Неконтрольована передача даних між додатками та веб-сервісами стала непрогнозованою загрозою у військовий час
Не секрет, що сучасні технологічні компанії та мобільні додатки агрегують величезні об’єми даних своїх користувачів. Цифрові сліди, які формуються в результаті, з одного боку, не належать їх власникам, тобто юзерам, які власне створюють ці дані, зазначає видання “Тиждень“. А водночас вони дозволять деанонімізувати користувача, дізнатися про його звички, вподобання та поведінку.
З початком війни обмін даними між онлайн-сервісами, брокерами даних, розробниками мобільних додатків та рекламними платформами став практично безконтрольним. А ще – він став неочікуваним фактором ризику в часи гібридної війни. Сьогодні війна за дані — за володіння ними, доступ до них та їхнє використання — лише починається. Уряди країн потроху починають усвідомлювати ризики такого безконтрольного обміну інформацією та шукають, яким чином цю загрозу можна якщо не усунути, то, принаймні, зменшити. І хоча техногіганти намагаються змінювати свої політики і дозволяють користувачам краще контролювати цей глобальний дата-обіг, проблема доступу до даних матиме неочікувані наслідки в майбутньому.
Зрада від Google
Нещодавно співробітники аналітичної агенції Adalytics виявили, що компанія Google могла передавати дані про аудиторію сайтів з України рекламній платформі RuTarget. Остання, в свою чергу, належить російському Сбербанку. Серед даних, що передавалися – IMEI-номери (унікальні номери смартфонів), IP-адреси відвідувачів сайтів, дані про геолокацію, онлайн-активність та інтереси юзерів. Про ризики такого обміну даними повідомляв ще в перший день війни голова Комітету з розвідки Сенату Марк Уорнер (Mark Warner). Він звернувся до Google та повідомив, що існує ризик «експлуатації платформи російськими структурами» і одночасно запропонував компанії перевірити, чи її рекламні інструменти не порушують санкції.
Проте, як виявилось декілька тижнів тому, в Google не дослухалися до цих пересторог. Компанія ділилася даними користувачів з російською підсанкційною фірмою RuTarget (яка іноді працює під назвою Segmento). Ця структура отримувала відомості про відвідування сайтів, в тому числі, українськими користувачами. Передача даних у RuTarget припинилась лише 23 червня, тобто через чотири місяці після початку війни.
Це означає, що підсанкційна компанія, пов’язана з урядовими структурами Росії, могла отримувати інформацію про українських користувачів, до прикладу, визначати скупчення людей, їхні настрої, а при дуже великому бажанні, володіючи певними інструментами, навіть деанонімізувати їх. Керівник компанії Adalytics, яка виявила це порушення, заявив, що RuTarget може поєднувати ці дані з даними з інших 20 джерел, і їх співставлення та спільний аналіз розкриває шляхи до зловживання цими даними.
Як «Яндекс» опинився на смартфонах по всьому світу
Наприкінці березня в подібний скандал втрапила компанія «Яндекс». Аналітик даних Зак Едвардс (Zach Edwards) виявив, що велика кількість популярних мобільних додатків має вбудований код сервісу статистики App Metrika компанії «Яндекс». Загальна кількість мобільних додатків, що використовують цей сервіс, перевищує 52 тисячі. Сервіси статистики використовуються активно мобільними додатками та веб-сайтами – наприклад, так працює популярний інструмент Google Analytics.
Вони збирають дані про користувачів і дають змогу зрозуміти, як саме люди користуються додатками, якими є їхys інтереси, які функції додатків чи розділи сайтів їм подобаються більше. Сервіси статистики отримують дані про геолокацію, IP-адреси користувачів, інформацію про їхні пристрої та багато інших відомостей, які в умілих руках та за наявності спеціальних інструментів можуть бути якщо не деанонімізовані, то, принаймні, представлять багато додаткової інформації про користувачів додатків чи сайтів.
Хоча, за словами Едвардса, «Яндекс» лише на основі цих даних не зможе розкрити імена користувачів. В даному випадку, проблема неакуратного поводження з даними полягає, по-перше, в тому, що користувачі цих додатків не підозрюють про те, що інформація про них та про їхню активність передається компанії з Росії. А по-друге, ще більша проблема може виникнути тоді, коли дані користувачів опиняться на серверах, фізично розташованих у Росії.
Тоді, відповідно до російських законів, ці дані можуть опинитись в руках російських спецслужб через встановлене у всіх операторів зв’язку та дата-центрах СОРМ-обладнання, яке дозволяє отримувати доступ до даних. Про ймовірність такої ситуації та можливу деанонімізацію користувачів та передачу даних уряду стверджує Шер Скарлетт (Cher Scarlett), колишня фахівчиня з безпеки Apple.
За даними аналітичної агенції Appfigures, загальна кількість встановлень цих додатків, які використовують AppMetrica SDK, становить сотні мільйонів. Серед них були ігри, програми для обміну повідомленнями, інструменти обміну даними про місцезнаходження. А найголовніше – в цей перелік увійшло декілька VPN-додатків, сім з яких створені спеціально для української аудиторії.
Уже на початку липня стала відома інша історія з лічильниками «Яндекса». Вона, з одного боку, менш глобальна, з іншого – набагато небезпечніша для українців. Як виявилося, в коді сервісу бронювання готелів Booking використовувався схожий трекер відстеження компанії «Яндекс». Обидва кейси щодо використання інструментів «Яндексу» наразі не отримали якогось логічного розвитку – компанії й додатки, що використовували App Metrika, ніяк не прокоментували свої подальші плани щодо цих інструментів.
Незахищений TikTok
Проблеми, що стосуються неконтрольованого обміну даними, можуть бути пов’язані не лише з передачею даних. Не менш важливою є проблема збереження даних та доступу до них.
Історія протистояння TikTok та американської влади триває давно – сервіс забороняли, блокували, вимагали продати американській компанії. І першопричина такого протистояння якраз пов’язана із доступом до даних американських користувачів. Ще наприкінці 2019 року американським військовим заборонили використовувати TikTok на своїх пристроях та пообіцяли заблокувати для робочого використання ті гаджети, на яких цей додаток встановлено.
Потім аналогічна заборона з’явилась для американських держслужбовців. А влітку 2020 року Дональд Трамп пообіцяв заблокувати цей додаток для американців. Своє рішення він аргументував тим, що дані американців передаються на сервери, фізично розміщені в Китаї, то ж доступ до них може мати китайський уряд та комуністична партія країни. Після тривалих спроб знайти американську компанію, яка готова купити TikTok для створення американської компанії, материнська структура ByteDance домовилась з Oracle та пообіцяла, що дані американців будуть розміщуватися виключно на серверах всередині країни.
Нова історія навколо TikTok зразка 2022 року стосується доступу співробітників компанії до даних американських користувачів. Те, що такі факти були, зізналися в ByteDance – компанія визнала випадки доступу неамериканських співробітників до даних юзерів із США, хоча й підкреслила, що ці співробітники пройшли інструкції з безпеки, а доступ вони отримували до публічних відео та коментарів, хоча згодом з’явились згадки й про доступ до непублічних даних.
Ця новина викликала шквал критики з боку деяких сенаторів, які почалися цікавитися, чи передаються ці дані, до яких мали доступ співробітники ByteDance, китайському уряду. Звісно, в ByteDance заперечили цей факт і заявили, що турбуються про безпеку даних своїх користувачів та пообіцяли краще працювати над організацією безпеки даних. Серед заходів, які ByteDance пообіцяла вжити – у фірмі повторно гарантували збереження даних американців лише на серверах, що фізично розташовані у США – в дата-центрах компанії Oracle.
Проте навіть ця обіцянка не задовольнила американський уряд – представники Федеральної комісії зв’язку (FCC) озвучили вимогу видалити мобільні додатки TikTok з каталогів Google Play та App Store, пояснивши своє прохання саме проблемами з безпекою даних.
У відповідь на це керівництво TikTok повідомило про активну роботу над програмою Project Texas, суть якої полягає у підвищенні захищеності даних користувачів із США. Компанія пообіцяла запровадити нові політики безпеки та правила, які б гарантуватимуть, що TikTok не загрожує національній безпеці США.
Світова практика
Блокування додатків або заборона їх використання через побоювання того, що вони передають дані невідомим отримувачам, в останні роки стало чи не загальносвітовою практикою. До прикладу, ще в 2020 році Індія заблокувала більше сотні китайських мобільних додатків.
Це рішення в країні пояснили загрозою національній безпеці. Серед цих додатків – відомі PUBG Mobile, TikTok, WeChat та Weibo. Аудиторія першого в Індії складає 40 млн користувачів. Це рішення було прийнято на фоні геополітичного протистояння Індії та Китая та сутичок на кордоні. Уже в лютому 2022 року Індія заблокувала ще близько 50 китайських додатків. Цікаво, що цього разу в список потрапили клони тих аплікацій, які були заблоковані два роки тому.
Звернули увагу на передачу даних і у владі Китаю. На днях управління з питань кібербезпеки Китаю заявило про більш жорсткі кроки щодо регулювання китайських ІТ-компаній, що працюють за кордоном. Ці кроки передбачають перевірку цих компаній та оцінку ризиків в роботі із закордонними партнерами.
В Росії також занепокоїлися через використанні закордонних цифрових інструментів та планують заборонити чиновникам використовувати закордонні інструменти конференц-зв’язку, до прикладу, Zoom чи WhatsApp. Якщо пригадати, що WhatsApp став єдиним доступним росіянам інструментом визнаної екстремістською компанії Meta, то заборона цього сервісу поряд із Zoom може стати своєрідним кроком до технологічного імпортозаміщення та повної відмови від зарубіжних технологій.
Про контроль за даними та додатками, що їх використовують держслужбовці, задумалися у Великобританії – не виключено, що чиновникам заборонять використовувати WhatsApp та інші приватні месенджери для обміну даними з міркувань безпеки та, знову ж, неконтрольованої передачі даних.
Кордони для даних
Наразі очевидно, що глобальність обміну даними та безконтрольність цих процесів, на які не звертали уваги в мирний час, стали викликом під час війни. Чи отримає ворог або спецслужби недружньої країни доступ до чутливих даних – наразі прогнозувати важко, хоча, розуміючи можливості сучасних технологій, відповідь на це припущення редше ствердна. Проте, навіть якщо це трапиться, швидше за все про це стане відомою лише згодом, або взагалі ніколи.
Хоча деякі країни уже зрозуміли ризики використання масових цифрових інструментів, поки здійснюються лише перші кроки, спрямовані на те, щоб цю загрозу витоку даних якщо не нівелювати, то, принаймні, усвідомити та зменшити. Не виключно, що з часом вимоги до додатків – і для масового використання, і для користування державними службовцями — будуть посилені саме в розрізі використання й передачі даних.
Хоча не можна виключати і переходу окремими країнами на використання власних захищених інструментів – таких, до прикладу, яким є швейцарський мобільний месенджер Threema, створений для армії цієї країни. І такі кроки не будуть сприйматися як прояв цифрового сепаратизму, це будуть логічні заходи для захисту національної безпеки окремих країн.
Автор: НАДІЯ БАЛОВСЯК; ТИЖДЕНЬ