Цивилизация
Доставка в даркнет
Когда ритейлеры и сервисы раскрывают данные покупателей курьерам, то клиенты попадают в зону потенциальных рисков, заявил «Газете.Ru» эксперт по информационной безопасности компании Лига Цифровой Экономики Андрей Слободчиков.
«Работники доставок получают имя, адрес и номер телефона получателя для оперативной связи. Сразу после выполнения заказа доступ к этим данным пропадает. Однако мы все равно стали свидетелями случаев, когда курьер назойливо писал и звонил клиенту уже после доставки», — отметил он.
По словам ИБ-специалиста, не стоит делиться с курьером «лишними» данными. Например, указывать код от домофона подъезда. «Недобросовестный курьер может продать его в общие базы данных кодов от дверей подъездов города», — предупредил эксперт.
Однако больше всего опасностей для клиентов таит именно раскрытие личного номера телефона. «Появляются сценарии сбора данных с целью дальнейшей продажи или сопоставления с другими базами данных для их обогащения», — добавил Слободчиков.
По данным эксперта, часто базы данных клиентов доставок выгружают в даркнет, так как там востребована информация о номере телефона и ФИО. Такие базы данных используются злоумышленниками.
Чаще всего данные применяются для мошенничества с использованием социальной инженерии. Либо их используют скупщики для формирования баз данных для холодных звонков. Например, представляясь сотрудниками банка.
Директор департамента сбора, хранения и анализа данных компании «ВС Лаб» Иван Барчук рассказал «Газете.Ru», что покупатели «привыкли воспринимать курьеров как функцию, хотя это живые люди со своими ценностями и потребностями».
«Если покупатель лично встречает курьера, то курьер может оценить покупателя физически: пол, примерный возраст и так далее. Если курьер заносит коробки в квартиру, то может еще и оценить интерьер и благосостояние. Многие сервисы предоставляют информацию курьеру о том, какие именно товары он доставляет», — сообщил он.
В случае крупной доставки обычно курьер узнает целиком фамилию, имя и отчество клиента для подтверждения личности при доставке.
«Данные могут продаваться в даркнете или напрямую злоумышленникам. Гипотетически данные можно использовать для распространения наркотиков или других правонарушений, используя код домофона от тихих, малонаселенных подъездов без консьержа и камер», — добавил Барчук.
По его словам, за восьмичасовой рабочий день курьер может доставить примерно 15-25 заказов. За месяц это около 400 покупателей.
Кто под вопросом?
Слободчиков из Лиги Цифровой Экономики рассказал, что для курьеров «Яндекс.Лавки», «Утконоса», «Перекрестка Впрок», iGooods, «Азбуки вкуса», Ozon доступно имя или имя и фамилия, адрес, по которому осуществляется доставка, а также контактный номер телефона в открытом виде.
По его словам, в случае с Delivery Club, «Яндекс.Едой», «Самокатом» и «Яндекс Go» раскрываются имя и адрес, а связь осуществляется через виртуальный номер телефона.
Барчук из «ВС Лаб» отметил, что курьерские службы можно разделить условно на два типа: доставка в течение часа курьером на велосипеде и доставка на следующий день курьером на автомобиле.
По его словам, сервисы каждого из типов подписывают соглашения о неразглашении с сотрудниками, а с покупателями подписывают пользовательское соглашение в электронном виде при регистрации. В нем указано, что пользователь передает свои личные данные сервису и его сотрудникам.
В результате сервис обязуется хранить персональные данные в своих системах в соответствии с российским законодательством. «То есть получить всю базу данных клиентов сервиса курьер конечно же не может. Но сложно как-то скрывать данные о конкретном заказе от курьера, выполняющего его», — пояснил эксперт.
Специалист также отметил, что большинство сервисов должны сообщать курьеру, что же именно он доставляет. «Это делается, чтобы было меньше проблем с повреждением товаров или с неполной доставкой», — добавил он.
Как защититься?
Слободчиков сообщил, что в связи с неприятными ситуациями, когда курьеры общались с клиентами уже после доставки и на личные темы, часть ритейлеров и сервисов стали использовать виртуальные номера для связи. Технология не позволяет ни клиентам, ни курьерам увидеть реальный номер телефона собеседника.
Специалист предложил при необходимости использовать отдельный номер телефона и отдельную банковскую карту — только для взаимодействия с ритейлерами и иными сервисами.
Эксперт также посоветовал сервисам в своем приложении для доставщиков установить запрет на создание скриншотов и автоматическое удаление информации о клиенте после выполнения заказа. «Это усложнит процедуру сбора информации о клиенте», — заметил он.
По информации директора по Big Data компании «ВС Лаб» Владимира Базылева, пока кейсы продажи персональных данных именно курьерами единичные. Особую внимательность специалист призвал соблюдать при общении с курьером от банка.
«Телефон на который он фиксирует документ — только рабочий. На личный телефон он не имеет право делать снимки», — предупредил он.
Базылев также посоветовал никогда не передавать паспорт и банковское документы в руки курьеру, указывая на то, что сотрудник доставки — все-таки незнакомый человек, пусть и представляет известную компанию.
«Как-то уменьшить то количество данных, которые получают курьеры, нельзя, потому что все, что они знают, нужно для связи с клиентом», — констатировал в общении с «Газетой.Ru» руководитель отдела продвижения продуктов «Код Безопасности» Павел Коростелев.
По словам Барчука из «ВС Лаб» покупатели и сами не прочь помочь потенциальным злоумышленникам. Например, оставляя полный набор своих данных о себе на коробках, которые выносятся с мусором.
«Необходимо портить всю контактную информацию перед тем, как выкинуть коробку», — предупредил специалист.
Он также порекомендовал поставить около двери квартиры коробку «приема заказов». При каждом заказе доставки стоит использовать функцию «оставить у двери», пояснил он.
«В этом случае, курьер не сможет получить информацию о вашем внешнем виде и благосостоянии, а также о графике вашего присутствия дома», — заверил Барчук. Он также посчитал, что не стоит пускать курьеров в квартиру без острой необходимости.
«Для нерегулярных доставок безопаснее пользоваться постаматами и пунктами выдачи, не оставляя свой адрес и телефон курьерам при этом», — заключил специалист.
В пресс-службе Delivery Club заявили «Газете.Ru», что курьер в приложении получает адрес клиента, его имя и примечания с полезными комментариями от пользователя — чаще всего клиенты указывают, как лучше добраться до адреса.
«Других данных курьер не получает: еще осенью 2020 года Delivery Club запустил «анонимайзер», скрывающий реальные номера клиентов в курьерском мобильном приложении», — добавил представитель сервиса.
По его словам, система автоматически генерирует вместо реального номера подменный, который будет действовать только во время выполнения заказа. Такая система исключает личные контакты и работает в обе стороны — курьеры и пользователи смогут увидеть только подменные номера.
В пресс-службе «Яндекса» не смогли предоставить «Газете.Ru» оперативный комментарий.