Перейди по ссылке, и я узнаю твой номер

в 7:25, , рубрики: Без рубрики
Нейрокартинка с шестипалы для привлечения внимания

Нейрокартинка с шестипалым курсором для привлечения внимания

В цифровую эпоху уже никто не удивляется, когда ему звонят с незнакомых номеров с рекламой. Мало ли какие соглашения о персональных данных мы подписываем и на каких сайтах оставляем свой номер.

Но сейчас на рынке информационных услуг всё большую популярность набирают сервисы, занимающиеся деанонимизацией пользователей при одном лишь открытии сайта. Причём всё это преподносится как абсолютно легальный сервис для бизнеса, с соблюдением закона о персональных данных.

Но что если вы не хотите оставлять свой номер на сайте, который просто открыли? Поговорим на примере одного из таких сервисов - dmp.one. Автор рекомендует открывать этот адрес во вкладке инкогнито с включённым uBlock Origin с кастомными правилами (о них ниже), иначе есть риск попадания вашего телефона в базу.


Как это работает

Сайты подобного рода, как правило, называют кликджекинг-сервисами (от англ. "захват клика"), они пытаются получить сторонние cookies, которые есть у зашедшего на страницу пользователя, чтобы затем проверить их у своих партнёров. Если у этого партнёра по переданным куки-файлам будет привязан номер телефона, то дело сделано, ваш номер найден. Собственно, вот как этот же процесс описывают на главной dpm.one:

Скриншот с сайта dmp.ome (интересно, а логотип доски объявлений мне одному напомнил одну из известных компаний?)

Скриншот с сайта dmp.ome (интересно, а логотип доски объявлений мне одному напомнил одну из известных компаний?)

И всё вроде здорово, ведь по такой схеме, чтобы защититься от сбора ваших данных, пользователю можно просто запретить сторонние cookies... Но увы, не всё так просто, тут, как всегда, есть несколько очень важных нюансов. Но обо всём по порядку.

Моя ошибка

Я веду небольшой телеграм-канал, в который пишу айти-заметки (так, собственно, канал и называется). И вот, в один прекрасный день подписчик мне скинул ссылку на сервис dmp.one - мол, посмотрите, пишут, что могут узнать ваш номер сразу при посещении сайта. Открыв лэндинг и немного его пролистав, я переключился на остальные дела. А на следующий день на меня внезапно обрушивается целая серия спам-звонков, хотя обычно на мой номер со спамом звонят крайне редко.

Мои логи спам-звонков
И это только то, что МТС Защитник у меня смог отфильтровать
И это только то, что МТС Защитник у меня смог отфильтровать

Уже в этот момент меня стали одолевать сомнения. И вот, уже через сутки, мне наконец-то перезванивают из сервиса... dmp.one!

Мне позвонил человек, который представился менеджером dmp.one и предложил услугу для подключения трафика на мой сайт. В подобных звонках я, если не вешаю трубку сразу, то практически всегда прошу исключить мой номер из базы, и в этот раз я сделал так же. Только культурно попрощавшись и повесив трубку, я вдруг осознал: а ведь именно к ним я заходил вчера на сайт!

Когда детали пазла в моей голове сложились, я решил не сдаваться и написал им в официальный телеграм-аккаунт, который указан в контактах сайта, с очередной просьбой удалить мой номер из их сервиса. Мне же не говорить, почему я не был удивлён их ответу из серии "это не мы, вашего номера у нас нет"?

Моя переписка с dmp.one
Мы ничего не знаем и никому не звонили, честно-честно!

Мы ничего не знаем и никому не звонили, честно-честно!

Знаю, что Хабр не книга жалоб, но подобные примеры, я считаю, - лучшая иллюстрация того, как подобные сервисы взаимодействуют с пользователями. И я так-то, наоборот, хочу в какой-то степени даже похвалить сотрудников сервиса, ведь спустя примерно сутки после добавления моего номера в их черный список спам-звонки прекратились, и их не было до сих пор.

Копаем глубже

Я решил проверить, как этот сервис работает, и через второй свой номер зарегистрировал триальный личный кабинет. Я создал простой сайт-заглушку я не поместил туда ничего, кроме счётчика dmp.one.

Вы только посмотрите, сколько сторонних cookies было обнаружено: 72 (!). Хорошая новость в том, что сторонние cookies Google Chrome скоро начнёт блокировать по умолчанию, ну а плохая в том, что это всё ещё в планах.

Вот эти все сообщения c console.log() делает сам скрипт сервиса, в продакшне они, почему-то, решили это не отключать

Вот эти все сообщения c console.log() делает сам скрипт сервиса, в продакшне они, почему-то, решили это не отключать

Разумеется, с клиента отправляется множество запросов к сторонним сервисам типа пиксель-метрик, и плохая новость в том, что, помимо сторонних cookies, которые ещё можно заблокировать, в генерации вашего идентификатора используется fingerprint.js.

Если коротко, то fingerprint.js - это библиотека, которая позволяет получить уникальный отпечаток (хэш) вашего браузера. Данные собираются отовсюду: размер экрана, язык, версия браузера и даже некоторые расширения - всё это анализируется и высчитывается уникальный код. Этот отпечаток имеет, разумеется, погрешность, но, в отличие от cookies, может детектиться даже в режиме инкогнито! На какой сайт вы бы не зашли, у вас будет одинаковый отпечаток. Сами создатели говорят, что у бесплатной версии точность 40-60%, а у платной - 99.5%.

Именно поэтому в начале статьи я порекомендовал заходить на сайт не только в режиме инкогнито, но и с включённым блокировщиком рекламы (из-за этого пришлось даже исправлять пост, написанный по горячим следам).

Как защититься?

Сейчас стандартные фильтры uBlock Origin научились резать скрипт лишь частично, поэтому я составил список доменов, которые использует скрипт сервиса (и откуда он непосредственно загружается). Рекомендую добавить в блокировщик:

Правила для uBlock
dmp.one/sync
manalyticshub.com
whitesaas.com
profilepxl.ru
counter.yadro.ru
dmg.digitaltarget.ru
*.onef.pro
acint.net
pixel.data-leads.ru
counter.yadro.ru

А что внутри?

А внутри сервиса нас ждёт достаточно простая панель управления с идентификациями пользователей, которые появляются не сразу, иногда уходит больше суток, иногда - несколько минут. Коэффициент обнаружений в моём случае был меньше 10%. Ложные обнаружения также встречались - один из моих браузеров определило с чужим номером, видимо, это особенности фингерпринтинга.

Вот как описывают работу сервиса на самом сайте dmp.one:

Схема получения данных dmp.one

Схема получения данных dmp.one

А вот как данные выглядят внутри сервиса (из интересного, тут есть ещё поля email и данные из соц. сетей):

Панель управления dmp.one
Контактные данные

Контактные данные
Данные сеанса

Данные сеанса

При генерации кода встраивания на сайт сервис предупреждает, что по законам РФ необходимо предупредить пользователя о сборе данных, и даже самостоятельно генерирует вот этот попап, который как будто нарочно на лендинге компании перекрывает другое диалоговое окно из сервиса обратной связи Jivo:

Подобный попап, кстати, в настройках панели управления можно отключить

Подобный попап, кстати, в настройках панели управления можно отключить

Лишь нажав на всплывашку с обратной связью, можно прочесть текст полностью:

Продолжая пользоваться сайтом, Вы принимаете условия Пользовательского соглашения и выражаете своё согласие на сбор и обработку информации о Вашей активности на настоящем сайте в соответствии с Политикой

Как видите, пользователь не может давать явное согласие на сбор своих личных данных, как и не может отказаться в этом попапе от сбора данных. Под явным согласием я подразумеваю хоть какое-то взаимодействие с сайтом, например, нажатие кнопки "Я согласен". Эх, как жаль, что у нас нет стандартов из европейского GDPR для этого, с ним бы такое не прокатило.

Ирония в том, что формулировка "продолжая пользоваться сайтом" на самом деле также не совсем верная. По умолчанию счётчик dmp.one собирает данные сразу, так что даже если вы просто открыли сайт и не продолжили им пользоваться, данные всё равно соберутся. В настройках, конечно, можно поставить таймаут, но, судя по всему, даже на официальном сайте его нет.

А если ещё и прочесть документы и соглашения, на которые ссылается сервис, можно поседеть. Оказывается, вот на что пользователь должен пойти, чтобы его убрали из своей системы (а ведь пользователь просто кликнул по ссылке!):

Срок действия Согласия составляет 15 лет. Согласие может быть отозвано путём совершения письменного отзыва на бумажном носителе, подписанного собственноручно. Этот отзыв согласия должен быть отправлен мною по адресу Компании почтовой службой. Я понимаю, что после такого отзыва представители Компании могут продолжать общаться со мной по поводу моей задолженности и иных неисполненных перед Компанией обязательств, а также что Компания вправе продолжать обработку моих персональных данных и без моего согласия при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи
6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".

- цитата из оферты

А вот какие данные вы соглашаетесь передавать сервису при переходе на сайт с отключённым блокировщиком рекламы:

  • Фамилия, имя, отчество, пол, гражданство, дата и место рождения, данные документа, удостоверяющего личность, сведения об абонентском номере, адрес регистрации/местожительства, ИНН, адрес электронной почты, сведения о заключенном договоре об оказании услуг связи.

  • Идентификационные данные, то есть данные, по которым можно установить мою личность: фамилия, имя, отчество, пол, дата и место рождения, название и реквизиты документа, удостоверяющего личность (серия и номер, дата выдачи и название органа, выдавшего документ), идентификационный номер налогоплательщика, СНИЛС, номер полиса в системе обязательного медицинского страхования.

  • Контактные данные: адрес места жительства, адрес места нахождения (пребывания), номера мобильного телефона, номера стационарного телефона, адреса электронной почты, открытые для общего доступа профайлы в социальной сети, мои идентификаторы в интернет-мессенджерах; контактные данные моих представителей.

  • Платёжные данные.

  • Данные о моём оборудовании.

  • Финансовые и имущественные данные.

  • Данные о моих финансовых операциях.

  • Данные о моём трудоустройстве и предпринимательстве.

  • Данные о моих родственниках.

  • Данные о моём состоянии.

  • Данные о моём правовом статусе.

- выдержки из соглашения

Разумеется, хочется надеяться, что данное соглашение написано максимально широко из-за юридических моментов, а не потому что все эти данные реально собираются при заходе на сайт, но давайте будем честны, если на сайте фирмы указано несколько крупнейших банков в РФ в качестве партнёров, с чего бы у них не запрашивать эти данные?

Конечно, в админке вы номер паспорта не узнаете, но ничто не мешает создателям сервиса расширить в будущем отображаемое количество данных, показываемых клиентам. Политике и соглашениям это противоречить не будет.

Вместо вывода

Моя основная цель - обратить внимание сообщества на проблему подобного, на мой взгляд, слишком агрессивного сбора персональных данных пользователей. Я считаю, что закон о персональных данных должен быть доработан, а такие сервисы, как dmp.one, если уж и предлагают сбор персональных данных для своих клиентов, то, как минимум, должны делать это более этично.

Вот, что я бы порекомендовал подобным сервисам:

  • Пользователь должен явно согласиться на сбор личных данных: не просто открыть страницу, а хотя бы нажать "Я согласен".

  • При этом во всплывающем окне должно быть сразу указано (помимо ссылок на многостраничные соглашения), что будет собираться номер телефона.

  • Пользователь также должен иметь возможность сразу же отказаться или отозвать согласие на сбор персональных данных.

  • Если пользователь находится во вкладке инкогнито, необходимо уважать выбор пользователя и не собирать его фингерпринт и другие данные.

А для обычных пользователей пока совет только один: используйте актуальный блокировщик рекламы со списком маркетинговых доменов и добавьте туда пока как минимум ссылку dmp.one/sync

P.S. Если ситуация будет меняться, буду обновлять статью как здесь, так у себя в тг-канале.

UPD: Спасибо @positroid за комментарий, статью поправил: Google Chrome пока ещё не блокирует сторонние cookies, а только готовится к этому.

Автор: sfirestar

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js