О безопасности, номерах, электронных почтах и, совсем немного о рекламе
Warning!
Дабы заранее предупредить различные вопросы, а также обеспечить удобство чтения, далее — небольшой дисклеймер: всё, что будет написано далее — основано на личном и субъективном опыте, выражает личное мнение автора и ни в коем случае не является призывом к каким либо противоправным или антигосударственным действиям, статья написана сухим языком и без картинок сгоряча, не является информативной или правдой.
Что-то вроде исторической справки
Наверняка все помнят, как раньше работал интернет для большинства людей: приезжает дядя, проводит кабель, вы на рабочем столе жмёте иконку Internet explorer’a и вуаля, вы — пользователь интернета. Вы могли искать информацию поиском, создавать электронную почту по одному, не факт что реальному ФИО, регистрироваться в блогах и социальных сетях по почте, покупать что-то в интернет магазинах всё так же по ФИО и почте.
Но шло время, корпорации учились зарабатывать на персональных данных, показывать таргетированную и контекстную рекламу, государства, в поисках террористов и «террористов» засовывали свои носы всё глубже в большие данные, пользователи учились беспокоиться о своей конфиденциальности.
Так мы пришли в 2019.
Реальность
А реальность грустна и тревожна: как часто вы при регистрации сталкивались с просьбой указать свой номер? Уверен, за последние 3 года это происходило если не каждый, то в 9 из 10 раз. Более того, редкий из старых сервисов не спросит номер при повторном логине, если вы не заходили года два три.
Как же так вышло? Всё просто: ваш мобильный номер, оформленный на вас официально — лучший способ вас идентифицировать, привлечь ваше внимание, потревожить вас.
По вашему номеру вас может найти кто угодно, от сотрудника центра «Э» до мошенника, чему было много свидетельств и на этом портале в том числе.
Однако самое грустное лично для меня — многие пользователи искренне верят, что просьба указать номер — забота о них, а указав номер, почту и реальные ФИО, они защищают себя, информацию о себе.
Далее — текст о том, почему это не так, а также, почему номер как способ связи и рекламы устарел и вашему сервису по возможности необходимо от него отказываться прямо-прямо сейчас.
Пользователям
Представьте, вы зарегистрировались на очередном портале, будь то интернет магазин или сайт с мемами, указали почту, номер, ФИ, а портал оказался взломан. Или изначально был мошенническим или рекламным, впрочем лучше первое.
Посмотрим на примере меня, сколько можно ТОЛЬКО по открытым источникам узнать о вас информации:
- Гуглим никнейм: узнаём, что как минимум я являюсь пользователем Пикабу, когда-то давно играл в браузерки, но сейчас владею аккаунтом на Steam, интересуюсь дизайном, кастомными прошивками для xperia z1 и кардингом.
- К сожалению не находим ничего полезного по почте, кроме никнейма, который уже просмотрели выше.
- Тем же макаром не находим ничего по номеру. Можно расслабиться? Как бы не так: набираем в плей маркете «определение номера», скачиваем первое попавшееся приложение и внезапно видим, что сразу позволяет узнать как минимум ФИ, как максимум, что я стильно одеваюсь, ходил на какие-то курсы, работал курьером, предположительно разбираюсь в маркетинге и учусь в Международном Университете в Москве на факультете Управления Крупными Городами.
Дальше больше: используя никнейм и сервис поиска по номеру, находим ВКонтакте, где получаем косвенные подтверждения тезисам, высказанным выше по подпискам и информации профиля, и получаем возможность ознакомиться с списком друзей.
Вы спросите: «И что? Эта информация бесполезна!»
Отнюдь. Представьте себя в роли недобросовестного полицейского, которому нужна палка, или мошенника. Данный набор, как минимум, позволяет рекламировать мне определённый набор услуг вроде рекламных ботов, очередных курсов чего-либо, запчастей для старого телефона, новых игр, а как максимум, в расчёте, что я не просто интересуюсь кардингом, пробовать меня шантажировать на эту тему.
Что тут такого? Шантажистов ты просто пошлёшь, а реклама — на то и реклама, чтобы её не смотреть.
Снова представим себя в роли недобросовестного полицейского, мошенника и etc:
На самом деле всё что было написано выше для нас — детский лепет, белая вершина чёрной пирамиды. Не буду писать о том, как получить доступ к «чёрной» части данных, все цены уже были описаны здесь же: 1;2;3.
Лучше подумаем, что с этим можно сделать.
А сделать можно многое, уверяю, из самого очевидного: пробиваем номер карты и баланс, если подозреваем что у меня могут водиться деньги, звоним, представляемся сотрудником сбербанка и просим отправить СМС.
Дальнейшее обычно описывают в заявлении в полицию, не будем заострять на этом внимание, как и на огромном количестве других возможных вариаций нае… обмана честного пользователя сети интернет, который может оказаться не мной, а любым из вас, ваших родителей и прародителей, друзей.
Что же делать?
Мои, хотя почему мои, базовые, рекомендации таковы:
- Держите минимум две сим-карты: На одну регистрируйтесь на разных сайтах в интернете, банках, букмекерских конторах и что угодно ещё, но ни в коем случае не публикуйте этот номер в открытом доступе и не говорите никому включая друзей, родственников, etc. Соответственно другую используйте публично, для связи с друзьями. От товарища майора это не защитит, но мошенникам создаст дополнительные препятствия, или хотя бы удорожит их деятельность на ещё пару-тройку тысяч рублей.
- То же, что и 1, только с электронными почтами.
- Используйте сервисы, предоставляющие временный номер и временную почту для регистраций, ссылку давать не буду т.к. таковые легко гуглятся.
- Не публикуйте в интернете важную конфиденциальную информацию нигде, будь то блог в ЖЖ или личные сообщения ВКонтакте.
- По возможности не указывайте свои реальные данные нигде.
- Не пользуйтесь услугой доставки до дома, или вызывайте курьера на какой-нибудь ближайший адрес (пример — соседний дом, если речь о городе, крупная улица, если о пгт или того хуже)
- Не пользуйтесь интернетом.
- Уходите в тайгу, а нет, она же сгорела.
Держателям сайтов, приложений, мини-приложений вконтакте, игр и чего угодно ещё.
Данная статья и раздел, в общем-то, подразумевает, что вы — ответственный гражданин, уважаете права человека и конституцию, если это не так — просьба прекратить чтение и следовать далеко-надолго.
Итак, как же обеспечить безопасность пользователей и сохранить репутацию? Мои варианты ниже:
1) Регистрация без почты и телефона.
Идеальный вариант, в качестве примера которого можно вспомнить известный трёхголовый сайт в .onion зоне, где при регистрации вы вводите логин, отображаемый логин и пароль, и как бы всё. Идеальный пользователь использует для такого сайта уникальные логин и пароль (не используемые им на других сайтах), что не позволяет даже в случае похищения базы и появления её в открытом доступе установить ассоциации с другими более доступными (читай выше каким образом) сервисами и публичной информацией.
Из проблем — показ рекламы, который, впрочем, затруднится не сильно, если использовать решения от google, яндекса и прочих, а так же проблемы в взаимоотношениях с государством, которые, в большинстве случаев, решаются регистрацией сайта в иностранной юрисдикции и хостинг их там же, а если вы публикуете информацию о противодействии силовикам, либертарианстве, аниме и котиках и не попадаете в это большинство — тем более.
Важно понимать, что в данном варианте не подразумевается отсутствие записи ip пользователя в ваши базы, сохранение куки и чтение webRTC, такие решения больше для преступных сообществ, речь же именно о защите граждан от всего нехорошего.
2) Регистрация только по номеру.
Удивительно, но вариант гораздо более удобный чем регистрация по почте, которая в 2019 м автоматически воспринимается, как «мы будем спамить вам бесполезную рассылку all day every day», и по сути таковым и является.
При использовании такого варианта в идеале использовать двухфакторную аутентификацию, дабы злоумышленник, имеющий номер и пароль, не мог войти без смс-кода, а имеющий дубль сим-карты или переадрессацию смс спотыкался о пароль.
3) Регистрация только по почте.
Вариант для «олдов», который, впрочем, не добавляет никаких дополнительных полезных возможностей к первому, кроме восстановления аккаунта по почте, которым так же зачастую будет пользоваться злоумышленник.
Важно понимать, что варианты выше подойдут корпоративному блогу, но не банку и не гос. сервису (их безопасность — отдельный огромный вопрос который никто не поднимает по причине нежелания уехать в лес или сесть), однако отказываться от идеальной модели — себя не любить, ведь всё, что не развитие — деградация.
Ну и немного про рекламу, в заголовке ведь было обещано
2019 — это когда ты удаляешь письма не читая, 2019 — это когда ты услышав звонок думаешь «снова эти бесплатные юридические консультации/фильтры воды всего за 100 т. р./опросы/что угодно ещё). 2019 — это год, когда вам и вашему сервису необходимо сократить контакт с клиентом по электронной почте и мобильному номеру до минимума. Наладьте чат на сайте или в приложении в личном кабинете. Это не трудно, не дорого, но это бесценно, когда речь заходит о лояльности.
А если вы не согласны, ответьте на простой вопрос — ответите ли вы на звонок, если увидите, что гугл звонилка, гетконтакт или что-то подобное отметит его как спам, и если да — то с каким настроем.
Из историй из жизни: лето, 10 утра, я на кровати, сплю. ЗВОНОК. Гугл определяет как рег.ру.
Просыпаюсь, в голове мысли, что мне сайт эшники прикрывают? Отвечаю на звонок:
→ Добрый день, это рег.ру, у вас возникали проблемы при использовании нашего сервиса?
→ Нет, сервис удобный, интерфейс понятный.
→ Спасибо, до свидания.
Что это было, я так и не понял, но утро было испорчено, а в голове остался неприятный осадок.
И таких историй миллион только у меня.
Upd: Огромное спасибо пользователю berez, за исправление моих школьных ошибок с запятыми и тся/ться.