[Упячка] Email-tracking и конфиденциальная переписка
Наверное, многие мои читатели достаточно подкованы в вопросах ИБ, чтобы знать про существование т.н. email-trackers, используемых для того, чтобы отправитель мог узнать, открыл ли получатель письмо.
Если оставить в стороне стандартные механизмы подтверждения прочтения, встроенные, например, в Outlook, которые запрашивают получателя, хочет ли он(а) отправить подтверждение, большинство трекеров используют прозрачный пиксель размером 1*1 или кусок html-кода, которые загружаются автоматически при открытии письма, если только в клиенте не отключена опция загрузки картинок или не включена опция "plain text emails only".
Некоторые трекеры, помимо самого факта открытия письма, сообщают отправителю и дополнительные данные о получателе: версию ОС и почтового клиента, IP-адрес и тд
Хотя я и топлю за прайваси, но могу понять использование подобных инструментов в маркетинге или CRM.
Но вот как это понять, когда ты переписываешься с представителями некой компании по поводу безопасности их продукта, просишь предоставить, например, результаты пентеста и аудита, а они в ответ присылают тебе письмо, пестрящее ссылками, переформатированными как t.sidekickopenXX.com. Вот имхо, становится немного не по себе, и боязно использовать продукт.
На минуточку, Sidekick - один из печально известных трекеров, который занимается следующими пакостями:
- Просматривает и модифицирует содержимое и тему письма (потенциально и сохраняет часть информации у себя на серверах, для генерации отчетов)
- Оставляет за собой право передавать сохраненные данные партнерским компаниям
- Получает доступ к истории переписки, совершенной ДО установки и настройки клиента
Для начала я, конечно, заблокировала весь трекинг от Sidekick на уровне hosts файла (готовый файл можно скачать вот тут https://gist.github.com/mhpavl/3b29263ba17075f0b9554e4444021684), но осадочек остался.
И вот какой вопрос уже долгое время не дает мне покоя.
Предположим, я использую для работы (с рабочего ноута) некое облачное приложение. Допустим, это какая-то HR-бурда, типа ежегодной аттестации или выставления целей на следующий квартал.
Эта SaaS-бурда, за которую моя фирма заплатила охуллион денег, хостится на сервере SaaS-провайдера с инфраструктурой на монстре типа AWS или GCP.
Далее, в privacy statement этого SaaS-provider указано, что они используют овердохуя маркетинговых инструментов, типа Google AdWords, HotJar, Capterra. Причем используют этот софт на всем сайте, не выключая даже когда я захожу в рабочее пространство приложения (оплаченное!).
Соответственно, вся эта бурда в виде кукизов, маппингов активности и тд привязывается к моему рабочему компьютеру в процессе использования облачного приложения. А теперь предположим, что я работаю из дома, и к одной и той же точке доступа подсоединены все мои устройства: и рабочие, и персональные. И есть такая замечательная штука как "Cross-device tracking", которая позволяет с достаточно высокой степенью вероятности предположить, что несколько устройств используются одним и тем же человеком.
Т.е., получается, что чуваки имеют возможность меня непрерывно отслеживать не только во время работы, но и во внерабочее время. Даже несмотря на то, что я, разумеется, не логинюсь в FB, LinkedIn или Google на рабочем ноуте.
Я могу еще понять, когда данные сливают во время приватного использования бесплатных сервисов. Фактически, данные - это плата за сервис. Бесплатный сыр - известно, где. Но если то же самое происходит во время использования софта за охулион денег... Как-то грустно. И получается, что то, что я делаю на работе, влияет на то, что я вижу во вне-рабочее время в ленте ФБ или в результатах поиска Гугла, даже если я не использую рабочее оборудование для частных задач. И наоборот - мои хобби влияют на то, что происходит на рабочем компьютере.
* про noScript, adsBlock, uMatrix и VPN c тором наслышала, конечно. И не просто наслышана, но использую. Но не все же такие умные...
* Помню, как-то я работала удаленно из общаги, и на мой комп, в результате ошибочного Cross-device tracking, стали лезть рекламные баннеры с откровенными знакомствами и лекарствами по увеличению члена, причем встроенные во вполне приличные сайты, использующие googleAds или что-то подобное. А на рабочем компе у меня не было админских прав, и я не могла поставить нормальный браузер с адсблоком. Вот же стыдобища перед клиентами была!
Если оставить в стороне стандартные механизмы подтверждения прочтения, встроенные, например, в Outlook, которые запрашивают получателя, хочет ли он(а) отправить подтверждение, большинство трекеров используют прозрачный пиксель размером 1*1 или кусок html-кода, которые загружаются автоматически при открытии письма, если только в клиенте не отключена опция загрузки картинок или не включена опция "plain text emails only".
Некоторые трекеры, помимо самого факта открытия письма, сообщают отправителю и дополнительные данные о получателе: версию ОС и почтового клиента, IP-адрес и тд
Хотя я и топлю за прайваси, но могу понять использование подобных инструментов в маркетинге или CRM.
Но вот как это понять, когда ты переписываешься с представителями некой компании по поводу безопасности их продукта, просишь предоставить, например, результаты пентеста и аудита, а они в ответ присылают тебе письмо, пестрящее ссылками, переформатированными как t.sidekickopenXX.com. Вот имхо, становится немного не по себе, и боязно использовать продукт.
На минуточку, Sidekick - один из печально известных трекеров, который занимается следующими пакостями:
- Просматривает и модифицирует содержимое и тему письма (потенциально и сохраняет часть информации у себя на серверах, для генерации отчетов)
- Оставляет за собой право передавать сохраненные данные партнерским компаниям
- Получает доступ к истории переписки, совершенной ДО установки и настройки клиента
Для начала я, конечно, заблокировала весь трекинг от Sidekick на уровне hosts файла (готовый файл можно скачать вот тут https://gist.github.com/mhpavl/3b29263ba17075f0b9554e4444021684), но осадочек остался.
И вот какой вопрос уже долгое время не дает мне покоя.
Предположим, я использую для работы (с рабочего ноута) некое облачное приложение. Допустим, это какая-то HR-бурда, типа ежегодной аттестации или выставления целей на следующий квартал.
Эта SaaS-бурда, за которую моя фирма заплатила охуллион денег, хостится на сервере SaaS-провайдера с инфраструктурой на монстре типа AWS или GCP.
Далее, в privacy statement этого SaaS-provider указано, что они используют овердохуя маркетинговых инструментов, типа Google AdWords, HotJar, Capterra. Причем используют этот софт на всем сайте, не выключая даже когда я захожу в рабочее пространство приложения (оплаченное!).
Соответственно, вся эта бурда в виде кукизов, маппингов активности и тд привязывается к моему рабочему компьютеру в процессе использования облачного приложения. А теперь предположим, что я работаю из дома, и к одной и той же точке доступа подсоединены все мои устройства: и рабочие, и персональные. И есть такая замечательная штука как "Cross-device tracking", которая позволяет с достаточно высокой степенью вероятности предположить, что несколько устройств используются одним и тем же человеком.
Т.е., получается, что чуваки имеют возможность меня непрерывно отслеживать не только во время работы, но и во внерабочее время. Даже несмотря на то, что я, разумеется, не логинюсь в FB, LinkedIn или Google на рабочем ноуте.
Я могу еще понять, когда данные сливают во время приватного использования бесплатных сервисов. Фактически, данные - это плата за сервис. Бесплатный сыр - известно, где. Но если то же самое происходит во время использования софта за охулион денег... Как-то грустно. И получается, что то, что я делаю на работе, влияет на то, что я вижу во вне-рабочее время в ленте ФБ или в результатах поиска Гугла, даже если я не использую рабочее оборудование для частных задач. И наоборот - мои хобби влияют на то, что происходит на рабочем компьютере.
* про noScript, adsBlock, uMatrix и VPN c тором наслышала, конечно. И не просто наслышана, но использую. Но не все же такие умные...
* Помню, как-то я работала удаленно из общаги, и на мой комп, в результате ошибочного Cross-device tracking, стали лезть рекламные баннеры с откровенными знакомствами и лекарствами по увеличению члена, причем встроенные во вполне приличные сайты, использующие googleAds или что-то подобное. А на рабочем компе у меня не было админских прав, и я не могла поставить нормальный браузер с адсблоком. Вот же стыдобища перед клиентами была!