Приложение Getcontact светит вашими персональными данными, даже если вы им никогда не пользовались

Getcontact — мобильное приложение, позиционирующее себя как менеджер звонков и блокировщик спама. Появилось в конце 2017-го и стремительно взлетело на первые места магазинов приложений: сейчас загрузок в Google Play больше 100 миллионов, а сами создатели сервиса оценивают свою аудиторию в 400+ миллионов пользователей.

Начали за здравие…

Приложение декларирует, казалось бы, благие намерения: предотвращение нежелательных звонков от спамеров и телефонных мошенников — услуга в современном мире необходимая и востребованная. Однако свою популярность Getcontact приобрёл совсем по другой причине, но об этом чуть позже.

Основной функционал приложения работает так: пользователь, получив нежелательный звонок, например, из «Отдела безопасности банка», может пометить этот номер телефона тегом произвольного содержания, например: «Мошенники». Теперь, если другим пользователям приложения позвонят с того же номера, они увидят этот тег и смогут проигнорировать звонок.

…закончили как обычно

Однако проблема Getcontact в том, что, если вы разрешили ему доступ к вашей телефонной книге (что делает подавляющее большинство пользователей), то ваши контакты (номера телефонов и то, как они у вас записаны) уходят в зрительный зал на сервера приложения и тоже становятся тегами. Таким образом изначально обезличенная сущность номера телефона обрастает дополнительной информацией из телефонных книг пользователей.

Касательно видимости этих данных предусматриваются два варианта:

• Если вы зарегистрированы в Getcontact, то по умолчанию все другие пользователи приложения видят все ваши теги, то есть каким образом вы записаны у других людей

• Если вы не зарегистрированы в приложении, то пользователям будет виден только один тег. Предполагаю, что выбирается он по количеству совпадений, так как чаще всего это имя и фамилия. Именно эта информация и будет отображаться при вашем звонке пользователям Getcontact, даже если вы у них в телефонной книге не записаны

Какие личные данные могут отсвечивать

В зависимости от размера и качества вашего социального круга теги могут нести в мир следующую информацию (примеры не выдуманы):

• ФИО и производные от этих данных

• места́ работы, должности, например: Геннадий Сергеевич ДПС

• места́ жительства: Старший по дому Хворостухина, Сосед 12 кв.

• родственные и деловые взаимосвязи между людьми: Дочь Карины

• прочие проявления фантазии абонентов: Душнила футбол, Лена ночной клуб

То есть в самом оптимистичном случае — в мире, где базы данных не утекают и не сливаются, — даже если вы никогда не слышали про Getcontact, то ваши имя и фамилия скорее всего всё равно светятся всем пользователям этого приложения. Кто угодно может по номеру телефона получить эту информацию. Это ваши персональные данные, но права на их публикацию у вас никто не спрашивает.

И конечно же наивно будет предполагать, что собранная на серверах Getcontact информация не используются кем надо и кем не надо в различных целях, как минимум рекламных, но в нашем мире это настолько обыденное дело, что мы сейчас не об этом.

Автор, ну ты проснулся, как там в 2018-м?

В плане информационной безопасности меня сложно назвать человеком безграмотным: больше половины жизни я провёл в интернете, а десяток лет даже посвятил непосредственно веб-разработке. Паранойей не обременён, но светить своими персональными данными где попало не буду. И даже с таким бэкграундом я был неприятно удивлён описываемой проблемой лишь несколько дней назад, и то по большой случайности.

Может быть я и слышал раньше что-то про Getcontact на волнах его хайпа, но пропустил мимо ушей, навесив на эту информацию ярлык «Опять зумерам нечем заняться» и оставался спокоен, руководствуясь принципом «Мне подобные игры типа “Узнай как ты записан в телефоне твоих друзей” не интересны», значит я могу об этом даже не думать.

Но проблема в том, что ваши данные всё равно лезут наружу независимо от вашей осведомлённости. То есть на протяжении пяти лет по моему номеру телефона мои имя и фамилия пробивались на раз абсолютно любым человеком без моего ведома. Неприятно.

И я был бы рад, например, пару лет назад встретить где-нибудь в рассылке Хабра заметку, освещающую эту тему. Поиск по сайту релевантной информации не выдал, поэтому я решил восполнить пробел самостоятельно.

Хватит это терпеть!

Для того, чтобы предотвратить это безобразие, придётся сначала подружиться с Getcontact:

• Устанавливаем приложение, регистрируемся, авторизуемся по нужному номеру телефона, но не выдаём никаких доступов: ни к логам звонков, ни к сообщениям, ни тем более к своим контактам — функционал Getcontact будет доступен и так

• В разделе Other → Show Profile на этом этапе есть возможность посмотреть свои теги, а также поискать теги других людей — после выполнения этой инструкции сервис станет для нас недоступным. У приложения, кстати, есть ограничение на шесть бесплатных поисков номеров в месяц; больше — за деньги (от 590 ₽ в месяц)

• Заходим на официальный сайт приложения, находим в подвале в разделе Help пункт Manage Your Privacy Profile

• Авторизуемся на сайте удобным вам способом

• В разделе Visibility settings отключаем Search visibility. Развлечения ради можете почитать почему вы не должны делать это

• Подтверждаем серьёзность своих намерений и узнаём, что вступление изменений в силу может занять до трёх часов времени и, что если потом вы решите снова воспользоваться сервисом, то ваши теги опять станут видимыми для всех

• После подтверждения вас автоматически разлогинит как на сайте, так и в приложении, которое можно смело удалять

  Теперь при вашем звонке пользователи Getcontact увидят только цифры вашего номера телефона (если вы у него никак не записаны конечно же), а при попытке поиска вашего номера в приложении появится такое сообщение:

Горит очаг

Лично я считаю ненормальной ситуацию, когда мои персональные данные (имя и фамилия как минимум) свободно торчат наружу кому угодно. Вы, конечно, можете возразить, что все наши данные уже давно слиты в сеть случайно или намеренно; но эти сливы — дела́ противозаконные и находятся вне моей зоны ответственности. По-хорошему в идеальном мире этого быть не должно.

А тут выходит, что подобные приложения юридически ничего не нарушают, а происходящее считается нормальным, по крайней мере в РФ (в некоторых странах приложение под запретом). Ведь получается, что сливаете свои данные не вы сами под лозунгом «Сам себе злой Буратино», а другие люди, которые записали вас себе в телефон, бездумно понаставили в него сомнительных приложений и раздали им все запрашиваемые права. Невозможно поручиться за благонадёжность всех своих абонентов — им может даже и не приходить в голову, что они таким образом сливают чью-то личную информацию.

И самое раздражающее — недостаточно просто пройти мимо этих глупостей, чтобы не ощутить на себе их влияние. Приходится в них разбираться, регистрироваться и настраивать сервисы, пользоваться которыми в ином случае я даже и не подумал бы.

Берегите свои персональные данные (и чужие тоже). И если вы знаете другие подобные приложения с душком, не сочтите за труд поделиться информацией о них в комментариях.

UPD

Пользователь @Vadiara50 в комментариях поделился способом избавить себя от внимания со стороны аналогичного Getcontact сервиса Truecaller