Что такое GetContact — вирусная утилита, которая собирает персональные данные

Что случилось?

Приложение GetContact «завирусилось». По данным аналитического сервиса AppAnnie, в украинском App Store программа занимает первое место по популярности, обогнав Telegram и Instagram. При этом вторую строчку заняла программа GetContact_ — клон с урезанной функциональностью. В Google Play ситуация иная, у GetContact всего 32 позиция в общем зачете.

Первый скачок популярности GetContact зафиксирован еще 9 февраля. Тогда разработка заняла 5 место в разделе «Утилиты» и 45-е в общем списке украинского App Store. Однако по-настоящему массовым использование GetContact стало в последнюю неделю февраля. С 25 по 28 февраля утилита скакнула со 165 на 1 место. Это связано с эффектом «сарафанного радио» — в соцсетях начали массово появляться скриншоты от пользователей, которые установили GetContact и обнаружили, что странно или забавно подписаны у других абонентов. Шутить на эту тему стали и блогеры.

https://twitter.com/kiraeremina/status/968539932657704967

Как это работает?

При первом запуске GetContact просит доступ к вашим контактам. Следом информация из адресной книги отправляется на сервера компании. Взамен можно посмотреть, как твой номер подписан у других пользователей GetContact. Кроме того, можно ввести любой другой номер — кто-то проверяет таким образом друзей, кто-то — супругов. На сайте разработчика запущен интерактивный счетчик, который показывает количество адресов в базе сервиса. На момент написания статьи их более 2,2 млрд и количество продолжает расти.

Когда забила свой номер в GetContact…………… pic.twitter.com/DtRRX9G0db

— Дашулик (@dasha__kotya) February 27, 2018

Помимо анализа телефонной книги GetContact предлагает блокировку от телефонного спама, а также идентификацию входящих звонков от абонентов, не записанных в телефонной книге.  

В чем опасность?

Устанавливая GetContact, необходимо принять условия пользовательского соглашения. Да, это именно та штука, которую все не глядя отмечают галочкой.

Принимая условия договора, вы позволяете компании собирать любые данные и делиться ими с третьими сторонами. Также она может распоряжаться сведениями в рамках туманного положения о праве «поддерживать и расширять свои услуги». Еще один пункт открывает дорогу для спама, фиксируя разрешение на проведение «маркетинговой активности». В нее входит рассылка SMS, электронных писем и даже звонки.

Неполный список информации, которую извлекает GetContact, выглядит так:

• информация из телефонных книг (контакты и прочее);
• фотографии;
• почтовый адрес;
• IP-адреса;
• история звонков.

Уловка еще и в том, что даже не устанавливая GetContact, ваш номер может оказаться в распоряжении разработчиков — достаточно, чтобы он оказался в адресной книге одного из пользователей. 

Кто это разработал?

Граждане Турции: Бурак Саглик и Мустафа Севинк. Права на приложение принадлежат компании GetContact LLP, которую они зарегистрировали в Лондоне в 2017 году, о чем сообщается в записях Британской регистрационной палаты. Саглик и Севинк также числятся топ-менеджерами турецкого разработчика Tekyason yazılım. Эта компания тоже указывает среди своих проектов GetContact.

Где еще работает GetContact

Турция — главный по популярности рынок программы, а всего разработчики заверяют о присутствии в 148 странах. На протяжении декабря и февраля GetContact покоряло электронные магазины Армении, Азербайджана, Киргизии и Казахстана. В результате нарушения законов про обработку персональных данных в Казахстане и Азербайджане утилиту запретили. В декабре армянские СМИ даже сообщали, что пользователям удалось получить личные номера президента Азербайджана и его супруги. Достоверность этой информации подтвердить не удалось, а формальной причиной для удаления стала передача данных третьим лицам.

С этим связано и появление клона программы. Казахстанские разработчики из студии CodeBusters оперативно выпустили приложение GetContact_ (вскоре переименовано в Pootin). Оно имело урезанную функциональность, ограничившись самой «вирусной» фичей — сканированием телефонных книг. В Казахстане запретили и его, но в украинском App Store именно GetContact_/Pootin сейчас занимает второе место по популярности.

В Армении дело ограничилось призывом властей отказаться от использования GetContact. В России, которую представители AppAnnie в комментарии РБК назвали «вторым рынком» GetContact после Турции, проверку программы на соответствие законодательным нормам проводит Роскомнадзор. Если будут установлены нарушения, в суд будет направлен иск о блокировке приложения.

Это вообще законно?

В каждой стране свои нормы обработки персональных данных. В Казахстане, например, GetContact заблокировали на основании нарушения норм, зафиксированных в статье 41-1 Закона Республики Казахстан «О связи». В России поводом для блокировки может послужить то, что местное законодательство обязует ясно уведомить человека об использовании его персональных данных. При этом не вводя его в заблуждение, вплоть до предоставления полного списка третьих лиц, которым будет передана информация.

Редакция AIN.UA уже обратилась за информацией к юристам о том, легальна ли работа GetContact в Украине. Партнер юридической компании Brightman Дмитрий Гончаренко поставил под сомнение условия работы сервиса: 

Правила сбора, обработки и хранения персональных данных определены в Законе Украины «О защите персональных данных». Закон (абзац 8, статьи 2), в отличие от своих «собратьев» из ЕС (к примеру, Общего регламента по защите данных GDPR), никак не детализирует и не определяет перечень персональных данных. Поэтому положения Закона могут быть применимы к множеству ситуаций, в том числе и к сбору и обработке запрашиваемых данных во время регистрации в GetContact. То есть, когда пользователь устанавливает на свой смартфон приложение GetContact, он соглашается с условиями, один из пунктов которых — сбор персональных данных, а ст. 2 Закона, легитимизирует это действие. Поэтому, сбор личных данных граждан Украины приложением GetContact можно считать легальным.

У государственных органов могут возникнуть вопросы к легальности работы приложения, если GetContact, собрав персональные данные пользователей в единую базу, не зарегистрирует ее в соответствии с требованиями ст. 9 Закона. Таким образом, если GetContact не провели государственную регистрацию своих баз данных, содержащих персональные данные граждан Украины, то работу приложения можно считать незаконным, несмотря ни на какие «оговорки» в Terms of Use и Private Policy приложения. Отдельно стоит обозначить вопрос хранения и передачи приложением персональных данных пользователей третьим лицам. Настоящая редакция Terms of Use и Privet Policy приложения, по моему мнению, не совсем соответствует требованиям Закона и может быть оспорена как пользователями, так и непосредственного государственными органами.

Регистрация баз данных происходит по «заявочному принципу», то есть владельцу базы данных достаточно просто заполнить заявление и подать его в государственный орган, не дожидаясь от подобного органа никаких регистрационных документов. По общему правилу ст. 9 Закона владелец базы данных обязывает уведомить гос.орган в течении 10 дней после каждого случая обработки персональных данных.

Я уже установил GetContact. Можно что-то сделать?

Можно удалить аккаунт. По крайней мере, в этом заверяют разработчики. На их сайте есть специальная форма в разделе Unlist, которая позволяет изъять свой номер из общего реестра. Убрать его обещают в течение 24 часов. Стоит отметить, что просто удалить приложение со смартфона недостаточно — нужно сначала зайти в настройки и отыскать раздел «О Get Contact». При повторной регистрации номер вернется в базу.