«Пожалуйста, укажите свой номер…»: почему этого лучше не делать

Почему номер телефона лучше не указывать, и что делать для защиты данных
Поче­му номер теле­фо­на луч­ше не ука­зы­вать, и что делать для защи­ты дан­ных

Реги­стри­ру­е­тесь на сай­те или в мобиль­ном при­ло­же­нии? Воз­мож­но, вам пред­ло­жат ука­зать номер теле­фо­на. И даже ста­нут пугать взлом­щи­ка­ми и забы­ты­ми паро­ля­ми. Кон­суль­тант по циф­ро­вой без­опас­но­сти Сер­гей Смир­нов помо­га­ет разо­брать­ся, в чем тут рис­ки, кто и зачем хочет полу­чить наши теле­фон­ные номе­ра и что мож­но с этим сде­лать.

Зачем им мой телефон?

Одна из при­чин – иден­ти­фи­ка­ция поль­зо­ва­те­ля. При акти­ва­ции сим-кар­ты в Рос­сии и неко­то­рых дру­гих стра­нах мира (напри­мер, в Гер­ма­нии, Поль­ше, Испа­нии) поку­па­тель дол­жен пока­зать про­дав­цу удо­сто­ве­ре­ние лич­но­сти. Впо­след­ствии вла­дель­цы сер­ви­сов могут тре­бо­вать для иден­ти­фи­ка­ции теле­фон­ный номер. При­мер – wi-fi в рос­сий­ских гости­ни­цах и аэро­пор­тах. Вы не може­те «про­сто» под­клю­чить­ся к Интер­не­ту. При­дет­ся ука­зать номер сво­е­го мобиль­но­го теле­фо­на, полу­чить на него спе­ци­аль­ный про­ве­роч­ный код и вве­сти его на стра­ни­це сер­ви­са.

Рос­сий­ские зако­но­да­те­ли верят в иден­ти­фи­ка­цию с помо­щью номе­ров мобиль­ных теле­фо­нов. По их замыс­лу, даже поль­зо­ва­те­ли мес­сен­дже­ров обя­за­ны под­твер­ждать свою лич­ность таким обра­зом. Отри­ца­ние пра­ва на ано­ним­ность типич­но для обще­ства XXI века, пере­гру­жен­но­го фоби­я­ми в борь­бе с тер­ро­риз­мом и пре­ступ­но­стью.

Еще по теме: Куда при­ве­дут ваши циф­ро­вые сле­ды?

Сбор все­воз­мож­ной инфор­ма­ции о вас в сети, при­вяз­ка к лич­но­сти, состав­ле­ние ваше­го про­фи­ля (напри­мер, для мар­ке­тин­го­вых целей или для нужд пра­во­охра­ни­тель­ных орга­нов) созда­ют угро­зу при­ват­но­сти и без­опас­но­сти.

В авто­ри­тар­ных стра­нах отсут­ствие ано­ним­но­сти озна­ча­ет про­бле­мы с досту­пом к инфор­ма­ции. Под уда­ром ока­зы­ва­ет­ся сво­бо­да сло­ва: бло­гер не может писать о нару­ше­ни­ях прав чело­ве­ка под сво­им насто­я­щим име­нем, не опа­са­ясь репрес­сий.

Вто­рая рас­про­стра­нен­ная цель, ради кото­рой у вас запра­ши­ва­ют теле­фон­ный номер, – вос­ста­нов­ле­ние досту­па к акка­ун­ту при забы­том паро­ле. Нажми­те кноп­ку, по SMS при­дет гиперс­сыл­ка, и вы вер­не­те кон­троль над акка­ун­том. Зву­чит хоро­шо, но есть сла­бое место: зави­си­мость от опе­ра­то­ра мобиль­ной свя­зи. Тот спо­со­бен пере­вы­пу­стить сим-кар­ту, и зло­умыш­лен­ник «вос­ста­но­вит» пароль к ваше­му акка­ун­ту.

Вла­дель­цы сер­ви­сов неред­ко пред­ла­га­ют ука­зать теле­фон «для защи­ты вашей учет­ной запи­си». С точ­ки зре­ния «без­опас­ни­ка» эта функ­ция, наобо­рот, созда­ет уяз­ви­мость.

Тре­тья цель – предо­став­ле­ние услуг. Вла­де­лец онлай­но­во­го мага­зи­на про­сит ваш номер теле­фо­на, что­бы при­сы­лать полез­ную инфор­ма­цию. Авиа­ком­па­ния сооб­ща­ет о задерж­ке рей­са или изме­не­нии выхо­да на посад­ку. Метео­служ­ба пере­да­ет про­гноз пого­ды. Меди­цин­ский центр напо­ми­на­ет о визи­те к вра­чу. Соци­аль­ная сеть отправ­ля­ет тре­вож­ный сиг­нал, если неиз­вест­ное лицо пыта­ет­ся вой­ти в ваш акка­унт. Бан­ки исполь­зу­ют SMS, что­бы под­твер­ждать онлай­но­вые пла­те­жи и достав­лять кли­ен­там инфор­ма­цию об изме­не­нии их сче­тов (PUSH-уве­дом­ле­ния) для это­го тоже при­ме­ня­ют­ся).

Кажет­ся, от все­го пере­чис­лен­но­го кли­ен­ту одна поль­за. Но дан­ные соби­ра­ют­ся так­же в мар­ке­тин­го­вых целях, а то и про­сто для рас­сыл­ки спа­ма и назой­ли­вых звон­ков с пред­ло­же­ни­ем все­го на све­те. Номе­ра теле­фо­нов запра­ши­ва­ют всю­ду: на кас­се в мага­зине («для оформ­ле­ния ски­доч­ной кар­ты»), при засе­ле­нии в гости­ни­цу, для полу­че­ния визы, что­бы запи­сать­ся на шино­мон­таж. На вопрос «зачем?» могут отве­тить «таков поря­док» или «на вся­кий слу­чай».

Люди уста­ли, при­вык­ли, хотят побыст­рее завер­шить про­це­ду­ру реги­стра­ции, дают теле­фон, не раз­мыш­ляя, как он будет исполь­зо­вать­ся. Тем более не чита­ют длин­ное, состав­лен­ное сухим язы­ком поль­зо­ва­тель­ское согла­ше­ние. Где-то в тек­сте согла­ше­ния может зате­рять­ся инфор­ма­ция о том, что, соб­ствен­но, вла­де­лец сер­ви­са наме­рен делать с вашим теле­фон­ным номе­ром и на каких усло­ви­ях, а так­же как потом уда­лить теле­фон­ный номер из систе­мы. Пер­со­наль­ные дан­ные, вклю­чая теле­фон­ные номе­ра, то и дело «уте­ка­ют».

Еще по теме: Хочу защи­тить пере­пис­ку в мес­сен­дже­ре. Что делать?

В апре­ле 2019 года ком­па­ния DeviceLock сооб­щи­ла о том, что обна­ру­жи­ла в рос­сий­ском сег­мен­те Интер­не­та более тыся­чи откры­тых баз дан­ных. В нояб­ре 2018 года «Ком­мер­сант» напи­сал о мно­го­чис­лен­ных лич­ных фай­лах, обна­ру­жен­ных жур­на­ли­ста­ми на обще­до­ступ­ных ком­пью­те­рах в мос­ков­ских МФЦ. Посе­ти­те­ли вто­ро­пях, по небреж­но­сти остав­ля­ли свои элек­трон­ные доку­мен­ты где попа­ло.

А еще теле­фон­ный номер запра­ши­ва­ет мес­сен­джер, кото­ро­му нуж­ны кон­так­ты ваше­го смарт­фо­на. По-дру­го­му этот мес­сен­джер не рабо­та­ет.

А еще номе­ром инте­ре­су­ют­ся мошен­ни­ки и соци­аль­ные инже­не­ры. Сим-кар­той из потерянного/украденного теле­фо­на могут вос­поль­зо­вать­ся для досту­па к финан­сам и даже для сня­тия денег с бан­ков­ско­го сче­та. Одно­го теле­фон­но­го номе­ра для это­го мало, поэто­му зло­умыш­лен­ни­ки исполь­зу­ют допол­ни­тель­ную собран­ную ими инфор­ма­цию.

Нако­нец, для пере­хва­та SMS-сооб­ще­ний мож­но исполь­зо­вать уяз­ви­мость про­то­ко­ла SS7 (в Рос­сии так­же исполь­зу­ет­ся назва­ние ОКС-7), кото­рый созда­вал­ся в 70-х годах про­шло­го сто­ле­тия без «при­це­ла на без­опас­ность».

Может, луч­ше вооб­ще не ука­зы­вать номер теле­фо­на?

Давай­те рас­смот­рим неко­то­рые при­ме­ры.

Электронная почта

Mail.ru и Яндекс запра­ши­ва­ют номер теле­фо­на пря­мо на стра­ни­це реги­стра­ции. Мож­но выбрать ссыл­ку «У меня нет мобиль­но­го теле­фо­на» (было бы чест­нее напи­сать «Я не хочу ука­зы­вать мобиль­ный теле­фон»). Эта ссыл­ка меня­ет запрос теле­фон­но­го номе­ра на запрос адре­са email (Mail.ru, ука­зы­вать email не обя­за­тель­но) или выбор отве­та на кон­троль­ный вопрос (Яндекс).

Итак, мож­но избе­жать ука­за­ния номе­ра мобиль­но­го теле­фо­на при реги­стра­ции ново­го адре­са, но этот путь нель­зя назвать оче­вид­ным. Если вы ука­зы­ва­ли номер рань­ше, нетруд­но уда­лить его в настрой­ках сер­ви­са (вве­сти код, кото­рый сер­вис отпра­вит на ваш теле­фон по SMS). Что­бы вклю­чить двух­фак­тор­ную аутен­ти­фи­ка­цию в Mail.ru и Яндек­се, номер мобиль­но­го теле­фо­на нужен. И пока двух­фак­тор­ная аутен­ти­фи­ка­ция вклю­че­на, уда­лить этот номер из настро­ек акка­ун­та нель­зя (даже если для гене­ра­ции кодов вы поль­зу­е­тесь мобиль­ным при­ло­же­ни­ем, а не SMS).

Номер мобиль­но­го теле­фо­на потре­бу­ет­ся и для реги­стра­ции акка­ун­та Google (и почты Gmail). Потом его мож­но уда­лить в настрой­ках сер­ви­са. Для под­клю­че­ния и рабо­ты двух­фак­тор­ной аутен­ти­фи­ка­ции номер ука­зы­вать не обя­за­тель­но. Тем не менее Google не пере­ста­ет пред­ла­гать вве­сти номер теле­фо­на «для вашей без­опас­но­сти».

Швей­цар­ский сер­вис Proton Mail и немец­кая Tutanota, кото­рые уде­ля­ют осо­бое вни­ма­ние при­ват­но­сти и кон­фи­ден­ци­аль­но­сти поль­зо­ва­те­лей, не про­сят теле­фон­ный номер ни для реги­стра­ции, ни для двух­фак­тор­ной аутен­ти­фи­ка­ции.

Социальные сети

«ВКон­так­те» поз­во­ля­ет заре­ги­стри­ро­вать­ся толь­ко с номе­ром теле­фо­на. Уда­лить его в настрой­ках нель­зя, мож­но лишь заме­нить на дру­гой номер. В чис­ло спо­со­бов двух­фак­тор­ной аутен­ти­фи­ка­ции вхо­дит SMS, и отклю­чить этот вари­ант не полу­чит­ся.

Facebook так­же тре­бу­ет номер при реги­стра­ции, но поз­во­ля­ет впо­след­ствии уда­лить его в настрой­ках. Двух­фак­тор­ная аутен­ти­фи­ка­ция может быть вклю­че­на и исполь­зо­вать­ся без мобиль­но­го номе­ра.

Twitter поз­во­ля­ет выби­рать, с чем вам удоб­но реги­стри­ро­вать­ся – номе­ром теле­фо­на или адре­сом email. К сожа­ле­нию, исполь­зуя раз­ные адре­са email и раз­ные IP-адре­са, мне ни разу не уда­лось заре­ги­стри­ро­вать новый акка­унт толь­ко по адре­су email. Twitter неиз­мен­но сооб­щал о «подо­зри­тель­ной актив­но­сти», бло­ки­ро­вал про­цесс реги­стра­ции и тре­бо­вал под­твер­дить теле­фон­ный номер. Прой­дя реги­стра­цию, номер из настро­ек убрать мож­но, но лишь тео­ре­ти­че­ски: выпол­нив эту опе­ра­цию, Twitter немед­лен­но бло­ки­ро­вал акка­унт и тре­бо­вал сно­ва ука­зать теле­фон­ный номер. Двух­фак­тор­ную аутен­ти­фи­ка­цию Twitter согла­сил­ся вклю­чить лишь через SMS.

Instagram реги­стри­ру­ет без теле­фон­но­го номе­ра (нужен адрес email). Двух­фак­тор­ную аутен­ти­фи­ка­цию тоже мож­но вклю­чить и исполь­зо­вать без SMS.

Мессенджеры

В неко­то­рых попу­ляр­ных мес­сен­дже­рах при­вяз­ка к теле­фо­ну – неотъ­ем­ле­мая часть. В эту ком­па­нию попа­да­ют WhatsApp, Telegram, Viber и даже Signal, кото­рый экс­пер­ты по без­опас­но­сти часто реко­мен­ду­ют как более защи­щен­ный по срав­не­нию с кон­ку­рен­та­ми.

Поль­зо­ва­те­ли Facebook могут общать­ся с помо­щью Facebook Messenger, и хотя при реги­стра­ции акка­ун­та Facebook нужен номер теле­фо­на, его впо­след­ствии мож­но уда­лить и поль­зо­вать­ся Facebook Messenger без этой при­вяз­ки.

Для рабо­ты со Skype нуж­на учет­ная запись Microsoft, но там ука­зы­вать номер теле­фо­на не обя­за­тель­но.

Из менее извест­ных про­дук­тов, не тре­бу­ю­щих при­вяз­ки к номе­ру мобиль­но­го теле­фо­на, мож­но назвать мес­сен­дже­ры Wire и Briar. Послед­ний к тому же децен­тра­ли­зо­ван­ный (не зави­сит от еди­но­го сер­ве­ра) и, подоб­но сво­е­му извест­но­му «кол­ле­ге» Firechat, под­дер­жи­ва­ет воз­мож­ность свя­зи меж­ду поль­зо­ва­те­ля­ми без Интер­не­та (с помо­щью тех­но­ло­гий wi-fi и Bluetooth), хоть и на малых рас­сто­я­ни­ях. Пока у Briar, одна­ко, срав­ни­тель­но неболь­шая ауди­то­рия и нет вер­сии для iOS.

Что можно сделать для безопасности?

  1. По воз­мож­но­сти не реги­стри­ро­вать­ся там, где тре­бу­ют номер теле­фо­на. Не ука­зы­вать номер, если нет осо­бой нуж­ды.
  2. Про­ве­рить настрой­ки уже исполь­зу­е­мых сер­ви­сов. Если там есть номер и его мож­но уда­лить без ущер­ба для функ­ци­о­наль­но­сти сер­ви­са, воз­мож­но, это сле­ду­ет сде­лать.
  3. Отка­зать­ся от схем «вос­ста­нов­ле­ния паро­ля» по теле­фо­ну. Луч­ше потра­тить немно­го вре­ме­ни на созда­ние надеж­ных паро­лей, сохра­нить их в защи­щен­ной базе мене­джер паро­лей, пери­о­ди­че­ски делать резерв­ные копии как этой базы, так и самих защи­щен­ных дан­ных.
  4. Вклю­чить в настрой­ках акка­ун­тов двух­фак­тор­ную аутен­ти­фи­ка­цию. Луч­ше, если вто­рым фак­то­ром ста­нет не SMS, а, напри­мер, одно­ра­зо­вый код из мобиль­но­го при­ло­же­ния. Google Authenticator или Authy подой­дут.
  5. Поза­бо­тить­ся о мобиль­ном устрой­стве: уда­лить ненуж­ные при­ло­же­ния, регу­ляр­но чистить дан­ные (SMS-сооб­ще­ния, исто­рию звон­ков, пере­пис­ку в мес­сен­дже­рах), убе­дить­ся, что вклю­че­но шиф­ро­ва­ние устрой­ства, а если у кого-то пока не вклю­че­но – пря­мо сей­час уста­но­вить пароль на вход.
  6. Настро­ить уве­дом­ле­ния сер­ви­сов так, что­бы быть в кур­се любой попыт­ки несанк­ци­о­ни­ро­ван­но­го вхо­да.

Мож­но при­бег­нуть и к дру­гим, более ред­ким рецеп­там, напри­мер, исполь­зо­вать сим-кар­ту зару­беж­но­го опе­ра­то­ра (в неко­то­рых стра­нах по-преж­не­му мож­но купить сим-кар­ту без предъ­яв­ле­ния доку­мен­та). Прав­да, при­дет­ся под­дер­жи­вать этот номер в рабо­чем состо­я­нии – сле­дить за балан­сом и вовре­мя попол­нять счет.

Если вам при­хо­дит­ся ука­зы­вать номер мобиль­но­го теле­фо­на, отда­вай­те себе отчет в том, какие рис­ки свя­за­ны с этим фак­том. Воз­мож­но, луч­ше не пере­да­вать с помо­щью это­го сер­ви­са избы­точ­ную инфор­ма­цию. Если же вам не повез­ло и вы поте­ря­ли смарт­фон (или его укра­ли, или изъ­яли), есть смысл, не откла­ды­вая, забло­ки­ро­вать сим-кар­ту у опе­ра­то­ра мобиль­ной свя­зи.

Вся­кие пра­ви­ла без­опас­но­сти инди­ви­ду­аль­ны. Вам может не подой­ти часть этих реко­мен­да­ций, зато для вас эффек­тив­но рабо­та­ет что-то дру­гое. Поде­ли­тесь с нами в ком­мен­та­ри­ях.