В работе рекламных сервисов у мобильных операторов нашли серьезную дыру. Как оказалось, маркетинговые инструменты, которые должны помогать продавать товары, на деле сливают личные данные абонентов, причем согласия на это никто не спрашивает.
Антон Бочкарев из команды «3side» разобрал по полочкам, как именно это происходит. По его словам, рекламные кабинеты устроены так, что любой желающий может составить подробный портрет человека. Для этого достаточно, чтобы жертва один раз позвонила на нужный номер или просто кликнула по ссылке, которую прислали злоумышленники.
Самое странное здесь — простота доступа. Чтобы зайти в такую систему, хватает обычного СМС-подтверждения на любой номер. После этого открывается рекламный кабинет с кучей фильтров. Там можно увидеть почти всё: где человек находится в данный момент, кому он звонил, на какие сайты заходил и даже что ему пишут в сообщениях.
Антон Бочкарев описывает процесс так: «Сначала мы ограничиваем поиск нужным районом, потом добавляем фильтр по звонку с конкретного номера, а дальше сужаем круг еще сильнее, используя остальные параметры».
Бочкарев считает, что это не случайный баг, а системная беда всего мобильного маркетинга. Получается, что инструменты для настройки рекламы превратились в удобный софт для слежки. Пока эксперты обсуждают эту утечку, в Минцифры уже начали прорабатывать другой вопрос — ведомство хочет запретить оплату сервисов Apple со счета мобильного телефона.
Часто задаваемые вопросы
Злоумышленники могут узнать ваше местоположение, историю звонков, интересы в интернете и даже просмотреть входящие сообщения.
Утечка возможна при использовании настроек таргетинга в рекламных кабинетах операторов после того, как абонент совершил звонок или перешел по ссылке.