Если интернет-магазин является оператором персональных данных, то на него распространяются все обязанности, налагаемые законом:
- предоставить доказательство получения согласия субъекта на обработку его персональных данных;
- обработать персональные данные в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи можно только при условии предварительного согласия субъекта.
Итак, интернет-магазину надо доказать, что у него есть согласие конкретного физического лица, которое попросило предоставить ему товар (услугу). При этом чаще всего установить это самое лицо у магазина нет возможности – его или его представителя увидит только курьер при доставке товара, а до этого момента пройдет много времени, в течение которого персональные данные будут обрабатываться.
Заказ клиент делает чаще всего двумя простыми способами: заполняя форму на сайте магазина или позвонив по указанному там же телефону, и в обоих случаях точно идентифицировать его невозможно. Часто заказ формируется в интересах третьего лица (выгодоприобретателя), которому с использованием возможностей Интернета делается подарок или данные о нем включаются в заказ (например, при бронировании авиабилетов).
Избежать угрозу персональных данных можно следую следующим рекомендациям:
• использовать такой метод оплаты, который гарантирует защиту, и не ежемесячно проверять выписки по кредитной карте;
• помнить, что только авторитетные интернет-магазины используют специальные технологии для сохранности ваших личных данных во время транзакций;
• покупать комплексные антивирусные программы, которые позволят идентифицировать и блокировать потенциальные угрозы во время онлайн-шопинга;
Угроза персональных данных в социальных сетях
Общение в Интернете, особенно общение в социальных сетях отличается от общения в чатах и форумах, и уж, само собой, отличается от общения в реальной жизни. Дело в том, что в социальной сети пользователь предоставляет о себе больше информации, нежели в чате или на форуме. Он сообщает свои имя фамилию, место проживания, а зачастую даже место работы и учебы. Кроме того, на сайте можно посмотреть список его друзей, узнать с кем он общается. Именно с этой информацией и связан этический аспект общения в социальной сети.
Необходимость соблюдения правил общения в социальных сетях возникла в связи с увеличением случаев мошенничества, киберпреследования и запугивания пользователей. Получив личную информацию о жертве, злоумышленник с легкостью может испортить ей жизнь или даже подорвать материальное благосостояние. Поэтому крайне важно держать свои персональные данные в секрете, скрываясь под многочисленными никами, номерами и нейтральными учетными записями, чтобы избежать неприятностей. Однако в связи с желанием многих пользователей пользоваться социальными сетями и сайтами знакомств, скрывать всю информацию о себе не представляется возможным. Сложно зарегистрироваться на «Одноклассниках», не указывать имя, фамилию и учебные заведения. Еще сложнее при этом найти там старых знакомых. Также усложняется процесс знакомства с девушкой/парнем, если Вы не опубликуете свою фотографию и способы связи. Использование социальных сетей является небезопасным именно из-за проблемы утечки персональных данных. По ним, помимо старых друзей и знакомых, человека могут найти люди, знаться с которыми он вовсе не жаждет. Избежать этого нельзя – выкладывая в Интернет информацию о себе, каждый делает ее доступной всем, а не только тем, для кого она предназначалась.
Уберечь личную информацию возможно, даже пользуясь ресурсами, где указывать ее обязательно. Например, на сайтах, не являющихся социальными сетями и магазинами, вполне можно указать вместо настоящего имени-фамилии псевдоним, или, если это позволит интерфейс, оставить эти пункты анкеты пустыми. На сайтах знакомств можно указывать лишь электронные способы связи, например, специально выделенный для подобных контактов е-mail или номер аськи. Если же разговор по ним окажется удачным, ничто не мешает поделиться потом с собеседником координатами скайпа или номером телефона. При пользовании популярной социальной сетью необходимо загружать личные фотографии и файлы только в доступ «для друзей». Таким образом, увидеть их смогут лишь те люди, которых хозяин профиля лично одобрит. При этом важно осторожно подходить к выбору друзей, не принимать все заявки подряд для количества. Радость от большого числа «друзей» быстро омрачится неприятностями. Благодаря такой халатности, можно запросто стать жертвой злого шутника, который использует личные данные для организации киберпреследования. Враги могут взять фотографии и контакты из социальной сети и разместить их на других ресурсах, где бы их совсем не хотели видеть. Мошенники, спамеры, фишеры, получив информацию в виде аськи или адреса элекронной почты, непременно включат ее в свой список для рассылок.
Однако даже если стараться оставлять о себе минимум информации, не сообщать ничего лишнего, не открывать доступ к своим личным страничкам незнакомым людям, эта информация все равно становится доступна определенному кругу людей. В связи с этим крайне важно уважать чужое право на тайну собственной информации.
Итак, при использовании социальных сетей нужно руководствоваться следующими принципами:
1) Нельзя размещать в своем профиле социальной сети чужие фотографии без разрешения этого человека. Если бы он хотел их кому-то показать, непременно выложил бы в сеть сам.
2) Ни в коем случае не пересылайть другим людям информацию и изображения из закрытых профилей своих друзей, к которым имеете доступ. Друзья сами имеют право решать, кто будет видеть эти материалы.
3) Не регистрироваться под чужими данными. Если хотите сохранить инкогнито – прибегните к вымышленному имени. Лучше оставьте поле для фотографии пустым, не используйть чужие изображения, особенно это касается реальных людей. В случае, если загрузка фото обязательна, используйть изображение знаменитости.
4) Не указывайть в своих профилях неверные данные об учебных заведениях или месте работы. Люди, осуществляющие поиск одноклассников или коллег будут испытывать неудобство.
5) Не опубликуйть слишком длинных публичных сообщений другим людям, а также не оставляйте там информации, которая не предназначена для общего доступа. В этом случае лучше воспользоваться функцией личной переписки.
6) Относиться спокойно к людям, которые не хотят добавлять в друзья. Дважды отвергнутого предложения дружбы достаточно, чтобы убедится в том, что пользователь не хочет открывать свою личную информацию.
7) При использовании вымышленного имени не сообщайть своим друзьям заведомо ложную информацию специально. Вымышленные данные допустимы только с точки зрения защиты личной информации, но никак не предназначены для обмана собеседников.
Парольные атаки.
Их цель — завладение паролем и логином законного пользователя. Злоумышленники могут проводить парольные атаки, используя такие методы,как:
• подмена IP-адреса (IP-спуфинг);
• подслушивание (сниффинг);
• простой перебор.
Подслушивание (sniffing). В основном данные по компьютерным сетям передаются в незащищенном формате (открытым текстом), что позволяет злоумышленнику, получившему доступ к линиям передачи данных в сети подслушивать или считывать трафик. Для подслушивания в компьютерных сетях используют сниффер. Сниффер пакетов представляет собой прикладную программу, которая перехватывает все сетевые пакеты, передаваемые через определенный домен.
В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, РОРЗ и т. д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).
Перехват пароля, передаваемого по сети в незашифрованной форме, путем «подслушивания» канала является разновидностью атаки подслушивания, которую называют password sniffing. Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме клиент/сервер, а аутен-тификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам.
Предотвратить угрозу сниффинга пакетов можно с помощью применения для аутентификации однократных паролей, установки аппаратных или программных средств, распознающих снифферы, применения криптографической защиты каналов связи.
Спуфинг (Spoofing) - имитация соединения, получение доступа обманным путём. Способность маршрутизатора реагировать на некоторые сетевые запросы действиями местного характера с целью избежать необходимости установления соединения с удалённым пунктом. Используется хакерами для обхода систем управления доступом на основе IP-адресов путём маскирования под другую систему (её IP-адрес). Другое использование – маскировка ложных сайтов под легальный бизнес, с целью получить от посетителей номера кредитных карточек обманным путем.
Spoofing(IP)- это подмена исходного адреса в заголовке пакетов. Однако Spoofing IP не является уникальным способ скрытия/изменения IP-адреса, аналогичный proxy или socks. Спуфинг лишь позволяет изменить IP-адрес в заголовке пакета, но не удерживать этот адрес как свой (т.е. ты не сможешь получить ответ, его получит хозяин адреса, который ты указал вместо своего). Т.е., для того, чтобы изменить свой IP-адрес в заголовке, необходимо работать с межсетевым уровнем.
Целью спуфинга обычно является вызов DoS (отказа в обслуживании) или провокация DDoS (распределённой атаки с целью вызова DoS).
Часто хакеры пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой метод носит название атака полного перебора (brute force attack). Для этой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате злоумышленнику удается подобрать пароль, он получает доступ к ресурсам на правах обычного пользователя.
Парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Использование одноразовых паролей и криптографической аутентификации может практически свести на нет угрозу таких атак. К сожалению, не все приложения, хосты и устройства поддерживают указанные методы аутентификации.
При использовании обычных паролей необходимо придумать такой пароль, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее 8 символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, $, &, % и т. д.