«Злоумышленники знают ценность интимной информации»
Гаджеты для взрослых не всегда достаточно защищают пользовательские данные и могут быть легкой мишенью для хакеров, рассказала в интервью «Известиям» эксперт по информационной безопасности из компании ESET Сесилия Пасторино. Взломав интимное устройство, киберпреступник может получить исчерпывающую информацию о половой жизни его владельца, а затем шантажировать жертву и требовать выкуп. Пандемия подстегнула спрос на секс-игрушки, и хакеры непременно воспользуются трендом, уверена эксперт.
— Как усовершенствовались секс-игрушки за последние 5–10 лет, из-за чего на них обратили внимание хакеры?
— Современные гаджеты приобрели множество функций. Например, можно передать удаленное управление устройством другим пользователям через мобильное приложение или браузер. В тех же приложениях или на сайтах пользователи могут участвовать в групповых чатах и видеоконференциях, а также обмениваться настройками устройств или синхронизировать вибрацию с музыкой или аудиокнигами. Существуют парные девайсы, которые позволяют партнерам имитировать движения на расстоянии. И это только начало. Последние достижения в индустрии секс-игрушек включают устройства с опциями виртуальной реальности и секс-роботов с искусственным интеллектом, камерами и микрофонами. В некоторых странах похожие роботы уже используются в публичных домах вместо секс-работниц.
— Что можно узнать о человеке, взломав его продвинутую секс-игрушку?
— Имена, адреса электронной почты, сексуальную или гендерную ориентацию, информацию об использовании устройства (время использования, типы вибрации, температура). Плюс интимные фотографии и видео. Взлом секс-игрушки и утечка данных могут привести к катастрофическим последствиям.
— Каким, например?
— Во многих странах действуют законы, запрещающие гражданам участвовать в определенных сексуальных действиях. В таких регионах, в первую очередь в Африке и Азии, публикация частной информации о сексуальном поведении человека и его партнерах может привести к аресту с последующим тюремным заключением и даже смертным приговором. Например, в Судане, Саудовской Аравии и Афганистане, по данным журналистов El Pais (испанское ежедневное издание. — «Известия»), гомосексуальные связи до сих пор караются смертью.
— Хакеры чаще задаются целью заработать, а не кого-то убить. Как киберпреступники монетизируют атаки на секс-игрушки?
— В основном с помощью вымогательства или сексуального преследования. Например, если после взлома хакеру удастся заблокировать доступ к гаджету или управлению им, то за восстановление контроля над вибратором, поясом верности или секс-куклой он может потребовать выкуп. Конфиденциальная информация, полученная с устройства, может использоваться для шантажа. От жертвы требуют деньги в обмен на сохранение информации в тайне от супруга, коллег или правоохранительных структур. Такая информация также может использоваться в социальной инженерии. Добиться цели просто, когда жертва уверена, что совершить трансакцию или выполнить другое действие просит знакомый человек или, например, родственник партнера.
— А сложно ли украсть все эти данные с секс-игрушки?
— По-разному. Многие устройства имеют серьезные проблемы с конфиденциальностью. Они не защищают метаданные и файлы с персональными настройками. Например, одно из проанализированных нами приложений отправляет изображения, которые содержат информацию об устройстве пользователя и его геолокации. А в другом мобильном клиенте мы увидели, что e-mail каждого участника чата используется всеми телефонами в сессии и хранится в виде обычного текста в общем файле настроек. Такие просчеты сильно упрощают работу хакерам.
— Может ли взлом гаджета для взрослых стать причиной компрометации других устройств и аккаунтов пользователя?
— Конечно. Как и при любой другой кибератаке, уязвимые устройства могут использоваться в качестве точки входа в Сеть или для перехвата управления над другими гаджетами в ней.
— Перехват управления интимным гаджетом можно считать сексуальным насилием?
— Мы не можем говорить о последствиях взлома гаджета без переоценки значения сексуального насилия в контексте цифровой трансформации, которую переживает общество. Сначала нужно определить последствия перехвата управления над интим-гаджетом без согласия пользователя. Потом выяснить, предусмотрено ли в законодательстве наказание за такое поведение. В конце концов, можно ли квалифицировать перехват управления над гаджетом актом сексуального насилия с точки зрения закона?
Во многих странах существует правовая база, которая классифицирует различные типы киберпреступлений. Однако фаза, когда новые формы киберинцидентов, затрагивающих частную жизнь многих пользователей, сразу регистрируются в правовой базе, еще не достигнута. Впрочем, ясно одно: согласие, полученное путем интернет-мошенничества, не является легитимным. Эта аксиома должна быть закреплена в действующих законах, чтобы обеспечить сексуальную, физическую и психологическую безопасность пользователей в цифровом мире.
— Можно ли говорить об устоявшейся тенденции, когда речь заходит о взломе секс-игрушек?
— Индустрия секса и развлечений для взрослых уже неоднократно подвергалась кибератакам. Вспомнить хотя бы атаку на соцсеть Ashley Madison, когда были опубликованы имена более 37 млн пользователей, что спровоцировало волну разводов и самоубийств. Или мошенничество с уязвимостью Tinder, которая позволяла злоумышленникам обманывать мужчин с помощью фальшивых профилей женщин.
Хотя никаких массовых атак на умные секс-игрушки еще не было, сообщалось о потенциально опасных для тысяч пользователей уязвимостях. Также мы знаем, что о многих атаках не сообщается просто потому, что пользователи не всегда понимают, что их взломали. А еще владельцы секс-игрушек относятся к группе тех, кто не станет выносить на всеобщее обсуждение проблемы со своими гаджетами.
— Атаки на гаджеты для взрослых станут трендом в ближайшие 5–10 лет?
— Эпоха умных секс-игрушек только начинается. Они набирают популярность. Пандемия сильно подстегнула этот процесс. Самоизоляция заставила многих людей сидеть дома, иногда вдали от своих партнеров и без возможности продолжать привычную сексуальную жизнь. В результате люди обратились к новым способам исследования своей сексуальности или поддержания страсти с помощью игрушек для взрослых с дистанционным управлением. С началом пандемии продажи таких устройств резко выросли.
Нет сомнений, что хакеры пользуются этой ситуацией. Интернет-мошенники всегда действуют на растущих трендах. Тем более что в погоне за продажами производители секс-гаджетов задумываются о функциях безопасности продуктов не в первую очередь. Кибератаки точно не прекратятся и через пару-тройку лет, потому что злоумышленники знают ценность интимной информации для последующего обмана и вымогательства. Но безопасность секс-игрушек со временем будет расти. Производители будут учитывать аспекты сохранности данных таких устройств на этапе проектирования.
— Насколько корректно утверждать, что разработчики гаджетов для взрослых уделяют мало внимания информационной безопасности?
— Оба производителя, с которыми я и моя коллега Дениз Джусто Билич взаимодействовали в ходе исследования, были сильно обеспокоены обнаруженными уязвимостями и приняли необходимые меры для их исправления. Они также заявили, что периодически проводят проверки и делают рассылку клиентам о недостатках безопасности и способах их исправления. Но рынок умных секс-устройств обширен и включает множество разных производителей. Обобщать в этом случае было бы неправильно.
К сожалению, есть производители, которые или из-за спешки с релизом устройств, или из-за отсутствия опыта в технологических вопросах не проводят этап тестирования информационной безопасности и не рассматривают потенциальные уязвимости на стадии проектирования.
— Видите ли вы предпосылки к тому, чтобы разработчики гаджетов для взрослых начали чаще обращать внимание на кибербезопасность?
— Одна из предпосылок — растущие ожидания самих пользователей. Массовый продукт требует от поставщиков передовых методов обеспечения информационной безопасности. При этом наш опрос свидетельствует, что только 30% пользователей умных гаджетов обеспокоены проблемами безопасности. Поэтому сперва более сознательным должен стать потребитель, чтобы производитель сделал правильные шаги в сторону цифровой безопасности.