Приложение Getcontact светит вашими персональными данными, даже если вы им никогда не пользовались

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
55.044
Репутация
62.840
Реакции
277.292
RUB
0
35d26c742be1edd4d11c24a19b19ca17.png

Getcontact — мобильное приложение, позиционирующее себя как менеджер звонков и блокировщик спама. Появилось в конце 2017-го и стремительно взлетело на первые места магазинов приложений: сейчас загрузок в Google Play больше 100 миллионов, а сами создатели сервиса оценивают свою аудиторию в 400+ миллионов пользователей.

Начали за здравие…​

Приложение декларирует, казалось бы, благие намерения: предотвращение нежелательных звонков от спамеров и телефонных мошенников — услуга в современном мире необходимая и востребованная. Однако свою популярность Getcontact приобрёл совсем по другой причине, но об этом чуть позже.

Основной функционал приложения работает так: пользователь, получив нежелательный звонок, например, из «Отдела безопасности банка», может пометить этот номер телефона тегом произвольного содержания, например: «Мошенники». Теперь, если другим пользователям приложения позвонят с того же номера, они увидят этот тег и смогут проигнорировать звонок.

…закончили как обычно​

Однако проблема Getcontact в том, что, если вы разрешили ему доступ к вашей телефонной книге (что делает подавляющее большинство пользователей), то ваши контакты (номера телефонов и то, как они у вас записаны) уходят в зрительный зал на сервера приложения и тоже становятся тегами. Таким образом изначально обезличенная сущность номера телефона обрастает дополнительной информацией из телефонных книг пользователей.

Запрашиваемые приложением Getcontact данные

Запрашиваемые приложением Getcontact данные
Касательно видимости этих данных предусматриваются два варианта:

  • Если вы зарегистрированы в Getcontact, то по умолчанию все другие пользователи приложения видят все ваши теги, то есть каким образом вы записаны у других людей
Пример тегов пользователя

Пример тегов пользователя
  • Если вы не зарегистрированы в приложении, то пользователям будет виден только один тег. Предполагаю, что выбирается он по количеству совпадений, так как чаще всего это имя и фамилия. Именно эта информация и будет отображаться при вашем звонке пользователям Getcontact, даже если вы у них в телефонной книге не записаны
Информация о незарегистрированном в приложении пользователе

Информация о незарегистрированном в приложении пользователе

Какие личные данные могут отсвечивать​

В зависимости от размера и качества вашего социального круга теги могут нести в мир следующую информацию (примеры не выдуманы):

  • ФИО и производные от этих данных
  • места́ работы, должности, например: Геннадий Сергеевич ДПС
  • места́ жительства: Старший по дому Хворостухина, Сосед 12 кв.
  • родственные и деловые взаимосвязи между людьми: Дочь Карины
  • прочие проявления фантазии абонентов: Душнила футбол, Лена ночной клуб
То есть в самом оптимистичном случае — в мире, где базы данных не утекают и не сливаются, — даже если вы никогда не слышали про Getcontact, то ваши имя и фамилия скорее всего всё равно светятся всем пользователям этого приложения. Кто угодно может по номеру телефона получить эту информацию. Это ваши персональные данные, но права на их публикацию у вас никто не спрашивает.

И конечно же наивно будет предполагать, что собранная на серверах Getcontact информация не используются кем надо и кем не надо в различных целях, как минимум рекламных, но в нашем мире это настолько обыденное дело, что мы сейчас не об этом.

Автор, ну ты проснулся, как там в 2018-м?​

В плане информационной безопасности меня сложно назвать человеком безграмотным: больше половины жизни я провёл в интернете, а десяток лет даже посвятил непосредственно веб-разработке. Паранойей не обременён, но светить своими персональными данными где попало не буду. И даже с таким бэкграундом я был неприятно удивлён описываемой проблемой лишь несколько дней назад, и то по большой случайности.

Может быть я и слышал раньше что-то про Getcontact на волнах его хайпа, но пропустил мимо ушей, навесив на эту информацию ярлык «Опять зумерам нечем заняться» и оставался спокоен, руководствуясь принципом «Мне подобные игры типа “Узнай как ты записан в телефоне твоих друзей” не интересны», значит я могу об этом даже не думать.

Но проблема в том, что ваши данные всё равно лезут наружу независимо от вашей осведомлённости. То есть на протяжении пяти лет по моему номеру телефона мои имя и фамилия пробивались на раз абсолютно любым человеком без моего ведома. Неприятно.

И я был бы рад, например, пару лет назад встретить где-нибудь в рассылке Хабра заметку, освещающую эту тему. Поиск по сайту релевантной информации не выдал, поэтому я решил восполнить пробел самостоятельно.

Хватит это терпеть!​

Для того, чтобы предотвратить это безобразие, придётся сначала подружиться с Getcontact:

  • Устанавливаем приложение, регистрируемся, авторизуемся по нужному номеру телефона, но не выдаём никаких доступов: ни к логам звонков, ни к сообщениям, ни тем более к своим контактам — функционал Getcontact будет доступен и так
  • В разделе Other → Show Profile на этом этапе есть возможность посмотреть свои теги, а также поискать теги других людей — после выполнения этой инструкции сервис станет для нас недоступным. У приложения, кстати, есть ограничение на шесть бесплатных поисков номеров в месяц; больше — за деньги (от 590 ₽ в месяц)
  • Заходим на приложения, находим в подвале в разделе Help пункт Manage Your Privacy Profile
Помоги себе сам

Помоги себе сам
  • Авторизуемся на сайте удобным вам способом
  • В разделе Visibility settings отключаем Search visibility. Развлечения ради можете почитать почему вы не должны делать это
Убедительная Работа с возражениями

Убедительная работа с возражениями
  • Подтверждаем серьёзность своих намерений и узнаём, что вступление изменений в силу может занять до трёх часов времени и, что если потом вы решите снова воспользоваться сервисом, то ваши теги опять станут видимыми для всех
Yes, I’m fucking serious

Yes, I’m fucking serious
  • После подтверждения вас автоматически разлогинит как на сайте, так и в приложении, которое можно смело удалять
    Теперь при вашем звонке пользователи Getcontact увидят только цифры вашего номера телефона (если вы у него никак не записаны конечно же), а при попытке поиска вашего номера в приложении появится такое сообщение:
Правильная информация

Правильная информация

Горит очаг​

Лично я считаю ненормальной ситуацию, когда мои персональные данные (имя и фамилия как минимум) свободно торчат наружу кому угодно. Вы, конечно, можете возразить, что все наши данные уже давно слиты в сеть случайно или намеренно; но эти сливы — дела́ противозаконные и находятся вне моей зоны ответственности. По-хорошему в идеальном мире этого быть не должно.

А тут выходит, что подобные приложения юридически ничего не нарушают, а происходящее считается нормальным, по крайней мере в РФ (в некоторых странах приложение под запретом). Ведь получается, что сливаете свои данные не вы сами под лозунгом «Сам себе злой Буратино», а другие люди, которые записали вас себе в телефон, бездумно понаставили в него сомнительных приложений и раздали им все запрашиваемые права. Невозможно поручиться за благонадёжность всех своих абонентов — им может даже и не приходить в голову, что они таким образом сливают чью-то личную информацию.

И самое раздражающее — недостаточно просто пройти мимо этих глупостей, чтобы не ощутить на себе их влияние. Приходится в них разбираться, регистрироваться и настраивать сервисы, пользоваться которыми в ином случае я даже и не подумал бы.

Берегите свои персональные данные (и чужие тоже). И если вы знаете другие подобные приложения с душком, не сочтите за труд поделиться информацией о них в комментариях.











 
  • Нравится
Реакции: LOIZ
Getcontact is a mobile application that positions itself as a call manager and spam blocker. It was launched in late 2017 and quickly rose to the top of app stores: it now has over 100 million downloads on Google Play, and the creators estimate their user base to be over 400 million.

The main functionality of the app works as follows: when a user receives an unwanted call, such as from a "bank security department," they can tag that phone number with a custom label, such as "Scammers." Now, if other users of the app receive calls from the same number, they will see this tag and can ignore the call.

However, the problem with Getcontact is that if you grant it access to your contacts (which the majority of users do), your contacts' phone numbers and how they are saved in your phone will also become visible to other users. Thus, the originally anonymous entity of a phone number becomes associated with additional information from users' phone books.

Depending on the size and quality of your social circle, these tags can reveal personal information such as full name, workplace, position, address, familial and business connections, and more. This information can be accessed by anyone with your phone number. These are your personal data, but no one asks for your permission to disclose them.

And of course, it would be naive to think that the information collected on Getcontact's servers is not being used by various parties, at least for advertising purposes. However, this is such a common practice in our world that we won't dwell on it now.

In terms of personal data security, it's difficult to call me an illiterate person. I have spent over half of my life on the internet and even dedicated a decade to web development. I'm not burdened by paranoia, but I won't expose my personal data everywhere. Even with this background, I was unpleasantly surprised by the described problem only a few days ago, and that was purely by chance. Maybe I had heard something about Getcontact before during its peak hype, but I ignored it, labeling the information as "Zoomers have nothing to do again," and remained calm, guided by the principle of "I'm not interested in such games as 'Find out how you are saved in your friends' phone.'" I didn't think about it at all.

But the problem is that your data still leaks out regardless of your awareness. So, for the past five years, my name and surname have been visible to absolutely anyone querying my phone number without my knowledge. Unpleasant.

And I would have been glad, for example, to come across an article on this topic somewhere in the Habr newsletter a couple of years ago. Searching the site didn't yield relevant information, so I decided to fill the gap myself.

To prevent this outrage, you first have to become friends with Getcontact:

  • Install the application, register, and authorize with your desired phone number, but do not grant any permissions: neither call logs nor messages, let alone your contacts - Getcontact's functionality will be accessible anyway.
  • In the "Other → Show Profile" section, you can view your tags and search for other people's tags. After completing this instruction, the service will be blocked for us. There is a limitation on six free phone number searches per month; more searches require payment (starting from 590 RUB per month).
  • Go to the official website ( ) of the application, find the "Manage Your Privacy Profile" section in the footer under "Help."

Help yourself:
  • Log in to the site using a convenient method for you.
  • In the "Visibility settings" section, disable "Search Visibility." You can read why you should not do this for entertainment purposes.

Convincingly handle objections:
- Confirm the seriousness of your intentions and learn that the changes may take up to three hours to take effect. If you decide to use the service again later, your tags will become visible to everyone again.

Yes, I'm serious:
- After confirmation, you will be automatically logged out both on the website and in the app, which can be safely deleted.

Now, when you make a call, Getcontact users will only see the digits of your phone number (if they haven't saved you in their contacts), and when trying to search for your number in the app, they will see the following message:

Correct information
It's an issue.

Personally, I find it abnormal for my personal data (at least my name and surname) to be freely visible to anyone. You may argue that all our data has already been leaked online, intentionally or unintentionally, but these leaks are illegal and beyond my responsibility. Ideally, in a perfect world, this should not be the case. However, it turns out that such applications do not legally violate anything and what is happening is considered normal, at least in Russia (the app is banned
 
  • Теги
    getcontact персональные данные приложения
  • Сверху Снизу