Приложение Getcontact светит вашими персональными данными, даже если вы им никогда не пользовались / Habr

Getcontact — мобильное приложение, позиционирующее себя как менеджер звонков и блокировщик спама. Появилось в конце 2017-го и стремительно взлетело на первые места магазинов приложений: сейчас загрузок в Google Play больше 100 миллионов, а сами создатели сервиса оценивают свою аудиторию в 400+ миллионов пользователей.

Начали за здравие…

Приложение декларирует, казалось бы, благие намерения: предотвращение нежелательных звонков от спамеров и телефонных мошенников — услуга в современном мире необходимая и востребованная. Однако свою популярность Getcontact приобрёл совсем по другой причине, но об этом чуть позже.

Основной функционал приложения работает так: пользователь, получив нежелательный звонок, например, из «Отдела безопасности банка», может пометить этот номер телефона тегом произвольного содержания, например: «Мошенники». Теперь, если другим пользователям приложения позвонят с того же номера, они увидят этот тег и смогут проигнорировать звонок.

…закончили как обычно

Однако проблема Getcontact в том, что, если вы разрешили ему доступ к вашей телефонной книге (что делает подавляющее большинство пользователей), то ваши контакты (номера телефонов и то, как они у вас записаны) уходят ~~в зрительный зал~~ на серверы приложения и тоже становятся тегами. Таким образом изначально обезличенная сущность номера телефона обрастает дополнительной информацией из телефонных книг пользователей.

Запрашиваемые приложением Getcontact данные

Касательно видимости этих данных предусматриваются два варианта:

Если вы зарегистрированы в Getcontact, то по умолчанию все другие пользователи приложения видят все ваши теги, то есть каким образом вы записаны у других людей

Пример тегов пользователя

Если вы не зарегистрированы в приложении, то пользователям будет виден только один тег. Предполагаю, что выбирается он по количеству совпадений, так как чаще всего это имя и фамилия. Именно эта информация и будет отображаться при вашем звонке пользователям Getcontact, даже если вы у них в телефонной книге не записаны

Информация о незарегистрированном в приложении пользователе

Какие личные данные могут отсвечивать

В зависимости от размера и качества вашего социального круга теги могут нести в мир следующую информацию (примеры не выдуманы):

ФИО и производные от этих данных
места́ работы, должности, например: Геннадий Сергеевич ДПС
места́ жительства: Старший по дому Хворостухина, Сосед 12 кв.
родственные и деловые взаимосвязи между людьми: Дочь Карины
прочие проявления фантазии абонентов: Душнила футбол, Лена ночной клуб

То есть в самом оптимистичном случае — в мире, где базы данных не утекают и не сливаются, — даже если вы никогда не слышали про Getcontact, то ваши имя и фамилия скорее всего всё равно светятся всем пользователям этого приложения. Кто угодно может по номеру телефона получить эту информацию. Это ваши персональные данные, но права на их публикацию у вас никто не спрашивает.

И конечно же наивно будет предполагать, что собранная на серверах Getcontact информация не используются кем надо и кем не надо в различных целях, как минимум рекламных, но в нашем мире это настолько обыденное дело, что мы сейчас не об этом.

Автор, ну ты проснулся, как там в 2018-м?

В плане информационной безопасности меня сложно назвать человеком безграмотным: больше половины жизни я провёл в интернете, а десяток лет даже посвятил непосредственно веб-разработке. Паранойей не обременён, но светить своими персональными данными где попало не буду. И даже с таким бэкграундом я был неприятно удивлён описываемой проблемой лишь несколько дней назад, и то по большой случайности.

Может быть я и слышал раньше что-то про Getcontact на волнах его хайпа, но пропустил мимо ушей, навесив на эту информацию ярлык «Опять зумерам нечем заняться» и оставался спокоен, руководствуясь принципом «Мне подобные игры типа “Узнай как ты записан в телефоне твоих друзей” не интересны», значит я могу об этом даже не думать.

Но проблема в том, что ваши данные всё равно лезут наружу независимо от вашей осведомлённости. То есть на протяжении пяти лет по моему номеру телефона мои имя и фамилия пробивались на раз абсолютно любым человеком без моего ведома. Неприятно.

И я был бы рад, например, пару лет назад встретить где-нибудь в рассылке Хабра заметку, освещающую эту тему. Поиск по сайту релевантной информации не выдал, поэтому я решил восполнить пробел самостоятельно.

Хватит это терпеть!

Чтобы предотвратить это безобразие, придётся ~~сначала подружиться с Getcontact:~~

❗→ Как подсказали в комментарии, есть способ попасть в раздел Visibility settings (пятый шаг инструкции) без установки приложения. Оставляю оригинальную инструкцию для исторической целостности статьи:

Устанавливаем приложение, регистрируемся, авторизуемся по нужному номеру телефона, но не выдаём никаких доступов: ни к логам звонков, ни к сообщениям, ни тем более к своим контактам — функционал Getcontact будет доступен и так
В разделе Other → Show Profile на этом этапе есть возможность посмотреть свои теги, а также поискать теги других людей — после выполнения этой инструкции сервис станет для нас недоступным. У приложения, кстати, есть ограничение на шесть бесплатных поисков номеров в месяц; больше — за деньги (от 590 ₽ в месяц)
Заходим на официальный сайт приложения, находим в подвале в разделе Help пункт Manage Your Privacy Profile

Помоги себе сам

Авторизуемся на сайте удобным вам способом
В разделе Visibility settings отключаем Search visibility. Развлечения ради можете почитать почему вы не должны делать это

Убедительная Работа с возражениями

Подтверждаем серьёзность своих намерений и узнаём, что вступление изменений в силу может занять до трёх часов времени и, что если потом вы решите снова воспользоваться сервисом, то ваши теги опять станут видимыми для всех

Yes, I’m fucking serious

После подтверждения вас автоматически разлогинит как на сайте, так и в приложении, которое можно смело удалять
Теперь при вашем звонке пользователи Getcontact увидят только цифры вашего номера телефона (если вы у него никак не записаны конечно же), а при попытке поиска вашего номера в приложении появится такое сообщение:

Правильная информация

Горит очаг

Лично я считаю ненормальной ситуацию, когда мои персональные данные (имя и фамилия как минимум) свободно торчат наружу кому угодно. Вы, конечно, можете возразить, что все наши данные уже давно слиты в сеть случайно или намеренно; но эти сливы — дела́ противозаконные и находятся вне моей зоны ответственности. По-хорошему в идеальном мире этого быть не должно.

А тут выходит, что подобные приложения юридически ничего не нарушают, а происходящее считается нормальным, по крайней мере в РФ (в некоторых странах приложение под запретом). Ведь получается, что сливаете свои данные не вы сами под лозунгом «Сам себе злой Буратино», а другие люди, которые записали вас себе в телефон, бездумно понаставили в него сомнительных приложений и раздали им все запрашиваемые права. Невозможно поручиться за благонадёжность всех своих абонентов — им может даже и не приходить в голову, что они таким образом сливают чью-то личную информацию.

И самое раздражающее — недостаточно просто пройти мимо этих глупостей, чтобы не ощутить на себе их влияние. Приходится в них разбираться, регистрироваться и настраивать сервисы, пользоваться которыми в ином случае я даже и не подумал бы.

Берегите свои персональные данные (и чужие тоже). И если вы знаете другие подобные приложения с душком, не сочтите за труд поделиться информацией о них в комментариях.

UPD

Пользователь @Vadiara50 в комментариях поделился способом избавить себя от внимания со стороны аналогичного Getcontact сервиса Truecaller

Пользователь @inscriptios в комментариях подсказал более прямой путь к отключению видимости своего номера телефона в Getcontact без установки приложения