Хотите знать, где спит ваш бывший? Операторы связи сделали эту услугу бесплатной

Один из сервисов таргетированной рекламы, работающий с данными операторов связи, открыл доступ к персональным данным абонентов любому желающему, бесплатно и без каких-либо технических барьеров. Автор материала на Хабре выяснил, что рекламная платформа позволяет установить место жительства, работы и районы передвижения абонента после единственного звонка на его номер. Брать трубку для этого не нужно.

Полтора года назад похожая уязвимость уже становилась публичной. Тогда один из сервисов таргетированной рекламы закрыл брешь под давлением общественного резонанса: платформа запретила выдавать результаты для выборок из одного человека и начала требовать при регистрации действующее юридическое лицо. Судя по всему, другие участники рынка этот опыт не учли, и ситуация оказалась даже хуже.

Другой сервис регистрирует пользователей по одному SMS-коду на любой номер телефона. Автор зарегистрировался под предлогом покупки голосового обзвона, однако все задачи выполнил, не заплатив ни рубля: весь инструментарий доступен бесплатно уже на этапе оценки аудитории, до запуска рекламной кампании.

Механика слежки проста. Злоумышленник звонит нужному абоненту, а затем заходит в рекламный кабинет. Там выставляется фильтр: абоненты, которым в течение предыдущих семи, 14 или 30 дней звонили с определённого номера. Чтобы убедиться, что номер действительно уникален, автор заранее добавил в список четыре заведомо фиктивных номера, с которых звонков не было, и проверил, что без дополнительных фильтров выборка по ним пуста. Пятым в списке стоял реальный номер, с которого звонили нужному абоненту. Одновременно на карте вручную обводится предполагаемый район: сервис позволяет не просто выбирать города или округа, а буквально рисовать произвольные зоны.

Платформа показывает число абонентов, попадающих под оба условия. Если в выборке остаётся один человек, местонахождение установлено. Зону затем можно сужать, добавлять пересечения с другими районами, объединять области или исключать одну из другой. Кнопка «Сузить» позволяет искать только тех, кто одновременно попадает в несколько обозначенных зон. Таким способом автору удалось довольно быстро найти домашний адрес знакомого, который лишь попросил не публиковать результат.

Сервис сам размечает, где абонент живёт, где работает и куда ездит на выходные. Помимо геолокации платформа раскрывает пол, возраст и уровень дохода, список сайтов, посещённых через мобильный интернет, интересы — от автомобилей до еды, кредитов и товаров маркетплейсов, — историю звонков и имена отправителей SMS, включая названия банков и сервисов, присылающих коды двухфакторной аутентификации. Фильтр по звонкам можно добавлять несколько раз: таким перебором можно проверить, созванивались ли два конкретных номера между собой. Дополнительно доступны сведения о месяце рождения, возрасте детей, наличии недвижимости, автомобиля и собственного бизнеса, типе используемых устройств и операционной системе, характере занятости и семейном положении.

Отдельную угрозу несёт функция счётчиков, аналогичных Яндекс Метрике. Владелец любого сайта устанавливает счётчик оператора: содержимое страницы при этом может быть любым, главное, чтобы рекламный код загрузился. Зафиксированные визиты затем используются как фильтр в рекламном кабинете. Если на такой сайт заманить конкретного человека, даже не зная его номера телефона, система привяжет визит к профилю абонента и откроет все перечисленные данные. За дополнительную плату, как пишет автор, через тот же сервис можно ещё и позвонить найденному человеку.

Проблему усиливает то, что, по словам автора, операторы продают данные друг другу, просто немного дороже. Даже если один игрок закрывает такую уязвимость, абонент не получает защиты, пока другие участники рынка торгуют теми же сведениями. Автор материала утверждает, что такая практика остаётся законной, а системной ответственности для операторов не предусмотрено. Обычным пользователям в такой ситуации остаётся лишь как можно реже пользоваться мобильным интернетом без средств защиты и мириться с постоянными звонками маркетинговых компаний.