Приватность и цифровой след

Совсем не оставлять цифровой след в современном мире вряд ли получится: вы просто не сможете нормально пользоваться интернетом. Современные технологии построены на сборе данных: чем больше сервис про вас знает, тем точнее он предугадывает ваши желания. «Яндекс Музыка» или «Спотифай» знают, какую песню включить следующей, «Ютуб» или «VK Видео» предложат интересный ролик, «Иви» или «Нетфликс» — фильм.

Многие люди говорят: «Ну и пусть про меня собирают данные. Бояться нужно только преступникам, а я — честный человек. Мне нечего скрывать!» Но такой подход наивен и далек от истины.

Если не согласны, то, пожалуйста, опубликуйте свой адрес и номер телефона, девичью фамилию матери и пароль от онлайн-банка в комментариях к уроку.

Приватность — это не про скрытие цифрового следа и анонимность. Приватность — это управление своим цифровым следом: чтобы в интернете про вас была только та информация, которой вы готовы поделиться. И чтобы к той информации, которой вы не захотели делиться, никто не получил доступ.

В 2021 году полиция Сан-Франциско начала расследование в отношении американца по делу о «сексуальной эксплуатации детей». Отец сделал фото новорожденного сына по просьбе врача, фото синхронизировалось с облачным сервисом Гугл, алгоритмы пометили фото как «неприемлемое» и передали информацию полиции. Хотя полиция сняла все обвинения, компания «Гугл» удалила абсолютно все данные мужчины из своих сервисов за «нарушение правил использования»: молодой отец потерял фотографии своего ребенка и важные рабочие документы.

То, что алгоритмы все лучше нас понимают, не всегда плохо. Например, зная ваши музыкальные предпочтения, они покажут рекламу интересного вам концерта или фестиваля. Если они будут знать, какая у вас машина, то сообщат о распродаже моторного масла или об акции в сервисном центре неподалеку. А если у вас нет детей, то вы не увидите рекламу подгузников и детского питания.

Однако у такого трекинга есть и негативные последствия. Например, банки и страховые компании анализируют цифровой след человека, чтобы оценить его уровень склонности к риску. Если программа, например, найдет фотографии со сноубордом или из казино, то ставка по кредиту будет выше, а страховка — дороже. Причем иногда вы даже не будете виноваты: алгоритмы могут найти у вас в друзьях людей с высокой кредитной нагрузкой, продадут эту информацию в банк, а банк пометит вас как рискованного клиента.

Агрегаторы авиабилетов и сервисы бронирования отелей используют информацию о вас для манипулирования ценами. Если вы ищете в поисковиках туры на Мальдивы и советы, чем там заняться, алгоритмы поймут, что вы заинтересованы — и билеты с отелями вдруг станут немного дороже.

Исследователи отмечают, что нечестные на руку рекламодатели специально настраивают рекламу на тех, кому она может причинить вред. Например, букмекеры показывают рекламу импульсивным и склонным к риску людям. Иногда даже специально таргетируют рекламу для тех, кто пытается завязать с азартными играми или вылечиться от игровой зависимости. А рекламу вредной еды и фастфуда направляют на подростков и людей с расстройствами пищевого поведения, что еще сильнее подрывает их здоровье.

Вот что стоит сделать, если хотите сократить свой цифровой след.

⚙️ Откажитесь от сбора данных и диагностики. Законы обязывают компании разрешать пользователям отказываться от сбора данных в интернете — хотя бы частично. Проблема в том, что компании не хотят терять ценные данные, поэтому прячут нужные настройки глубоко в недрах.

Мы сделали отдельную инструкцию для всех популярных браузеров, операционных систем и сервисов — подробную и с картинками.

⚙️ Установите блокировщики трекеров и рекламы — в виде браузерных расширений или отдельных программ. Они скрывают надоедливую рекламу и делают каждый сеанс в интернете безопаснее, защищая вас от хакеров и мошенников: например, блокируют фишинговые сайты и сайты с вирусами.

Простой способ — установить расширение для браузера. Большинство расширений бесплатны и не требуют регистрации, а настройки интуитивны, так что разобраться несложно. Самыми популярными и эффективными считаются uBlock Origin и AdBlock.

Более продвинутый способ — установить отдельную программу. Плюс таких решений в том, что они умеют блокировать рекламу еще до того, как она загрузится. А значит, экономят интернет-трафик и вычислительные ресурсы устройства. Для компьютеров можем посоветовать AdGuard, для смартфонов — Blokada или AdAway.

⚙️ Измените поисковую систему в браузере. Гугл и Яндекс — отличные поисковики, но они собирают много данных. Вместо них можно использовать, например, Startpage — поисковик, который работает на базе того же Гугла, но не дает ему собирать информацию о пользователе, или Brave Search — конфиденциальный поисковик, который опирается на собственные поисковые алгоритмы и базы данных.

Среди альтернатив можно выделить и DuckDuckGo — поисковик с открытым исходным кодом и интерфейсом, напоминающим Гугл. Помимо собственного алгоритма он использует выдачу из других поисковиков, включая Yahoo и Bing. Нюанс поисковика в том, что создатели цензурируют выдачу в соответствии со своими политическими взглядами: будет практически невозможно найти информацию из некоторых российских и иностранных СМИ.

Изменить поисковик по умолчанию можно в пару кликов в любом браузере — найдите соответствующий пункт в настройках. Как вариант — перейдите на сайт интересующего вас поисковика и поищите кнопку «установить поисковиком по умолчанию», она должна быть на видном месте.

⚙️ Используйте VPN. В России нет запрета на использование VPN, если эта технология используется для защиты данных. VPN маскирует ваш IP-адрес и мешает злоумышленникам и рекламным трекерам вычислить вас. Это особенно эффективно, когда VPN-сервисом пользуются сотни других пользователей: их цифровые следы как бы смешиваются с вашими.

Подробнее о VPN мы рассказали во втором уроке курса.

⚙️ Установите приватные браузеры. Самые популярные браузеры в России — это «Гугл-хром» и «Яндекс Браузер». Оба они постоянно передают информацию о ваших действиях в материнские компании — «Гугл» и «Яндекс» соответственно. Если вам не нравится такое положение дел, то лучше пользоваться браузерами от независимых разработчиков. Порекомендуем несколько достойных вариантов.

Браузер Brave работает на движке Chromium от Гугла, так что это, по сути, «Гугл-хром» без рекламы. Основное достоинство браузера — безопасность. Сервис Brave Shields защищает от скриптов, расширенного отслеживания рекламодателей, вирусных программ и куки сайтов.

Браузер Vivaldi можно настроить как угодно и под любые нужды: либо оставить одну лишь адресную строку, либо разместить в меню все нужные папки, настройки и даже заметки. При этом в Vivaldi доступны расширения из «Хрома» — браузер работает на движке от Гугла.

⚙️ Используйте основной почтовый адрес только в доверенных приложениях и сервисах. Если регистрируетесь в сервисе, которым не планируете пользоваться регулярно, лучше создать временный адрес электронной почты или использовать пересылку с анонимных адресов: это защитит вас от спама и поможет минимизировать последствия в случае утечки данных. О таких сервисах мы рассказывали в отдельной инструкции.

Не обменивайтесь чувствительными данными в соцсетях и по электронной почте. Такие сервисы шифруют данные только при пересылке между вашим устройством и сервером компании. Получается, что вашу переписку могут прочитать все, кто получит доступ к серверу или смартфону.

Владельцы сервиса просканируют письма и фото, чтобы показать вам более релевантную рекламу. Злоумышленники могут узнать ваши секреты, а потом шантажировать ими или продать на черном рынке.

Из-за несовершенства технологий слежки можно даже попасть под прицел спецслужб. Так, например, в квартиру к жителю Екатеринбурга пришли спецслужбы из-за того, что он с другом обсуждал через «Вконтакте», как сделать оружие — в компьютерной игре. Причем некоторые сервисы намеренно оставляют уязвимости в коде — бэкдоры, — чтобы спецслужбы могли подключиться к серверам и получить данные даже без решения суда. Но если в коде есть бэкдор, то воспользоваться им могут и злоумышленники.

Если не хотите, чтобы к вашей переписке получили доступ посторонние люди, лучше воспользуйтесь мессенджером, который поддерживает сквозное шифрование, оно же end-to-end. Его суть в том, что ключи шифрования находятся непосредственно на устройствах отправителя и получателя. Никто, кроме них, даже разработчик мессенджера, не может расшифровать сообщение.

Вот три самых популярных варианта — каждый со своими нюансами.

🤫 «Вотсап»* шифрует всю переписку. Однако остальные данные передаются в компанию Meta*: например, с кем и как часто переписывается пользователь, где и рядом с кем он в этот момент находится. Все это при определенных обстоятельствах позволяет деанонимизировать пользователя и ставит под угрозу его приватность. Получается, «Вотсап» подходит для повседневного общения с друзьями и родственниками, но не рекомендуется для обмена чувствительной информацией.

🤔 «Телеграм». По умолчанию мессенджер не использует сквозное шифрование в переписке, в каналах и группах, однако поддерживает его при звонках и в секретных чатах — мы рассказали о них подробнее в отдельной инструкции. Основная проблема таких чатов в том, что в них могут общаться только два человека, групповое общение они не поддерживают.

😎 «Сигнал». Мало того что он по умолчанию поддерживает сквозное шифрование, так еще и код мессенджера находится в свободном доступе: любой специалист по безопасности в любой момент может убедиться, что в мессенджере нет бэкдоров или уязвимостей. Из-за этого им пользуются, например, Илон Маск и Эдвард Сноуден. Зарегистрироваться в мессенджере можно и с российским номером телефона, но чтобы получить код подтверждения, придется подключиться с иностранного IP-адреса.

Доксинг, также известный как деанон, — это поиск и намеренное раскрытие информации в интернете о каком-то конкретном человеке. С развитием нейросетей такой вид преступности стал еще опаснее: найти информацию о человеке стало легче, как и подделать документы.

Самый распространенный контекст — ссора в онлайн-игре или в комментариях на новостном сайте. Задача злоумышленника — нанести жертве психологический урон, вызывая тревогу и страх за жизнь. Травлей могут заниматься бывшие супруги, отвергнутые ухажеры, плохо расставшиеся партнеры по бизнесу и участники мелкого бытового конфликта.

Доксинг может привести к тяжелым последствиям. Представим, что злоумышленники раскрыли домашний адрес человека: теперь в квартиру могут раз за разом стучаться хулиганы, а другие «шутники» начнут отправлять туда курьеров с пиццей — с оплатой при получении, конечно же. В некоторых случаях на адрес пострадавшего вызывают не курьеров, а полицейских. В США такое явление называют «сватингом» — от SWAT: так называется полицейское подразделение быстрого реагирования. От таких вызовов страдают как обычные люди, так и публичные.

Люди оставляют о себе много чувствительной информации в соцсетях: например, где они живут и работают, чем увлекаются и какими банками пользуются. Все эти данные обрабатывают мошенники.

Делается это не вручную, а с помощью краулеров — специальных программ, которые исследуют все возможные страницы в интернете. Так получается обработать тысячи страниц в день и создать из них базу данных. Базы есть как закрытые — для продажи, — так и открытые. Эти базы затем используют, чтобы сделать схемы разводов правдоподобнее: например, вас пригласят за «новым полисом ОМС» в ближайшую поликлинику — и правильно назовут ее адрес.

Утечки данных сильно помогают доксерам и мошенникам. В марте 2022 года в сеть попали данные десятков тысяч клиентов «Яндекс Еды»: с именами, адресами доставки, номерами телефонов и даже суммой заказов. Злоумышленники создали сайт с интерактивной картой, где можно было посмотреть всю украденную информацию. А всего в 2022 году специалисты по безопасности зафиксировали 710 таких инцидентов.

Чем чаще вы оставляете данные о себе в каком-либо сервисе, тем выше риск, что когда-нибудь они попадут не в те руки. О том, что делать, если ваши данные утекли, мы поговорим дальше в уроке. А пока разберемся с тем, как запутать цифровые следы, чтобы помешать доксерам и мошенникам.

🛡️ Проведите ревизию аккаунтов. Если вы перестали пользоваться старыми аккаунтами в соцсетях или бросили сидеть на древнем форуме, лучше удалить там посты и профили.

🛡️ Ограничьте приложениям доступ к данным. Приложение сети АЗС запрашивает местоположение, чтобы знать, на какой заправке вы находитесь. Приложение банка — чтобы показать ближайшие банкоматы. Это удобно, но несет риски: данные об истории ваших передвижений могут попасть в утечку или к ней получит доступ разработчик-злоумышленник. Если вам не важны функции, для которых требуется геолокация, лучше не давать приложению к ней доступ.

Многие приложения вполне могут обойтись без доступа к вашим смс, контактам, файлам, микрофону и камере. Оставьте приложениям только самые необходимые разрешения. Загляните в настройки смартфона и проведите ревизию. Подробнее об этом мы рассказывали в третьем уроке курса.

🛡️ Своевременно обновляйте устройства и программы. Мошенники могут использовать уязвимости в старых версиях, чтобы получить доступ к вашим данным. Лучше не затягивать с обновлениями, если они вышли.

🛡️ Не заходите на незащищенные сайты. Если адрес страницы начинается с http://, а не с https://, то у нее нет сертификата безопасности. При посещении не оставляйте там конфиденциальную информацию: ФИО, адрес, номер телефона или банковской карты. Подробнее об этом мы говорили в первом уроке курса.

🛡️ Проверьте настройки конфиденциальности. Большинство соцсетей позволяют регулировать приватность страницы: полностью скрыть ее из интернета, сделать доступной только друзьям или публиковать отдельные посты для определенных людей. Если это не требуется для вашей работы, лучше не открывать для всех номер телефона или адрес электронной почты.

🛡️ Не публикуйте в соцсетях и мессенджерах слишком много информации. Особенно это касается данных, которые стоит разглашать с осторожностью, например о поездках или длительном отсутствии дома. Аккуратнее с фото из окна и тем более с геометками: по ним легко вычислить, где вы живете, работаете или часто бываете.

🛡️ Не заказывайте такси к подъезду. Несмотря на все старания специалистов по безопасности, злоумышленники все равно имеют связи в службах поддержки крупных агрегаторов. За небольшую плату они могут получить сведения о том, откуда и куда определенный пользователь заказывал поездку, — такие услуги называются «пробивом».

В современном мире сложно не пользоваться услугами такси. Но если вы заботитесь о приватности, лучше заказывать машину хотя бы не к своему подъезду. А еще лучше — зарегистрироваться в сервисе с виртуального номера и никому его не сообщать, тогда вас будет сложнее вычислить и «пробить».

🛡️ Забирайте заказы самовывозом, а не курьерской доставкой. Если за новым чехлом для телефона вы будете приходить в пункт выдачи заказов, а за пиццей — в ресторан, то у сервисов доставки не будет вашего адреса жительства или работы. Соответственно, адрес не попадет в утечку и не станет известен злоумышленникам.

Компромиссный вариант — не указывать номер квартиры и подъезда при доставке, а встречать курьера на улице. Виртуальный номер будет полезен и в этом случае.

🛡️ Создайте виртуальную личность. Это ультимативный способ защититься от доксеров и повысить приватность. Иногда такую личность называют «фейк». Зарегистрироваться под выдуманными данными — еще и гарантированный способ избежать спама.

В мире, где почти все сервисы требуют от вас указать имя с фамилией, добавить фото и номер телефона, виртуальная личность может прийти на выручку. Вы по-прежнему сможете читать посты любимых блогеров, переписываться с друзьями и лайкать мемы с котиками. Зато если вам позвонят из «Энергосбыта» и назовут Васисуалием — вы сразу поймете, где именно произошла утечка данных. Если вас, конечно, не зовут Васисуалий.

В Т⁠—⁠Ж есть подробная инструкция по созданию виртуальной личности.

Самый простой вариант — проверить свой адрес электронной почты на сайте Have I been pwned. Сайт отслеживает и коллекционирует утечки данных и позволяет проверить, скомпрометированы ли ваши аккаунты. Введите адрес электронной почты — и сайт подскажет, были ли ваши данные в известных утечках и откуда они там появились.

В разделе Notify Me можно оставить адрес почты — вам придет письмо, если аккаунт окажется скомпрометирован. Из минусов — на Have I been pwned не всегда попадают утечки с российских сайтов и сервисов, а сам сайт работает только на английском языке.

В качестве альтернативы можно воспользоваться сервисом Firefox Monitor. У него одна база данных с Have I been pwned, однако Firefox Monitor доступен на русском языке. Для получения отчета придется зарегистрироваться.

Проверить слитые данные можно даже в некоторых браузерах, менеджерах паролей и антивирусах. Обо всех вариантах рассказали в отдельной шпаргалке.

Советуем следить за публикациями в СМИ. Во-первых, компании обязаны делать публичные заявления и предупреждать клиентов, если конфиденциальность данных была нарушена. Во-вторых, если специалисты по безопасности обнаружат слив, то обязательно сообщат об этом, как было в случае с «Яндекс Едой». Если в компании, услугами которой вы пользуетесь, произошла утечка, стоит приготовиться к последствиям. Об этом — в следующем разделе.

🔹 Проверьте достоверность утечки. Все чаще объявления об утечке данных используют мошенники для фишинга: они присылают панические сообщения о скомпрометированных данных и побуждают действовать на эмоциях: например, взять «контркредит» и перевести деньги на «безопасный счет». Главное — успокоиться и оценить ситуацию.

Компании, пусть и с задержкой, сами признают факт утечки — сообщают о ней на своем сайте или в рассылке. Либо же о них пишут авторитетные СМИ. Ориентируйтесь на официальные источники.

🔹 Не вводите свои данные в сторонние сервисы проверки. Некоторые масштабные утечки сопровождаются публикацией клиентской базы на каком-нибудь сайте. Там же предлагают ввести свое имя и номер телефона, чтобы проверить, есть ли ваши данные в базе. Лучше этого не делать: так злоумышленники могут пополнить свой каталог или подтвердить актуальность украденной информации.

Иногда хакеры предлагают удалить опубликованные данные за определенную плату. Но что хоть раз попало в интернет, навсегда останется в интернете: даже если вы удалите данные из одной базы, они тут же появятся в десятках других.

🔹 Приготовьтесь к наплыву мошенников. После попадания в открытый доступ номеров телефонов и личной информации ожидайте волны звонков или писем якобы из банков, правоохранительных органов и прочих учреждений.

🔹 Смените пароли. В четвертом уроке мы рассказывали, почему важно иметь разные пароли для всех сайтов и сервисов. Ведь хакеры тут же попытаются подставить украденный пароль куда только можно. Если вы до сих пор используете одинаковые пароли, то придется восстанавливать доступ не только к сервису, допустившему утечку, но и к банкам, соцсетям и госуслугам.

🔹 Не вините себя. Можно принять любые средства предосторожности, но все равно стать жертвой утечки. В первую очередь потому, что она происходит не на вашей стороне, а на стороне компании, которой доверяете данные. В интернете крайне сложно вообще не «отсвечивать»: вы все равно авторизуетесь под настоящими именем и фамилией, оставите реальный адрес почты, закажете товар на домашний адрес, где-то промелькнет номер телефона.

Помните, что в утечке вы — одна строка из миллионов похожих. Это все еще серьезно, но, вероятнее всего, поправимо. Особенно если вы не медийная личность. Главное — вовремя среагировать на ситуацию, оценить актуальность данных и защититься от последствий.

Урок почти закончен. Напоследок предлагаем ответить на пару вопросов и изучить памятку, в которой мы собрали всю полезную информацию из этого урока.

Напоследок собрали основные рекомендации из этого урока в памятку — скачайте ее на свое устройство в формате PDF или отправьте себе в телеграм-сообщении.

1. Приватность — это контроль над своими данными, а не полная анонимность.
2. Ваши поисковые запросы, посещенные сайты, клики, движения мышки — все действия в интернете фиксируются и анализируются.
3. Цифровой след — это вся информация, которую вы оставляете в сети.
4. Телефоны и умные колонки вас не прослушивают: это дорого, сложно и бесполезно.
5. Социальные сети собирают много данных о пользователях. А пользователи зачастую и сами делятся слишком большим количеством информации о себе.
6. Утечки данных происходят регулярно, а украденную информацию могут использовать мошенники.

Следующий урок будет посвящен мошенникам в интернете. Разберем, что такое социальная инженерия и как мы сами иногда помогаем злоумышленникам нас обворовать. Посмотрим, по каким признакам можно научиться распознавать мошенников, как вычислять фейки в интернете и не вестись на такие разводы.