あるサービスの例を見てみましょう。私にとっては、まったく知られていない暗闇のエリアでしたが、2015年以来存在していました。 記事ではその名前については触れませんが、問題なくGoogleで検索できます。
それで、ある晴れた日、私の友人は、ヨットクラブの製品ラインについて知りたいというメッセージを受け取りました。 「 しばらく前、あなたは私たちのサイトのゲストでした 」という言葉が特に注目を集めています。 だから、あなたの袖をまくり、インターネットストーカーの世界に飛び込み、少なくともすべてがどのように機能するかを少し理解する時間です。
ポイントは何ですか?
GoogleやYandexのような企業は、個人データの保存に対してかなり厳密なアプローチを取っています。これにより、ネットワーク上のユーザーを一意に識別できます( つまり、GoogleはGoogleアナリティクスとGoogle Tag Managerサービスを介したそのようなデータの転送を禁止します。これらのルールに従わないと、違反者のアカウントの警告またはブロックにつながります )。ただし、これはすべての人に当てはまるわけではありません。 データストレージには一般に受け入れられている「 ルール 」がいくつかありますが、海賊コードのように、これらは厳密な法律ではなく、一連の推奨事項にすぎません。 ストーキングが悪いことは誰もが知っていますが、そのようなことにお金を払うと、すぐにそれをやらないと、少なくとも少し考えて理由がある人もいます。
不運なサイトのソースを見ると、 非常に疑わしいサービスのサービス用の興味深いスクリプトのセットを見つけることができます(画面上で選択したファイルに簡単に気付くでしょう)。
さて、AnalyticsおよびMetricaコードの標準セットからの逸脱があります。 容疑者もいます!
次の論理ステップは、ソースコードを検索して「 vk 」の組み合わせを探すことです。これは、サイト上のユーザーを識別する責任があるコードの部分を示す可能性があります。 ファイル"pixel / index.php?Img ="でこれを行います:
したがって、VKアプリケーションへのリンクが示されていることがわかります。 もちろん、もし彼がログインしていれば、その助けを借りて訪問者のプロフィールが特定されると仮定するのは論理的でしょう。 アプリケーションアドレスはvkPr(リンク)関数に渡されます。そのコードは次のとおりです。
function vkPr(link) { var vkprimg = (window.Image ? (new Image()) : document.createElement('img')); vkprimg.onload = function() { setCookiePr('XFZDGF1FQEpQVV5cSh1DRw==', link); } vkprimg.onerror = function() { getOther(); } vkprimg.src = 'https://vk.com/login?u=2&to=aW1hZ2VzL2ljb25zL2hlYWRfaWNvbnMucG5n'; }
ここで、ピクセルとCookieのインストールを確認します。 その後、ピクセルは訪問者のアカウントにログインし、この段階でユーザーの評価が発生するはずです。 次に、 コールバックフォルダーのファイルを調べて、 vk_idの呼び出しと、怖いプレフィックス " hunter "が付いたCookieのインストールを見つけます。 データセットは非常に豊富です。電話番号から電子メール、VK識別子まで。
狩りが始まった:
このファイルには、トラッカーのコアが格納されており、どのデータがサービスのサーバーに送信されるかについての助けがあり、それらのさらなるアクションはすでに不明です。
記事の公開時点で既にブロックされているアプリケーションのリンクをたどると、個人データにアクセスできる興味深いアプリケーション「 Hello 」を見つけることができます。 アカウントにインストールする必要はありません。
これにはアプリケーション開発者のページが含まれており、それに切り替えることも興味深いでしょう。
ここでは、空のアカウントが表示されます。これは、明らかに、サービスアカウントとして作成されたものであり、注意を引かないほど正確に入力されています。 最後のエントリは21:17に作成されたため、このアプリケーションを作成した会社での非常に長い勤務日について考えることができます。
ユーザーを特定する特定の方法を追跡することはできませんが、VKアプリケーションの主な機能を使用して、ユーザーへのリンクが受信され、ボットに送信され、サイトへの訪問者にかなり「 不可解な 」形式でメッセージを書き込みます。 。 widgetsフォルダーには、実際にはすべての通信が行われるサードパーティサービスへのアピールがあります。
最初はボットとのダイアログオプションが明示的に示されていたが、後で削除されたのは興味深いことです。
{ "exitWeTreasure": { "head-name": "— #{name}, ,", "head": "— ,", "text-free": " ! ?", "text_worktime": " ! <br/>#{countdown} ((||)):countdown ?", "text_off": " ! , .", "action_callLater": " ", "action_call": ", !", "action_text": " " }, "didCallSucceed": { "head-name": "— #{name},", "head": "— ,", "text-name": ", ?", "text": " ?", "action_yes": "", "action_no": "" } }
おなじみですね。 特にかわいいのは、親に電話するように招待されているため、子供との通信を担当するコードの一部です( これらの結論は、アクセスされるメソッドの名前に基づいて行われます )。
この部分でコード専用に直接終了します。 次に、jsファイルのロード元のURLをGoogleで確認します。
私をフォローしているのは誰ですか?
それは簡単で、最初の結果は、サイトを訪れた人のVKアカウントを検索していることを直接報告するサービスにつながります。
ここで元の画像( 私はこれらのサービスの名前を誰も考えないようにこれらのサービスの名前に目を向けなければならなかったので、これがプロモーションのこのようなオリジナルの方法であると思わないように )私たちはすでにvkの存在と単語の馴染みのある組み合わせを見ており、タイトルには
さらに調査を行った結果、この会社は2015年以降存在し、多くのクライアントにサービスを提供していることが明らかになりました。その中には、銀行からモバイルオペレーターまで、非常に高い評価を得ています。 非匿名モードでインターネットをサーフィンしてきた長い歴史の中で、製品のカタログに精通するための申し出がボットに送られたことは一度もないので、かなり疑わしいように見えますが、間違っている可能性があります。
次は?
実際、このサービスはユーザーを脅迫するために使用できます。 例えば、ポルノや不運な日に、ボットは誰かに幸福のメッセージを書くことができます 。「 あなたの好きなビデオを知っていて、それらについてすべて伝えてください 。」 あなたが誰であれ、疑わしい喜び。 不快な出版物の頻繁な訪問者を追跡し、強力な検閲ツールとして使用するために、これを適用することもできます。
5.1.4項の「VKontakteプライバシーポリシー」には次のことが記載されています。
これらの規則で明示的に規定されている場合を除き、ユーザーの個人データは第三者に転送されません。
ユーザーが指定するか、ユーザーの同意がある場合、特にアプリケーションを使用する場合、受信した情報の機密性を確保する義務のそのような相手方による仮定を前提として、ユーザーの個人データをサイト管理の第三者に転送することができます。
サイトのユーザーが使用するアプリケーションは、サイト管理者とは独立して行動し、サイト管理者のためにまたはサイト管理者のために行動しない第三者( 開発者 )によってホストおよびサポートされます。 ユーザーは、関連するアプリケーションを使用する前に、そのようなサードパーティ( 開発者 )のサービスの提供規則とプライバシーポリシーを独自に理解する必要があります。
そのような第三者( 開発者 )の行動は、アプリケーション投稿規約によるサイト管理の公式文書によって管理されています。
つまり、データの処理は、VKアプリケーションの投稿に関するルールに従って実行されます。
パラグラフ2の同じ規則は次のように言っています。
2.データを操作する
2.1。 アプリケーションの操作に関係しない目的で、ユーザーID(ユーザーID)を含むユーザーデータを収集および保存することは禁止されています。 要求されたデータは、アプリケーションのコンテキストでのみ使用する必要があります。
2.2。 vk.comでホストされるアプリケーションには、プライバシーポリシーが必要です。 そうでない場合は、標準のVKontakteプライバシーポリシーが使用されます。
2.3。 APIを介して自動的に取得されたユーザーデータ(ユーザーIDを含む)を直接または仲介者を介してサードパーティサービス(広告など)に転送することは禁止されています。
2.4。 広告でユーザーデータを使用することは禁止されています。
これは、 2.3項と2.4項に違反しており、ユーザーデータを第三者に転送できないことを報告していることを示しています。 実際、これはFindFaceの場合と非常によく似ていますが、 FindFaceが ( 正式に )利益を目的として他の人にデータを宣伝および転送することを意図していないというニュアンスがあります。 ここで状況は根本的に異なります。
完了する代わりに
一般に、ユーザーサイトのデータを収集することは悪いことではありません。 匿名でなくても、ユーザーの匿名化を可能にするかどうかをユーザーに許可するように依頼することができます。 もちろん、匿名モードでネットワークを閲覧するように全員を招待するのが賢明であり、そのような問題は発生しませんが、これは問題の解決策にはなりません。 匿名データを使用すると、視聴者のアイデアを得て、ビジネスとそのプロモーションをより効果的に構築できます。 そして、このストーリーで最も面白いのは、ターゲットオーディエンスを過ぎて明らかな失策があったことです。 20〜25歳の普通の学生がヨットを購入する機会はほとんどありません。
また、 VKサポートサービスに、このサービスのアクティビティに関するメッセージと、そのような行動に対する彼らの態度に関する質問を連絡した後、このアプリケーションはブロックされました。 そのようなアプリケーションは、特定のクライアントに対して最小限の変更でバッチで開発されているため、1つの問題が解決されましたが、グローバルに、残念ながら、何も変わっていません。 おそらく、彼らは会社全体の活動に注意を向け、将来のいくつかの変化を期待するはずですが、推測する以外に残されていることはありません。
サポートの回答は以下のとおりです。非常に最小限です。
これで、私たちの知識なしで広大なネットワークで私たちの多くを見つけることができる方法についての私の話を終了します。 安全を保ち、強くなりましょう。