Суперприложения и экосистемы: комфорт или нож в спину?

Развитие экосистем за последние годы превратилось в устойчивый сформировавшийся тренд. Бесшовные механизмы интеграций различных сервисов (часто от разных компаний) позволяют пользователям в режиме «единого окна» решать все больше ежедневных задач – от шопинга и поездок на транспорте до оформления документов и сделок. Экосистема и ее оболочка – суперприложение предлагают единую систему аутентификации и пользовательскую историю действий, систему рекомендаций и анализ постоянно совершаемых действий.

Под единым интерфейсом суперприложения обычно скрывается большое число сервисов, обладающих разным уровнем зрелости процессов разработки и информационной безопасности. Обычно у потребителей создается впечатление безопасного пользования всеми сервисами в суперприложении, так как они представлены под одним доверенным брендом. Но на самом деле отдельные элементы супераппов часто разрабатывают и поддерживают разные команды со своим, отличным от других, подходом к работе. Главным приоритетом для них является сокращение времени выхода продуктов на рынок, поэтому большинство команд упускают из виду вопросы информационной безопасности. Все это потенциально может создавать для пользователя ряд угроз с вполне ощутимыми последствиями.

Суперприложения с намеками

Суперприложения часто имеют единую бесшовную аутентификацию. Проще говоря, логин и пароль от одной составляющей экосистемы будет автоматически признаваться другой. Удобно? Очень. Но надо понимать, что наличие такого способа аутентификации – это сигнал, что данные передаются между различными сервисами. При этом пользователь не может проконтролировать, как именно передается информация, у кого и как она хранится. Передаваться могут не только необходимые для аутентификации данные, но и другие сведения о пользователе: ФИО, номер телефона, адреса электронной почты, доставок, данные платежных карт, история заказов и поисковых запросов, суммы трат, данные геолокации и т. д. Другими словами, суперприложения собирают помимо персональных данных еще и цифровую телеметрию, которую ежедневно генерирует человек. Как правило, пользователи, практически не глядя, не только разрешают сбор, обработку и хранение всех этих данных, но и передачу их третьим лицам – партнерам того самого сервиса, который кажется таким удобным. В лучшем случае данные используют только для более точной настройки рекламных сообщений.

Некорректная передача всей этой информации между составными элементами суперприложения чревата как минимум ее утечкой. И тогда, к примеру, любой желающий сможет узнать, кто делает заказ через «Яндекс.Еду», что заказывает, а главное – куда, как это было во время нашумевшей истории с утечкой данных сервиса.

Зачастую утечки заканчиваются не столь безобидно. Почти 70% всех атак совершается хакерами ради получения конфиденциальной информации о пользователях сервисов, и чаще всего они нацелены на хищение именно персональных данных, а не коммерческой информации. По разным оценкам, сотни миллионов пользовательских данных попадает в открытый доступ. Как они используются дальше? Самый простой способ – максимально персонифицированная социальная инженерия, когда злоумышленник слишком хорошо осведомлен о подробностях жизни атакуемого.

Не менее важна организация правильного хранения данных, полученных от пользователей. Например, при хранении номеров банковских карт должны использоваться стойкие алгоритмы шифрования, но так бывает не всегда. Известны случаи, когда для этого использовался математический алгоритм (хеширование), который позволяет представить любую информацию в виде определенной цифро-буквенной последовательности. Потенциальный злоумышленник при желании может восстановить ее менее чем за неделю, используя вычислительные мощности обычного компьютера. В таком случае риски, связанные с утечкой персональных данных клиентов, повышаются.

Чем больше пользователей появляется у суперприложений, тем реальнее угроза потери доступа к своему аккаунту. Часто настройки безопасности – двухфакторная аутентификация, информация о последних входах, активных сессиях, попытках входа в аккаунт – спрятаны глубоко внутри настроек приложений. Для неопытных пользователей их поиск и установка становятся нетривиальной задачей. В случае если аккаунт взломали злоумышленники, пользователи чаще всего не знают, как вернуть его обратно. При этом почти все сервисы присылают клиентам уведомления или письма на почту о том, что в аккаунт зашли с нового устройства, или IP-адреса, или из новой страны. Большинство пользователей не читают или игнорируют такие сообщения, вместо того чтобы зайти в настройки и разорвать установленное злоумышленником соединение.

Экосистемы сервисов прочно вошли в число ежедневно используемых приложений наряду с социальными сетями и мессенджерами. Поэтому доступность и стабильность их работы также важны для пользователей. Ошибки в проектировании, которые не позволяют выдержать нагрузку большого количества пользователей, или DDoS-атаки могут привести к сбоям в работе сервисов. Свыше 40% всех хакерских атак в первом полугодии 2023 г. заканчивалось тем, что принято называть нарушением основного вида деятельности. IT-компании, которым чаще всего принадлежат подобные экосистемы, входят в топ-10 наиболее часто атакуемых хакерами.

Доверие на базе подозрений

Как обычному пользователю понять, что компания учла риски информационной безопасности? При одинаковой функциональности и возможностях следует выбирать те суперприложения, владельцы которых не умалчивают об инцидентах и атаках, а честно и оперативно информируют о них пользователей, дают рекомендации и отчеты о технических деталях инцидента. Все это указывает на то, что компания уделяет этому вопросу должное внимание и осознает свою ответственность перед клиентами. Поэтому пользователям имеет смысл изучить, что происходило с компанией и сервисом и как она себя вела в случае хакерских атак.

В 2023 г. только около 40% компаний признавали публично утечку данных и сообщали о ее последствиях. При этом чем быстрее компания отреагирует на атаку и начнет коммуникацию со своими клиентами, тем менее ощутимыми будут последствия и для организации, и для ее клиентов.

Один из главных признаков высокого уровня зрелости кибербезопасности компании, который может проверить любой желающий, – это публичное и открытое тестирование сервисов на площадках Bug Bounty. На них любая технология или устройство проверяются тысячами глаз одновременно. Эти площадки позволяют с помощью сотен белых хакеров анализировать защищенность сервисов. В результате специалисты находят потенциальные проблемные места, через которые злоумышленники могли бы нарушить работу сервиса или получить доступ к данным клиентов, и сообщают о них владельцам приложения. Такие истории и информация о компаниях, воспользовавшихся платформами Bug Bounty, обычно находятся в открытом доступе.

Самим пользователям необходимо максимально соблюдать кибергигиену: создать сложный и уникальный пароль, обязательно настроить двухфакторную аутентификацию и использовать актуальные номер телефона и почту при регистрации. Владельцам сервисов, в свою очередь, следует внедрять современные практики безопасной разработки, закладывать требования по информационной безопасности на этапе проектирования и постоянно проводить анализ защищенности своих приложений. Самое главное – четко знать, какие данные им доверил пользователь, где и как они хранятся, куда передаются, и беречь их со всей ответственностью.