Хакерські атаки на користувачів Glovo, Clubhouse, Facebook: хто наступний

З приходом весни в Україні розквітають не тільки дерева, але й хакерські атаки.

Якщо три-п’ять років назад атакам підвергалися, здебільшого, держаній підприємства та установи, зараз цінним об’єктом на темному кібер-ринку виступають персональні дані громадян, корпоративні дані приватних компаній, доступ до соціальних мереж.

Наприклад, в лютому цього року відбулось хакерське втручання в нову популярну соцмережу Clubhouse. "Доброзичливий" хакер перенаправляв аудіопотоки розмов, що велись у Clubhouse на інший веб-сайт, щоб інші користувачі могли слухати розмови.

Майже місяць тому на Facebook знову новина про витік інформації, який сама компанія майже не прокоментувала, незважаючи на те, що через аккаунт FB відбувається реєстрація або ідентифікація на різноманітних інших веб-ресурсах або додатках.

Також з останніх новин, в інтернеті розлетілась новина про те, що популярна мережа кур’єрської доставки Glovo підверглась хакерскій атаці та зловмисниками було злито чимало контактних номерів, електронних адрес, прізвищ та начебто і реквізитів банківських карток користувачів додатка на суму $85 тис., якою вже торгують на чорному інтернет-ринку (даркнеті).

Таку інформацію оприлюднила компанія в сфері консалтингу та кібербезпеки Yarix Security.

Сам Glovo вже дещо спростував інформацію та наполягає на тому, що хакери отримали доступ до старої адмін. панелі, а сама компанія Glovo не зберігає даних банківських карток.

Останнє найбільш вірогідніше, так як відповідно до політики конфіденційності та захисту даних компанії в розділі "яку інформацію про користувачів та кому передає Glovo" зазначається, що: "GLOVO не зберігає реквізити кредитних карт Користувачів.

Проте, реквізити кредитних/дебетових карт Користувачів (номер і дата закінчення терміну дії) зберігаються операторами платежів, обраними GLOVO, які мають засоби безпеки високого рівня, оскільки дотримуються стандарту безпеки даних індустрії платіжних карт.

Якщо Користувач вимагає видалити інформацію, пов'язану зі способом платежу, введеним ним/нею у своєму профілі, сторонній оператор платежів видаляє таку інформацію зі своїх серверів".

Інцидент з Glovo можна розглядати та аналізувати як приклад. Майже всі подібні мобільні додатки, які так чи інакше пов’язані з наданням різних послуг, укладають договори про співробітництво з компаніями – операторами платежів.

Однією з відомих таких компаній в Україні – є компанія Platon. Також, з оператором платежів укладають, повинні укладати, угоди про конфіденційність.

Саме в таких угодах регламентується порядок доступу, опрацюванням, захисту та відповідальності за збереження ваших персональних даних.

Тобто, для того, щоб вам зрозуміти коло осіб, які мають доступ до ваших даних, вам необхідно ознайомитись не менш ніж з двома документами або офіційно запросити у розпорядників вашої інформації відповідні юридичні угоди для ознайомлення.

До речі, з політикою конфіденційності можна ознайомитись перед завантаженням будь-якого мобільного додатку, в його інтерфейсі. Відсутність такої угоди повинна насторожувати потенційного користувача.

Але, який процент громадян, якщо він є, ознайомлюється з такими відомостями? Гадаю, відповідь очевидна.

Культура захисту персональних даних гарно виглядає на папері та в теоріях, а на практиці виявляється складною та багатошаровою в аспектах для її розуміння.

А тепер питання, чи будете ви ознайомлюватись та розбиратися з десятками сторінок угод під час завантаження мобільного додатку, наприклад, для обробки ваших фото в соціальних мережах?

Після видалення з вашого інтерфейсу телефона якогось додатку, який вам наскучив чи вже не потрібен, ви цікавились скільки років ваші дані будуть зберігатися та можуть використовуватися?

Чи направляли вимогу про видалення певної банківської інформації з додатку, яким не користуєтесь? Очікувана відповідь – ні.

Саме тому питання покращення кібербезпеки в Україні за останні декілька років перейшло зі стану проміжкових обговорень до стану актуальних питань та реагування. Адже приватна інформація, в тому числі різноманітні бази даних – давно стала новою "золотою валютою", на віртуальному тіньовому ринку.

Наразі сфера доступу до персональних даних громадянина найбільш приваблива, оскільки свій телефон, e-mail, геолокації найчастіше вказують під час користування будь-яким мобільним додатком, соціальною мережею.

В середньому, громадянин України користується не менш ніж 4 мобільними додатками, в тому числі, соціальними мережами.

Отже, нижче декілька порад як мінімально захистити свої персональні дані під час користування мобільними додатками або подібними e-програмами.

• ознайомтесь з політикою конфіденційності або перевірте хоча б її наявність;
• ознайомтесь з компанією-власником та перевірте наявність сайту, контактів служби підтримки клієнта, а також юридичної та фактичної адреси у компанії;
• дізнайтесь, хто є оператором обробки платежів. Зазвичай, така інформація міститься в додатку "політика конфіденційності";
• використовуйте геолокацію тільки під час користування мобільним додатком;
• якщо видаляєте додаток, бажано направити повідомлення на e-mail компанії з проханням видалити ваші банківські реквізити, інші персональні дані. Або отримати відповідь через який час такі дані будуть видалені.

Якщо завантажуєте e-програмаму для корпоративного внутрішнього користування, крім зазначених вище вказівок, обирайте ліцензійну версію, перевірте наявність або відсутність судових справ щодо компанії-власника програми.

Для компаній, як державних, так і приватних, які крім корпоративної електронної пошти, мають внутрішні робочі програми, сервісні сховища, краще не економити на штатному спеціалісті по захисту систем електронної інформації або ж мати таку нештатну довірену особу.

Однак, максимальний пласт відповідальності та реалізації дійсного ефективного кіберзахисту в сучасних реаліях залишається на плечах держави в особі відповідних органів.