Найти тему
Про ИБ
277 подписчиков

Какие секреты могут выдать ваши Отзывы?

783
1 мин

Вроде бы хорошая идея - оставлять публичные отзывы о товарах, услугах, организациях, чтобы всем сообществом выявить лучших и предостеречь от некачественного.

Наиболее продвинутые платформы для Отзывов дают пользователям ачивки, рейтинги и лайки, чтобы стимулировать пользователей. Есть пользователи с сотнями и тысячами отзывов.

Достижения
Достижения

Также платформы стараются собирать Отзывы через короткий промежуток времени, после того как вы побывали в Организации или перешли на сайт -> таким образом у многих пользователей Отзывы формируют историю во времени.

Побуждающие уведомления
Побуждающие уведомления

Зачастую отзывы могут сообщать о пользователях такую информацию, которую они не рассказывают в своих соцсетях. Давайте на примере платформы Яндекса возьмем пару неизвестных человек и посмотрим, какую информацию о них увидеть?

Например, исследователь или детектив интересны люди оставившие хвалебные отзывы к целевой организации (возможно это сотрудники или контрагенты). Пусть это Минкомсвязи и Минпромторг.

Поиск отзыва
Поиск отзыва

Находим целевых пользователей. Заходим в их публичный профиль на платформе Отзывов.

Публичный профиль
Публичный профиль

Изучаем, группируем, получаем примерно следующую картинку:

-6
-6-2
-6-3

Итого про пользователя при некотором везении можно узнать примерно следующую информацию:

  • Где живет
  • Какими магазинами пользуется
  • Где работает
  • Где обедает и ужинает (с клиентами?)
  • Когда и куда ездил в отпуск
  • Когда и куда ездил в командировки
  • Есть ли дача и в каком районе
  • Марка авто и где обслуживается
  • Хобби
  • Пользовался ли медицинскими услугами и где?
  • Какие покупки недавно делал и в каких магазинах
  • Там же по фотографии в публичном профиле можно сделать поиск через поисковые системы и найти связанные аккаунты и странички.
  • В этом же профиле можно посмотреть идентификаторы и логин пользователя. Возможно, по этому логину в других сервисах доступна дополнительная информация.
window.__PRELOADED_STATE__={"pkUser":{"name":"И*****С.","pic":"21493\u002Fenc-0dd87*************2fcd8e33261e893","pkPath":"\u002Fuser\u002*****oni_aq9","login":"*******"},

Выводы:

  • На платформе Яндекса публичный профиль открыт по умолчанию, а это не secure by design. Согласие на публикацию сводной информации не собирается. DPIA?
  • Большинство пользователей просто делают Отзывы и не задумаются, о том, что со временем на них собирается публичное досье. Ограничивайте доступ к таким разделам. 
  • Если вы всё-таки пишете Отзывы, указывайте меньше личных данных и т.п.
4