Угрозы сбора личных данных поисковыми системами
Источники и механизм сбора информации
Сбор информации ведётся не только из поисковых запросов пользователей, а из множества источников, будь то социальные сети, блоги, интернет-магазины или панели инструментов от самих поисковых систем. Помимо этого, поисковики используют синхронизацию с мобильным телефоном пользователя, что открывает еще больше возможностей по сбору информации.
Из всех этих источников поисковые системы могут получить следующие данные:
- пол, дату рождения, точное имя и фамилию пользователя;
- адрес электронной почты;
- личные фотографии;
- информацию с мобильного телефона – номер, модель, список контактов, данные о звонках и SMS-сообщениях и др.;
- место проживания и точное местонахождение в любой момент времени;
- интересы, увлечения, религиозные и политические предпочтения;
- родственные связи;
- места работы или учёбы.
Даже если человек не выкладывает полную информацию о себе на каком-либо одном ресурсе, по отдельным косвенным признакам (адресу электронной почты, контактам в социальной сети, покупкам в интернет-магазинах) можно вычислить недостающие данные.
Поисковый робот непрерывно ищет в сети Интернет новые сайты и сканирует старые, сохраняет всю информацию с данных сайтов на серверы поисковой системы, где она обрабатывается, структурируется и остаётся «до востребования». Под обработкой понимается анализ информации и составление поисковой системой информационного (социального-демографического) портрета человека на основе собранных данных.
Следует отметить, что данные, собранные поисковыми системами, в большинстве случаев хранятся на зарубежных серверах, что само по себе не является безопасным для российских пользователей. В политике конфиденциальности любой поисковой системы прописано, что данные могут быть переданы третьим лицам. Обычно это рекламные агентства и аналитические службы. Но, как показывает практика, опасность кроется не в этом. При желании любой человек может составить профиль интересующей его личности, так как пользователи зачастую сами оставляют в сети Интернет «досье» на себя.
Угрозы для пользователя
1. Социальная инженерия
Опасность грозит не только владельцу скомпрометированных данных, но и другим пользователям. Примером, иллюстрирующим данный факт, является применение злоумышленниками методов социальной инженерии. Похищенные данные могут быть использованы для создания поддельного профиля в социальной сети, который злоумышленники могут использовать для заражения компьютеров других пользователей вредоносными программами, либо под видом знакомого пользователя получить от них личные данные, важную информацию или денежные средства.
2. Фишинг
Также в качестве примера можно привести фишинг, когда на скомпрометированный адрес электронной почты проводится рассылка писем от имени банков или социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего. После того как пользователь попадает на поддельную страницу мошенники пытаются побудить потенциальную жертву ввести на поддельной странице свои логин и пароль, которые используются для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.
3. Раскрытие личных данных
В 2011 году прогремел целый ряд скандалов, связанных с появлением в сети Интернет персональных данных пользователей. Всё началось с обнаружения в поисковой выдаче "Яндекса" SMS-сообщений, отправленных через официальный сайт интернет-пользователями абонентам одного из операторов сотовой связи, который в итоге закрыли "на реконструкцию". Позднее, также благодаря поисковым системам, были обнаружены конфиденциальные данные покупателей интернет-магазинов. В другой раз пользователям поисковых систем Google, "Яндекса" и Bing с помощью простых запросов удалось отыскать на публично доступных ресурсах российских ведомств документы, предназначенные для служебного пользования.
4. Угроза физической безопасности
Благодаря синхронизации смартфона с поисковой системой через номер телефона может быть установлено точное местонахождение владельца. Например, в устройствах, работающих на операционной системе Android, в приложении Google.Maps функция «хранить мои перемещения» включена по умолчания. Таким образом, пользователь может не подозревать о том, что каждый его шаг фиксируется на карте. При попадании таких данных в руки злоумышленников появляется прямая угроза физической безопасности людей и сохранности их жилища.
С 1 января 2016 года вступил в силу так называемый закон «о праве на забвение». Этот закон обязывает поисковые системы по заявлению гражданина и без решения суда удалять из результатов поиска ссылки на незаконную, недостоверную или неактуальную информацию о заявителе. Однако на практике всё гораздо сложнее. С момента вступления в силу закона было получено 3600 заявлений от более 1348 пользователей, и только четверть обращений граждан была удовлетворена. В качестве одной из причин такого малого числа указывается сложность проверки достоверности информации, а также необходимость определения в каждом конкретном случае факта нарушения закона. Как показала практика, без решения компетентных органов удалить информацию из поисковой выдачи достаточно сложно.
Опасность сбора информации подтверждается обеспокоенностью государства вопросом безопасности данных пользователей. До конца 2016 года в Администрации Президента Российской Федерации будут определены правила, регулирующие оборот «больших данных». Некоторая информация о гражданах, по которой можно легко установить личность человека (ФИО, адрес и год рождения), уже охраняется законом "О персональных данных". Компании и организации должны получать у граждан письменное согласие на ее обработку. Большие данные – более емкое понятие, включающее, помимо персональных данных, обезличенную информацию, в частности IP-адреса, файлы-cookie, геолокацию, биометрию, потребительские предпочтения (истории поисковых запросов, информация о заказах в интернет-магазинах).
Рекомендации по защите личных данных
Исходя из вышесказанного, можно говорить о необходимости защиты личных данных при пользовании сетью Интернет. Обеспечить это помогут следующие меры:
- Следите за тем, какие данные Вы оставляете при регистрации на том или ином ресурсе.
- Не стоит оставлять избыточную информацию о себе и заполнять слишком много полей при регистрации, ограничьтесь только обязательными.
- Ознакомьтесь с пользовательским соглашением, где администрацией сайта должны быть указаны, какие действия она будет проводить с персональными данными.
- При необходимости ввода персональных данных ресурс должен в соответствующей форме запросить разрешение на их обработку.
- В некоторых антивирусах существуют дополнительные инструменты защиты от кражи данных в сети Интернет. Включение этих функций позволяет блокировать обнаруженные запросы от сайтов.