В Україні вперше проаналізували безпеку даних у застосунках для онлайн-знайомств

В Україні провели аналіз безпеки даних користувачів найпопулярніших застосунків для онлайн-знайомств: Tinder, Boo, Bumble, Kismia та PURE. Дослідження виявило, що двофакторної автентифікації немає в жодному з пʼяти додатків, хоча вона є базовий захисним інструментом від зламу зловмисниками акаунту.

Аналіз, проведений у рамках проєкту Nadiyno, включав 30 критеріїв у семи ключових категоріях, які разом охоплюють три критичні площини безпеки: технічний захист даних, конфіденційність користувача, а також безпека взаємодій і контенту. 

Крім відсутності двофакторної авторизації, в програмах були знайдені наступні проблеми:

• віддалений контроль над активними сесіями відсутній у всіх пʼяти застосунках, що в разі втрати пристрою передасть доступ до акаунта користувача зловмиснику;
• можливість приховати вік та геолокацію є платною функцією у трьох із пʼяти застосунків, що робить захист персональних даних привілеєм (Tinder, Bumble та Kismia);
• інформацію про геолокацію користувача можна «купити» в українському застосунку Kismia через платну підписку;
• інструкції з безпеки доступні українською мовою лише в двох із пʼяти застосунків (Tinder та Kismia).

Також важливим аспектом дослідження стали показники зі збору та передачі особистих даних користувачів третім сторонам. 

Чому це актуально саме зараз

В умовах повномасштабної війни сервіси для онлайн-знайомств залишаються одними з найпопулярніших цифрових продуктів в Україні. За даними дані Rakuten Viber, 67% українців познайомилися зі своїм теперішнім партнером онлайн. 

Водночас, ці платформи є однією з найвразливіших точок збору персональних даних і несуть дедалі більше нових цифрових ризиків: від шахрайства та фішингу до спроб отримати доступ до акаунтів військових, волонтерів та інших користувачів, чия інформація може становити інтерес для зловмисників.

«Війна створила унікальний соціальний контекст. Небезпека для життя підвищила психологічну потребу у зміцненні існуючих соціальних зв’язків і пошуку нових. Через масову міграцію пошук нових контактів перейшов в онлайн. Однак спілкування в онлайн створює додаткові ризики для безпеки особистих даних українців. Відбулася ситуація, в якій ринок онлайн-знайомств виріс значно швидше, ніж зміг запровадити належні механізми безпеки для користувачів», — пояснює керівниця проєкту Nadiyno.org Олександра Марченко.

Дослідження зʼясувало, що відомий застосунок Bumble запитує доступ до 27 типів даних користувачів й 12 із них передає третім сторонам – включаючи геолокацію. Що стосується Tinder, то цей сервіс лише нещодавно дозволяв відстежувати розташування користувачів з точністю до 10-20 метрів. 

«Часто користувачі не розуміють, що «безоплатні» застосунки заробляють на продажу їхніх даних рекламодавцям. Інтереси, локація, час активності та поведінкові патерни — це товар», — зазначив технічний керівник Nadiyno Павло Бєлоусов.

Виявлені в дослідженні недоліки несуть ризик не лише для українців. Частина проблем пов’язана з глобальною архітектурою сервісів та політиками обробки даних, тож потенційна небезпека може торкатися користувачів по всьому світу.