голову в песок, а срочно закрывать ее, выпуская обновление.

Действительно, уязвимость осталась бы в автомобилях, даже если бы в соцсетях о ней не говорили, а флешмоб даже помог привлечь к проблеме внимание. Однако есть примеры и намеренно вредоносных соцмедийных активностей под видом развлечений.

Секс продает — и заражает зловредным ПО

Один из таких примеров связан с другим TikTok-флешмобом — Invisible Challenge. История началась абсолютно легитимно: пользователям предлагалось снять себя обнаженным, используя фильтр, который заменял тело на размытое изображение. Когда под хештегом #invisiblefilter вышли посты с десятками миллионов просмотров, темой заинтересовались киберпреступники.

Через некоторое время исследователи компании Checkmarx обнаружили в соцсетях видео со ссылками на приложения, которые якобы удаляли фильтр, позволяя увидеть исходный контент. Организаторы кампании запустили Discord-сервер, где разместили несколько откровенных видео, утверждая, что получили их с помощью своего ПО. Программу они описывали как простую open source утилиту, которую можно было скачать с репозитория GitHub. По словам экспертов, программа включала вредоносный скрипт, который устанавливает пакет Python со скрытым внутри стилером. В итоге зловред открывал преступникам доступ к устройствам жертв.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Разного рода челленджи и флешмобы могут являться не только забавными акциями для увеселения пользователей социальных сетей, но и продуманными акциями по сбору пользовательских данных и распространению ВПО. Это связано с тем, что во время Big Data, информация о пользовательских предпочтениях стала товаром, который выгодно собирать и продавать. Это не хорошо и не плохо, просто время идет и все вокруг нас изменяется. Данный фактор надо просто осознать и принять во внимание.

В схожую категорию попадают популярные «тесты» вроде «Кем бы ты был в книгах про Гарри Поттера» или «Анализ ауры по аватарке». Эти приложения требуют доступ к профилю пользователя в социальной сети, в отдельных случаях даже полный. В результате пользователь получает пост с неким, как правило бессмысленным текстом, а создатель «теста» — ценные приватные данные от места проживания человека до его семейного положения и интересов. Эту информацию затем можно использовать в рекламных целях, в том числе и перепродавая брокерам.

Еще опаснее могут быть приложения, где пользователям предлагают ответить на вроде бы безобидные вопросы. Однако, указывая имя первого питомца или любимый цвет, люди часто забывают, что эта информация может помочь ответить на секретный вопрос, например, при перевыпуске пластиковой карты или онлайн-оформлении кредита.

Мария Вылегжанина

Управляющий директор MDK Creative

В 2018 году российские пользователи были затянуты во флешмоб, связанный с установкой бесплатного приложения GetContact. Пользователей зацепила возможность узнать, как они записаны в телефонных книжках других людей.

При установке люди открывали приложению доступ к базе контактов. Получалось, что человек передавал данные обо всех, кто есть в его телефонной книжке.

Эти данные попадали в базу приложения, таким образом верифицировались уже имеющиеся там пользователи и добавлялись новые имена. Далее эти данные могли быть использованы для спам-звонков и мошеннических действий.

Даже если преступники не ставят целью взломать личный кабинет конкретного человека, массовый флешмоб позволяет им собрать большие данные о повседневных привычках людей, например, понять, какие имена чаще дают питомцам. Подобные цели могут ставить и законопослушные организации, владельцы соцсетей, которые зарабатывают на пользовательских данных. Грамотно составленные политики конфиденциальности зачастую позволяют интернет-компаниями распоряжаться такой информацией практически в любых законных целях. Именно с этим дата-майнингом связана еще одна обширная группа претензий к соцсетям.

Люди — новая нефть

В 2019 году в Facebook (запрещена в РФ) был популярен флешмоб «10 лет назад»: пользователи делились своими жизненными успехами, размещая рядом первое фото своего профиля и какой-нибудь актуальный кадр. Всего за три дня флешмоб собрал миллионы участников, причем администрация соцсети утверждает, что эта популярность выросла органически, без дополнительного продвижения.

Однако уже через несколько дней руководство поспешило вовсе откреститься от флешмоба. Причиной стали подозрения насчет настоящих мотивов организаторов «10 лет назад»: не пытаются ли они таким образом бесплатно собрать данные для обучения нейросетей и систем распознавания лиц?

Все это происходило на фоне вопросов и к другим технологическим гигантам, которые развивали проекты умного видеонаблюдения и распознавания изображений. Еще в 2018 году акционеры Amazon запротестовали против планов менеджмента предоставить правительству США доступ к ИИ-системе Rekognition, позволяющей распознавать объекты и лица на фото. В январе 2019 года, как раз в то время, когда пользователи соцсетей выкладывали свои старые фотографии, группа инвесторов опубликовала требование остановить продажи Rekognition до тех пор, пока независимые эксперты не подтвердят, что систему нельзя использовать для нарушения прав личности. Вскоре с подобными требованиями к Microsoft, Amazon, Google обратились представители коалиции из более чем 85 групп, выступающих за расовую справедливость, веру, гражданские права, права человека и права иммигрантов. Смысл тот же — прекратить поставки систем распознавания лиц государственным структурам, чтобы их нельзя было использовать против гражданского общества.

Тем, кого не так волновали базовые права и свободы, эксперты предлагали ответить на вопрос: зачем бесплатно делать для корпорации работу, которая принесет ей огромные прибыли? Да, пользователи Facebook и так загружают огромное количество приватных материалов, включая свои фотографии. Однако эти изображения сильно отличаются от данных, которые собрал ностальгический флешмоб: в последнем случае пользователи гарантировали, что на фотографиях один и тот же человек, указывали год, а то и месяц снимка, предоставляли прочий контекст, который и подготавливает «сырые» изображения к обработке нейросетью.

Мария Вылегжанина

Управляющий директор MDK Creative

Часть информации действительно можно использовать в полезных целях. Например, развивать инфраструктуру, анализируя места скопления людей или активные маршруты передвижения. Но подавляющая часть случаев связана с коммерческими проектами. Поэтому тут нужно ответить себе на вопрос: хотите ли вы в них участвовать?

Если информация ваших данных или документов была использована против вашей воли, можно нанять хорошего юриста и отстоять свои права и свободы. Но это потребует много времени и трат, поэтому рекомендую избегать предоставления доступа к своим данным и обходить стороной различные флешмобы.

Специалисты заключали, что сама по себе подобная дискуссия представляет собой примету времени: информационная грамотность растет, и корпорациям становится сложнее распоряжаться пользовательскими данными, как своим имуществом.

Соцсети — не личное пространство

Вопрос о том, страдают ли компании от непродуманных действий пользователей в соцсетях, риторический: разумеется, угроза есть. Все больше сотрудников заходят в VK с рабочих компьютеров, в том числе и для работы. Здесь они могут раскрыть мошенникам свои учетные данные, заразить корпоративное устройство зловредом или попасться на фишинг.

Поэтому компаниям очень важно продумывать политику безопасности в контексте социальных сетей. А пользователям — помнить, что их приватные данные представляют большую ценность и для легитимных, и для нелегитимных деятелей.