В конце августа социальная сеть «ВКонтакте» сообщила, что работает над инструментом, который позволит пользователям запрашивать собираемые на них персональные данные. И вот, спустя три месяца, команда разработчиков объявила о выходе важного для некоторых юзеров нововведения. На данный момент выгрузка работает в тестовом режиме, но разработчики обещают, что будут трудиться над улучшением новой функции.

Как работает новшество и какую именно информацию собирает «ВК» о своих пользователях?

Чтобы получить данные о себе, владелец соцсети должен перейти на страницу «Защита данных ВКонтакте», где и находится кнопка «Запросить архив». После запроса система предложит ввести пароль от аккаунта или, в зависимости от настроек, – код, который придёт на номер телефона, прикреплённого к странице. Подтвердив доступ, администрация соцсети в личных сообщениях оповестит вас о получении запроса и предупредит, что ссылка на архив будет отправлена в этот же чат после завершения подготовки данных. Как отмечают разработчики, этот процесс может длиться несколько дней. Для сравнения, архив страницы, созданной в 2016 году, был готов через 30 минут, а вот для аккаунта, заведённого 12 лет назад, потребовалось куда больше времени – восемь с половиной часов.

Как только файл будет готов, пользователь получает второе сообщение с необходимой ссылкой, которая вновь перекидывает на страницу «Защита данных ВКонтакте». Только кнопка «Запросить архив» изменяется на «Скачать архив». Стоит отметить, что доступна она в течение ровно семи дней, после чего при необходимости запрос нужно повторить.

Вот так выглядит содержимое полученного архива:

 

Как видно по скриншоту, вся информация о странице пользователя структурирована: установленные приложения, аудиозаписи, закладки, сообщения, платежи, стена и т.д. Но что насчёт содержимого? В некоторых из них содержится весьма интересное чтиво (доступ ко всем данным сразу можно получить через файл index). Так, например, в папке Ads («Реклама») пользователь найдёт с страницу с геолокациями наиболее посещаемых мест. Ads также включает информацию об интересах, рекламных кабинетах и ретаргетинге.

Отдельным пунктом хочется выделить страницу с отметками «Нравится», на которой находится весь контент (Фотографии, Видеозаписи, Стена, Заметки, Товары) с поставленными пользователем «лайками». Эти данные, собранные в одном месте, безусловно окажутся полезны органам, подозревающих некоторых граждан в экстремизме или, как говорят сами пользователи, нарушении «статьи за лайки и репосты».

Другой не менее важной вкладкой станут «Сообщения» владельца страницы, ведь именно здесь хранится вся личная переписка (самое ранее, что нам удалось обнаружить датируется 2007 годом). Стоит отметить, что удалённые сообщения в архиве не отображаются. Аналогичная ситуация и со стеной. Архив также содержит данные об истории смены имени, блокировках, чёрном списке, сеансах авторизации, привязанных телефонных номерах, а также платежах юзера, где в том числе находится информация о картах и история платежей и переводов.

Цифровое Эльдорадо

Безусловно, выгрузка данных стала полезным нововведением. Однако, не сделала ли эта функция российских пользователей более уязвимыми? «ВКонтакте» позволила скачивать всю информацию о себе одним файлом. Да, разработчики предусмотрели дополнительный уровень защиты (можно зашифровать архив с помощью персонального ключа OpenPGP). Вдобавок к этому, ссылка для скачивания доступна только владельцу страницы в течение ограниченного времени.

Здесь нельзя не упомянуть несколько важных моментов. Во-первых, из-за того, что архив включает практически всё, что известно о пользователе, его «потерю» (конечно же, при небережливом отношении к таким ценным данным) можно приравнять к потере ежедневника, кошелька или паспорта, где также могут храниться важные для владельца вещи, кредитки или записи. Во-вторых, прочитать переписку или узнать историю денежных переводов можно с любого устройства – страница с необходимой информацией будет доступна даже неавторизованным пользователям. При этом необязательно иметь под рукой весь архив, так как каждая страница открывается обособленно от файла.

Руководитель департамента системных решений Group-IB Антон Фишман считает, что сама по себе функция правильная и нужная. По его словам, появление такого инструментария ведёт к большей открытости и даёт пользователю возможность убедиться в том, как много данных известно о нём соцсети.

«Реализация подобной функции не добавляет рисков для безопасности персональных данных пользователей этой социальной сети. Более того, предоставление такой информации гражданам ЕС является требованием закона о защите персональных данных – GDPR», – рассказал Фишман в комментарии.

При этом, как отметил эксперт, реализовывать такой функционал нужно очень осторожно, серьёзно прорабатывая вопросы безопасности, чтобы злоумышленники не получили доступ к персональным данным пользователей. Ведь если пользователь ранее запрашивал выгрузку данных о себе, то киберпреступник, получив доступ к профилю жертвы, сможет данный архив скачать. При условии, что ссылка будет ещё действительна.

«Нередки случаи, когда злоумышленники получали доступ к аккаунтам пользователей в соцсетях (намеренно, либо же сами пользователи "логинились" в местах с публичным Wi-Fi и забывали выходить из профиля). Кроме того, пока неизвестно, как внутри "ВКонтакте" реализован новый функционал. Мы надеемся, что он не содержит уязвимостей, которые позволят злоумышленникам получать подробные данные о других пользователях», – заметил руководитель департамента системных решений Group-IB.

Веб-аналитик «Лаборатории Касперского» Владислав Тушканов, отвечая на запрос, заметил, что подобные функции не влияют на безопасность аккаунтов, ведь возможность скачать свои данные сейчас есть во многих сервисах, особенно международных. Это связано с требованиями европейского законодательства, согласно которым человек имеет право получить все данные о нём, которые собрал сервис – например, перед запросом об удалении аккаунта и отзыве разрешения на обработку персональных данных.

Тем не менее, как отметил Тушканов, пользователям следует позаботиться о защите аккаунта. Вне зависимости от того, есть такая функция у сервиса или нет. Для этого эксперт посоветовал не пренебрегать надёжными паролями и двухфакторной аутентификацией. То же самое касается и тех, кто скачивает архив – в этом случае стоит позаботиться, в том числе, и о защите устройства, где он хранится, используя сильные пароли и защитное программное обеспечение.