■ Без особой необходимости не допускайте синхронизации социальной сетью вашей адресной книги (контактов) с вашим профилем. При этом система также свяжет все контакты ваших друзей между собой и разошлет им приглашения с запросом: «Возможно, вы знакомы». Такая ситуация может угрожать вашей конфиденциальности и безопасности. Тем более вряд ли вы (и некоторые ваши респонденты, с которыми вы обменивались SMS-сообщениями или говорили по телефону) хотели бы раскрыть в социальной сети некие персональные данные о себе, например фото.
При поиске данных о контактах из списка социальная сеть (в частности, Facebook) может собирать такую информацию, как метаданные
[537] электронных сообщений, звонков и SMS-сообщений, и обрабатывать даже такие контактные данные, которые не сохранены в списке пользователя (т. е. контакты тех, с кем пользователь связывался когда-то, но не сохранял в своем списке их номер или адрес либо удалил контакт из списка)
[538].
Защита доступа
При общении двух людей через интернет самое важное, чтобы каждый из них мог подтвердить личность собеседника. К сожалению, даже при соблюдении многих правил безопасности это не всегда возможно: время от времени злоумышленники взламывают чужие аккаунты и создают фейковые учетные записи. Даже если установлен надежный пароль, злоумышленники могут скомпрометировать его при утечке базы данных с сайта социальной сети; восстановить пароль, подобрав ответы на контрольные вопросы или взломав ящик электронной почты. При использовании номера телефона для многофакторной аутентификации и восстановления доступа (а номер обязателен для регистрации на подавляющем большинстве сайтов соцсетей) риск взлома ниже, но все же есть, так как злоумышленник может перевыпустить SIM-карту и перехватывать сообщения с одноразовыми паролями
[539].
КЕЙС Эксперт по кибербезопасности Лаксман Мутийя обнаружил способ, позволяющий взломать любую систему, для восстановления доступа в которую следует указать одноразовый цифровой код, отправляемый в SMS-сообщении или генерируемый в приложении-аутентификаторе. Лаксману удалось сделать это на примере сайта Instagram. После ввода телефонного номера жертвы для восстановления доступа на данный номер высылается шестизначный цифровой код. Система была защищена от брутфорс-атак: скорость передачи данных ограничивалась после 250 попыток авторизации с использованием одноразовых кодов. Но она была бессильна против ротации IP-адресов
[540] (когда адреса отправителя запроса циклически меняются сервером для усложнения обнаружения атаки) и зависела от порядка исполнения фрагментов кода (была в состоянии гонки). Кроме того, одноразовый код действовал только 10 минут. В своем исследовании Лаксман привлек 1000 разных IP-адресов, чтобы отправить с каждого по 200 запросов до срабатывания защиты от перебора. Для перебора миллиона всех возможных комбинаций потребовалось ли 5000 IP-адресов, которые легко получить, используя облачный сервис, например Amazon или Google. Затраты на атаку Лаксман оценил в 150 долларов
[541].
Злоумышленник, получив доступ к аккаунту жертвы, может сменить привязанные к нему номер телефона и адрес электронной почты и дальше от имени владельца взломанного профиля публиковать любой контент, например порнографические (как в случае Селены Гомес
[542], Виктории Якубовской
[543] и многих других) или политические материалы, дискредитируя имя настоящего владельца; писать друзьям пользователя личные сообщения с просьбой одолжить денег либо требовать у настоящего владельца выкуп за возвращение доступа и т. п. Если же злоумышленник скрывает факт взлома и имеет одновременный с владельцем доступ к его аккаунту, он может просматривать скрытый от посторонних глаз контент (например, с меткой «Только я») и получать информацию о местонахождении владельца: в некоторых социальных сетях указывается, с каких IP-адресов заходит пользователь. Учитывая, что для некоторых пользователей аккаунты в социальных сетях – это их «лицо», основа бизнеса или иной важный фактор жизни, необходимо очень тщательно защищать доступ к своим профилям и следить за тем, с каких устройств (IP-адресов) происходит авторизация.
Внимание! Тщательно выбирайте контрольные вопросы и ответы для восстановления доступа, так как, подобрав ответы на них, злоумышленники нередко получают несанкционированный доступ к аккаунтам. Как правило, пользователи указывают в качестве ответов ту же самую информацию, что и в профиле социальной сети.
Использование устройств с общим доступом (или чужих компьютеров либо мобильников в гостях и т. п.) создает угрозу утечки персональных данных. Две самые явные опасности: пользователи заходят в свои профили и либо забывают выйти из них по завершении сеанса работы, либо не обращают внимания на флажок «Запомнить меня» и не снимают его при авторизации. В первом случае посторонний может сесть за компьютер сразу после вас и войти в ваш профиль автоматически, так как сеанс еще не истек, даже если вы закрыли вкладку или завершили работу браузера. Вы, конечно, через некоторое время можете спохватиться и завершить сеанс с другого устройства, но за это время злоумышленник успеет просмотреть весь ваш профиль или даже перехватить доступ к нему, сменив учетные данные (если нет многофакторной аутентификации). Во втором случае, даже если сеанс истек и для входа в ваш профиль система требует логин и пароль, браузер автоматически подставит его из базы данных, где он сохранен, так как вы не сняли флажок «Запомнить меня». На таких устройствах нельзя не только устанавливать этот флажок, но и сохранять свои учетные данные, включив автозаполнение логина/пароля в настройках браузера. Последняя функция, избавляя от необходимости запоминать пароль, сводит на нет все ваши стратегии безопасности, даже если в качестве пароля используется 50-символьная кодовая фраза.
Вы можете использовать приватные режимы в браузерах. В этом случае логин и пароль, кеш и история посещений не сохранятся (если, конечно, вы завершили работу браузера), но, так как это чужое устройство, вы не можете быть уверены в отсутствии камер наблюдения, а также кейлогеров и прочих вредоносных утилит, перехватывающих учетные данные, да и вообще фиксирующих ввод данных в компьютер.