Рейтинг популярных соцсетей по степени их надежности
Социальные сети прочно вплелись в ежедневный досуг нескольких поколений. Широкого разнообразия хватает на всех: подходящие для себя сервисы находят представители разных возрастов, профессий и интересов. Социальные сети вовлечены и в рабочие процессы: все больше компаний, от небольших стартапов до крупнейших корпораций, ведут аккаунты в социальных медиа, а ключевые фигуры являются своего рода рупором, голосом компании в интернет-пространстве. Одно неосторожное высказывание сотрудника в личном аккаунте соцсети – и клеймо ложится на всю компанию и может закончиться очень серьезными последствиями для бизнеса. Вместе с тем не редки случаи, когда взлом корпоративного аккаунта или учетной записи представителя компании оборачивался утечкой и распространением конфиденциальной информации.
Эксперты аналитического центра Falcongaze (компании-разработчика программных решений в области предотвращения утечек данных) продолжают оценивать на предмет безопасности технологии и программы, онлайн-сервисы и платформы, без которых сегодня не представляют своей жизни не только компании и прогрессивные пользователи, но и обычные люди. В этот раз исследователи составили рейтинг популярных социальных сетей в зависимости от того, насколько данные их пользователей защищены.
Основой для составления рейтинга послужили два критерия: популярность социальных сетей среди пользователей и их безопасность. Безопасность оценивалась по совокупности следующих факторов: наличие двухфакторной авторизации, защищенного протокола, доступность и бесперебойная работа технической поддержки, программа баг баунти и информация об уязвимостях и утечках данных пользователей, полученная из открытых источников. Места в рейтинге присваивались исходя из комплексного сочетания двух указанных выше факторов на основе оценки экспертов.
Замыкает пятерку самых популярных соцсетей, ранжированных по степени их надежности с точки зрения безопасности пользовательской информации, самая посещаемая в мире социальная сеть (около 1 миллиарда пользователей в день) – Facebook. Детище Марка Цукерберга обеспечено двухфакторной авторизацией, защищенным протоколом, есть программа баг баунти. В октябре 2015 года в Facebook появилась система уведомлений о попытках взлома аккаунтов, призванная оповещать пользователей об угрожающих им кибератаках. Уведомления приходят тем пользователям, чьи аккаунты, по мнению сервиса, могут быть взломаны хакерами, которые работают по заказу какой-либо страны.
Однако, по отзывам пользователей, с технической поддержкой сервиса связаться не всегда легко, равно как и получить ответы на свои вопросы.
Кроме того, разработчики Facebook часто меняют настройки конфиденциальности, вследствие чего пользователи вынуждены повторно возвращаться к ним и вносить необходимые изменения. При этом порой бывает сложно понять, какие именно параметры скрываются за тонкими настройками и как они способны повлиять на конфиденциальность информации пользователя и доступ к его странице.
В середине 2013 года подтвердилась информация о том, что АНБ с 2007 года по заданию ФБР собирает данные о пользователях социальных сетей, в том числе и переписку. Помимо прочих сервисов, информацию о пользователях спецслужбам предоставляет и Facebook. От президента США Барака Обамы было получено подтверждение о том, что такая программа в действительности существует, но касается лишь нерезидентов США.
Однако сбор данных пользователей осуществляет не только правительство США – в августе 2016 г. стало известно о том, что активным сбором пользовательской информации занимаются киберпреступники. Эксперты компании ESET сообщили, что злоумышленники с помощью взломанных аккаунтов осуществляют распространение ложной информации и при этом отмечают других людей в своем сообщении. В этом сообщении хакеры ссылаются на веб-страницу, где пользователю предлагается ввести учетные данные своего аккаунта Facebook якобы для получения доступа к информации. Таким образом в распоряжении преступников оказывается еще одна учетная запись.
В августе 2013 года компания Facebook опубликовала свой первый отчет о количестве данных, которые она была вынуждена передать в первом полугодии 2013 года в ответ на 25 тыс. запросов правительств различных государств.
На основании своего пользовательского соглашения, Facebook оставляет за собой право свободно и на свое усмотрение использовать данные пользователей, в том числе и контактные (адреса электронной почты и номера телефонов) даже после удаления аккаунта из сети.
Звучали и обвинения в нарушении тайны переписки: в январе 2014 года два пользователя Facebook из США подали в суд на социальную сеть, обвинив сервис в сканировании личной переписки для дальнейшего использования в целевой рекламе. Ранее в том же году Facebook объявила о запуске рекламной платформы Atlas, до 2013 года принадлежавшей компании Microsoft. Особенность Atlas, на которой Facebook делала особый акцент, заключалась в том, что в потоке десктопного и мобильного трафика Atlas следит за поведением конкретного человека. В компании не поясняли то, каким именно образом они отслеживают одного и того же обезличенного потребителя, пользующегося различными устройствами для взаимодействия с Atlas и Facebook.
Помимо этого, в Facebook регулярно выявляются уязвимости, которые ставят под угрозу безопасность данных пользователей. Так, в августе 2016 была обнародована уязвимость в механизме сброса паролей, обнаруженная исследователем информационной безопасности из Калифорнии. Уязвимость позволяла получить доступ к любому аккаунту и выполнять в нем любые действия, включая просмотр личных сообщений и информации о платежных картах.
В июне 2016 пользователям Facebook угрожало вредоносное ПО, которое распространялось через Google Chrome. На электронную почту или в приложении Facebook приходило уведомление о том, что друг якобы упомянул пользователя в комментарии. Переход по ссылке, содержащейся в сообщении, запускал процесс загрузки вредоносного программного обеспечения. При попытке пользователя открыть загруженный файл происходило заражение устройства.
Более того, в июне 2016 года профессор Университета Южной Флориды Келли Бернс, являющаяся экспертом по массовым коммуникациям, доказала, что Facebook занимается прослушкой разговоров пользователей с целью сбора и анализа данных для более точного подбора рекламных объявлений. Бернс сообщила, что для прослушки переговоров применяются приложение Facebook и микрофон мобильного девайса. Чтобы проверить эту гипотезу, исследователь разговаривала на несколько отобранных тем, в то время как поблизости от нее находился смартфон с включенным приложением. Вскоре приложение начало демонстрировать рекламу с тематикой, соответствующей тому, о чем говорила Бернс. Представители Facebook заявили, что микрофоны мобильных устройств не применяются для сбора данных и опровергли утверждения о том, что мобильное приложение ведет запись разговоров.
В марте 2016 выяснилось, каким образом можно неограниченное количество раз осуществлять ввод кода для восстановления доступа к учетной записи. Если пользователь хочет восстановить доступ к своему аккаунту, то Facebook пересылает одноразовый шестизначный код на номер телефона, который привязан к учетной записи. После десяти неудачных попыток ввода неверного кода учетная запись блокируется. Однако система безопасности работает корректно лишь на основном домене – facebook.com. В случае с beta.facebook.com количество попыток ввода пароля не ограничено.
Не обошлось и без курьезных случаев: используя баг, хакеру удалось «уволить» из Facebook Марка Цукерберга. Непальский хакер нашел в социальной сети уязвимость, позволявшую «уволить» любого пользователя Facebook, у которого указано место работы в аккаунте, путем замены поста о начале работы в компании на пост об ее окончании. Хакер наглядно продемонстрировал баг, опубликовав ссылку на запись, в которой шла речь об увольнении основателя Facebook.
В сентябре 2015 экспертом из Индии была зафиксирована уязвимость, используя которую злоумышленники могли взломать страницы компаний и сообществ – то есть те страницы, которые управлялись более чем одним пользователем. В своем блоге исследователь рассказал о том, что посторонние приложения могли захватить контроль над страницей в Facebook (публиковать фотографии, статусы от имени пользователя и т.д.) с последующей утратой жертвой прав администратора.
В августе 2015 года эксперт в области информационной безопасности Реза Моайандин получил доступ к аккаунтам в Facebook, используя настройку приватности. С помощью настройки приватности, которая по умолчанию установлена в социальной сети Facebook, исследователь привязал тысячи телефонных номеров к аккаунтам в Facebook.
Несмотря на то что все уязвимости были исправлены специалистами Facebook, их количество постоянно растет, поэтому самая посещаемая социальная сеть в мире удостаивается пятого места в рейтинге аналитического центра Falcongaze.
ВКонтакте
На четвертом месте расположилась социальная сеть «ВКонтакте», появившаяся в 2006 году и быстро завоевавшая популярность: по данным Similar Web – это самый посещаемый сайт в России, а по данным Alexa Internet, сайт vk.com находится на третьем месте по посещаемости. В мае 2015 года «ВКонтакте» учредила программу баг баунти. Протокол сервиса защищен, с недавним редизайном соцсети все пользователи перешли на защищенное соединение HTTPS, в 2014 году появилась двухфакторная авторизация. При этом если от нее отказаться и не привязать номер мобильного телефона к аккаунту, «ВКонтакте» будет напоминать об этом упущении всякий раз, когда пользователь пожелает «лайкнуть» понравившийся пост. Если при таком напоминании снова оставить без внимания номер телефона, в качестве альтернативы придется вводить код с картинки.
Интересный факт: в социальную сеть «ВКонтакте» можно войти через свой аккаунт в сервисе Facebook.
При кажущейся подозрительной попытке входа социальная сеть присылает пользователю уведомление на девайс, а также на электронную почту.
Техническая поддержка сервиса отвечает относительно оперативно, однако связаться с ней можно только войдя в свой аккаунт. Таким образом, у пользователя, не имеющего возможности попасть на свою страницу в связи с тем, что доступ к ней получили злоумышленники, могут возникнуть трудности при попытке восстановить справедливость и вернуть учетную запись.
Не все пользователи довольны настройками приватности: по умолчанию доступен просмотр трех альбомов на закрытой от всех, кроме друзей, странице: фотографии профиля, фотографии на стене, а также альбом с сохраненными фото.
Социальную сеть «ВКонтакте», как и другие подобные сервисы, пытаются использовать в своих целях мошенники. В 2009 году злоумышленники выложили в открытый доступ пароли к 135 тыс. учетных записей. Тогда данные были собраны при помощи троянской программы для Windows. В некоторых случаях пользователи, чьи компьютеры оказались заражены вирусом Win32.HLLW.AntiDurov, даже теряли файлы. Администрация социальной сети обращала внимание пользователей, что заразить компьютер таким образом можно было лишь на внешних сайтах.
В октябре 2015 года эксперт по безопасности из компании HeadLight заявил о возможности перехвата переписки в социальной сети «ВКонтакте» через Wi-Fi. Михаил Фирстов в своем блоге опубликовал код скрипта, который якобы позволял обрабатывать перехваченную переписку пользователей через приложения «ВКонтакте» для iOS и Android, находящихся в одной локальной сети с «перехватчиком». Сообщалось, что возможность получать сообщения в незашифрованном виде была заложена в приложениях, когда они передавались через протокол HTTP, даже если в настройках была выбрана опция «всегда использовать защищенное соединение».
Представители социальной сети опровергли такую возможность, сообщив, что защищенное соединение HTTPS всегда использовалось в приложении на iOS и отключить его не представлялось возможным. Однако, как стало понятно из слов сотрудников «ВКонтакте», на платформе Android от использования незащищенного соединения HTTP планировалось отказаться в ближайшем будущем, то есть теоретически перехват переписки из приложения на базе Android был возможен.
Не так давно стало известно, что в сеть утекли данные более 100 млн пользователей «ВКонтакте». База была выставлена на продажу в даркнете за один биткоин (что составляет около 570 долларов США). Представители социальной сети отреагировали на новость, сообщив, что база логинов и паролей была собрана злоумышленниками в 2011 – 2012 годах, а всем пострадавшим пользователям данные для входа в аккаунт менялись принудительно. Кроме того, после известия социальная сеть провела повторную проверку и убедилась, что база не содержит действующих паролей и логинов пользователей «ВКонтакте».
Чтобы обезопасить аккаунты от взлома, социальная сеть рекомендует пользователям выбирать сложные пароли и не вводить их на посторонних сайтах, а также использовать двухфакторную аутентификацию. Помимо этого, разработчики сервиса создали тест, предназначенный для проверки знаний компьютерной безопасности, размещенный по адресу vk.com/test.
Осенью 2015 года злоумышленниками были похищены данные множества адептов социальной сети, использовавших мобильное приложение «Музыка ВКонтакте», скачанное из Google Play. В состав программы входил вредоносный код, отправлявший преступникам данные, необходимые для входа в аккаунт. Эксперты «Лаборатории Касперского» сообщали, что пользователь мог не замечать факт хищения информации для авторизации в сети «ВКонтакте» вплоть до изменения хакерами пароля к его аккаунту. Ситуация также усугублялась тем, что киберпреступники раз за разом выкладывали новую версию вредоносного приложения вместо предыдущей, уже заблокированной в Google Play.
В апреле 2016 года стало известно об уязвимости, связанной с поиском файлов в социальной сети. Выяснилось, что при загрузке документов и отправке в личных сообщенияx сканов паспортов, водительских удостоверений и других документов пользователь фактически открывает доступ к загруженным документам для посторонних пользователей.
Уязвимость была выявлена, когда пользователь из России попытался передать собеседнику «ВКонтакте» файл, который до этого он уже отправлял, и в процессе поиска получил доступ к личным файлам миллионов людей. Выяснилось, что процедура поиска документов практически идентична поиску аудиозаписей. Однако сотрудники «ВКонтакте» не сочли это уязвимостью. Более того, о такой «особенности» раздела «Документы» было известно еще в 2011 году – и основатель социальной сети Павел Дуров еще тогда поделился своей позицией на этот счет, обратив внимание на то, что при загрузке документов пользователи уведомлялись, что файл будет доступен другим пользователям в поиске, и о том, что опцию можно было отключить.
Что касается предоставления данных пользователей по запросу силовых структур, пресс-секретарь «ВКонтакте» Евгений Красников заявил о поддержании данной меры. Красников сообщил, что личные данные пользователей соцсети могут быть переданы российским спецслужбам по первому запросу и при отсутствии соответствующего судебного решения.
Таким образом, «ВКонтакте» занимает предпоследнюю строчку в хит-параде самых популярных соцсетей по степени надежности.
Одноклассники
Социальная сеть «Одноклассники», которая, по данным SimilarWeb, находится на втором месте по посещаемости среди социальных сетей в России, расположилась в середине рейтинга аналитического центра Falcongaze. В «Одноклассниках» есть двухфакторная авторизация, большая база по вопросам, оперативная техподдержка, связаться с которой можно заполнив форму ok.ru/help . Еще недавно защищенный протокол HTTPS можно было включить опционально, а страницы социальной сети были доступны по нешифрованному протоколу – теперь же социальная сеть полностью перешла на защищенное соединение.
В июле 2015 года «Одноклассники» запустила программу выплат вознаграждений за найденные уязвимости на сайте и во внешних виджетах сервиса.
Большинство инцидентов, затрагивающих безопасность пользователей «Одноклассников», связаны с мошенничеством и получением пользовательских данных с помощью фишинга. Со взломанных аккаунтов злоумышленники обращаются к друзьям жертвы с просьбой об одолжении денег или о пересылке данных банковской карты, затем с этой карты происходит списание средств. Подобные случаи заканчивались и обнулением счета мобильного телефона. Случалось, что злоумышленники, атаковавшие пользователей социальной сети «Одноклассники», требовали деньги за разблокировку аккаунтов, присваивая учетные записи.
В марте этого года социальная сеть «Одноклассники» создала свой «черный список» сетевых ресурсов, доступ к которым из социальной сети запрещен. В этот список были внесены все потенциально опасные сайты. Если пользователь попытается перейти из социальной сети на один из них, то система переадресует его на страницу, уведомляющую о переходе на сайт, который может установить на устройство опасное программное обеспечение или получить доступ к личным данным. Также известно, что «Одноклассники» проводила совместную акцию с ESET, когда любой пользователь социальной сети мог бесплатно скачать лицензию антивируса ESET NOD32 на три месяца.
Таким образом, «бронзу», или почетное третье место получает сервис «Одноклассники».
Протокол социальной сети Instagram, принадлежащей компании Facebook, защищен, техническая поддержка находится по адресу help.instagram.com. Программа баг баунти была учреждена в 2011 году. В 2015 году компания получила более 13 000 сообщений о различных проблемах, 526 из которых оказались реальными уязвимостями.
Известны случаи, когда исследователи безопасности, нашедшие уязвимости в Instagram не были вознаграждены, а, напротив, подверглись давлению со стороны компании Facebook, которой принадлежит эта социальная сеть. Так, специалист по безопасности Уэсли Вайнберг выявил ряд серьезных уязвимостей Instagram и даже получил через них доступ к аккаунтам сотрудников социальной сети. В октябре 2015 года Вайнберг сообщил об уязвимости Facebook, которая, однако выплатила вознаграждение в размере $2500 лишь за один из трех багов. Далее исследователь опубликовал в своем блоге подробное описание своих действий, позволивших получить доступ к пользовательской информации в Instagram, и несколько почтовых писем из переписки с отделом безопасности Facebook. После этого директор по безопасности компании Facebook назвал действия исследователя несанкционированным доступом к конфиденциальной информации пользователей и базе данных сотрудников Instagram. Также была высказана вероятность запуска судебного процесса.
Однако есть и позитивные примеры: не так давно стало известно о десятилетнем мальчике из Финляндии, который обнаружил баг в Instagram и получил за это денежное вознаграждение в размере $10 000. Уязвимость позволяла удалять комментарии пользователей социальной сети. Юный исследователь по имени Яни рассказал, что протестировал открытую им уязвимость на тестовом аккаунте – и убедился в том, что мог бы стереть сообщения абсолютно любого пользователя.
Исследователь из Бельгии Арне Свиннен в декабре 2015 года выяснил, что официальное приложение Instagram для Android допускает 1000 попыток аутентификации с одного IP-адреса и только после этого отображает сообщение «введенное имя пользователя не относится к данному аккаунту». После двухтысячной попытки сообщение исчезает и система начинает чередовать один reliable response (верен пароль или неверен) и один unreliable response (неправильное имя пользователя). Хакеру достаточно было просто создать несложный скрипт, который обращался бы к приложению вплоть до получения reliable response. Свиннен протестировал такую возможность, перебрав 10000 паролей для тестового аккаунта. Кроме того, было доказано, что злоумышленник мог бы войти в скомпрометированную в ходе такой атаки учетную запись с того же самого IP-адреса, который только что использовался для брутфорс-атаки.
Помимо этого, у мошенников была возможность изменять 1700 адресов электронных почтовых ящиков пользователей. По словам исследователя, злоумышленник, получив доступ к персональным данным, мог изменять и номера телефонов в учетных записях Instagram. Изменив телефонный номер, хакер мог применить функцию изменения пароля с помощью SMS – и таким образом получить полный доступ к учетной записи.
В феврале 2016 года в системе уведомлений Instagram была выявлена уязвимость, которая появилась после внедрения в социальную сеть функционала, позволяющего пользователям, имеющим несколько учетных записей, оперативно переключаться между ними. Два пользователя, имевших персональные аккаунты и создававшие еще один общий, получали возможность просматривать сообщения, предназначенные для персональных учетных записей друг друга.
В ноябре 2015 из App Store и Google Play было удалено популярное приложение InstaAgent, позволявшее пользователям получать информацию о том, кто просматривал их страницу в соцсети Instagram. Исследователь из Германии рассказал о том, что приложение осуществляло сбор учетных данных, затем пересылало их на удаленный сервер и впоследствии осуществляло компрометацию аккаунтов для публикации на страницах жертв различного спам-контента.
Второе место среди наиболее защищенных социальных сетей получает Instagram от экспертов Falcongaze.
Первое место в контексте безопасности на пьедестале популярных соцсетей получил сервис Twitter, который оценивается компанией Alexa Internet как один из 10 самых посещаемых веб-сайтов по всему миру, а также входит в тройку лидирующих по популярности социальных сетей. У Twitter все в полном порядке: с 2013 года есть двухфакторная авторизация, используется защищенный протокол, техническая поддержка находится по адресу support.twitter.com/forms, где можно, заполнив форму, обратиться за помощью. Также есть официальные аккаунты поддержки на разных языках, которые периодически делятся с читателями различного рода информацией об обновлениях и так далее. К программе баг баунти социальная сеть Twitter подключилась одной из последних – в 2014 году. Сообщения об уязвимостях можно оставлять посредством заполнения форм: about.twitter.com/ru/company/security.
В России социальной сети Twitter было уделено внимание Роскомнадзора: глава ведомства в начале года встретился с руководством компании и обратил его внимание на то, что Twitter обрабатывает и хранит персональные данные россиян, отметив, что, таким образом, компания обязана исполнять требования федерального закона №242 о защите персональных данных.
В июне 2016 г. была обнаружена кража почти 33 миллионов паролей пользователей Twitter. База данных с учетными записями пользователей была выставлена на продажу. Однако, по данным LeakedSource, сам Twitter взломан не был, а учетные записи были, скорее всего, получены злоумышленниками через вредоносное ПО, собирающее информацию с браузеров. Вероятнее всего, вредоносное ПО распространялось среди пользователей российского сегмента интернета.
В мае этого года исследователи компании Symantec обнаружили более 2,5 тыс. взломанных учетных записей этой соцсети, распространяющих ссылки на порно-сайты и ресурсы для знакомств. Кроме того, в конце мая 2016 г. был осуществлен взлом аккаунтов многих известных людей, в том числе и одного из основателей этой социальной сети и ее креативного директора Биза Стоуна. Предполагается, что инцидент мог быть связан с утечкой данных из другой социальной сети – LinkedIn, – поскольку всех пострадавших объединяло наличие учетных записей в обоих сервисах.
Немногим ранее, в феврале 2016 года, представители Twitter предупредили пользователей социальной сети о вероятной компрометации информации, которая могла быть вызвана уязвимостью в системе восстановления паролей. Уязвимость могла повлечь хищение информации о телефонных номерах и адресах электронных почтовых ящиков 10000 пользователей. В сообщении, опубликованном представителями компании, было также указано, что проблема устранена.
В конце декабря 2015 года многие пользователи Twitter были предупреждены компанией о попытке кибернападения, осуществленной правительственными хакерами. Кроме того, Twitter наравне с Facebook и еще несколькими крупными компаниями поддержала Apple в споре с ФБР по делу «стрелка из Сан-Бернардино».
За заботу о конфиденциальности пользовательской информации и относительно небольшое число утечек данных из-за уязвимостей в сервисе Twitter получает первое место в рейтинге безопасности соцсетей аналитического центра Falcongaze.
(c) 2016 Falcongaze
https://falcongaze.ru/pressroom/publications/research/rating...
