Group-IB: популярные у россиян сайты знакомств небезопасны
Эксперты компании Group-IB передали «Известиям» отчет о «багах» безопасности популярных в России онлайн-сервисов знакомств. Самым безопасным сайтом с точки зрения защиты данных пользователя от утечки был признан Badoo, самым безопасным приложением — Pure и Privet.
Эксперты Group-IB проверили популярные сайты знакомств — Badoo, Wamba.ru, TopFace и LovePlanet.
По словам экспертов, у Badoo (сервис создан россиянином Андреем Андреевым) серьезный подход к безопасности, включающий принудительное шифрование пользовательского трафика, что защищает пользователя от перехвата данных.
«Пароли тем не менее высылаются на ящик в открытом виде, что позволяет утверждать об их доступности по крайней мере для сотрудников сервиса. В то же время авторизация с помощью аккаунтов социальных сетей снимает данный вопрос. Адекватны и запросы мобильного клиента на доступ к информации», — отмечают эксперты в отчете.
— Внедрение [зашифрованного протокола обмена данными] https как основного для обращения к нашему сервису было вызвано рядом причин. Основная из которых — возросшее внимание людей к вопросам приватности и беспокойство о перехвате передаваемых данных третьими лицами, — объясняет директор разработки Badoo Алексей Рыбак. — Во многом этому способствуют продолжающиеся последние 5 лет регулярные скандалы с обнаруженными фактами глобальной слежки за пользователями интернета; действия правительств многих стран, направленные на контроль за доступом к Сети; многократные случаи «увода» информации о пользователях популярных интернет-сервисов.
В сервисе Wamba (бывшая Mamba, принадлежит Mail.Ru и Finam Global) пароль при вводе закрывается «звездочками», а вот на почту он высылается в открытом виде. Общение с ресурсом происходит без использования https.
«Это плохо, так как злоумышленник в локальной сети может перехватить вашу сессию, — подчеркивается в отчете. — Отправка на электронную почту пароля в открытом виде [при регистрации], а также отсутствие принудительного шифрования трафика мешает считать информационную безопасность пользовательских данных приоритетом сервиса. Параноикам рекомендовать его мы, увы, не можем. Поводом для этого также являются запросы мобильного клиента по доступу к информации на устройстве как на чтение, так и на запись».
Глава Wamba Андрей Бронецкий считает, что в шифровании переписки нет необходимости.
— Мы считаем, что для нашего бизнеса уровень безопасности достаточный. Мы не банк, который обменивается [с пользователем] ценной информацией. Повышать безопасность до уровня банка можно, но это избыточно, — рассказывает Бронецкий. — Что касается отправки паролей на почту, то так делает много сервисов. Мы считаем, что доступ к почте пользователя есть только у него, и отправляя пароль ему на персональный ящик, считаем, что это безопасно.
TopFace уже успел «засветиться» в утечке данных об e-mail-адресах пользователей.
«Пароли и переписка обнародованы не были в свете соглашения о сотрудничестве, заключенном между сервисом и хакером, получившим доступ к информации, — вспоминают эксперты. — При регистрации сервис запрашивает имя, дату рождения, пол и город, позволяет авторизоваться с помощью соцсетей: Facebook, «ВКонтакте», «Одноклассники». Пароль при вводе закрывается спецсимволами, что хорошо, но вот шифровать соединение с пользователем сервис не желает, хоть и может: https доступен по выбору пользователя. Мобильная версия сайта имеет нерабочую кнопку «выход», это плохо, ведь незакрытая пользовательская сессия — предпосылка для перехвата управления аккаунтом».
Представитель TopFace не ответил на запрос.
При регистрации на портале LovePlanet (принадлежит холдингу РБК) этот сайт, по словам экспертов, становится «навязчив».
«Он стремится стать домашней страницей, продать премиум-доступ и познакомить с 56-летними девушками. Есть мобильные приложения, которые почти не работают и, судя по отзывам пользователей, никогда работать не пытались, присутствует также клиент для Windows Phone авторства стороннего разработчика, — записано в отчете. — Ресурс неохотно, но поддерживает https-соединение, пароль восстанавливается через почтовый ящик путем отправки 4-значного ПИН-кода для смены пароля на сайте, а вот пресловутые «звездочки» при вводе пароля отключаются».
Гендиректор компании «МедиаМир» (управляет интернет-активами холдинга РБК) Александр Кононенко уверен, что формулировка «портал становится навязчив» — субъективное и не очень корректное оценочное суждение.
— Да, мы выборочно предлагаем пользователям сделать наш сервис стартовой страницей. Многие пользователи считают, что это удобно, — объясняет Кононенко. — Что касается «знакомств с 56-летними девушками», то мы бы посоветовали автору исследования более четко формулировать свои критерии поиска. Уверены, что система поиска корректно предложила варианты исходя из предпочтений автора исследования.
Кононенко пояснил, что мобильные приложения у LovePlanet есть и они очень популярны.
— Если посмотреть статистику топовых приложений других дейтинг-сервисов, [мы] уверенно занимаем лидирующие позиции как по откликам пользователей, так и среди самых доходных приложений. Официального клиента для Windows Phone у нас действительно нет, — продолжает он. — На https LovePlanet в данный момент переведен не полностью. Мы планируем сделать это в начале 2016 года, но пользователи уже сейчас могут вручную указать предпочтительный протокол. А по поводу «звездочек» при вводе пароля: мы не используем их сознательно. По нашим внутренним данным, это на 10% увеличивает корректность ввода пароля и успешную авторизацию.
«LovePlanet и TopFace показывают разные подходы к информационной безопасности, однако субъективная оценка качества самого сервиса мешает рекомендовать их использование», — резюмируют в Group-IB.
Также были проанализированы несколько мобильных приложений для знакомств.
В Group-IB уверены, что приложение секс-знакомств Pure (создатели — Роман Сидоренко и Александр Кухтенко) является «выбором для настоящих параноиков».
«Приложение собирает только самые необходимые данные для принятия решения о встрече в офлайн (имя и фото), к учетной записи экосистем Google и Apple обращается только для списания оплаты за использование. Дополнительно от смартфона запрашивается лишь доступ к камере и геопозиции», — отметили эксперты.
По мнению сооснователя Pure Роман Сидоренко, проблема всех сайтов знакомств в том, что люди мало встречаются в реальности с тем, с кем вступили в контакт через сервис.
— Механика нашего сайта заставляет людей быстрее узнавать друг друга, обмениваться телефонами и встречаться в реальной жизни. Мы принудительно удаляем всю переписку через час после ее начала, — рассказывает Сидоренко. — У нас даже имя не запрашивается. Главное, что запрашивается, — селфи, то есть фотография. Мы верим, что чем меньше информации есть о человеке до начала общения, тем интереснее проходит это общение. Сведения об образовании, работе и нравится ли Тимати — ни к чему. Главное — начать разговор, который должен как можно быстрее перейти в реальный мир.
Privet (основатели — бывший топ-менеджер «ВКонтакте» Илья Перекопский и Ирина Кузнецова) — выбор тех, кто не готов сразу знакомиться в офлайне и кого смущают декларируемые сервисом Pure цели.
«Сервис готов забрать из привязанного аккаунта достаточно много данных, но в процессе установки круг этих данных можно существенно сузить. К телефону сервис обращается за доступом к камере и географическому положению», — отмечается в исследовании.
Ирина Кузнецова рассказала, что создатели сервиса тщательно работали над безопасностью данных пользователей.
— Взаимодействие с сервером производится по зашифрованным каналам, — рассказывает Кузнецова. — Аутентификация пользователя производится через соцсети без передачи логина-пароля на наши серверы. Несанкционированный доступ к аккаунту Privet возможен только при наличии у злоумышленника доступа к аккаунту соцсети или доступа к мобильному устройству с активной сессией в Privet.
Приложение Tinder (основатель — Шон Рад), по словам экспертов Group-IB, очень любит пользовательские данные и отказывается авторизоваться при ограничениях на получение информации из пользовательского аккаунта.
«Сервису нужно всё: почта, список друзей, семейное положение, дата рождения, образование, фото и даже лайки, проставленные подписчиком», — отмечает эксперт.
Подводя итоги исследования, эксперты отметили, что мобильные сервисы знакомств в целом более защищены, чем сайты.
«Ориентирование на быстрый выход в офлайн, привязка к особенностям работы с мобильными терминалами, в силу которой регистрация почти полностью вытеснена авторизацией по аккаунтам соцсетей. Всё это позволяет не запрашивать от пользователя практически ничего, кроме общедоступной информации, — резюмируют авторы исследования. — Веб-сервисы, как правило, ориентированы на более длительное онлайн-общение, и этим объясняется большее количество запрашиваемых данных».
