Открытые данные: пользователи «ВКонтакте» лишились приватности

«ВКонтакте» сообщила об утечке личных сообщений 400 пользователей соцсети

Сергей Коньков/ТАСС
Личная переписка нескольких сотен пользователей «ВКонтакте» оказалась под угрозой — виной тому стали небезопасные VPN-приложения, которые собирают данные и передают их третьим лицам. «Газета.Ru» выясняла, чем опасно использование таких сервисов, и к какой информации могут получить доступ посторонние пользователи.

Во вторник, 6 марта, в СМИ появилась информация о том, что некий баг позволяет читать личную переписку пользователей «ВКонтакте». Один из пользователей сети обнаружил, что можно получить доступ к приватным сообщениям через сервис статистики SimilarWeb.

В результате пострадали 400 пользователей российской социальной сети. Впрочем, как рассказали «Газете.Ru» в пресс-службе «ВКонтакте», найденный баг не является уязвимостью самой платформы, и компания за него ответственность не несет.

Не доверяйте сомнительным разработчикам

По словам представителя «ВКонтакте», утечка произошла из-за того, что сторонние разработчики имеют доступ к открытому API (программному интерфейсу — «Газета.Ru») социальной сети.

«Доступ может быть запрошен, в том числе к личной переписке, например, для создания альтернативных клиентов для мессенджера «ВКонтакте». При этом пользователь самостоятельно в явном виде разрешает доступ к своим сообщениям при использовании подобных приложений», — сообщили «Газете.Ru» в пресс-службе.

Команда «ВКонтакте» предполагает, что некоторые разработчики могли злоупотребить этими правами и передать данные в SimilarWeb. Всего известно о 400 пользователей, которые добровольно дали права небезопасным приложениям, тем самым поставив под угрозу сохранность личной переписки.

После более детального анализа виновник утечки был назван более конкретно — переписку пользователей «слили» ненадежные VPN-сервисы, которые передают данные третьим лицам, в том числе и статистическим ресурсам, на которых эти данные могут легко оказаться в общем доступе.

Такая информация может включать в себя не только сообщения, но и историю посещений или банковские реквизиты.

«В процессе проверки сотрудники «ВКонтакте» изучили данные о сетевых запросах пользователей, доступные на SimilarWeb. Среди них обнаружились, например, ключи доступа к API ботов в Telegram (используя такой ключ, можно отправить любое сообщение от имени чужого бота), история поисковых запросов с сайтов американского ФБР и российского правительства, а также названия неанонсированных проектов с закрытого корпоративного ресурса крупной игровой компании, которую представители социальной сети предпочли не называть», — говорится в официальном отчете социальной сети.

Чтобы защититься от подобных утечек, представители «ВКонтакте» рекомендуют не пользоваться VPN-сервисами от неизвестных разработчиков. Напомним, использование VPN для входа во «ВКонтакте» является одним из способов посещения платформы на Украине в связи с запретом российских социальных сетей.

Ведущий аналитик Российской ассоциации электронных коммуникаций (РАЭК) Карен Казарян рассказал RT, что причиной утечки стала ошибка реализации самого API.

«Если у вас утекают ключи к API, сторонний человек не должен получать доступ к внутреннему ресурсу. Я надеюсь, что такие случаи заставят компанию немного более аккуратно относиться к реализации API и функции безопасности. Они правы, что причиной является активность сторонних приложений, но, наверное, предусмотреть такой сценарий можно», — прокомментировал эксперт РАЭК.

Под прикрытием Facebook

Впрочем, «проверенные» VPN-сервисы тоже не всегда гарантируют полную прозрачность. В начале текущей недели стало известно о том, что виртуальный VPN от компании Facebook, который называется Protect, собирает личные данные пользователей и передает их напрямую компании Марка Цукерберга.

Protect был куплен Facebook в 2013 году, после чего встроен непосредственно в социальную сеть. Активировав соответствующую кнопку, пользователь мог воспользоваться VPN, который шифрует весь интернет-трафик.

Как выяснилось, Protect собирает данные о том, сколько трафика пользователь тратит ежедневно, включая Wi-Fi-соединения, а также отслеживает, с какой частотой включается и отключается экран смартфона.

Кроме того, сервис может узнать мобильного оператора, телефонный код страны, геолокацию и язык операционной системы пользователя.

Что характерно, VPN-сервис собирает эту информацию даже в том случае, если само приложение находится в выключенном состоянии.

Сбор данных Protect по своей сути противоречит принципам VPN-приложений, которые были созданы для сохранения приватности пользователя. Многие авторитетные IT-издания открыто не рекомендуют пользоваться этим приложением.

Бесплатный сыр — только в мышеловке

Руководитель направления информационной безопасности компании КРОК Андрей Заикин рассказал корреспонденту «Газеты.Ru», что непроверенные VPN-сервисы опасны тем, что способны перехватывать информацию, которую отправляют пользователи со своих компьютеров или мобильных устройств по сети.

«Ирония заключается в том, что сервисы и системы VPN изначально задумывались как средства защиты от перехвата информации и сохранения ее конфиденциальности. Но в руках злоумышленников они способны выполнять диаметрально противоположные задачи», — поделился эксперт.

«Газета.Ru» также связалась с руководителем вирусной лаборатории Avast Якубом Кроустеком, который подтвердил, что

если VPN-сервис получает доступ к данным клиента, передаваемым через их службу, и передает их третьим лицам, продукт, который они предоставляют, то он становится полностью неэффективным и нарушает принципы доверия.

При выборе VPN-сервиса эксперт посоветовал изучить людей, стоящих за продуктом, их послужной список и опыт в области безопасности и конфиденциальности.

«Не нужно бояться задавать дополнительные вопросы — добросовестный VPN-поставщик должен ответить на все вопросы, чтобы пользователь чувствовал себя уверенно и знал, что его данные надежно защищены», — заявил Кроустек.

Руководитель отдела технического сопровождения продуктов и сервисов ESET Russia Сергей Кузнецов отметил, что, доверяя трафик бесплатным VPN-сервисам, пользователь должен быть готов, что за предполагаемую анонимность и безопасность может заплатить персональными данными.

С платными сервисами дела обстоят попроще — с ними пользователь заключает договор, в котором прописано, что провайдер не имеет права предоставлять данные третьим лицам. Таким образом, в случае необходимости использования VPN, наиболее безопасным представляется коммерческий сервис с хорошей репутацией.