bs-preloader__icon
ru kz en

Big Data: обратная сторона медали-2

Известный казахстанский специалист в сфере Big Data Сергей Ахметов во второй части интервью Lifeinsurance рассказывает о тонкостях безопасности данных в Интернете, в том числе в соцсетях.
Big Data: обратная сторона медали-2

- Хорошо. Давайте вернемся к теме безопасности данных. Одна из ваших последних статей по Big Dataначинается со строк: «Каждый обмен с социальными медиа, каждый цифровой процесс, каждое подключённое устройство генерирует большие данные, которые будут использоваться различными компаниями». Скажите, как обстоит сейчас ситуация с использованием данных в стране?

- Расскажу Вам один интересный кейс. Как маленькая компания, назовём ее «Х», за 2 года стала одним из «сырых» продавцов личных данных. Все началось с Social fishing или сервисов идентификации. Основная задача сервиса - получить данные о вашем профиле в социальных сетях. То есть вам достаточно зайти на сайт, где установлен специальный код, и сайт получит информацию, которая находится в ваших профилях социальных сетей: ФИО, дата рождения, телефон, e-mail.

Как это работает?

Здесь много вариантов событий. Я разберу самые основные:

Кнопки “невидимки” или  кликджекинг. Вы заходите на сайт какой-нибудь компании, смотрите страницы. Внезапно вам звонит или пишет менеджер этой организации и начинает предлагать что-нибудь купить, хотя номера телефона вы не оставляли.

На этом сайте воруют личные данные. И от этого никак не защититься.

Когда вы кликаете мышью — неважно, по ссылке или по пустому месту — скрипт подсовывает вам невидимый элемент из социальной сети (например, кнопку вступления в группу или кнопку авторизации вредоносного приложения). Вы кликаете по элементу и тем самым даете разрешение на просмотр личных данных. Процент идентификации таких сервисов составляет от 15 до 60%.

У вас возник вопрос: “Откуда берут ваш телефон и e-mail? “. Могу успокоить: вас никто не взламывает. 80% сервисов, которые работают по принципу кликджекинга, используют социальную сеть ВКонтакте, Mail.ru или Одноклассники.  

В интернете продается база телефонных номеров и e-mail адресов с ID (ваш уникальный номер или ник) от ВКонтакте. Дальше просто программа сверяется с ID по базе и подгружает в личный кабинет телефон и e-mail.

Однако, такая механика работает не во всех социальных сетях. Например, с Facebook это не работает, поэтому применяется другая стратегия: с помощью специального программного обеспечения производится прогон ранее сгенерированной базы со всеми комбинациями номеров.

Пример данной механики в Facebook:  Возьмем 16 кодов номеров (702,701,747 и т.п) и для каждого из них  подставим числа от 0 до 10 миллионов. Так как плотность пользователей на один номер телефона достаточна высока, то можно делить список на группы по 50 номеров. В итоге мы получим 160 000 000 / 50 = 3 200 000 блоков. Запрос на сервер Facebook занимает в среднем до 200 мс (зависит от канала). Таким образом, один клиент может генерировать в один поток 5 запросов в секунду. 3.2М / 5 / 60сек / 60мин ≈ 177.7 часов, что есть чуть дольше недели). Такая же картина с e-mail-адресами - с помощью запросов «парсится» (автоматически обрабатывается с целью получения нужных данных – Ред.) заданный диапазон e-mail.

В настройках конфиденциальности Facebook есть функция (Facebook-Настройки- Конфиденциальность) “Кто может меня найти?”, где можно установить параметр “Друзья и друзья друзей”. Хочу вас расстроить, эти настройки вас не спасут. На сегодняшний день существуют большие сети ботов, которые профессионально занимаются сбором данных.

Одноклассники: Здесь подменой сертификата можно произвести такие же действие, как на Facebook.

YouTube: Можно так же через кликджекинг вытаскивать id (ваш ник на) YouTube. Сам по себе ник не несет никакой информации. Но в общей массе информации и объединенной базы Data производится сведение всех данных из социальных сетей и других источников, что помогает выявить реального человека за ником в YouTube.

Что говорят поисковые системы?

Поисковые системы вычисляют и снижают поисковую выдачу сайтов, на которых замечены подобные способы получения персональных данных, тем самым понижая сайты или вообще отправляя в бан страницы с вредоносным программным обеспечением. Яндекс выпустил раздел, где описывает способ борьбы с такими сайтами. Google тоже начал их выявлять: были случаи, что такие порталы не проходили проверку в рекламной сети Adwords . Но многие сервисы обходят поисковых роботов  без особого труда.

- А что стало с той маленькой компанией «Х»?

- Они пошли дальше и стали собирать информацию о пользователях со всего Интернета. К примеру, берете номер телефона или e-mail и прогоняете его по крупным сайтам типа Крыша, OLX, Колеса, все номера, загоняете в базу и получаете на выходе все персональные данные. Позже эти ребята научились собирать гео-метки, всего были собраны данные по 140 параметрам из открытых источников. На самом деле никто никого не взламывал, были ранее большие сливы данных, они просто собрали все в одно место. Данные по GetContact. Это одни из крупнейших «черных» провайдеров данных на территории бывшего СНГ. Платите 150 тенге и получаете полный портрет о человеке.

Существуют базы персональных карточек с данными о вас. Откуда? Есть люди и компании, которую продают эту информацию как штучно, так и пакетно, то есть миллионами строк. Картотека данных - это социальные сети, в которых вы зарегистрированы, ФИО, день рождения, ваше место работы, образование, родственники, интересы, город проживания, мессенджеры, которые вы используете, время, которое проводите в социальных сетях, и многое другое. Обычно базы покупают компании для уточнения портрета целевой аудитории, или просто по номеру телефона обогащают клиентскую базу.

Вообще, в Казахстане постоянно торгуют базами. К примеру, база клиентов, в том числе из Казахстана, одной крупной российской тренинговой компании находится в свободном доступе, ее можно спокойно скачать. Там нет, конечно, ИИН, но и его узнать не проблема, на определённых сайтах при вводе ФИО лица появляются эти данные, а если есть ИИН, можно узнать данные по юридическим фирмам и еще кучу информации. Многие компании пользуются этими данными для наработки клиентской базы, и здесь нет речи о соблюдении этики. Вам, возможно, тоже звонили и предлагали услуги разные фирмы. Но, на самом деле, люди сами постоянно «генерят» разные данные, нарушают авторские права, к примеру, размещают у себя на странице фильмы Marvell.

Что касается мониторинга данных. Берем Казахстан, делим всех пользователей, к примеру, 200 тысяч человек писали о политике на такие-то темы. Мониторинг по ключевым словам  в социальных сетях, к примеру, в Facebook, стоит около 350 тысяч тенге в месяц. Есть сервисы комплексной разведки, которые ведут мониторинг по всему Интернету, по всем соцсетям. У нас в стране пока такой полной системы нет, мы используем российские системы, к примеру, Brand Analytics, YouScan и так далее. Такие сервисы стоят около 200-600 тысяч. Все зависит от количества вводимых ключевых слов, степени упоминаемости.

- Все чаще в последнее время на Западе поднимается вопрос о безопасности данных людей в Сети, о случаях мошенничества и т.д. В этом случае как пользователи сами могут обезопасить себя от использования их данных или это уже невозможно без полного прекращения работы в Интернете?

- Я читал недавно данные о времени просмотра пользовательского соглашения, политики конфиденциальности на сайтах в разных странах. В Казахстане это занимает всего 2 секунды, то есть наши люди не читают эти соглашения, мы входим в первую тройку стран с самым коротким сроком чтения такого соглашения. Тогда как в Америке, к примеру, изучение таких соглашений доходит до 4 часов, а, бывает, и дней. Они звонят в компанию, спрашивают: «А вот пункт 6, вы что здесь имеете в виду?». Если почитать политику конфиденциальности того же Facebook, то они открыто говорят, что хранят все гео-данные, причем, столько, сколько хотят.

Повторюсь, люди сами размещают о себе данные, фото в открытом доступе: куда съездили, с кем встретились и так далее. Даже если аккаунт закрытый, к Вам может «постучаться» в друзья специальный «бот» и скопировать ваши данные. Если только Вы сами добавите его к себе в друзья. Но если вы оставите комментарий на другой, открытой, странице, это тоже могут считать спецсервисы. Думаю, примерно через полтора года программисты научатся считывать и картинки.

- Какие есть элементарные нормы безопасности?

- Я, к примеру, взял себе другой номер телефона, создал другую электронную почту и указал их во всех своих соцсетях. Другого выхода нет. Нужно всегда иметь в виду, что за вами следят, чтобы вы ни делали в интернете. И ваши данные могут быть использованы в разных целях.

- Насколько законный такой сбор данных, который провели эти ребята?

- К примеру, в Казахстане, согласно Закону о персональных данных, если человека нельзя идентифицировать, это нельзя считать персональными данными. Если есть ФИО и фото, это уже персональные данные. Многие компании, просто шифруя данный параметр (ФИО, ИИН), называя его, к примеру, ячейкой Е75. Так что даже если к ним придут с проверкой, доказать, что это персональные данные, будет практически невозможно.

- Насколько часто и кто покупает эти данные?

- Довольно часто, в основном различные компании. Если, к примеру, к ним пришел клиент и оставил свой номер телефона, то, введя его в купленную ими базу данных, они могут узнать о нем все, весь его портрет, финансовые возможности, предпочтения и т.д. Можно конечно пойти дальше и создать продукт это уже вопрос этике и миссии компании.

- Но раз данные в соцсетях на страничках пользователей совершенно открыты и доступны для просмотра всем, то компании могут спокойно воспользоваться ими, чтобы понять, является ли данный человек их потенциальным клиентом или нет. И если является, то каким-то образом воздействовать на него. Однако, были прецеденты, когда в ответ на предложение определенных услуг отдельным лицам, исходя из информации на их страницах, в ответ были претензии в неэтичном использовании их личной информации. Хотя, повторюсь, она является совершенно открытой. Как Вы считаете, как компаниям быть здесь и где здесь пролегает этическая грань?

- Я бы не рекомендовал поступать таким образом. Можно пойти более этичным путем. К примеру, воспользоваться электронной рассылкой, ретаргетингом, когда онлайн-реклама направляется тем пользователям, которые уже просмотрели рекламируемый продукт, посетив веб-страницу рекламодателя. Можно с помощью специальных программ загрузить телефоны потенциальных клиентов в Facebook, Yandex, и ваша реклама будет показываться только им.  Нужно вначале «согреть» клиента, дать ему что-то бесплатно, скидки, подарки,  Так, к примеру, в России поступает Тинькофф, он микросегментировал аудиторию и работает штучно.  На том же Западе понимают, что гораздо проще удержать клиента, чем привлечь нового, поэтому больше работают над своим сервисом и репутацией, стараются вызвать больше доверия и работать на большую перспективу, как минимум, на 10 лет вперед. Они не будут работать по «черной базе», потому что это просто неэтично.   

- Какие рекомендации Вы дали бы компаниями по правильному использованию Big Data?

Когда вы принимаете решение внедрять Big Data, необходимо четко понимать, какая информация есть в наличии, сколько ее, и каких результатов она позволяет достичь.  

- Как Вы считаете, нужно ли Казахстану принять аналогичные меры по примеру Европейского Союза для защиты данных своих граждан и насколько эти меры будут для нашей современной ситуации адекватны? Напомню, с 25 мая этого года ЕС объявила о вступлении в силу Общих правил защиты данных (GDPR) в странах Европейского Союза. К примеру, теперь каждый пользователь, согласно этим правилам, имеет право на удаление всех накопленных о нем данных, то есть иметь "право быть забытым". И если его требование не будет исполнено в течение 72 часов, то на исполнителей могут наложить штраф в размере 2% от их ежегодного мирового дохода, или 10 млн евро, в зависимости от того, что больше. При незаконной передаче данных человека в другую страну или нарушении принципов обработки данных о пользователе, орган по защите данных может наложить штраф в размере 20 млн. евро.

- Вряд ли у нас будет принят такой закон. Кроме того, у нас всего 18 млн. населения, из них в сети постоянно находятся около 5-6 млн. человек. И данные о казахстанцах, возможно, никому и не интересны. Что может сделать здесь государство, если сами граждане тратят всего 2 секунды на изучение политики конфиденциальности или пользовательского соглашения? Государство может поставить «красные флажки», но пока сами люди не поймут важность своей безопасности, большого толку от этих мер, мне кажется, не будет. Многие люди не понимают даже, что такое персональные данные.  С другой стороны, штрафы за неэтичное, незаконное использование личных данных, «холодные» звонки, как в ЕС, всегда могут помочь. Можно начать хотя бы с этого. С другой стороны, нужно понимать, что каждый человек также сам несет ответственность за безопасность своих данных.

Ссылка на первую часть интервью: http://lifeinsurance.kz/ekspert/big-data-obratnaya-storona-medali

Поделиться
читайте также
Англия: свoбoднaя пeнcия или гapaнтиpoвaнный дoxoд?
Англия: свoбoднaя пeнcия или гapaнтиpoвaнный дoxoд?

Tыcячaм бpитaнцeв пpидeтcя oпpeдeлитьcя, сообщает theu...

100% простых акций АО «КСЖ «ГАК» выставлено на продажу
100% простых акций АО «КСЖ «ГАК» выставлено на продажу

На электронной торговой площадке e-auction.gosreestr.kz ...

Самые интересные материалы сайта у тебя на почте! Подпишись на рассылку.

ЗАДАТЬ ВОПРОС ЭКСПЕРТУ
ЗАДАТЬ ВОПРОС ЭКСПЕРТУ
Оставить заявку