Мабуть, Ви стикалися колись з рекламним спамом, що йде на Ваш телефонний номер. Або з тим, що Вас додають до якихось груп у соцмережах, якщо ці групи Вас ніяк не могли зацікавити. Чи з тим, що хтось точно знає, де Ви живете і з ким спілкуєтеся, незважаючи на те, що Ви цю людину не знаєте особисто, а кола Ваших знайомств не перетинаються прямо. Або на Ваші документи без Вашого відома оформили кредит (це вже «клінічний» випадок) чи Ваш номер телефона потрапив до бази даних боржників банку.

В принципі, це означає, що Ваші персональні дані використовуються іншими людьми без Вашого дозволу. І часто вони беруться з Інтернету, а особливо з соціальних мереж. Їх часто використовують корпорації — не стільки для досліджень (вони в статистику потрапляють як побічні продукти), скільки для «адресного» втручання у Ваше життя. Хоча й статистика (або швидше BigData) з використанням персональних даних теж має своє практичне застосування — наприклад, для різних політичних маніпуляцій, оскільки найпопулярніші соціальні мережі (Facebook та Twitter) досить заполітизовані.

Зокрема, не вщухає скандал, пов’язаний з тим, що Facebook незадовго до президентських виборів у США надав доступ компанії Cambridge Analytica до даних користувачів. Причому частину цих даних друга компанія отримала в обхід дозволів першої. Дані використовувалися як з суто комерційною метою (рекламні кампанії, направлені чітко на тих користувачів, чиї дані були «засвічені»), так і для допомоги передвиборчому штабу Дональда Трампа (без дозволу на це Facebook). Фейкові новини, створення ботів, які тривалий час видавали себе за реальних користувачів, спеціалізована політична реклама тощо — ось невеликий перелік застосування персональних даних в виборчих кампаніях. А керівництво компанії Cambridge Analytica могло бути пов’язане з російськими спецслужбами, що ще більше загострило скандал.

І це далеко не перший випадок збору даних компаніями. Багато з них прямо обманюють не лише адміністрації соціальних мереж, але і користувачів. Наприклад, можна витягнути всю інформацію про профіль користувача (вік, стать, коло спілкування, більшість відкритих постів) через інтерактивний контент типу тестів «Який Ви герой мультсеріалу South Park?» (ці тести навіть дають різні результати при повторах для одного користувача, не задаючи йому жодного запитання – можете уявити нахабство з боку розробника програми). До того ж, більшість таких квазітестів навіть не питають, чи згоден користувач на обробку та зберігання його персональних даних.

Також до цього причетні деякі недобросовісні розробники браузерних ігор, які часто пишуть свої ігри так, що вони теж при запуску не питають згоди користувача про обробку персональних даних (або «витягують» більше приватної інформації, ніж написано в угоді). Мало того, якийсь браузерний додаток може витягувати дані, навіть якщо Ви його не запускаєте і для того, щоб відключити цю опцію, треба добряче покопатися у налаштуваннях профілю у соцмережі. Так що добре, якщо це все використовується лише для того, щоб давати Вам «індивідуальну» рекламу, а не для стеження за Вами в режимі 24/7/365.

І, як ми писали раніше про двохфакторну авторизацію, інколи для того, щоб вкрасти не лише Ваші персональні дані, а й мати повний доступ до Вашої пошти та профілю у соціальних мережах, достатньо отримати одне СМС-повідомлення з Вашого телефона. Так що будьте обережні з відповідями на СМС-ки, які вимагають прислати код, якщо Ви нічого у паролях не змінювали.

Хочете повної анонімності — використовуйте TOR-браузер з VPN, «ліві» профілі в соцмережах, «ліву» електронну пошту, декілька номерів мобільного, вимикайте геолокацію тощо. А ще – тренуйтеся писати у різних стилях без мовних штампів, читайте все, що стосується теми, щоб не «проколотися» на дрібницях. Однак, в принципі, технічні засоби дозволяють перехоплювати інформацію на рівнях від зчитування нешифрованого трафіку до вирахування MAC-адрес пристроїв, через які людина заходить в Інтернет. Але такі заходи потребують великих ресурсів та спеціальних процедур, в тому числі і юридичних — це може застосовуватися в рамках боротьби з тероризмом або торгівлею наркотиками. І якщо Ви нічим небезпечним не займаєтеся, можете не хвилюватися — до Вас таких заходів ніхто не буде застосовувати. Хоча…

А тепер увага! Як повідомляють фахівці, багато що з переліку персональних даних в Україні можна купити — тому що більш-менш нові копії баз даних та реєстрів продаються і в Інтернеті, і на реальних книжкових ринках типу київської «Петрівки». А якщо ваш недоброзичливець ще й має зв’язки у правоохоронних органах, то він може мати доступ до «ще не проданих» інформаційних ресурсів. За словами Олексія Купрієнка, директора консалтингової компанії Underdog, базу даних клієнтів «Нової пошти» можна було купити за 1,5 тисячі гривень, а архів пошти одного народного депутата продавали за 6 тисяч доларів (але покупці сторгувалися до 1 тисячі доларів).

У Сполучених Штатах такими справами займаються більш-менш «професійні» хакери і кожен витік закритих баз даних (особливо з правоохоронних органів) у відкритий доступ — це надзвичайна ситуація, яка піднімає на ноги весь особовий склад ФБР (а не тільки корпоративні служби безпеки). А в Україні кожен може піти і купити більш-менш актуальну базу даних, якщо знати, де їх продають (в принципі, можуть продати навіть «Скорпіон» — поліцейську базу даних з кримінальних угруповань).

Або, наприклад, із початком декларування майна для всіх державних службовців під категорію цих осіб потрапляли діючі офіцери ЗСУ, СБУ та НГУ, які воювали на Донбасі або здійснювали контррозвідувальні операції і тому могли стати мішенями для дій російської агентури. Тому відкритий доступ до реєстрів було цілком справедливо обмежено щодо військовослужбовців. Однак, як показало тестування FuckResponsibleDisclosure, проведене хакерською групою Ukrainian Cyber Alliance, самі силові структури часто ігнорують питання безпеки персональних даних, залишаючи відкритий доступ до списків особового складу на комп’ютерах, до яких можна дістатися з зовнішніх мереж. Тому це питання досить болюче і до цього часу не вирішене.

Автор: Максим Побокін