Хотя разработчики оправдывают использование этого метода авторизации улучшением пользовательского опыта, предоставление приложению (которым к тому же мы вовсе не обязательно будем пользоваться) доступа к данным Google или Facebook может быть чревато серьезной опасностью. Адрес, номер телефона, совершенные платежи… Под угрозой может оказаться самая чувствительная информация.

Atlantico: Сейчас повсюду встречается множество приложений, сайтов и прочих услуг, к которым мы подключаемся через аккаунт в Facebook, Twitter или Gmail. Все зависит от привычек каждого человека. Но какими данными мы делимся? И с кем?

Эрван Ле Нагар: Крупнейшие игроки в цифровой среде и в частности социальные сети предлагают разработчикам создавать приложения с использованием функционала их платформ. Именно так вы можете нажать «мне нравится» на каком-либо информационном сайте или авторизироваться с помощью данных Facebook в любимом интернет-магазине. На это, кстати говоря, приходится немалая часть их деятельности: более 80% трафика Twitter связана с такими приложениями. А функционал Facebook используют более 30 миллионов приложений и сайтов… Разумеется, у разработчиков приложений нет доступа ко всему функционалу материнской платформы или всем данным ее пользователей.

Как бы то ни было, пользователи могут поделиться определенными данными с разработчиками приложений, чтобы получить в обмен упрощенную навигацию или персонализированные услуги. В каждом приложении запрашиваются разные сведения, но обычно у пользователя могут попросить информацию о его личности (имя, электронная почта, телефон…), деятельности (операции, платежи…), отношениях и используемых услугах. Иначе говоря, речь идет о большом массиве данных, которые пользователь не всегда в состоянии держать под контролем.

— Существуют ли здесь какие-то незаметные на первый взгляд опасности?

— Самая очевидная опасность касается фишинга. Иначе говоря, приложение пытается заполучить доступ к вашим данным, представляя себя чем-то иным. Пользователь всегда может отказать приложению в доступе, если заподозрит неладное, но когда данные уже переданы, обратно их не вернуть.

Разработчики приложений обязаны поддерживать службу в рабочем состоянии и обеспечивать безопасность пользователей. Как бы то ни было, большинство из них создается к какому-либо событию вроде рекламной кампании или конкурса. Поэтому поддержание их работы и даже удаление становятся нерентабельными. Но подключенные к вашему аккаунту приложения могут стать источником уязвимости при внешней атаке, а большинство пользователей не вспоминают о том, чтобы лишить ставшие ненужными приложения доступа.   

Наконец, некоторые данные в сети считаются публичными, в связи с чем разработчику не обязательно просить разрешение на доступ к ним. Так, например, «твиты» пользователя могут собирать и анализировать, если он не ограничил к ним доступ. Кроме того, большинству пользователей мало что известно о метаданных, то есть данных, которые используются для описания других. Так, на первый взгляд может показаться, что «твит» не представляет интереса для анализа, потому что в нем всего 140 знаков. На самом же деле это сообщение связано с несколькими десятками других параметров: личность автора, его деятельность в сети, описание, месторасположение, средство отправки сообщения, использованные «хэштэги» и т.д.

— Чем может грозить взлом аккаунта в социальной сети с учетом его связей с другими сайтами? Какое «оружие» это может дать хакеру?

— Мы доверяем большое количество самых разнообразных данных таким платформам как Facebook, Google и Twitter, которые постоянно расширяют периметр своей деятельности. Facebook теперь — не просто социальная сеть, а Google - далеко не только поисковик. 

Эти платформы разработали разнообразные сервисы, через которые идут данные по платежам, использованию, месторасположению и т.д. Поэтому лучше постараться обеспечить безопасность аккаунта, если мы не хотим неприятных сюрпризов (мошенничество с платежами, присвоение личности). Здесь нужно придерживаться нескольких правил: регулярно менять пароли, не соглашаться на запросы от неизвестных лиц, отключать неиспользуемые приложения и т.д.

— В этом деле каждый сам за себя или же такие компании как Facebook, Twitter et Google тоже несут ответственность за сохранность наших данных?

— В области сбора, обработки и хранения данных существует жесткое законодательство. За его соблюдением следят специальные ведомства. Разработчики обязаны следовать этим законам, и основные игроки на рынке активно взаимодействуют с контрольными институтами. Как бы то ни было, пользователи должны сами заботиться о сохранности своих данных: понимать, что именно они выкладывают в сеть, быстро действовать в случае взлома, принимать необходимые превентивные меры…     

Эрван ле Нагар (Erwan le Nagard) — специалист по социальным сетям.