В приложениях для знакомств пользователи чаще ищут общение и новые впечатления, а не готовы делиться личной информацией. Однако подобные сервисы имеют уязвимости в защите конфиденциальности. На мероприятии MWC21 эксперт «Лаборатории Касперского» Татьяна Шишкова обнародовала анализ защищённости популярных онлайн-сервисов свиданий. Рассмотрим ключевые итоги проверки приватности и предложим рекомендации по безопасности личных данных.
Эволюция защищённости сервисов знакомств за четыре года
Наша команда уже анализировала эту сферу ранее: в 2017 году исследование девяти платформ выявило серьёзные недостатки. Тогда наблюдались проблемы с защитой передачи данных, их хранением и нежелательной доступностью для третьих лиц. Основные риски 2017 года:
- Шесть из девяти плаформ позволяли определять географическое положение пользователей.
- Четыре сервиса раскрывали реальные имена и давали возможность найти профили в соцсетях.
- Четыре приложения допускали перехват конфиденциальных данных во время передачи.
В 2021 году мы протестировали новые версии популярных сервисов: Tinder, OKCupid, Badoo, Bumble, Mamba, Pure, Feeld, Happn и Her. Выборка отличается от 2017 года из-за изменений рынка, но ключевые игроки остались прежними.
Защита при передаче и хранении информации
За четыре года ситуация с защитой данных улучшилась. Все проверенные приложения теперь используют шифрование. Кроме того, разработчики внедрили механизмы против атак с подменой сертификатов: при обнаружении подделки передача данных блокируется, а Mamba дополнительно предупреждает о рисках.
При хранении информации на устройстве риск сохраняется только при наличии root-прав у злоумышленника. Однако такой сценарий маловероятен, а устройство с root-доступом уязвимо в принципе, поэтому угроза кражи данных из приложений знакомств не является основной.
Открытые пароли в электронных письмах
Два сервиса — Mamba и Badoo — отправляют пароли при регистрации в незашифрованном виде. Поскольку пользователи редко сразу меняют пароли и часто пренебрегают защитой почты, это создаёт риски. Взлом почтового ящика позволяет злоумышленнику получить доступ к аккаунту знакомств (если не подключена двухфакторная аутентификация).
Требование публикации фотографий
Проблема скриншотов профилей остаётся актуальной: их могут использовать для шантажа или публичного осуждения. Лишь один сервис (Pure) разрешает регистрацию без фото и запрещает скриншоты. Mamba предлагает бесплатное размытие изображений с возможностью открыть оригинал выбранным контактам. В остальных платформах аналогичные функции доступны за дополнительную плату.
Интеграция с социальными сетями
Все сервисы, кроме Pure, позволяют регистрироваться через аккаунты соцсетей (преимущественно Facebook). Это альтернатива предоставлению номера телефона, но новые или малозаполненные профили Facebook могут потребовать подтверждения номером.
Основная проблема — автоматическое использование фотографий из соцсетей, что упрощает идентификацию пользователя. Многие платформы также поощряют подключение Instagram или Spotify для синхронизации контента. Хотя прямой связи нет, информации в профиле часто достаточно для поиска человека на других ресурсах.
Определение местоположения
Критичный вопрос — обязательное предоставление геоданных. Четыре приложения (Tinder, Bumble, Happn, Her) требуют постоянного доступа к локации. В трёх из них платные версии позволяют сменить местоположение. Happn скрывает расстояние в премиум-тарифе.
Mamba, Badoo, OkCupid, Pure и Feeld не требуют обязательного геодоступа, разрешая указывать локацию вручную. Однако Mamba определяет местоположение с точностью до метра. Большинство сервисов уязвимы к триангуляции через подмену координат. Лишь Tinder и Bumble блокируют такие методы.
Итоги исследования
Защита данных технически улучшилась: шифрование стало стандартом, внедрены меры против MITM-атак, большинство компаний участвуют в программах bug bounty.
С приватностью ситуация сложнее: сервисы не заинтересованы ограничивать избыточный обмен данными (овершеринг). Пользователи часто публикуют слишком много данных, рискуя стать жертвами доксинга, сталкинга или утечек.
Овершеринг характерен не только для сервисов знакомств, но их специфика повышает риски. Здесь люди чаще раскрывают личные детали, а инструментов контроля приватности меньше. Рекомендуем внимательнее относиться к публикуемой информации.