Новая, персональная
Попробовать
Новости партнеров

Большая игра

Популярную соцсеть поймали на слежке за знаменитостями. Чем это грозит обычным пользователям?

Фото: Diomedia

В июле Twitter пережил сильнейшую хакерскую атаку, в результате которой были взломаны аккаунты многих звезд. А в конце месяца Bloomberg сообщил, что внутри корпорации существовала некая игра: сотрудники, имевшие доступ к внутренним инструментам, получали возможность следить за пользователями ради развлечения. Все это ставит вопрос о безопасности личных данных, которые имеются в распоряжении не только Twitter, но и других IT-гигантов. Как его предлагают решить в России? Об этом — в материале «Ленты.ру».

Доступ к телу

В середине июля Twitter подвергся масштабной хакерской атаке: по данным соцсети, в общей сложности были взломаны 130 аккаунтов, многие из которых принадлежали знаменитостям. Злоумышленники проникли в профили главы Tesla и Space X Илона Маска, основателя Microsoft Билла Гейтса, главы Amazon Джеффа Безоса, музыканта Канье Уэста, бывшего президента США Барака Обамы, нынешнего кандидата в президента США от Демократической партии Джо Байдена и других звезд, аудитория которых — десятки и сотни миллионов пользователей. Помимо частных аккаунтов, хакеры получили доступ к страницам крупных компаний, таких как Apple, Uber и Bloomberg, а также к официальным профилям Bitcoin, Ripple, Coindesk, Coinbase и Binance.

На взломанных страницах появились сообщения о раздаче биткоинов. Чтобы их получить, подписчикам крупных публичных персон предлагали перевести на определенный кошелек тысячу долларов. Сумму в биткоинах обещали удвоить. В итоге за те три часа, что длилась атака, на кошелек аферистов поступило по меньшей мере 120 тысяч долларов (8,5 миллиона рублей).

Эксперты называли эту атаку крупнейшей в истории Twitter и отмечали, что злоумышленники могли воспользоваться уязвимостью в соцсети. При этом соцсеть в последнем обновлении уточнила, что хакеры получили доступ ко внутренней системе с помощью фишинговой атаки на мобильники работников Twitter: сначала они добрались до тех, кто не имел возможность управлять аккаунтами пользователей, после чего получили данные о сотрудниках с более широкими полномочиями. «Это была многоходовая атака», — отметил в разговоре с «Лентой.ру» заместитель руководителя Лаборатории компьютерной криминалистики Group-IB Сергей Никитин.

Вместе с тем издание Vice утверждало, что взлом произошел при участии сотрудника Twitter. Журналисты вышли на хакеров, которые рассказали, что заплатили работнику за доступ к внутреннему сервису социальной сети. Здесь важно понимать: этот сервис не дает возможности просто зайти в любой аккаунт и завладеть личными данными любого пользователя. «Проникновение в данные сотрудников не давало хакерам доступ к страницам пользователей. Они с помощью служебных учетных записей могли сменить привязанную почту, сбросить пароль и отключить двухфакторную аутентификацию. В результате чего пароль был сброшен на левую почту, и злоумышленники смогли войти в аккаунт пользователей, получить доступ к данным и в том числе к личным сообщениям», — объяснил Сергей Никитин.

Информационная катастрофа, которая произошла с Twitter, серьезно поставила вопрос о безопасности персональных данных, которые хранит соцсеть. Проблема стала гораздо более острой после сообщения агентства Bloomberg: бывшие сотрудники Twitter рассказали изданию, что за известными пользователями платформы устроили настоящую слежку. Кто? Сами работники компании.

По информации Bloomberg, около 1,5 тысячи сотрудников Twitter имеют доступ к тем самым внутренним инструментам, которые дают возможность сбросить доступ к аккаунту, сменить пароль и так далее. При этом, пишет агентство, контроль над деятельностью работников с такими полномочиями был очень слабый, о чем с 2015 года якобы неоднократно докладывалось CEO компании Джеку Дорси. Это приводило к серьезным злоупотреблениям. В 2017-2018 годах некоторые контрактники даже придумали «игру»: они создавали поддельные запросы в службу поддержки, затем заходили в учетные записи знаменитостей и получали в свое распоряжение личные данные, в том числе приблизительную геолокацию, которая определялась по IP-адресу их персональных устройств.

В эту «игру» были вовлечены настолько много людей, что служба безопасности Twitter не успевала отслеживать каждый из случаев. Причем шпионили не только за знаменитостями типа Бейонсе — работники сервиса собирали информацию о политиках или крупных компаниях, а кто-то — даже о бывших любовниках.

Все это Bloomberg рассказали бывшие сотрудники Twitter. В пресс-службе компании эти случаи комментировать отказались, а в ответе на запрос Business Insider уточнили, что такие злоупотребления считаются недопустимыми и могут привести к увольнению. Судебных разбирательств по этому случаю в США пока не начато.

Выхода нет

При этом Twitter, как и другие крупнейшие IT-компании Facebook и Google, неоднократно сталкивался с обвинениями в халатном отношении к данным пользователей или незаконной сборке этих данных. Так, одно из последних обвинений в адрес корпорации Google (Alphabet Inc) прозвучало в июле этого года: компания Boies Schiller Flexner обратилась в суд, заявив, что Google незаконно собирал данные юзеров, даже когда они отключали соответствующие функции в своих аккаунтах. В подобном уличили и Facebook в 2019 году. Компания в ответе на запрос американским сенаторам фактически признала, что ведет постоянную слежку за пользователями. Представители популярной социальной сети пояснили, что фиксация местоположения юзеров происходит всегда и автоматически, даже если службы GPS на устройстве отключены. Тотальный контроль необходим для таргетирования рекламы. Сервисы Facebook способны получать данные о локации по IP-адресам или даже из отметок на фото.

Угроза утечек личной информации существует постоянно. Серьезно повлиять на отношение Twitter, Facebook и Google к персональным данным в правовом порядке довольно трудно, в том числе в России. В качестве примера можно привести случай, который произошел в мае: соцсети не выполнили решение московского суда и не заплатили штрафы в размере четырех миллионов рублей за отказ от локализации хранения данных россиян в установленные сроки, чего требует закон о персональных данных. При этом председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России (АЮР) Александр Журавлев в интервью «Коммерсанту» заявил, что Twitter и Facebook не имеют юридической прописки в России, поэтому приставы не смогут взыскать с них штрафы.

Депутат Госдумы от «Единой России» Антон Горелкин предлагал «бить по карману нарушителей закона». Говоря конкретно о Facebook, он заявил: «Я считаю, нужно ограничить размещение рекламы российских юридических, физических лиц на таких площадках». «Помимо всех политических вещей, есть чисто экономические моменты. И нужно смотреть, какую долю в доходах крупных компаний занимает русскоязычный сегмент. Действительно ли такое ограничение может нанести урон такой компании, как Facebook?» — отметил «Ленте.ру» Сергей Никитин из Group-IB. Он предположил, что западные IT-гиганты вполне проживут без доходов от российского сегмента. При этом гендиректор Facebook Марк Цукерберг говорил, что компания не станет хранить данные в странах, где нарушаются права человека, и подчеркивал, что компания готова даже к блокировкам в этих странах.

Недавно АЮР выступила с предложением «приземлить» Twitter и Facebook в России: по мнению ассоциации, компании должны открыть свои представительства в России. Юристы уточнили, что это необходимо для того, чтобы защитить в случае нарушения прав российских пользователей.

С правовой точки зрения единственно возможное воздействие на Twitter и Facebook со стороны России — это как раз блокировка, считает ведущий аналитик Российской ассоциации электронных коммуникаций Карен Казарян. Однако, как уже было отмечено, такое решение, наверняка продиктованное политическими мотивами, вряд ли нанесет серьезный экономический ущерб IT-гигантам. К тому же пойти по китайскому пути, как отметил Никитин, можно, но что тогда будет с пользователями, которые привыкли к удобным сервисам?

Очевидно, что мнения по этому вопросу расходятся, и расходятся сильно. России еще предстоит найти оптимальный путь к тому, чтобы обеспечить безопасность личных данных граждан, которыми располагают крупнейшие мировые IT-компании.