Фред Флаффернаттер выступает за разрешение абортов, любит бейсбол, читает электронную версию The Washington Post и делает покупки в Интернете на сайтах Victoria’s Secret, Amazon.com и L.L. Bean.
Фред Флаффернаттер выступает за разрешение абортов, любит бейсбол, читает электронную версию The Washington Post и делает покупки в Интернете на сайтах Victoria’s Secret, Amazon.com и L.L. Bean. Я знаю все сайты, на которые когда-либо заходил Фред, потому что и придумал-то его я, и я же заполнял за него все регистрационные карточки. Но что очень печально, собрать информацию о Фреде — или о вас, или обо мне — может кто угодно и довольно легко, потому что сайты «текут». О простом и законном способе сбора личной информации мне рассказали в израильской компании Blue Security. Здесь этот способ называют «составление портрета злобного потребителя». Начинает маркетолог или потенциальный вор, нацелившийся на ваши личные данные, с того, что добывает ваш электронный адрес. В данном случае это был [email protected]. На многих требующих регистрации сайтах электронный адрес служит именем пользователя. Бывает и так, что люди сами предпочитают использовать в качестве логина какие-то элементы своего адреса. Например, fred_fluffernutter. При попытке зарегистрироваться ну хотя бы на сайте NARAL Pro-Choice America с использованием имени, которое уже зарегистрировано (скажем, Fred), вы увидите ввыскочившем окошке такой текст: «Спасибо за подтверждение вашей регистрации». Так что мошенник или маркетолог, собирающий информацию онекой личности, может сделать вывод, что Фред, скорее всего, считает, что аборты надо разрешить.
ТАКЖЕ МОЖНО ОБМАНУТЬ САЙТ, заставив его сообщить, зарегистрирован на нем пользователь или нет. Пример: в ответ на запрос о якобы забытом пароле некоторые сайты сообщают, что направили его по зарегистрированному электронному адресу или что регистрация отсутствует. С помощью такого трюка я проверял регистрацию Фреда на сайтах бейсбольной лиги, The Post, Victoria’s Secret, L.L. Bean. Но можно использовать эту уловку и на тысячах и тысячах других сайтов. Выуживать таким образом информацию об одном пользователе и на одном сайте — непрактично. Но ведь вовсе не надо быть семи пядей во лбу, чтобы написать программку, которая позволит автоматизировать работу и проверит тысячи электронных адресов на десятках сайтов. Простота, с которой можно собрать всю эту информацию, обескураживает. Тем более что, прояви сайты побольше ответственности, защитить конфиденциальную информацию о своих пользователях им было бы совсем нетрудно. Как установила фирма Blue Security, ни один банковский сайт на такие простые фокусы не покупается. Конечно, и потому, что такие сайты обычно в качестве логина используют номера счетов своих клиентов, а не электронные адреса или имена, которые выбирают сами пользователи.
Там, где разумно подходят к обеспечению безопасности, при регистрации используют своего рода паззлы. Обычно это произвольно выбранное слово, буквы в котором переставлены и разбросаны на каком-нибудь запутанном фоне. Чтобы войти на сайт, вам нужно набрать это слово в окошке регистрации. Фишка в том, что люди это слово прочитают легко, а вот компьютеру сделать это будет трудно, если он вообще с этим справится. Так что автоматизированные системы сбора информации на этом месте забуксуют. Впрочем, при этом надо иметь в виду необходимость разработки специальных мер для людей с ослабленным зрением.
Более удачный подход к проблеме на сайте Gay & Lesbian Alliance Against Defamation. При регистрации на glaad.org уведомление о регистрации вам посылают по электронной почте. Если кто-то еще попытается зарегистрироваться, воспользовавшись тем же адресом, регистрация вроде бы принимается, но сайт направляет по этому адресу запрос на подтверждение. Нарушитель об этом не узнает, а вот реальный пользователь получает инфор мацию о том, что кто-то пытался его вычислить. А письмо-запрос его просят переадресовать обратно на GLAAD.
Покуситься на вашу кредитку информация, которая «утекает» таким образом с плохо сработанных сайтов, не позволит. Но легкость, с которой кто угодно может составить себе представление о ваших интересах и занятиях, пугает, и совсем не на шутку. Кроме того, собранная таким образом информация позволяет рассылать спам конкретным группам пользователей или попытаться поймать вас на крючок phishing, чтобы получить-таки и более ценные данные вроде номера кредитки и паролей. (Phishing — рассылка писем якобы от каких-то банков с предложением зайти на сайт банка (фальшивый) и заполнить форму, сообщив номер кредитки и т.п. Подробнее об этом и других способах мошенничества в Интернете см. «Профиль» №20 за 2005 год. — «Профиль».) Учитывая, как легко можно уберечь пользователей от этого, бездействию операторов сайтов нет оправданий.