При проверке пропуска москвич соглашается на 10-летний показ рекламы

При проверке пропуска москвич соглашается на 10-летний показ рекламы

Сервис проверки цифрового пропуска для жителей Москвы имеет одну неприятную особенность, скрытую в пользовательском соглашении. О странных и не совсем порядочных практиках ДИТ Москвы рассказали специалисты компании AnalogBytes.

Как известно, пропуска москвичей с недавнего времени начали массово аннулировать якобы за недостоверные сведения о работе. Чтобы подтвердить своё место работы, граждане должны проследовать на сайт сервиса — https://i.moscow/covid.

«Если у Вас заблокировали цифровой пропуск, перейдите по ссылке», — гласит крупная надпись в шапке.

По ссылке пользователь увидит форму для ввода номера паспорта и ИНН компании, при этом необходимо подтвердить согласие на обработку данных.

Согласно информации, размещённой в блоге компании AnalogBytes, именно в методах обработки данных кроется основная проблема. В частности, гражданин подписывается на передачу всех данных, до которых сможет добраться вышеозначенный сервис.

В «пакет» входит и передача информации россиянина третьим лицам, и показ соответствующей рекламы на срок до 10 лет — полный комплект. Эксперты приводят пример (PDF ) пользовательского соглашения (копия).

Особенно бросаются в глаза следующие строки:

«… в том числе на осуществление следующих действий: обработка (включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, распространение и передачу третьим лицам, блокирование, уничтожение персональных данных».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Ханитокен: эксперты научились вычислять непорядочные Facebook-приложения

Команда исследователей обнаружила способ проверки соблюдения правил конфиденциальности разработчиками приложений для Facebook. Описанный специалистами метод поможет выявить несанкционированную передачу пользовательских данных третьим лицам.

CanaryTrap — так назвали свой способ эксперты из Университета Айовы. В основе CanaryTrap лежит использование так называемых ханитокенов (honeytoken) — поддельных файлов или данных.

Ханитокены (по аналогии с ханипотами) представляют собой фрагменты-приманки, которые ИТ-специалисты могут расставить внутри своей сети. Если к этим фейковым данным и файлам кто-то получает доступ или начинает их использовать, администраторы могут зафиксировать вредоносную активность.

В исследовании сотрудников университета — «CanaryTrap: Detecting Data Misuse by Third-Party Apps on Online Social Networks» — утверждается, что ханитокенами служили уникальные адреса электронной почты, с помощью которых специалисты регистрировали аккаунты Facebook.

После регистрации учётной записи исследователи устанавливали поочерёдно приложения, использовали их в течение 15 минут, а затем просто удаляли из аккаунта.

 

Далее эксперты проверяли входящие ящики подставных электронных ящиков на наличие нового трафика. Если на эти ящики приходило новое письмо, тогда фиксировалась передача пользовательских данных третьим лицам.

Помимо этого, специалисты использовали специальный инструмент от Facebook — «Why Am I Seeing This?»  С его помощью они мониторили использование ханитокенов для целевой рекламы.

 

В общей сумме исследователи проверили 1024 приложения и выяснили, что 16 программ отправляли адрес электронной почты пользователя третьей стороне. Со списком сомнительных приложений можно ознакомиться ниже:

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru