В колонке для AIN.UA Артем Старосек, CEO ресерч-компании ​Molfar, рассказал о том, как избавиться от цифровых следов в интернете, а также о базовых мерах для защиты приватных данных.

До создания ресерч-компании ​Molfar​ я работал аналитиком по открытым источникам в инвестиционном фонде и на третий месяц работы решил поискать информацию о себе. Это — полезный опыт. И пугающий: комментарии, которые можно было и не писать, не притягательные юношеские снимки и персональные данные в подборках ломаных баз.

OPSEC (Операционная безопасность) – термин, введенный спецслужбами США для обозначения аналитического процесса недопуска противника к информации, которая ставит под угрозу секретность и безопасность миссии.

Частный сектор экономики также использует OPSEC как защитный механизм против сбора конфиденциальной информации конкурентами и злоумышленниками. В статье поговорим о базовых мерах для защиты приватных данных:

  • как найти и удалить компрометирующую информацию о себе;
  • можно ли удалить себя из интернета;
  • как предотвратить взлом учетных данных.

Идентификация чувствительных данных 

Первый шаг — идентификация чувствительной информации: в какой форме и где хранится. Поставьте себя на место конкурента или злоумышленника и, используя методы OSINT, поищите информацию о себе или компании. Типы приватных данных:

человека:

  • ФИО;
  • дата рождения;
  • e-mail;
  • личный и корпоративный номера телефонов;
  • адрес;
  • профили в соцсетях;
  • пароли.

компании:

  • интеллектуальная собственность;
  • бизнес-исследования;
  • финансовая информация;
  • информация о сотрудниках (семья, привычки, образ жизни; климат в коллективе);
  • информация о клиентах;
  • пароли доступа к ресурсам;
  • IP, MAC-адреса рабочих станций.

Поисковые системы

Начните проверку упоминаний личности или компании в сети с поиска в <a href="https://recruitika.com/company/Google-ukraina”>Google, Bing, Yahoo или DuckDuckGo. Используйте операторы расширенного поиска для расширенного поиска по ключевым словам:

  • inurl:username – ищет все страницы c именем пользователя в URL;
  • [your name] intext:[личная информация, например номер телефона, ID-карты или адрес] – страницы, в тексте которых содержится личная информация о человеке;
  • site:docs.google.com “companyname” – документы Google Docs, находящиеся в открытом доступе, в которых указано имя компании;
  • «companyname.com» – ресурсы, которые ссылаются на страницу компании, например, сайты с отзывами о работодателях, сайты поиска работы и медиа-порталы;
  • password filetype:docx site:companyname.com – файлы .docx на сайте компании, содержащие слово «password». В редких случаях из-за халатности администратора подобный набор операторов найдет файл с паролями пользователей.

Поиск изображений

Сервисы обратного поиска изображений используют систему распознавания лиц и определяют, на каких сайтах размещены фотографии ищущего:

Поиск email-аккаунтов и паролей в базах утечки

При взломе онлайн-сервисов данные пользователей попадают в базы утечек. Злоумышленники используют базы, чтобы понять логику создания паролей; выяснить, не повторяются ли. Цель – украсть личность или получить несанкционированный доступ к компьютерным системам и онлайн-сервисам. Для проверки аккаунтов и паролей в базах утечки используются сервисы:

Google Passwords Check проверяет в базах утечки не только пароль к аккаунту электронной почты, но и пароли к другим сервисам, сохраненные в Google

Анализ уязвимостей и оценка рисков

Составьте таблицу или схему с известными аккаунтами, юзернеймами и именами. Укажите телефоны и адреса электронной почты, указанные при регистрации или в качестве контактных данных.

Определите слабые места, которые используются для получения доступа к приватным данным и оцените уровень риска, связанный с каждой уязвимостью. Факторы для оценки уровня риска: 

  • вероятность возникновения атаки; 
  • степень ущерба; 
  • объем работ и время, которое потребуется для восстановления

Чем вероятней и опасней атака, тем больший приоритет устранения соответствующей уязвимости. В рамках анализа определяется, какую информацию оставить публичной, а какую лучше скрыть либо удалить. Не забывайте, один раз введенная почта или мобильный телефон в разделе контактов скомпрометированы навсегда.

Применение мер

В зависимости от степени риска, методы защиты данных включают создание сложных паролей либо passphrase, скрытие геолокации, заполнение аккаунта ложными сведениями и выдуманными историями либо полное удаление данных. Однако контроль — это иллюзия. Что попало в Интернет, остается там навсегда. Даже если соблюдать главное правило безопасности, молчание, — результат не гарантирован. Нижеприведенные правила защитят от базового сбора информации, однако если вами заинтересуются всерьез — найдут все. 

Базовые правила операционной безопасности

  • Разделяйте аккаунты. Придумывайте случайные имена e-mail-аккаунтов для личного использования. Создавайте отдельные аккаунты для финансовых операций, регистрации в соцсетях и общего назначения.
  • Не повторяйте пароли. Используйте менеджер паролей чтобы генерировать отдельные пароли для каждого онлайн-сервиса. Для дополнительной защиты настройте двухфакторную аутентификацию.
  • Удаляйте метаданные, скрывайте геолокацию. В 2012 году программист и бизнесмен Джон Макафи объявлен в розыск по подозрению в убийстве. Скрываясь от полиции Белиза, Макафи вел блог о побеге вместе с журналистом издания Vice Magazine Рокко Касторо. Местонахождение Макафи в Гватемале раскрыло фото в посте: снято на iPhone и содержало метаданные EXIF, включая геолокацию.
«We are with John McAfee right now, suckers!» – похвастались Vice в декабре 2012 года и опубликовали фото с геолокацией. Как говорил, Барнум: «There’s a sucker born every minute».

Метаданные EXIF включают модель камеры, дату и время съемки и географические координаты. Перед публикацией контента удаляйте метаданные для защиты приватности. Еще лучше – отключите геолокацию и используйте VPN в обезличенных браузерах типа Tor.

  • Скрывайте подсказки. Любите постить селфи в Instagram или фотоотчеты о корпоративных мероприятиях в Facebook? Соцсети позаботились о конфиденциальности и автоматически удаляют EXIF перед публикацией. Однако остаются подсказки на фото: силуэты зданий, рекламные вывески, отражение в зеркале, тип розетки, документы на рабочем столе. Такие детали облегчают идентификацию личности, поиск местоположения офиса или домашнего адреса, а также составляют представление о образе жизни цели.
Фото с бейджами пригодятся злоумышленникам при атаках методами социальной инженерии 
  • Научитесь молчать. Размещение контента в сети — угроза конфиденциальности. Социальные сети питаются эмоциями, побуждая делиться впечатлениями. Прежде, чем публиковать комментарии или фото, подумайте: дает ли это злоумышленнику информацию для создания досье на человека либо компанию. Также научите мам не публиковать фотографии в «Одноклассниках», чтобы работодатель или партнер не нашел интригующие подробности семейных собраний, детских болезней и путешествий.
Мамы в «Одноклассниках» «сливают» ваши фотографии после семейных мероприятий

Заполнение аккаунта ложными сведениями

Хотите защитить информацию — убедитесь, что цифровой след не содержит подсказок. Искажение данных запутает противника и не позволит построить связи между аккаунтами. Так будут достигнуты три цели одновременно: сохраните приветливый и заслуживающим доверия образ, завуалируете цели и отправите конкурентов по ложному следу, который отнимет у них времени.

  • Не используйте настоящую дату рождения, вводите случайным образом при регистрации аккаунтов.
  • Не вводите полное имя или используйте вымышленные имена для каждого аккаунта.
  • Для непубличных аккаунтов, используйте случайные изображения профиля. Например, портреты, сгенерированные AI. Убедитесь, что фото уникальны для каждого сайта, чтобы предотвратить нахождение связей между ними с помощью обратного поиска изображений.
Generated Photos использует AI для создания портретов несуществующих людей 
  • Создавайте файлы-ловушки, содержащие фейковые учетные данные или финансовую отчетность. Используйте сервис Canary Tokens чтобы получать уведомления при открытии файлов и отследить IP-адрес DNS-сервера злоумышленника. Сервис IP Logger генерирует ссылки для размещения внутри файлов ловушек или дискредитированных каналах связи, чтобы отследить IP-адрес и локацию хакера.
На вид – обычный документ (слева), но в метаданных содержится код. Сервис Canary Tokens отправляет уведомление (справа) при каждом открытии файла в Microsoft Word.

Удаление данных

Удалить себя из интернета — невозможно. Открытые государственные реестры содержат информацию о транспортных средствах, недвижимости, судебных делах, которую невозможно удалить. Веб-архивы сохраняют исторические снимки сайтов. Реально удалить неиспользуемые аккаунты, исключить себя из баз данных информационных брокеров, отправить запрос на удаление публикаций в соцсетях и на других сайтах:

  1. Удаление неиспользуемых аккаунтов. Перейдите в каталог прямых ссылок для удаления неиспользуемых аккаунтов. Помните, что лучше удалить аккаунт, чем заблокировать или деактивировать. При деактивации аккаунт технически остается онлайн и доступен для поиска.
  2. Исключение из баз данных информационных брокеров. Сайты поиска людей, или «брокеры данных» (Pipl, Acxiom, WhitePages), собирают и продают персональную информацию из открытых реестров и соцсетей. Чтобы исключить профайл из баз данных, отправьте запрос на электронную почту владельцев или администраторов. Если на сайте нет контактов, обратитесь в каталог WHOIS и узнайте контакты владельца. У ряда сервисов удаление профайла доступно с помощью онлайн-формы. Список ссылок и инструкций — в статье Vice.
  3. Удаление публикаций в результатах поиска, соцсетях и на других сайтах. Если хотите, чтобы в результатах поиска больше не появлялись персональные данные, свяжитесь с владельцем сайта, на котором опубликованы. После того как информация удалится, Google не сможет находить и добавлять в результаты поиска. Если владелец сайта откажется выполнить просьбу, Google заблокирует некоторые типы личных данных. Такие запросы остаются публичными: если удалили компрометирующую статью, обратившись к Google, то запрос на удаление, как и сама статья, появятся в Lumen Database.

Такая же схема действует в соцсетях: попросите человека удалить публикацию либо снять отметку на фото. Если отказывается, сообщите о нарушении администрации и отключите возможность отмечать на фото в настройках. Инструкции по оформлению жалоб:

Анализ активностей с точки зрения конкурента или злоумышленника — первый шаг по защите приватных данных. Используйте методы OPSEC чтобы нейтрализовать попытки злоумышленников украсть личность, предотвратить сбор информации конкурентами, скрыть от будущего работодателя юношеские глупости или избежать возникновения вопросов у правоохранительных органов. Если нет времени на изучение техник OPSEC — обращайтесь в специализированные агентства, которые выполнят полную проверку уязвимостей.

Автор: Артем Старосек, CEO ресерч-компании ​Molfar