Каршеринг усиливает защиту данных

С 18 января в обновленном договоре каршеринга «Ситидрайв» появился термин «Селфи» и требования к процедуре. Идентификация должна повысить защиту аккаунта клиентов в условиях растущего числа утечек персональных данных.

Дополнительная защита аккаунта

Клиенты сервиса краткосрочной аренды машин «Ситидрайв» получили в личном кабинете приложения оператора извещение о новых поправках в договоре аренды. Согласно им появились новые требования к «Селфи» и штраф за неправильную заправку машины. «При нарушении Арендатором порядка и процедуры осуществления заправки Автомобиля, установленных мобильным приложением «Ситидрайв», Арендатор выплачивает штраф в размере 10 000 (десять тысяч) рублей», говорится в пункте 8.23.4.

Появился термины и понятия: «Селфи», «Коммерческая деятельность» и «Корпоративный способ оплаты», детали – в разделе №1 договора. В пункте 4.1.9 теперь сказано, что арендодатель вправе запрашивать «Селфи», а также временно ограничивать доступ к аренде, если по запросу не получит фотографию клиента. «Равно как и при предоставлении нечетких, нечитаемых фотографий, а также в случае возникновения сомнений в личности Арендатора», уточняется в договоре.

Напомним, что запрос на идентификацию через съемку лица клиента перед началом аренды «Ситидрайв» осуществлял и ранее во избежание ситуация с использованием аккаунтов злоумышленники. Но в договоре термин «Селфи» появился впервые.

«В новой редакции оферты мы конкретизировали требования к селфи в целом, а также установили дополнительные требования к селфи перед арендой автомобиля, чтобы пользователи понимали, какие именно фотографии считаются корректными», – пояснили редакции в пресс-службе «Ситидрайв».

В частности, «селфи, запрашиваемое Арендодателем у Арендатора перед началом Аренды Автомобиля, должно быть сделано вне помещения, в непосредственной близости от Автомобиля (на расстоянии не более 15 (пятнадцати) метров)».

«Селфи» борется с мошенниками

Существуют различные механизмы определения поддельных фотографий. Например, селфи или выявление нетипичных поездок для владельца аккаунта, который имеет выработанную поведенческую линию, рассказал эксперт в сфере информационной безопасности Алексей Лукацкий.

Применять селфи для дополнительной идентификации начали все крупные каршеринговые сервисы примерно с 2022 года. Правда, остается под вопросом, как происходит сличение свежего фото с имеющимся у оператора: на паспорте, правах. Источники, близкие к сервисам аренды говорят, что компании активно используют обучаемый на ML-моделях искусственный интеллект, поскольку в ручном режиме это просто нереально сделать.

Тем не менее, селфи полностью не гарантирует защиту от утечек, которые могут иметь разные причины, пояснил Алексей Лукацкий.

О черном рынке левых аккаунтов для аренды машин массово заговорили в 2019-2020 годах, когда в теневом Darknete начали продавать аккаунты «мертвых душ». Эксперты связывали это с закрытием ряда небольших каршеринговых компаний и нелегальной продажей персональных данных недобросовестными сотрудниками. Но в продаже были и аккаунты крупных федеральных каршерингов, которые позволяли за небольшую сумму взять анонимно машину в аренду. Речь идет об использовании чужих документов, либо аккаунтов клиентов, которые покинули сервис. На черном интернет-рынке – darknete, левые аккаунты продавались в 2022 году за 2-5 тыс. рублей.

Источник: “Лаборатория Касперского”

Преступники используют несколько подходов для создания левых аккаунтов, рассказал начальник департамента информационно-аналитических исследований T.Hunter Игорь Бедеров. Это могут быть утечки, когда похищаются или сливаются неиспользуемые давно аккаунты, либо по собранным из разных источников данных человека проводится регистрация в каршеринге (паспорт, права, фотография и другая личная информация).

В мае 2022 года МВД предупредило, что ожидает увеличение случаев незаконного использования каршеринга (об этом писал PRO Шеринг). Такие выводы были сделаны на основе информационно-аналитического обзора Научного центра безопасности дорожного движения МВД России.

«В связи с растущей востребованностью сервисов краткосрочной аренды транспортных средств можно предположить, что количество случаев допуска к управлению ТС лиц, не имеющих законных оснований, возрастет, что определят необходимость предупреждения данных фактов. В первую очередь, за счет совершенствования механизмов контроля со стороны самих каршеринговых компаний», – говорится в материалах обзора.

Источник: “Лаборатория Касперского”

В 2023 году стоимость нелегальных аккаунтов каршеринга эксперты оценили в дельту от 800 руб. до 6 тыс. руб. Проблема в целом не массовая и общее число взломов не превышает 1 тыс. аккаунтов, уверяют эксперты. К примеру, только в Москве число пользователей каршеринга весной 2023 года превышало 1 млн человек, сообщал Дептранс столицы.

Правда, открытой информации о массовых утечках персональных данных из каршеринговых сервисов не появлялось до сегодняшнего дня. Об истинных объемах утечек говорить сложно, поскольку хакеры могут договариваться с сервисами о выкупе во избежание огласки.

Источник: “Лаборатория Касперского”

Роскомнадзор хочет прозрачности

В то же время, Роскомнадзор (РКН) предупреждает, что лучше извещать о прецедентах заранее, а не после публичных заявлений мошенников. При инцидентах, операторам стоит взаимодействовать максимально открыто с Роскомнадзором, пояснил заместитель главы Роскомнадзора Милош Вагнер в ходе пленарной дискуссии BIS Summit 2023.

«Важно извещать о полном объеме возможной потере данных по их оценкам, а не сообщать о том, количестве персданных, которые они увидели выложенными в интернет преступниками. Потому что, если через какое-то время нарушители выложат еще один дамп (файл) их данных, то слова оператора о том, что это персданные из первой утечки, а не повторной, будут звучать не убедительно», пояснил Милош Вагнер.

В свою очередь, потребителям важно помнить, что при расторжении договора с оператором аренды машин, необходимо отправить запрос с требованием уничтожения персональных данных и получением подтверждения операции.

При этом, все действия со стороны компаний должны соответствовать требованиям обновленного закона № 159 «О персональных данных», напомнили в РКН в прошлом году.

Например, действия по обезличиванию персональных данных не являются действиями по уничтожению персональных данных, разъяснила в июле 2023 года в ходе вебинара начальник отдела контрольно-надзорной деятельности Роскомнадзора Ирина Шишигина.

«Если в акте [об уничтожении] будет указано, что персональные данные были уничтожены посредством обезличивания, это будет прямым несоответствием требованиям закона», – подчеркнула она.

Милош Вагнер напомнил о том, что был создан институт уведомления уполномоченных органов о произошедших инцидентам с персданными.

Милош Вагнер, Роскомнадзор:

Мы создали сервис, в котором можно рассказать Роскомнадзору какое количество персданных и при каких обстоятельствах утекли из организации. И мы видим, что операторы им активно пользуются, информирую оперативно в течении установленного времени (48 часов – прим. редакции). Только 20% операторам данных из общего числа приходится напоминать об этом в уведомлениях.

Фото:Adobe Stock, «Лаборатория Касперского»