2018 год был очень важным для всей сферы информационной безопасности и этического использования этих данных. Крупнейшим скандалом в этой отрасли стал феномен компании Cambridge Analytica, которая использовала конфиденциальную информацию пользователей социальных сетей во время президентских выборов в США 2016 года и, возможно, привела к победе республиканца Дональда Трампа. «Хайтек» во Всемирный день информации рассказывает, какие еще в 2018 году произошли скандалы, связанные с утечкой, и как российское правительство пытается им противостоять.
Cambridge Analytica
Пожалуй, крупнейшее событие этого года в сфере информационной безопасности. В начале марта The New York Times и The Guardian опубликовали целую серию материалов, в которых социальная сеть Facebook обвинялась в продаже конфиденциальных данных своих пользователей частной аналитической компании Cambridge Analytica.
26 ноября отмечается Всемирный день информации (World Information Day), который проводится ежегодно с 1994 года по инициативе Международной академии информатизации (МАИ), имеющей генеральный консультативный статус в Экономическом и Социальном совете ООН, и Всемирного информациологического парламента (ВИП). Информация в данном случае понимается в широком ее смысле. Это сведения, передаваемые одними людьми другим людям устным, письменным или каким-либо другим способом, а также сам процесс передачи или получения этих сведений.
В начале апреля представители Facebook подтвердили сначала возможную продажу Cambridge Analytica данных 50 млн пользователей, большая часть которых проживает в США, а потом увеличили эту цифру до 87 млн человек. Данные, полученные Cambridge Analytica, не могут увидеть даже пользователи. Это информация о лайках, статистика посещаемости и оставленные комментарии.
После появления информации о крупной утечке данных в социальных сетях начался флешмоб, призывающий бойкотировать Facebook. В нем даже принял участие глава Tesla Илон Маск. Правда, после он признался, что и не знал о существовании своей страницы в соцсети.
What’s Facebook?
— Elon Musk (@elonmusk) March 23, 2018
Delete SpaceX page on Facebook if you're the man?
— ? (@serdarsprofile) March 23, 2018
I didn’t realize there was one. Will do.
— Elon Musk (@elonmusk) March 23, 2018
Еще через месяц выяснилось, что Twitter также продавал Cambridge Analytica данные о пользователях, только в меньшем масштабе. Компания в 2015 году продала аналитическому агентству суточный доступ к данным пользователей и всем твитам, а также доступ к случайной подборке твитов в период с 2014 по апрель 2015 года. Как и в случае с Facebook, сумма сделки осталась нераскрытой.
В результате компания Cambridge Analytica вынужденно закрылась, столкнувшись с проблемами при выплатах штрафов финансовым регуляторам США. Возможно, ликвидация компании связана и с большими репутационными потерями.
Самое важное, что в результате скандала на ситуацию с данными пользователей соцсетей массово обратили внимание американские и европейские власти. Главе Facebook Марку Цукербергу в течение пяти часов пришлось объяснять Конгрессу принцип работы соцсети, защиту данных и будущее модерации контента. При этом сенаторы спрашивали Цукерберга скорее как пользователи, а не как политики, поскольку до сих пор для всех является секретом, как долго компания хранит пользовательские данные, как их использует и по каким принципам формируется новостная лента.
После оправдания перед американским Конгрессом Цукерберг выступил и перед европейскими парламентариями. Во время этого общения он объявил, что Facebook перестал использовать искусственный интеллект при модерации постов — теперь этим занимаются 20 тыс. человек, которые изучают содержание различных постов и блокируют аккаунты, распространяющие заведомо фейковую информацию.
«Я прошу прощения. В 2016 году мы были слишком медленными и не смогли противостоять вмешательству России в выборы в США, поскольку были сосредоточены на обычных кибератаках», — рассказал Цукерберг.
До конца года Facebook должен проверить все приложения, которые собирают и используют данные пользователей соцсети для предотвращения новых утечек данных.
Несмотря на все меры, которые прилагает руководство компании, соцсеть продолжают постоянно критиковать различные СМИ, а сам Цукерберг грозит увольнять сотрудников, сливающих информацию о внутренней деятельности компании журналистам.
При этом расследование о сотрудничестве Facebook c Cambridge Analytica продолжается. Буквально несколько дней назад Британский парламент получил документы с перепиской представителей Facebook и Cambridge Analytica от руководства технической компании Six4Three — фигуранта по делу Facebook в США. Когда один из руководителей Six4Three приехал с деловым визитом в Лондон, его арестовали и обязали передать переписку, грозя арестом.
«МаксимаТелеком» и пассажиры Московского метро
В России тоже происходят крупные утечки данных. В начале марте 2018 года программист Владимир Серов обнаружил уязвимость в сети Wi-Fi Московского метро, оператором которой является компания «МаксимаТелеком». С помощью этой уязвимости можно было получить данные 12 млн человек, которые зарегистрированы в сервисе. Оказалось, что компания просто не шифровала эту информацию, в том числе так называемый цифровой паспорт пользователя — номер телефона, пол, возраст, семейное положение, зарплату, а также название станции, где человек подключался и отключался от сети. Программисту даже удалось написать скрипт, который в режиме реального времени отслеживал, где находится тот или иной пользователь в метро.
Уязвимость существовала как минимум с марта 2017 года и была раскрыта «МаксимаТелеком» только после публикации материала Серова и скандала вокруг этой ситуации.
«После сообщения Владимира Серова об уязвимости на портале авторизации мы оперативно зашифровали передачу профильных данных (таких как номер телефона, пол и возрастная группа), — рассказала тогда представитель компании Анастасия Самойлова. — Дешифровать их статистическим методом и сопоставить с номером телефона возможно, если злоумышленник располагает ранее украденной у нас информацией о номерах телефонов абонентов. Мы также принимаем срочные меры для исключения неправомерного присвоения абонентских данных. Основные усилия сосредоточены на полной переработке системы авторизации, исключающей атаки с подменой адреса устройства».
Apple и исходный код iOS
Утечка, произошедшая практически незаметно, поскольку практически не несла в себе вреда пользователю. В начале года на сервисе GitHub появился фрагмент кода операционной системы iOS под названием iBoot. Тогда выяснилось, что это стало самой крупной утечкой Apple за все время существования компании. Этот код отвечает за первую операцию при запуске операционной системы iOS — процесс загрузки.
Компания практически сразу потребовала от руководства GitHub удалить эту публикацию и заявила, что код не влияет на безопасность пользователей, установивших последнюю версию iOS — это был загрузочный фрагмент iOS 9, тогда как практически все пользователи устройств Apple уже использовали iOS 11. Однако некоторые программисты утверждают, что реакция Apple была намеренно мягкой, а элементы этого закрытого когда используются и в новых версиях iOS. До сих пор не ясно, как код оказался в открытом доступе.
Tinder и новый истребитель
Немного комичная попытка взлома произошла в дейтинговом сервисе Tinder. В августе неизвестные пытались взломать аккаунт британской военнослужащей в сервисе знакомств, чтобы узнать у других военных данные о новом поколении истребителей F-35. Хакеры от имени военных знакомились с другими военнослужащими и интересовались истребителями F-35 Lightning, которые недавно поступили на вооружение ВВС Великобритании.
О взломе стало известно руководству Tinder и BBC. В результате сервис заблокировал аккаунт девушки, а Минобороны Великобритании выпустило напоминание для своих сотрудников, что не стоит обсуждать секретные разработки с незнакомыми людьми, особенно в приложениях знакомств.
Чиновники и персональные данные
В СМИ постоянно появляется информация о том, что различные российские госструктуры допускают утечку персональных данных. В начале сентября 2018 года русская служба Би-би-си нашла на сайте госуслуг десятки таблиц с персональными данными россиян, региональных чиновников, сотрудников МЧС, полиции и госпредприятий. В основном это сметы на медицинское страхование за государственный счет, но там попадаются и имена родственников, и даже размер оклада.
В итоге Минкомсвязь даже предложила штрафовать другие госструктуры и бизнес за утечку персональных данных жителей России, а также запретить бизнесу создавать базы данных на основе информации, собранной из государственных информационных систем (ГИС). Согласно документу, министерство предлагает ограничить размеры этих баз данных, полученных из государственных информационных систем. При этом операторы, которые самостоятельно получили персональные данные людей, должны сами защищать их и контролировать, каким образом эту информацию используют третьи лица. Однако у этого законопроекта двойное дно, поскольку этими же данными пользуются правозащитные и некоммерческие организации, занимающиеся расследованием о коррупции в российской власти.