iSecure logo
Blog

Niebezpieczeństwa usług internetowych

Damian Bielecki

Internet zrewolucjonizował nasze życie, pozwolił nam na wyrażanie naszego zdania oraz szybkie pozyskiwanie informacji na interesujące nas tematy. Jednym z dobrodziejstw Internetu jest rozszerzenie zakresu i ilości usług świadczonych drogą elektroniczną oraz łatwiejszy dostęp do internetowych aplikacji.  W Internecie na użytkownika czyha wiele ryzyk, które mogą naruszyć jego prywatność lub spowodować straty materialne, dlatego bardzo istotne jest posiadanie wiedzy o istniejących zagrożeniach i bycie czujnym – w szczególności w zakresie akceptowania wszelkich usług.

Uprawnienia dostępu

Jednym z najczęstszych źródeł zagrożenia dla prywatności, wynikającym z korzystania z urządzeń mobilnych jest przyznawanie zbyt szerokich uprawnień aplikacjom. Co do zasady, telefony posiadają wbudowane mechanizmy bezpieczeństwa, które uniemożliwiają programom zbieranie i wykorzystywanie danych w nich zawartych. W celu uzyskania dostępu, aplikacja prosi o wyrażenie zgody. Dla wielu użytkowników reakcją bezwarunkową jest akceptacja dostępu, jednakże sprowadza to na użytkownika potencjalne niebezpieczeństwo kradzieży jego danych. Najczęściej przytaczanym przykładem są aplikacje typu „latarka”, które były dostępne w oficjalnym sklepie dostawcy oprogramowania. Według raportu sporządzonego przez Avast Software s.r.o., Top 10 aplikacji w serwisie Google Play, które zbierało jak najwięcej uprawnień w telefonie, były „Latarki”, a liczba zbieranych uprawnień sięgała 77 typów działań. Aplikacja oprócz umożliwienia włączenia światła w telefonie, zbierała i przesyłała do zewnętrznego odbiorcy SMSy, rejestry połączeń, informacje o pobraniach, dokumenty etc. Zakres uprawnień pozwalał na wprowadzenie dalszych bardziej niebezpiecznych programów typu malwarena telefon. Korzystanie tylko z zaufanych źródeł nie jest wystarczającym zabezpieczeniem. Programy w trakcie swojego istnienia mogą przechodzić wiele zmian – nie zawsze korzystnych dla użytkownika.

Brak znajomości regulaminu/zasad działania

W dobie coraz większej konkurencji na rynku usług elektronicznych, jak i wprowadzania nowych sposób monetyzacji usług, coraz częstszą praktyką jest oferowanie „darmowych” usług. Wielu użytkowników nie zastanawia się, na czym dokładnie polegają „darmowe” usługi, czym narażają się na naruszenie nie tylko własnej prywatności, ale także prywatności osób bliskich lub klientów. Koncepcja „usługi w zamian za dane” jest coraz częściej spotykaną formą świadczenia usług.  Dokładne zasady takich usług powinny być zawsze opisane w regulaminie strony internetowej lub aplikacji. Popularną usługą internetową jest usługa „rozpoznawania numeru” – wpisujemy numer telefonu w wyszukiwarce, zaś strona wskazuje do kogo należy podany numer. Tego typu strony najczęściej działają w dwóch możliwych modelach

  • Serwis zbiera dane na podstawie uwag przekazanych przez użytkownika – użytkownik w przypadku nieznalezienia w serwisie numeru może samodzielnie wstawić notatkę i ocenić „poziom uciążliwości”.
  • Serwis zbiera samodzielnie dane i dokonuje analiz na podstawie danych zebranych z telefonu użytkownika – Serwisy opierające swoje działanie na takim modelu umożliwiają ujawnienie użytkownikowi danych tylko w przypadku, gdy zgodzi się na postanowienia regulaminu, „uprawniające” do pobrania pełnej listy kontaktów z telefonu komórkowego. Jest to bardzo niebezpieczna dla prywatności użytkowników forma. Ponadto w przypadku telefonów służbowych, może to skutkować naruszeniem zasad poufności a także stanowi nieuprawniony transfer danych – bardzo często poza granice EOG. Ze względu na sposób działania serwisów bardzo często znajdują się w nich nieprecyzyjne dane. Numer może być zapisany jako „mama” lub „prezes”, gdyż serwisy nie weryfikują samodzielnie prawdziwości danych. Serwisy bardzo częstą znajdują się poza granicami EOG, co uniemożliwia realizację podstawowych praw osoby fizycznej na podstawie przepisów RODO.

Dane które przekazujemy w ramach „darmowych” usług nie zawsze stanowią nasze dane. Bardzo często poprzez korzystanie ze stron lub programów, „wyrażamy zgodę” na wykorzystywanie przez te strony (a raczej przez firmy obsługujące/dostarczające te strony), przekazanych danych dla ich własnych celów, np. poprawy logarytmów lub tworzenia własnych statystyk.

Czy jesteśmy pewni, że darmowy translator internetowy, z którego korzystamy, nie analizuje tekstów i nie wykorzystuje ich we własnych celach?

Czy jesteśmy pewni, że internetowy program do obróbki zdjęć nie dokonuje biometrycznej analizy osób znajdujących się na zdjęciach by tworzyć bazę?

Czy dostawca poczty e-mail czyta nasze e-maile w celu dobrania dopasowanej reklamy?

 

Darmowy, nie zawsze bezpieczny

W przypadku braku doświadczenia lub w celu zaoszczędzenia czasu użytkownicy bardzo często wykorzystują darmowe programy internetowe służące do tworzenia dokumentów według ustalonego wzoru, np. generator CV lub konwertujące dokument na inny format, np. .pdf na .doc. Jednym z głównych ryzyk związanych z takimi aplikacjami jest brak zabezpieczenia stron – darmowe usługi nie zawsze są zabezpieczone w sposób adekwatny do zakresu danych zbieranych za ich pośrednictwem.  Dokumenty tworzone za pośrednictwem aplikacji najczęściej nie są usuwane z serwerów, na których zostały stworzone, co prowadzi do wniosku, że brak jest zasad retencji dokumentów (dokumenty mogą nigdy nie być usuwane z serwerów). Jest to bardzo niebezpieczna dla użytkownika sytuacja. W przypadku incydentu bezpieczeństwa może dojść do wycieku danych osobowych. Jako przykład incydentu w „generatorze CV” warto wskazać, że może dojść do wycieku danych kontaktowych, wizerunku, adresu zamieszkania etc. Niniejsze informacje mogą skutkować dla użytkownika kradzieżą tożsamości. Aplikacje konwertujące pliki bardzo często zawierają w swych bazach skany dowodów osobistych, decyzje urzędowe etc. Ze względu na występowanie danych, takich jak PESEL, numer i seria dokumentu tożsamości, czy NIP w takich dokumentach, ich kradzież może wywołać poważne skutki dla użytkownika w szczególności kradzież tożsamości umożliwiającą wzięcie pożyczki.

„Darmowe” aplikacje nie zawsze wykorzystują nasze dane. Formą monetyzacji usług jest także umieszczanie w aplikacji reklam/ banerów reklamowych. Co do zasady takie reklamy nie powinny wywoływać efektów negatywnych dla użytkownika, jednakże zdarzają się przypadki, gdy reklamy zawierają elementy malware lub przekierowują do stron internetowych zawierających szkodliwe oprogramowanie.

Malware

Bardzo częstym ryzykiem, w szczególności w sektorze bankowym, jest podszywanie się pod oficjalne aplikacje firmy, np. podszywanie się pod aplikacje bankowe do płatności mobilnych. Takie aplikacje mają głównie na celu kradzież loginu i hasła do konta lub „podmianę” numeru konta lub kwoty przy przelewach. Istotne jest pobieranie aplikacji tylko z oficjalnych stron dostawcy usług, np. bankowych i omijanie korzystania ze stron pośredników. Banki często też kierują bezpośrednie komunikaty do swoich klientów, np. na stronie głównej www, w aplikacji lub poprzez SMS-y, w których ostrzegają przed możliwymi nadużyciami i zastrzegają, że np. nie prowadzą określonej aktywności wobec użytkowników (np. „Nigdy nie prosimy Państwa o potwierdzenie PESEL w formie SMS”). Jest to szczególne istotne w przypadku dysponowania środkami pieniężnymi swego pracodawcy lub klienta.

Jak przeciwdziałać?

Ze względu na dynamicznie rozwijający się sektor usług elektronicznych, nie jest możliwe wskazanie sposobów, które uchronią nas przed każdym zagrożeniem. Powyższe zagrożenia (poza malware) nie są zagrożeniami, które mogą zostać wykryte przez firewall lub antywirus. Uniwersalną zasadą zapewniającą nam bezpieczeństwo, jest ciągłe budowanie swojej świadomości i wiedzy o zagrożeniach, zwiększając zakres zainteresowań o zagadnienia socjotechniki. Korzystając z Internetu należy być czujnym i dokładnie czytać treści regulaminów lub oświadczeń, które akceptujemy. Internet zawiera szeroki wachlarz stron informujących o bieżących zagrożeniach internetowych, z których możemy czerpać wiedzę o pojawiających się niebezpieczeństwach.

Jedną z form zabezpieczenia, jest ograniczenie stosowania „darmowych” usług na poczet płatnych – w takich przypadkach usługodawca ma ograniczony zakres możliwości i ingerencji w nasze dane (zgodnie z tym, co deklaruje w regulaminie lub umowie). Przedsiębiorcy mogą z takim dostawcą zawrzeć umowę powierzenia, która nałoży umowny zakaz dokonywania operacji na danych osobowych innych, niż ustalone przez strony. W ten sposób także, można określić wymogi bezpieczeństwa, które mają być przez usługodawcę wykorzystywane.

W celu ograniczenia ingerencji aplikacji w nasze dane i ich przechowywanie na zewnętrznych serwerach, zalecanym działaniem jest ograniczenie korzystania z aplikacji online, na poczet ich instalowania na dysku twardym. Jednakże niniejsza metoda nie zawsze ma zastosowanie, gdyż aplikacja – pomimo zainstalowania, w celu ochrony technologii, wykonuje część działań za pośrednictwem sieci Internet, poprzez połączenie się z serwerem właściciela aplikacji.

W przypadku wykorzystywania sprzętu służbowego, elementem koniecznym do stosowania zewnętrznych aplikacji, nie dostarczonych przez pracodawcę, jest wyrażenie zgody przez Zarząd spółki (lub inną osobę o kompetencji decyzyjnej, np. Kierownika Działu IT) na podstawie opinii inspektora ochrony danych i pracownika działu IT.

Podobne wpisy:

Pobieraczek.pl ukarany przez UOKiK
Damian Bielecki

Główne cele audytu ochrony danych

Z powodu coraz częstszych strat finansowych, jak i w szczególności wizerunkowych, działanie w zgodności z RODO i szeroko pojętą ochroną danych osobowych nie jest już traktowane tylko jako niepotrzebny obowiązek, lecz także jako działanie marketingowe, bardzo pożądane wśród kontrahentów lub klientów przedsiębiorstwa. Oprócz wdrażania rozwiązań zgodnych z RODO, przedsiębiorcy coraz częściej starają się posiadać i […]

RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych
Olga Skotnicka

RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych

W trzeciej części cyklu o najważniejszych zmianach wprowadzanych przez RODO/GDPR  przedstawiamy obowiązki zgłaszania naruszeń danych osobowych

Jak przetwarzać dane - poradnik (cz. III)
Maria Lothamer

Jak przetwarzać dane – poradnik (cz. III)

W ostatnich dwóch poradnikach z cyklu „Jak przetwarzać dane” przedstawiliśmy i krótko opisaliśmy Wam dwie z pięciu przesłanek, umożliwiających przetwarzanie danych tzw. „zwykłych” zgodnie z ustawą o ochronie danych osobowych. Jak się zapewne domyślacie, w tej części poradnika przedstawimy Wam kolejną, trzecią już, przesłankę legalizującą przetwarzanie danych (w praktyce ustawodawca w art. 23 ust. 1 pkt. 3 określił na dobrą sprawę dwie sytuacje legalizujące przetwarzanie danych).

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki