-
Notifications
You must be signed in to change notification settings - Fork 5
ГАЙД: Отказываемся от опасных SMS
Результат: 87% используют SMS. Не всем очевидно, но ответ «Только для получения уведомлений» угрожает приватности ещё больше, чем SMS-переписка с кем-то, у кого нет мессенджеров. Поздравляя родственника с праздниками, вы задумываетесь, о чём пишете. Кто отправляют уведомления — нет.
Регулярно появляются рассказы об автоматических подписках на платные сервисы. В прошлом месяце на Хабре говорили про Мегафон:
Вы теряете SIM-карту, обращаетесь с паспортом в салон сотового оператора, сотрудник за минуту выдаёт новую карточку с вашим номером. Обычный сценарий? То же самое он может сделать и по собственной воле без вашего ведома, если выгода превысит последствия и вероятность наказания.
Но заметно более популярен перевыпуск SIM-карт по поддельной доверенности. Осознавая проблему, сотовые операторы предлагают защититься запретом действий от имени абонента по доверенности. Хотя могли бы решить проблему глобально, установив запрет по умолчанию.
Вот тут самое интересное.
Уведомления от компаний: онлайн-сервисы, рестораны, клубы, клиники, магазины, службы доставки, каршэринг. Многие подписывают свои сообщения, а значит можно сразу определить, какими сервисами пользуется клиент. Сколько личной информации содержится в таких сообщениях, можете представить сами.
Уведомления от банков. Из таких сообщений можно получить информацию:
• об остатках на счетах; • о снятиях и пополнениях, в каких банкоматах; • о вашем общем обороте за любой период; • о вкладах: размере, сроке, выплаченных процентах; • об одобренных кредитах, платежах по ним и задолженностях; • о выпущенных картах, о части их цифр, а иногда часть или целый пин-код; • о всех транзакциях пользователя, его покупках; • об оплате счетов; • о переводах другим людям, включая их имена и номера счетов.
И вот то, что сохраняет оператор, не защищено никакой «банковской тайной».
Собранная информация позволяет составить доскональный и персонализированный профиль клиента. Для аналитики не требуется много ресурсов: текстовая информация по шаблонам, ключевым словам и типе адресата легко обрабатывается алгоритмами.
Подобный профиль предоставляет практически безграничные возможности оператору и кому-либо еще, получившему несанкционированный доступ, включая утечку базы данных.
Откройте свои SMS и посмотрите, какой информацией вы делитесь с оператором в открытом виде.
Сколько хранятся архивы SMS? Согласно расследованию Mobile-Review — 3 года, по информации Максима Каца — как минимум 2 года.
Переходим на использование Push-уведомлений вместо SMS.
Используем приложения верификации в смартфоне (Google Authenticator и аналоги), смарт-карты, токены или как минимум подтверждение по e-mail надёжного почтового сервиса.
Всех, с кем вы общаетесь через SMS, можно пересадить на безопасные или относительно безопасные мессенджеры зарубежного производства. Покажите им лично, что пользоваться мессенджерами не страшно и не больно.