Популярные темы

ИБ-специалист Слободчиков назвал способы помешать утечке личных данных через курьера

Дата: 30 января 2022 в 13:06


ИБ-специалист Слободчиков назвал способы помешать утечке личных данных через курьера
Стоковые изображения от Depositphotos

Когда ритейлеры и сервисы раскрывают данные покупателей курьерам, то клиенты попадают в зону потенциальных рисков, заявил «Газете.Ru» эксперт по информационной безопасности компании Лига Цифровой Экономики Андрей Слободчиков.

«Работники доставок получают имя, адрес и номер телефона получателя для оперативной связи. Сразу после выполнения заказа доступ к этим данным пропадает. Однако мы все равно стали свидетелями случаев, когда курьер назойливо писал и звонил клиенту уже после доставки», — отметил он.

По словам ИБ-специалиста, не стоит делиться с курьером «лишними» данными. Например, указывать код от домофона подъезда. «Недобросовестный курьер может продать его в общие базы данных кодов от дверей подъездов города», — предупредил эксперт.

Однако больше всего опасностей для клиентов таит именно раскрытие личного номера телефона. «Появляются сценарии сбора данных с целью дальнейшей продажи или сопоставления с другими базами данных для их обогащения», — добавил Слободчиков.

По данным эксперта, часто базы данных клиентов доставок выгружают в даркнет, так как там востребована информация о номере телефона и ФИО. Такие базы данных используются злоумышленниками.

Чаще всего данные применяются для мошенничества с использованием социальной инженерии. Либо их используют скупщики для формирования баз данных для холодных звонков. Например, представляясь сотрудниками банка.

Директор департамента сбора, хранения и анализа данных компании «ВС Лаб» Иван Барчук рассказал «Газете.Ru», что покупатели «привыкли воспринимать курьеров как функцию, хотя это живые люди со своими ценностями и потребностями».

«Если покупатель лично встречает курьера, то курьер может оценить покупателя физически: пол, примерный возраст и так далее. Если курьер заносит коробки в квартиру, то может еще и оценить интерьер и благосостояние. Многие сервисы предоставляют информацию курьеру о том, какие именно товары он доставляет», — сообщил он.

В случае крупной доставки обычно курьер узнает целиком фамилию, имя и отчество клиента для подтверждения личности при доставке.

«Данные могут продаваться в даркнете или напрямую злоумышленникам. Гипотетически данные можно использовать для распространения наркотиков или других правонарушений, используя код домофона от тихих, малонаселенных подъездов без консьержа и камер», — добавил Барчук.

По его словам, за восьмичасовой рабочий день курьер может доставить примерно 15-25 заказов. За месяц это около 400 покупателей.

Слободчиков из Лиги Цифровой Экономики рассказал, что для курьеров «Яндекс.Лавки», «Утконоса», «Перекрестка Впрок», iGooods, «Азбуки вкуса», Ozon доступно имя или имя и фамилия, адрес, по которому осуществляется доставка, а также контактный номер телефона в открытом виде.

По его словам, в случае с Delivery Club, «Яндекс.Едой», «Самокатом» и «Яндекс Go» раскрываются имя и адрес, а связь осуществляется через виртуальный номер телефона.

Барчук из «ВС Лаб» отметил, что курьерские службы можно разделить условно на два типа: доставка в течение часа курьером на велосипеде и доставка на следующий день курьером на автомобиле.

По его словам, сервисы каждого из типов подписывают соглашения о неразглашении с сотрудниками, а с покупателями подписывают пользовательское соглашение в электронном виде при регистрации. В нем указано, что пользователь передает свои личные данные сервису и его сотрудникам.

В результате сервис обязуется хранить персональные данные в своих системах в соответствии с российским законодательством. «То есть получить всю базу данных клиентов сервиса курьер конечно же не может. Но сложно как-то скрывать данные о конкретном заказе от курьера, выполняющего его», — пояснил эксперт.

Специалист также отметил, что большинство сервисов должны сообщать курьеру, что же именно он доставляет. «Это делается, чтобы было меньше проблем с повреждением товаров или с неполной доставкой», — добавил он.

Слободчиков сообщил, что в связи с неприятными ситуациями, когда курьеры общались с клиентами уже после доставки и на личные темы, часть ритейлеров и сервисов стали использовать виртуальные номера для связи. Технология не позволяет ни клиентам, ни курьерам увидеть реальный номер телефона собеседника.

Специалист предложил при необходимости использовать отдельный номер телефона и отдельную банковскую карту — только для взаимодействия с ритейлерами и иными сервисами.

Эксперт также посоветовал сервисам в своем приложении для доставщиков установить запрет на создание скриншотов и автоматическое удаление информации о клиенте после выполнения заказа. «Это усложнит процедуру сбора информации о клиенте», — заметил он.

По информации директора по Big Data компании «ВС Лаб» Владимира Базылева, пока кейсы продажи персональных данных именно курьерами единичные. Особую внимательность специалист призвал соблюдать при общении с курьером от банка.

«Телефон на который он фиксирует документ — только рабочий. На личный телефон он не имеет право делать снимки», — предупредил он.

Базылев также посоветовал никогда не передавать паспорт и банковское документы в руки курьеру, указывая на то, что сотрудник доставки — все-таки незнакомый человек, пусть и представляет известную компанию.

«Как-то уменьшить то количество данных, которые получают курьеры, нельзя, потому что все, что они знают, нужно для связи с клиентом», — констатировал в общении с «Газетой.Ru» руководитель отдела продвижения продуктов «Код Безопасности» Павел Коростелев.

По словам Барчука из «ВС Лаб» покупатели и сами не прочь помочь потенциальным злоумышленникам. Например, оставляя полный набор своих данных о себе на коробках, которые выносятся с мусором.

«Необходимо портить всю контактную информацию перед тем, как выкинуть коробку», — предупредил специалист.

Он также порекомендовал поставить около двери квартиры коробку «приема заказов». При каждом заказе доставки стоит использовать функцию «оставить у двери», пояснил он.

«В этом случае, курьер не сможет получить информацию о вашем внешнем виде и благосостоянии, а также о графике вашего присутствия дома», — заверил Барчук. Он также посчитал, что не стоит пускать курьеров в квартиру без острой необходимости.

«Для нерегулярных доставок безопаснее пользоваться постаматами и пунктами выдачи, не оставляя свой адрес и телефон курьерам при этом», — заключил специалист.

В пресс-службе Delivery Club заявили «Газете.Ru», что курьер в приложении получает адрес клиента, его имя и примечания с полезными комментариями от пользователя — чаще всего клиенты указывают, как лучше добраться до адреса.

«Других данных курьер не получает: еще осенью 2020 года Delivery Club запустил «анонимайзер», скрывающий реальные номера клиентов в курьерском мобильном приложении», — добавил представитель сервиса.

По его словам, система автоматически генерирует вместо реального номера подменный, который будет действовать только во время выполнения заказа. Такая система исключает личные контакты и работает в обе стороны — курьеры и пользователи смогут увидеть только подменные номера.

В пресс-службе «Яндекса» не смогли предоставить «Газете.Ru» оперативный комментарий.

По сообщению сайта Газета.ru

Поделитесь новостью с друзьями