Бесплатный гостиничный iPad и неочевидные опасности

Бизнес

Securelist опубликовал любопытный пост нашего эксперта Дмитрия Бестужева, посвящённый защите персональных данных в отелях. В двух словах история такова: человек с опытом в области безопасности посмотрел бесплатный айпад, установленный в номере отеля, и нашел… В общем, много чего нашел.

«К моему удивлению, в айпаде нашлось не только расписание и бесплатный беспроводной доступ, но и много личных данных, оставленных предыдущии гостей, останавливавшихся в этом же номере, — пишет Бестужев. — Когда я говорю о личной информации, я имею в виду аккаунты с сохраненными паролями, авторизованные сессии в социальных сетях, результаты поиска в браузере (в основном порнографического содержания), полные данные контактов, автоматически сохраненных в адресной книге, iMessagesи даже калькулятор беременности с реальной информацией».

Пугающе, не правда ли? Бестужев потратил совсем немного времени на то, чтобы убедиться, что многие эти данные персонально идентифицируемы, более того, некоторые из них явно принадлежали вполне публичным персонам, в том числе сотрудникам в государственных структур. Не нужно богатого воображения, чтобы понять, для чего злонамеренные лица могут использовать эту информацию (подсказка: для шантажа, фишинга и так далее).

Всегда приятно иметь дополнительные услуги в отелях. Бесплатный Wi-Fi стал обычным делом в наши дни. Некоторые отели пошли так далеко, что предоставляют в пользование своим гостям бесплатные устройства, такие как айпады или даже ПК (в том числе «маки»).

Но кое-что, к сожалению, к этому прилагается, хотя, возможно, и ненамеренно.

Прежде всего, это определенные изъяны в безопасности беспроводных сетей в общественных местах (и вот несколько советов о том, как обезопасить себя). Но бесплатные устройства являют собой иной вид риска.

Вспомните общественные интернет-кафе или ПК в публичных библиотеках. Весьма распространенной ошибкой было войти в личный аккаунт (электронной почты или блог-сервиса) и забыть разлогиниться после завершения сеанса. Следующий пользователь иногда мог оставить какие-нибудь «сюрпризы» — от доброго совета до матюгов от имени рассеянного предшественника.

1000

Ситуация с бесплатным айпадом в этом случае куда серьезнее. Apple iPad – вещь, предназначенная для личного пользования, и его настройки по умолчанию предполагают, что им постоянно пользуеся только один хозяин (отсюда все автоматически сохраненные пароли, адреса и iMessages), а не череда случайных людей, оказывающихся в одном номере.

«Может быть, я слишком подозрителен, но, заполучив себе в номер неизвестный и ненадежный аппарат в виде планшета, оснащенного встроенными камерой и микрофоном, я предпочел выключить его и убрать в ящик. И мне пришлось делать это постоянно, так как ответственный за уборку персонал выкладывал его обратно на стол каждый день, пока я жил в отеле», — пишет Бестужев.

А это на самом деле верная практика соблюдения правил безопасности и самозащиты, особенно для бизнесменов и государственных служащих, которые редко исчезают из поля зрения конкурентов.

Бритва Оккама предполагает, что работники отеля просто не заботятся о возможных последствиях лично идентифицируемых данных в кэше этих айпадов. В равной степени можно предположить, что ответственный за уборку персонал просто следовал инструкциям и не имел никаких преступных намерений вообще. Тем не менее, с точки зрения безопасности, нечто подобное – это неправильно сконфигурированное устройство, а «сбор» опознаваемых данных и вовсе не приемлем.

Эта история также показывает, насколько полезной иногда может быть концепция BYOD для путешествующих бизнесменов, тех, кто хотел бы держать свои частные и рабочие данные под контролем всюду — на работе, в самолете, в уединении в гостиничном номере или где-либо еще. Наилучший вариант — избегать делиться любыми данными, включая любые учетные, с устройствами, которые скоро окажутся вне вашей досягаемости. Потому что, как отмечает Бестужев, даже если бесплатное устройство правильно сконфигурировано и хранит явно какую-либо конфиденциальную информацию, все изменится, как только до него доберется эксперт по кибербезопасности. Он или она смогут скопировать образ устройства целиком и затем восстановить персональные данные шаг за шагом. Даже если такой поворот событий кажется несколько надуманным, возможности этого никто не отменяет. И подобные возможности лучше исключить — просто на всякий случай.