Интернет Право

Тотальный контроль: какие тайны обнажил взлом Twitter

0 16680

Массированная атака на популярный американский сервис микроблогов Twitter 15 июля обернулась для известных персон и крупных компаний репутационной катастрофой: хакеры взломали аккаунты Илона Маска, Джеффа Безоса, Билла Гейтса, компаний Apple, Uber и десятков знаменитостей. От их имени злоумышленники предлагали пользователям отправить биткоины на указанный адрес, чтобы удвоить отправленную сумму. Хакерам удалось собрать почти $120 тысяч в криптовалюте.

Впрочем, настоящий ущерб от деятельности хакеров понес сам Twitter.

Атака выявила тайные возможности сотрудников соцсети: работники Twitter в течение нескольких лет следили за знаменитостями и политиками через их профили в сервисе, знали адреса их электронной почты и номера телефонов — и даже могли отслеживать их местоположение, сообщает Bloomberg. Теперь это стало достоянием общественности.

Бывшие представители службы безопасности Twitter подтвердили, что в 2017 и 2018 годах некоторые сотрудники, работающие по контракту, придумали «игру»: они создавали фейковые запросы в службу поддержки, чтобы получать доступ к «учеткам» и настройкам безопасности в них. Такой нехитрый способ позволял сотрудникам соцсети получить доступ к личным данным крупных компаний, знаменитостей и политиков — включая их местоположение.

Примечательно, что совет директоров Twitter был неоднократно проинформирован о такой активности — и не предпринял должных усилий по обеспечению безопасности пользователей соцсети.

Взлом 15 июля доказал, что у сотрудников Twitter есть инструментарий для полного контроля любого юзера. Об этом стало известно после того, как один из хакеров опубликовал скриншот «админки» Twitter — внутренней системы для работников, скрытой от обычных пользователей.

Судя по этому скриншоту, администрация соцсети может в любой момент может получить массу сведений об учетной записи, например, была ли она приостановлена, заблокирована навсегда или имеет защищенный статус. Также панель инструментов позволяет, к примеру, ограничить охват твитов пользователя. Разумеется, ни о чем подобном обитатель соцсети не догадывается.

Депутат Госдумы Антон Горелкин предположил, что в распоряжении у топ-менеджеров компании есть особые инструменты, которые дают доступ к еще большему контролю над пользователями сервиса микроблогов.

На попавших в Сеть скриншотах видно, что администратор может влиять на распространение того или иного твита — например, минимизировать его показы одной кнопкой. В пользовательском соглашении сервиса о таком механизме не говорится. И тут возникает вопрос: если у обычного сотрудника твиттера есть такие инструменты, то какие недокументированные возможности получает его начальство? Интересно было бы поглядеть на админ-панель основателя Twitter Джека Дорси — какие там есть супер-кнопки.

«И я почему-то уверен, что есть. Начальство всегда стремится все контролировать и задействовать для этого все имеющиеся возможности. Но при всем при этом любой начальник — всего лишь человек, со своими недостатками, слабостями и уязвимыми местами», — заключил парламентарий.

Это далеко не первый случай, когда IT-гигантов ловят за руку на незаконном использовании личной информации пользователей. «Ридус» писал ранее о том, как Google заподозрили в незаконном сборе персональных данных в Австралии, да и Facebook признал факты слежки за юзерами в начале текущего года.

С недавних пор россияне могут отстаивать свои цифровые права в судах: согласно вердикту Верховного суда РФ, российские суды могут рассматривать иски пользователей к зарубежным IT-компаниям об удалении их аккаунтов, блокировке контента и незаконной обработке персональных данных. Согласно Гражданскому процессуальному кодексу, российские суды вправе рассматривать дела с участием иностранных юрлиц. Таким образом, россияне имеют все необходимые основания, чтобы самостоятельно отстаивать свои интересы в споре с иностранными онлайн-ресурсами.

Впрочем, для полноценного встраивания зарубежных IT-гигантов в отечественную правовую систему необходимо обязать их открывать официальные представительства или филиалы в России, убеждены эксперты. Только в таком случае иностранные игроки, как и российские, будут обязаны исполнять законодательство РФ.