Связывание разных аккаунтов пользователя друг с другом ведет к тому, что маркетинговой компании становится проще сопоставлять профили и создавать потребительское досье; авторитарным властям – идентифицировать анонимного блогера; злонамеренному хакеру – «взламывать» аккаунты. Как возникает связывание? Что можно с этим сделать?
У Никиты два аккаунта Google, корпоративный и личный, и три почтовых сервиса «в дополнение» к Google. Facebook****, Instagram****, Twitter, два онлайн-банка, облачное хранилище (свалка фотографий, удалять жалко, разбираться некогда). Кроме того, Госуслуги, налоговая, провайдер Интернета – пополнять баланс, оператор мобильной связи. А еще службы бронирования жилья и билетов, пара торрентов (тс-с-с-с!), несколько профессиональных форумов, площадка для вебинаров, два десятка интернет-магазинов, какие-то развлекательные ресурсы. Большинство сайтов связано между собой «через Никиту».
– Ну, хорошо, – размышляет Никита. – Онлайн-банк, конечно, нужен. Google, Facebook****, Instagram****, облако – без вопросов. А вот адрес на mail.ru? Да я его сто лет не использую. Там нет ничего важного!
Повторение данных доступа
Одинаковые логины помогают связать аккаунты с конкретным лицом. Если Никита зарегистрирован на музыкальной барахолке с аккаунтом Highway_Star, продавал там гитару и добавил для связи номер телефона, в этом, кажется, нет проблемы. Но если некий аноним ведет острый политический блог и публикует свои сообщения под псевдонимом Highway_Star, его недоброжелатели могут сопоставить данные двух виртуальных личностей, и – прощай, анонимность. Связывание аккаунтов через логины может упростить сбор данных о конкретном человеке.
Одинаковый пароль ведет к тому, что, взломав один аккаунт, злоумышленник получит в свое распоряжение и другой аккаунт с тем же паролем. В феврале 2019 года компания Google провела опрос трех тысяч жителей США и выяснила, что 52% использовали один пароль для нескольких аккаунтов, а 13% – для всех своих аккаунтов. Не делайте так.
Рекомендации
Подумайте о том, чтобы избегать «буквального» повторения логинов в аккаунтах. Да, порой логином служит телефонный номер, или работодатель требует, чтобы ваш корпоративный адрес email включал имя и/или фамилию (nikitasokolov@deeppurple.com). Но в прочих ситуациях можно включить фантазию, особенно когда речь идет об аккаунтах, которыми вы вряд ли будете часто пользоваться.
Не используйте один пароль для двух и более аккаунтов. Не повторяйте пароли («Какой бы пароль придумать для магазина Ozon? А! Пусть будет тот, который у меня раньше был для Твиттера, проще запомнить»). Для надежного запоминания/хранения паролей можно пользоваться программами-менеджерами паролей, такими как KeePassXC. Подробнее о работе с KeePassXC вы можете прочитать по ссылке.
Привязка аккаунта к адресу email
В настройках аккаунта Facebook****, который Никита использует для администрирования корпоративной страницы, указан адрес email. Facebook**** предложил Никите сделать это для защиты аккаунта и восстановления забытого пароля. Никита указал свой адрес на mail.ru. Прошли годы. Сегодня Никита предпочитает Gmail, иногда пользуется Proton Mail, а старый адрес mail.ru давно забросил. Пароль там остался какой-то простой, Никита не менял его уже лет пять. Двухфакторной аутентификации нет – в те времена она еще не была популярна.
В описанной ситуации аккаунт mail.ru – слабое звено. Расчетливый злоумышленник, возможно, направит свои усилия именно туда. Заполучив этот аккаунт, злодей сумеет «восстановить пароль» к Facebook****, а также к любому другому аккаунту, где в настройках указан взломанный адрес.
Рекомендации
Возможно, лучше не указывать адрес email в настройках аккаунта, если это не обязательно. Вместо того, чтобы полагаться на схемы экстренного восстановления паролей, попробуйте инвестировать время в надежные пароли и резервное копирование.
Если все-таки нужно указать какой-то контакт в настройках аккаунта, то лучше email, чем телефон. (О том, почему привязка к телефону может быть опасной, мы писали здесь. Включите в настройках двухфакторную аутентификацию. Указанный вами адрес email должен быть сравнительно надежным (попробуйте Proton Mail) или Tutanota). Важно, чтобы этот почтовый аккаунт в свою очередь не был связан с каким-то полузабытым «мусорным» адресом.
Приложения соцсетей
Пробовали когда-нибудь залогиниться на сайт без регистрации, а с помощью ссылки «войти через Facebook****»? Владельцы онлайновых сервисов любят такую опцию, потому что она ускоряет процедуру регистрации и помогает удерживать клиентов. Никите тоже нравится: быстро, удобно, не нужно запоминать еще одну пару логин/пароль.
При «входе через Facebook****» в фейсбучный аккаунт Никиты добавляется приложение. Зайдите в «Настройки» – «Приложения и сайты». Взгляните, сколько приложений установлено у вас и какие. Системы бронирования билетов, дискуссионные площадки, онлайновые тесты…
У Никиты таких приложений двадцать восемь. Если злоумышленник получит доступ к аккаунту Никиты Facebook****, он сможет зайти на любой из этих сайтов, посмотреть настройки профилей и сохраненные данные, возможно, выполнить какие-то действия с этого аккаунта.
Каждое приложение обладает набором разрешений для обработки Никитиных данных в Facebook****. Например, имя, фото, город проживания, электронный адрес. Некоторые приложения могут пойти дальше и заинтересоваться, скажем, вашим списком друзей. Если вы щелкнете мышью по значку приложения, то увидите эти разрешения.
Инструментом самого масштабного в истории скандала (2018 год) с обработкой массива данных миллионов пользователей Facebook**** с последующей обработкой для нужд политических кампаний стало приложение «This Is Your Digital Life» (дело Cambridge Analytica). По свидетельству главы Facebook**** Марка Цукерберга, приложение установили 300 тысяч человек, но общее число затронутых пользователей Facebook**** составило до 50 миллионов.
Большинство приложений в аккаунте Никиты оказалось связано с сайтами, которые наш герой посещал год или два назад, а некоторые сайты он даже не узнал.
Рекомендации
Лучше регистрироваться на сайтах, придумывая отдельные, уникальные логины и пароли. Чтобы помочь преодолеть искушение быстро «войти через Facebook****», можно отключить в настройках социальной сети соответствующий функционал: «Настройки» – «Приложения и сайты» – плашка «Настройки, сайты и игры» – «Редактировать» – «Выключить».
Если вы, как Никита, не готовы окончательно расстаться с приложениями Facebook****, по крайней мере, просмотрите их. Удалите лишние, незнакомые, сомнительные. У оставшихся посмотрите разрешения (и при необходимости отключите).
Facebook**** не единственный ресурс, который использует приложения. Входить на некоторые сайты можно, например, через Google, Twitter, «ВКонтакте». В аккаунтах этих сервисов есть разделы со списком подключенных приложений.
Оставайтесь в безопасности и не забывайте: у каждого человека свои ценности и угрозы. Может быть, наши советы не вполне вам подойдут. Но теперь вы знаете, на что обратить внимание.
Сергей Смирнов
https://te-st.ru/2019/06/17/risks-of-connecting-accounts/?utm_source=facebook****&utm_medium=social&utm_campaign=technology
Юридическая помощь гражданам и организациям по гражданским и административным делам. Консультации, составление любых документов правового характера, представительство в СОЮ и арбитраже.
Запись по тел.:+7-919-342-10-98 (WhatsApp, Telegram и др.)
Эл. почта zhuikovayv@vk.com.
