
Мотивом для написания этого текста послужили неоднократные эпизоды с навязчивой таргетированной рекламой, нашумевшие случаи мошенничества и, несмотря на то, что из каждого утюга криком кричат о цифровой гигиене, - массовое наплевательство в ее отношении.
Будет много буквачек, много базовых вещей, если ты ниндзяилонмаск, - не читай. Если интересно, но лень читать - главное в финале.
Учитывая "дырявость" большинства веб-ресурсов и наплевательское отношение юзеров к приватности, можно сказать, что большинство людей осознают себя в неглиже (или без такового) и на всеобщем обзоре лишь тогда, когда уже слишком поздно. Но конфиденциальность же не теряется мгновенно. Она испаряется постепенно, по одной публикации в соцсетях, по одному разрешению в приложении, по одной «удобной» регистрации аккаунта.
Я не раз наблюдал, как опытные OSINT-аналитики восстанавливали всю жизнь человека по, казалось бы, безобидным подсказкам. Имя пользователя здесь, комментарий там, метаданные фотографии, несколько записей от брокеров данных. Ты и глазом не успел моргнуть, а у них уже на руках твоя трудовая биография, твой распорядок дня, твои семейные связи и, не исключено, что и домашний адрес.
Мало приятного. Тем не менее, много кто из нас оставляет цифровые следы, прям как колею от БелАЗа, совершенно не осознавая, что и кому передается и в каких объемах.
Наш цифровой след делится на две категории, но большинство людей задумываются только об одной из них: об очевидных, явных следах.
Очевидные следы — это активные действия. Каждый раз, когда ты публикуешь что-либо в социальных сетях, комментируешь на форуме или создаешь учетную запись где-либо, ты активно оставляешь следы. Ты это осознаешь, ничего нового тут нет. Ты с этим смирился. Прямо в тот момент, когда поставил галочку "Да" в пользовательском соглашении размером с ПСС Ленина (56 нехудых томов, на минуточку) и которое, само собой, не читал. Смирился в тот момент, когда вошел в соцсеть под своим номером телефона.
Этот момент запомнили, подчеркнули красным маркером и отложим в стороночку. Еще вернемся.
Кроме явных следов, и флагов, которые ты понатыкал на каждом шагу "Здесь был я - Веня Пупков", есть и масса других следов. Тихих убийц твоей приватности. Они приходят на мягких лапах и не палятся.
Каждая загруженная тобой фотография содержит метаданные о том, когда и где она была сделана, на каком устройстве, а иногда и серийный номер камеры. Веб-сайты припасают за нами тебя с помощью файлов cookie, они создают «идентификатор» нашего браузера на основе десятков уникальных характеристик. Брокеры данных собирают информацию из общедоступных записей, данных приложений и истории покупок, создавая теневые профили, на создание которых никто и никогда не давал согласия.
Скажешь, типа: это нифига не законно? А кто тебя спрашивал? В лучшем случае, ты сам согласился. Галочку "Да" помнишь? Вот то-то. Ну, ну. Не плачь. Намотай сопли на кулак и поехали дальше.
Смоделируем угрозу. Нам нужно понять, кого ты на самом деле беспокоишь, для кого представляешь интерес, масштаб этого интереса: ты для него - один из многих или он на тебя так нацелился, аж кушать не может.
Что тебя беспокоит: что брокеры данных продают твои данные рекламодателям? Это не то же самое, как переживать из-за целенаправленного преследования. Триггерит, что будущие работодатели найдут старые публикации в социальных сетях? Это совсем другое, чем слежка на государственном уровне.
Модель угроз и определяет стратегию защиты. У публичной личности, стремящейся сохранить некоторую приватность, другие потребности, чем у человека, стремящегося к полной анонимности. Универсальные советы по обеспечению конфиденциальности, как правило, являются плохими советами.
Основные ключи: адреса электронной почты и номера телефонов.
Если бы я хотел найти кого-то в интернете, я бы начал с его адреса электронной почты или номера телефона. Это - основные идентификационные ключи, нити, которые связывают все остальное.
Адреса электронной почты особенно опасны, потому что они повсюду. Ты используешь один и тот же адрес для банковских операций, социальных сетей, рассылок, покупок и случайных регистраций на сайтах, о которых уже забыл? Не удивляйся. Если этот адрес электронной почты попадет в результате утечки данных, что, скорее всего, давно произошло, любой сможет увидеть все сервисы, на которые ты когда-либо подписывался.
Бежим - все волосы назад на haveibeenpwned.com и прямо сейчас проверяем свою основную электронную почту.
Уже не та весело или можно тыдохнуть? На время...
Решение проблемы несложное, но требует дисциплины. Используй разные адреса электронной почты для разных ситуаций. Банк не должен делиться адресом электронной почты с аккаунтами в социальных сетях. Важные аккаунты не должны делиться адресом электронной почты с одноразовыми регистрациями. Такие сервисы, как SimpleLogin или AnonAddy, позволяют создавать адреса переадресации, чтобы присвоить каждому веб-сайту уникальный адрес электронной почты, который будет перенаправляться на реальный e-mail.
С телефонными номерами все сильно хуже, потому что они привязаны к физическим SIM-картам и используются для двухфакторной аутентификации повсюду. Если кто-то получит контроль над телефонным номером путем подмены SIM-карты, он потенциально сможет получить доступ ко всему.
Поэтому, прекрати сообщать свой настоящий номер каждому приложению и веб-сайту. Используй номер VoIP для некритичных сервисов. Отключи такие функции, как Truecaller, которые раскрывают личность. Проверь все приложения и мессенджеры, которые могут показывать твой номер и, если можно, скрой его.
Едем дальше, никнеймы. Повторное использование имен пользователей: кладезь OSINT-информации — этот способ чаще всего приводит к тому, что людей деанонят.
В 16 лет ты создаешь уникальное имя пользователя. Оно остроумное, запоминающееся, ты используешь его везде. Reddit, Twitter, игровые форумы, GitHub, может быть, даже в старых сообщениях на форумах. Спустя годы ты забываешь о существовании половины этих аккаунтов. Но все они связаны этим именем пользователя. Аналитик может ввести его в такие инструменты, как Sherlock или WhatsMyName, и получить список всех платформ, где оно встречается. Внезапно твой профессиональный профиль оказывается связан с твоим аккаунтом на Reddit, где ты слишком много рассказываешь о личном, который, в свою очередь, связан с игровым форумом, где ты упомянул свой город, а тот — со старым блогом... И ву-а-ля. А кто это у нас тут такой красивенький в таком интересненьком? Ба!... да это же - наш Веник Пупков! Прошу любить и жаловать!
Решение проблемы заключается в разделении на категории. Разные идентичности для разных контекстов. Твое профессиональное присутствие не должно иметь никаких общих идентификаторов с личными страницами в социальных сетях, которые, в свою очередь, не должны иметь никаких общих идентификаторов с анонимными аккаунтами.
Это звучит параноидально, пока ты не поймешь, что есть работодатели, которые регулярно проводят подобные исследования перед приемом на работу. То же самое делают журналисты, расследующие чью-либо деятельность. То же самое делают мошенники, ищущие жертв.
Ты можешь сделать свой аккаунт в "соцсетиточканет" приватным, но это не делает тебя невидимым. Сеть по умолчанию - социальная.
— Во-первых, большинство платформ по-прежнему хранит все твои данные и передаст их правоохранительным органам, участникам гражданских судебных процессов или любому другому лицу, имеющему необходимые документы.
— Во-вторых, твой «приватный» аккаунт по-прежнему можно найти в результатах поиска.
— В-третьих, любой, кого ты примешь в качестве подписчика, может сделать скриншот и поделиться всем содержимым.
— В-четвертых, ты по-прежнему появляешься на фотографиях других людей, тебя по-прежнему отмечают, ты по-прежнему отображаешься в геотегах и списках друзей. Вот с друзьями, вообще все "хорошо". Их график особенно интересен. Даже если я не вижу твоих постов, я часто могу многое о тебе узнать по тому, с кем ты связан, как ты с ними взаимодействуешь и что они пишут о тебе.
На основании этого можно построить графы связей и, даже, если у тебя в этой соцсети фигурирует дополнительная "личность", то, если в другой сети у тебя те же связи, но с другой "личностью", то их можно идентифицировать, как принадлежащие одному человеку. Такие "личности" не должны пересекаться. Или же их сходство должно стремиться к нулю.
Некоторые практические аспекты, касающиеся следа в социальных сетях:
Все, что ты публикуешь, должно предполагать неизбежную публичную огласку. «Приватность» — это препятствие, а не преграда. Подумай, будешь ли ты чувствовать себя комфортно, если скриншот окажется в результатах проверки биографических данных через пять лет.
Данные о местоположении могут быть гораздо информативнее, чем ты думаешь. Публикуешь посты из одной и той же кофейни каждое утро? Ты только что рассказал всем о своем районе и распорядке дня. Фотографии из путешествий с отметками времени? Кто-то сможет определить, когда твой дом пуст.
Старый контент остается навсегда. Тот провокационный политический пост до дыр затертого года? До сих пор где-то на скриншоте. Та фотография с вечеринки? Ее уже сохранили три человека и загрузили на две разные платформы.
Если ты хочешь публиковать посты без чрезмерного внимания, удаляй метаданные из фотографий перед загрузкой, откладывай публикации, чтобы они не отображались в режиме реального времени, и не указывай местоположение слишком расплывчато. Вместо точного названия ресторана, пишет «В гостях у друзей». Вместо «Вот подтверждение моего рейса» — «Поездка на выходные».
Проблема метаданных: Вот простой тест. Найди фотографию на своем телефоне. Проверь ее свойства. Скорее всего, ты обнаружишь:
Точные GPS-координаты места, где был сделан снимок.
Дата и время с точностью до секунды.
Марка и модель устройства
Настройки камеры
Иногда даже серийный номер
Теперь вспомни каждую фотографию, которую ты когда-либо публиковал в интернете. Каждое резюме, которое ты отправлял. Каждый PDF-файл, которым ты делился.
Метаданные — это информация об информации, и они рассказывают истории, которыми ты не собирался делиться. Данные GPS фотографии раскрывают твой дом или рабочее место. Метаданные документа показывают, кто его создал, когда, с помощью какого программного обеспечения и сколько раз он был отредактирован.
Я видел, как люди пытались анонимно слить документы, но их личности раскрывались, потому что они забывали удалить метаданные. В свойствах файла отображались их имя и организация.
Перед отправкой любого файла удали его метаданные. Для этого можно использовать такие инструменты, как ExifTool, MAT2 или даже встроенные функции операционной системы. На телефонах можно использовать приложения типа Scrambled Exif или Photo Metadata Remover.
Сделайте это привычкой. Каждая фотография, каждый документ, каждый файл.
Но, если метаданные - это инструмент, скорей, индивидуального применения, то файлы cookie — лупят по площадям. "Печеньки" собирают данные массово, миллионами личностей. И да, -это механизм отслеживания, о котором все знают. Но, и меньше всего замечают.
Сайты создают «идентификатор» твоего браузера, собирая информацию о разрешении экрана, установленных шрифтах, плагинах браузера, возможностях оборудования, часовом поясе, языковых настройках и десятках других характеристик. В совокупности все это создает уникальный идентификатор, который отслеживает тебя в интернете, даже если ты блокируешь файлы cookie. Это - так называемый "фингерпринт". Отпечаток твоей системы.
Технология Canvas fingerprinting использует графические возможности твоего устройства для создания уникального идентификатора. WebGL делает нечто подобное с помощью твоей видеокарты. Эти методы работают даже в режиме «приватного» просмотра.
Защита не идеальна, но работоспособна:
Используй браузер, ориентированный на конфиденциальность, например Firefox с дополнительными настройками или Pale Moon. Рассмотри возможность разделения браузера на отдельные профили или разделы, например, для разных задач. Один браузер для конфиденциальной информации, другой для обычного просмотра веб-страниц, третий — для действий, требующих указания твоей личности.
Расширения, такие как uBlock Origin, помогают, но не стоит полагаться только на них. Чем больше расширений, тем уникальнее твой профиль и тем проще его идентифицировать.
Индустрия брокеров данных:
Пока ты жил своей жизнью, целая индустрия создавала твой имидж.
Брокеры данных — это компании, которые собирают, обобщают и продают информацию о людях. Они получают данные из следующих источников:
Общедоступные записи (право собственности, судебные документы, регистрация избирателей)
Коммерческие источники (история покупок, программы лояльности)
Активность в интернете (посещаемые вами веб-сайты, используемые вами приложения)
Социальные сети (публикации, связи, интересы)
Они объединяют всю эту информацию в подробные профили, включающие твои демографические данные, предполагаемый доход, покупательские привычки, политические взгляды, интересы в области здоровья и личные проблемы.
Это не теория заговора. Это легальная многомиллиардная индустрия. Компании вроде Acxiom, Epsilon, Oracle Data Cloud и десятки других, о которых ты никогда и не слышал. Таргетированная реклама давно вытеснила глобальную работу. У тебя было такое, что ты просмотрел пару страниц с информацией о светильниках и браузер тебе "услужливо" подсовывает рекламу как раз магазина и как раз, рядом с твоим домом? Поздравляю. Тебя уже "срисовали".
Ты можешь отказаться от включения в эти базы данных, но это утомительно и временно. Такие сайты, как PrivacyDuck или DeleteMe, сделают это для тебя за определенную плату, но придется периодически повторять эту процедуру, потому что твои данные будут собираться заново. Снова и снова.
Твой телефон постоянно отслеживает твое местоположение, даже когда ты считаешь, что службы определения местоположения отключены. Он записывает все твои перемещения, продолжительность твоего пребывания и может делать выводы, например, где ты работаешь, где живешь, где совершаешь покупки.
Приложения запрашивают разрешения, которые им не нужны, а затем собирают твои контакты, фотографии, историю местоположений и информацию об использовании. А вот бесплатное приложение-фонарик? Ему не нужен доступ к твоим контактам и местоположению.
— Тогда зачем он его просит и без такого разрешения не пашет? Логику включаем? Да?
Твой ноутбук не намного лучше. Windows и macOS отправляют телеметрические данные обратно в Microsoft и Apple. Функции облачной синхронизации загружают твои документы, фотографии и данные на корпоративные серверы. История браузера, закладки и сохраненные пароли синхронизируются между устройствами, создавая полную запись твоей онлайн-активности.
Несколько практических шагов:
Прежде всего, расставь приоритеты. На мобильном устройстве проверь разрешения приложений и отмени все, что кажется чрезмерным. Для большинства приложений местоположение должно быть установлено в режим «Во время использования приложения», а не «Всегда». Проверь, какие приложения имеют доступ к твоим фотографиям, контактам и микрофону.
На компьютере отключи телеметрию в настройках ОС. Отключи синхронизацию конфиденциальных файлов с облаком. По возможности используй локальное хранилище вместо облачных сервисов.
Если ты серьезно относитесь к конфиденциальности на мобильных устройствах, рассмотри вариант телефона на базе Android без привязки к Google или GrapheneOS. Используй Linux вместо Windows или macOS, если готов к трудностям в освоении новых технологий.
Что делать и куда бежать?
Если бы я мог дать только один совет, он был бы такой: разделяй свои личности по контексту.
Потребуется как минимум три персонажа (вспоминаем красный маркер):
твой профессиональный образ — личность, связанная с твоим настоящим именем, видимая работодателям и коллегам. Аккуратный, профессиональный, скучный. Корпоративная сеть/группа, отраслевые форумы под твоим настоящим именем и реальными данными.
твоя личность для друзей — это то, как ты общаешься с друзьями и семьей. Возможно, это общие социальные профили, групповые чаты. Она относительно публична, но не связана с твоей профессиональной репутацией.
одноразовые перчатки — это твоя личность для всего остального. Другой адрес электронной почты, другое имя пользователя, другие способы оплаты, никак не связанное с твоим настоящим именем. Это для пробных подписок, тестирования сервисов или чего-либо, что ты предпочитаешь не связывать со своей репутацией. То, что не жалко выкинуть и завести новое. Эдакая песочница. Посмотрел, выкинул и забыл.
Главное — никогда не допускать их смешения. Не используй один и тот же адрес электронной почты для разных пользователей. Не используй одни и те же имена пользователей. По возможности избегай доступа к ним с одного и того же устройства или профиля браузера. И уж точно не используй один и тот же способ оплаты.
Одна ошибка — и все они связаны. ты публикуешь что-то анонимно, но упоминаете деталь, известную только вам. ты используешь один и тот же стиль письма, ты входите в обе учетные записи с одного и того же IP-адреса в подозрительно схожее время.
Разделение на категории работает только в том случае, если ты поддерживаешь дисциплину и придерживаешься цифровой гигиены.
Бочка дегтя: давай будем реалистами. В 2026 году ты не сможешь остаться незамеченным.
Даже если ты все делаешь правильно, ты все равно оказываешься на чужих фотографиях, ты все еще в государственных базах данных, тебя все еще фиксируют камеры видеонаблюдения повсюду, куда бы ты ни пошел, твои данные все еще продаются компаниями, о которых ты никогда не слышал, на основе информации, которую ты явно не предоставлял.
Цель не в совершенстве. Цель в том, чтобы свести к минимуму площадь твоей уязвимости, чтобы ты перестал быть легкой мишенью для атак.
Большинство злоумышленников выбирают легкие мишени. Если твои базовые навыки защиты конфиденциальности лучше, чем у 90% людей, то, вероятно, ты в безопасности для большинства моделей угроз. Не нужно убегать от медведя, достаточно убежать от других обитателей лагеря.
Также следует учитывать эффект Стрейзанд. Иногда чрезмерные попытки удалить информацию привлекают к ней больше внимания. Кто-то просит веб-сайт удалить статью о нем, это становится новостью, и теперь об этом знает больше людей.
Стратегическая прозрачность побеждает паранойю. Быть доступным для поиска — это хорошо, если ты контролируешь, что именно будет найдено.
И еще, - регулярность. Конфиденциальность — это не разовое мероприятие. Это непрерывный процесс.
Установи напоминание в календаре каждые шесть месяцев, чтобы провести аудит своего цифрового следа. Поищи себя. Посмотри, что отобразится. Найди старые учетные записи, о которых ты забыл. Найди свой адрес электронной почты, номер телефона и распространенные имена пользователей. Пробей себя насколько сможешь.
Обновляй свою модель угроз по мере изменения твоей жизни. Новая работа? Твой профессиональный имидж становится важнее. Рождаются дети? Конфиденциальность в семье приобретает большее значение. Разводишься? Пора все тщательно контролировать.
Инструменты и методы тоже меняются. Появляются новые методы отслеживания. Запускаются новые инструменты защиты конфиденциальности. Меняются законы? Тебе необходимо оставаться в курсе событий.
Тем не менее, стремление к совершенству не должно стать врагом хорошего. Делать что-то гораздо лучше, чем ничего не делать из-за перегруженности.
Начни с малого: проверь, не была ли твоя электронная почта взломана.
Создавай уникальные пароли, хоть бы и с помощью менеджера паролей.
Включи двухфакторную аутентификацию для важных учетных записей.
Проверь настройки конфиденциальности в социальных сетях.
Перед отправкой удаляй метаданные из файлов.
А затем отталкивайся от этого. Двигайся дальше.
Между нами говоря, когда я пишу этот текст, я понимаю, что мой собственный цифровой след, однозначно, больше, чем я бы хотел. Я совершал ошибки. Все совершали ошибки.
Главное, - осознавать это. Понимать компромиссы. Знать, ради чего и чем ты рискуешь; и решать, стоит ли это того.
Иногда удобство использования своего настоящего имени или синхронизации всех данных между устройствами оправдывает потерю конфиденциальности. Иногда публичное обсуждение важной для тебя темы стоит того, чтобы быть доступным для поиска.
Но это должен быть твой выбор (!), а не случайность и не выбор других людей.
Цель не в том, чтобы исчезнуть.
Цель — контролировать свою историю, минимизировать воздействие угроз, которые для тебя важны, и избегать оставления следов, по которым человек с дурными намерениями может пойти, чтобы причинить тебе (!) вред.
В эпоху, когда информация используется как оружие, неприкосновенность частной жизни — это самозащита.
Не нужно быть параноиком. Нужно просто быть информированным и действовать целенаправленно.
твой цифровой след — это твоя ответственность. Начни формировать его осознанно, а не позволяй ему формироваться автоматически.
В этом и разница между отслеживанием и контролем.
Исследуя других, не становись сам объектом исследования.