Персонально сданные. Телефоны и платёжные сервисы воруют сведения пользователей

Официальный сайт крупнейшей платёжной интернет-системы Chronopay сообщил: база данных компании взломана, преступники получили доступ к данным клиентов. В том числе cvv-кодам и номерам пластиковых карт, что позволит им совершать покупки по чужим картам в Интернете. И еще печальная новость: по данным The Wall Street Journal, некоторые приложения для смартфонов, включая iPhone, передают пользовательские данные сторонним компаниям.

Представители Chronopay поспешили успокоить общественность. Они заявили, что злоумышленникам могли стать известны только данные тех, кто совершал покупки 26 декабря 2010 года, но погасить скандал не удалось. Крупнейшая платёжная система, действующая в том числе и в России, оказалась, мягко говоря, не очень надёжной. Только в России, по данным «Финам», в 2010 году рынок электронных платежей по банковским картам составил около 1,5 млрд долларов. На Chronopay между тем приходится до 45% этого рынка.

Надо отдать должное взломщикам. Чтобы подтвердить факт воровства и дискредитировать систему, в одном из блогов была дана ссылка на файл с номерами нескольких сотен кредитных карт, по которым пользователи совершали покупки в Интернете через платёжную систему Chronopay. Это произошло после того, как руководство Chronopay попыталось полностью опровергнуть информацию о взломе. Чуть позже в блоге Chronopay были опубликованы официальные разъяснения компании по поводу утечки.

…музыкальное приложение для iPhone рассылает персональные данные клиентов по крайней мере восьми посторонним компаниям. Семь из них получают точные координаты местонахождения пользователя, три – номер его телефона, имя человека, на которого была оформлена покупка смартфона…

«После того как был осуществлен захват домена, по адресу payments.chronopay.com злоумышленниками была создана поддельная платёжная страница, не имеющая отношения к Chronopay. Основная её цель – создание видимости взлома путём сбора нескольких карточек с последующей публичной демонстрацией. Страница просуществовала несколько часов, и общее количество карт, перехваченных таким образом, оказалось менее 600», – говорится в сообщении компании.

По мнению генерального директора компании Chronopay Павла Врублевского, злоумышленники угнали домен, то есть получили несанкционированный доступ к сайту, украв пароль у американского регистратора Directnic. Несколько недель назад база данных Directnic была взломана, и злоумышленники получили доступ к информации, позволяющей управлять рядом сайтов, в том числе и Chronopay. Поэтому скорее всего в результате атаки процессинг остался невредим, утечки персональных данных именно из базы не было.

Понятно, что объяснение – лишь попытка успокоить общественность и бизнес, когда стало понятно, что полностью отрицать факт взлома невозможно.

Компании, которые работают с Chronopay (в большинстве своём это авиакомпании, сотовые операторы, интернет-магазины), ещё не решили, как будут пересматривать условия сотрудничества с оператором. МТС, например, для увеличения надёжности сервиса онлайн-платежей ведёт переговоры с другими поставщиками услуги, но с Chronopay всё-таки продолжит сотрудничать.

Сейчас всё будет зависеть от того, как отреагируют платёжные системы – Visa и MasterCard, которые сертифицируют операторов электронных платежей. Если у Chronopay решат отозвать сертификат, то через неё нельзя будет провести транзакции по картам ни одного банка.

В итоге, несмотря на небольшой, казалось бы, размер утечки, под вопрос встала глобальная финансовая безопасность в Интернете. К тому же случай в очередной раз показал, что никто не гарантирует, что утечка не повторится. А представители банков хоть и не видят трагедии в случившемся, всё-таки рекомендуют перевыпустить карты сомневающимся.

Самое любопытное, будут ли применены к Chronopay какие-либо санкции, неизвестно. Вообще, утечка персональных данных из-за невнимательности компании чаще всего не оборачивается для неё какими-то неприятностями. Например, никакой ответственности не понесли сотовые операторы, базы абонентов которых находятся в открытом доступе.

Однако в некоторых случаях наказание всё же приходит. Так, Google обязали заплатить штраф 8,5 млн долларов за то, что его сервис Google Buzz, навязанный пользователям, стал причиной утечки персональной информации. Правда, эти деньги будут направлены не пострадавшим пользователям, а в организации, занимающиеся проблемами сохранения секретности персональной информации. Такое решение было принято коллегией юристов, к которым обратились американские пользователи с коллективной жалобой на Google.

Google Buzz – это типичный для социальных сетей сервис, позволяющий обмениваться фото и видеоматериалами, комментариями и мгновенными сообщениями. Предложение протестировать этот сервис направлялось пользователям через почту Gmail. При этом на активацию сервиса Buzz не влиял отказ пользователя – он всё равно включался.

Ситуация с Chronopay далеко не единственный пример утечки персональных данных. Газета The Wall Street Journal провела расследование, в ходе которого стало ясно, что некоторые популярные приложения для смартфонов, включая iPhone, нарушают правила конфиденциальности личной информации пользователей. В частности, музыкальное приложение для iPhone рассылает персональные данные клиентов по крайней мере восьми посторонним компаниям.

Семь из них получают точные координаты местонахождения пользователя, три – номер его телефона, имя человека, на которого была оформлена покупка смартфона, а также прочую информацию. Всего было проверено 101 приложение для смартфонов, начиная с игр и заканчивая программным обеспечением. В результате выяснилось, что 56 из них передают конфиденциальную информацию пользователей третьей стороне. При этом пять приложений из 101 сообщали заказчикам о возрасте, поле, имени и другие персональные данные владельца смартфона.

Аналогичные результаты показало исследование, которое провели создатели проекта TainDroid. По их данным, 15 из 30 случайно выбранных ими приложений для смартфонов, работающих на платформе Android (разработана компанией Google), отправляли рекламным серверам данные о местонахождении абонента, а некоторые сообщали идентификационный номер телефона.

Журналистское расследование было проведено и в отношении социальной сети Facebook. Выяснилось, что наиболее популярные приложения ресурса передают персональную информацию десяткам рекламных компаний, которые таким образом изучают предпочтения аудитории и многие другие параметры.

Это касается даже тех пользователей, которые максимально ограничили доступ к информации, размещённой на их странице, хотя предупреждены о том, что их данные станут доступными для сторонних лиц, не были. После этого представители Facebook заявили, что подобную практику пресекут. Причиной возникновения «дыры» называлось то, что многие приложения для Facebook сделаны сторонними пользователями и администрация социальной сети об утечках не знала.

Баланс между пользователями, которые желают сохранить информацию о себе в тайне, и рекламными компаниями, которые желают знать как можно больше о поведении потенциальных покупателей товаров и услуг, очень часто смещается в пользу последних. Не исключено, что следить за тем, какие сайты посещают пользователи, позволяют владельцы крупных интернет-поисковиков. Информацию о посещении и о том, что ищет пользователь, передают маркетинговым компаниям практически все самые популярные интернет-сайты.

Справедливости ради надо сказать, что часто причиной утечки становится и невнимательность самих пользователей. По словам экспертов, многие пользователи используют одни и те же логины и пароли на разных ресурсах в сети: их слишком много, поэтому пользователи не могут запомнить больше двух-трёх.

При этом один и тот же пароль может использоваться как для доступа к аккаунту в социальной сети, который с лёгкостью можно взломать, так и для системы интернет-банкинга. Поэтому какие бы степени защиты ни использовали банки, злоумышленники всё равно могут узнать пароль другими способами. А в ряде случаев, зная логины и пароли, которые чаще всего использует пользователь сети, можно получить доступ и к корпоративным сервисам или к сети конкретной компании, в которой он работает.

И знаете что? Использование одних и тех же паролей и логинов – не иначе как фундаментальная проблема безопасности, перед которой бессильны все специалисты.

Андрей Бойков, НАША ВЕРСИЯ