Недавние новости в международных СМИ были посвящены многочисленным случаям нарушения интернет неприкосновенности. Данная ситуация заслуживает особого внимания и изучения. Сотрудники High-Tech Bridge решили провести технически простой эксперимент, чтобы проанализировать, отношение к конфиденциальной информацией пользователей 50 крупнейших социальных сетей, веб-сервисов и бесплатных почтовых систем. Данный эксперимент сможет произвести при желании любой пользователей, поэтому специалисты High-Tech Bridge старались провести тестирование максимально объективно.
Суть эксперимента предельна проста. Использовался выделенный веб-сервер, и создавались тайные и абсолютно непредсказуемые URL-адреса для каждого тестируемого сервиса, например:
http://www.our-domain-for-test.com/secret/18354832319/sgheAsZaLq/
Затем с помощью стандартной функциональности популярных веб-сервисов и социальных сетей эксперты High-Tech Bridge передавали данные тайные адреса и проводили мониторинг входящих HTTP-запросов на выделенный сервер (чтобы узнать какие именно сервисы перешли по конфиденциальной ссылке, которая не была предназначена для посещения кем-либо).
За 10 дней проведения эксперимента только 6 сервисов из 50 злоупотребили пользовательской конфиденциальностью. Как бы то ни было, среди этих 6 – крупнейшие социальные сети: Facebook, Twitter, Google и Formspring. Среди оставшихся 2-ух – сервисы сокращения ссылок bit.ly и goo.gl.
Что касается сервисов сокращения ссылок, такое поведение может быть связанно со стандартными функциями, но это утверждение абсолютно неверно для социальных сетей Facebook и Twitter. Принимая во внимание, что некоторые сервисы для своей работы используют роботы (например, для выявления вредоносных ссылок или спама) был создан файл robots.txt, который запрещал ботам индексировать ссылку, ограничивая тем самым доступ на выделенный сервер и контент на нем. Только Twitter последовал созданному правилу, все другие социальные сети просто проигнорировали его, все равно перейдя по конфиденциальной ссылке.
Ниже представлена таблица результатов эксперимента:
| Название сервиса | Тестируемая функциональность | Риск слежения |
|---|---|---|
| AOL Mail | Отправка email, содержащего ссылку | Нет |
| AOL Web Search | Текстовый поиск ссылки | Нет |
| Ask.com | Текстовый поиск ссылки | Нет |
| Ask.com | Создание нового вопроса, содержащего ссылку | Нет |
| Bing | Текстовый поиск ссылки | Нет |
| bit.ly | Сокращение ссылки | Да |
| Личное сообщение, содержащее ссылку | Да | |
| Formspring | Создание нового вопроса, содержащего ссылку | Да |
| Foursquare | Текстовый поиск ссылки | Нет |
| goo.gl | Сокращение ссылки | Да |
| Google Calendar | Создание события, содержащего ссылку | Нет |
| Google Disk | Созранение текста со ссылкой на Google disk | Нет |
| Google Docs | Создание документа, содержащего ссылку | Нет |
| Google GMail | Отправка email, содержащего ссылку | Нет |
| Google Groups | Создание ссообщения в закрытой группе | Нет |
| Google Search | Текстовый поиск ссылки | Нет |
| Google Talk | Сообшение, содержащее ссылку | Нет |
| Google Translate | Перевод текста, содержащего ссылку | Нет |
| Google+ | Текст со ссылкой в круге без пользователей | Да |
| Google+ | Текст со ссылкой в Hangouts | Нет |
| ICQ | Офлайн-сообщение, содержащее ссылку | Нет |
| Jabber (jabber.org server) | Незашифрованное офлайн-сообщение со ссылкой | Нет |
| Jabber (jabber.ru server) | Незашифрованное офлайн-сообщение со ссылкой | Нет |
| Личное сообщение, содержащее ссылку | Нет | |
| LiveJournal | Личное сообщение, содержащее ссылку | Нет |
| Mail.com | Отправка email, содержащего ссылку | Нет |
| MS Outlook (mail.live.com) | Отправка email, содержащего ссылку | Нет |
| Mail.ru Agent | Сообщение, содержащее ссылку | Нет |
| Mail.ru Agent | Сообщение, содержащее ссылку, через ICQ gate | Нет |
| Mail.ru Email | Отправка email, содержащего ссылку | Нет |
| MSN | Сообщение, содержащее ссылку | Нет |
| MySpace | Личное сообщение, содержащее ссылку | Нет |
| Odnoklassniki.ru | Личное сообщение, содержащее ссылку | Нет |
| Pastebin | Создание закрытого HTML документа со ссылкой | Нет |
| Skype | Офлайн-сообщение, содержащее ссылку | Нет |
| Sourceforge | Личное сообщение, содержащее ссылку | Нет |
| Личное сообщение, содержащее ссылку | Да | |
| Viadeo | Личное сообщение, содержащее ссылку | Нет |
| Vimeo | Личное сообщение, содержащее ссылку | Нет |
| vk.com (vkontakte) | Личное сообщение, содержащее ссылку | Нет |
| Webmoney | Личное сообщение, содержащее ссылку | Нет |
| Wikipedia | Текстовый поиск ссылки | Нет |
| Windows Live Messenger | Сообщение, содержащее ссылку | Нет |
| Ответ на сообщение | Нет | |
| Личное сообщение, содержащее ссылку | Нет | |
| Yahoo Email | Отправка email, содержащего ссылку | Нет |
| Yahoo Messenger | Сообщение, содержащее ссылку | Нет |
| Yahoo Web Search | Текстовый поиск ссылки | Нет |
| Yandex Mail | Отправка email, содержащего ссылку | Нет |
| Yandex Web Search | Текстовый поиск ссылки | Нет |
| Yandex.Disk | Созранение текста, содержащего ссылку | Нет |
Ниже показаны HTTP запросы, которые обращались к конфиденциальной ссылке:
Bit.ly:
IP: 50.17.69.56
User-Agent: bitlybot
Facebook:
IP: 173.252.112.114
User-Agent: facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)
Formspring:
IP: 54.226.58.107
User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31
goo.gl:
IP: 66.249.81.112
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.4 (KHTML, like Gecko; Google Web Preview) Chrome/22.0.1229 Safari/537.4
Google+:
IP: 66.249.81.112
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:6.0) Gecko/20110814 Firefox/6.0 Google (+https://developers.google.com/+/web/snippet/)
Twitter:
IP: 199.59.148.211
User-Agent: Twitterbot/1.0
Марсель Низамутдинов, главный научный сотрудник High-Tech Bridge так прокомментировал данную ситуацию: "Результаты эксперимента вызывают особый интерес. 4 социальные сети, уличенных в злоупотреблении пользовательской конфиденциальностью оправдали свои действия «автоматической проверкой». Как бы то ни было, технически очень сложно понять, что на самом деле происходит и как используется информация, полученная с тайных адресов. В настоящее время огромное количество веб-приложений пренебрегают аутентификацией и полагаются на временные и непредсказуемые ссылки для сокрытия контента. Когда пользователи передают такие ссылки через социальные сети, они не могут быть уверены в неприкосновенности передаваемой информации. К сожалению, сейчас нет способа сохранить конфиденциальность подобных ссылок и контента при передаче с помощью социальных сетей (при отсутствии аутентификации)".
По материалам пресс-релиза High-Tech Bridge
Последние обзоры и тесты
• Лучший антивирус 2024: Тестирование антивирусов для Windows 11 на максимальных настройках защиты
• AV-Test 2024: Лучшие антивирусы для защиты от шифровальщиков и инфостилеров
• AV-Comparatives 2024: Лучшие антивирусы для защиты от целевых атак
• Антивирусы с минимальным влиянием на производительность Windows ПК – AV-Comparatives 2024
• AV-Test 2024: Тестирование 31 антивируса для Windows. Как антивирусы справляются с реальными атаками
• AV-Test 2024: Лучшие антивирусы для Windows 11 и Windows 10