Я регулярно рассказываю знакомым (особенно детям знакомых), что бездумно давать разрешения приложениям — даже скачанным из официального магазина — это верх беззаботности. На резонный возглас, мол, да кому нужны мои данные, я обычно размахиваю руками и привожу примеры про утечки, слитые базы и взломанные аккаунты.
Результат немного предсказуем: вежливое кивание и разрешение вообще всего. Я прекрасно понимаю, что эти мои абстрактные «утечки данных» не пугают. Поэтому решил собрать в одном месте несколько конкретных случаев, когда одно нажатие на «разрешить» выходило боком. Теперь, когда кто‑то спросит: «кому нужны мои контакты» — я просто дам ему ссылку на эту статью.
Предоставьте доступ к контактам
В 2018 году в Африке запустилось мобильное приложение для микрозаймов OKash. Сервис был разработан компанией OPay, которая частично принадлежит Opera Software — да‑да, тому самому разработчику браузера Opera, который к моменту запуска финтех‑приложения четыре года занимал второе место по популярности в Африке. Поэтому владельцы решили не останавливаться на браузере.
Там вообще была интересная экосистема приложений и структура владения: включая китайского миллиардера Яхуэй Чжоу, собравшего в итоге 69% акций Opera Limited и активно вкладывающегося в технологический бизнес. Но сейчас мы про финансы и про Okash.
Итак, для Африки, где проникновение банковских услуг было довольно низким, Opay (наряду с еще несколькими финансовыми сервисами) совершил мини‑революцию — позволил пользователям переводить деньги по номеру телефона, оплачивать счета и получать небольшие займы. И все это без заведения традиционных банковских счетов. Популярность у сервиса была бешеной, в частности, в Нигерии к 2020 г. OPay проводил через себя более половины всех транзакций.
Однако в разработанном ими приложении OKash есть ма‑а-аленький такой нюанс: при установке оно запрашивает доступ к контактам телефона, без одобрения которого кредит просто не выдается. А один из пунктов пользовательского соглашения гласит:
«В случае если мы не сможем связаться с вами или вашим контактным лицом на случай чрезвычайной ситуации, вы также прямо разрешаете нам связаться со всеми лицами из вашего списка контактов».
Если пользователь задерживает платеж, приложение начинает рассылать сообщения с уведомлением о долге всем контактам из телефонной книги, стараясь прежде всего попасть в родственников и коллег. Цель очевидна: публичное давление и стыд должны заставить человека вернуть деньги быстрее. Причем, как показывает практика, это работает: при среднем невозврате по стране в 28%, благодаря тому, что разработчики деликатно называют «социальным давлением», этот показатель был снижен до 12%.
Подход с смс‑спамом и звонками активно критиковался. Так, В Нигерии с 31 мая 2023 года кредитным приложениям, включая OKash, законодательно запрещено получать доступ к контактам пользователей и звонить им. Поэтому в обновленной политике OKash для Нигерии присутствует явная фраза: «Контактная информация, которую вы предоставляете, будет использоваться только для проверки вашей личности и связи с вами в экстренных случаях, и НЕ будет использоваться для целей взыскания/возврата кредита. Информация о вашем кредите не будет передаваться контактам».
А вот в Кении все по‑прежнему: в 2019 году Кения приняла Закон о защите данных (KDPA), действующий и поныне, согласно которому приложения должны получать явное согласие пользователя через стандартные запросы разрешений в Android или iOS. Уведомление, конечно, есть, но оно выглядит как стандартное и без его одобрения никакой кредит не выдается.
Предоставьте доступ к галерее
Если написанное в предыдущем разделе вызвало у вас возмущение, то добро пожаловать в Индию. Здесь приложения по микрозаймам идут дальше и одними из первых массово монетизируют дипфейки.
Начнем главного: на начало 2022 года Резервным Банком Индии было выявлено более 600 нелегальных приложения для микрокредитования, действующих без одобрения финансового регулятора. Интересно, что заметная часть этих приложений имели отношение к Китаю — либо хостились на китайских серверах, либо имели команды разработчиков из Поднебесной. Но мы снова отвлеклись.
Поскольку эти приложения сразу находятся за чертой законности, то и методы они используют соответствующие: помимо доступа к контактам, приложение сканирует галерею телефона под предлогом KYC, а при просрочке высылает контактам заемщика его смонтированные фотографии, угрожая «выложить их на сайты для взрослых». Далее цитата с описанием одного из случаев, связанных с работой таких приложений:
Сандип, продавец в частной компании, совершил попытку расстаться с жизнью через несколько дней после того, как узнал, что его отредактированные фотографии с женщинами в компрометирующих ситуациях (от автора — в статье используется максимально нейтральная формулировка) были разосланы его коллегам, друзьям и родственникам, а также более чем 100 контактам из его списка в мобильном телефоне.
В сообщениях, рассылаемых по контактам тоже никто не церемонился. Фразы типа «Он отправляет свою мать и сестру работать проститутками и живет на заработанные ими деньги» были одними из самых мягких.
Ну и вишенкой является то, что приложение любят показывать большие картинки, утверждающие, что деньги даются на 30–60 дней, а потом выясняется (привет, мелкий шрифт), что первый платеж надо платить уже через 7 дней, причем под более высокие проценты, чем было заявлено. Ну а если не заплатишь — смотри выше.
Банк Индии старается бороться с этим явлением через информирование население. К примеру, он ведет специальный реестр фейковых финансовых приложений и выпускает рекомендации о том, как распознать такой апп. Вот здесь, к примеру, можно посмотреть список нелегальных приложений на начало 2026 г.
Предоставьте доступ к геолокации
В предыдущих разделах речь шла о приложениях, которые балансируют на грани или откровенно нарушают закон. Но иногда ловушка с предоставлением данных выглядит абсолютно легально. Так, Muslim Pro — одно из самых популярных приложений для мусульман с более чем 98 миллионами скачиваний по всему миру. Приложение помогает определить время намаза, показывает направление на Мекку, предоставляет доступ к текстам Корана. Для корректной работы приложению требуется доступ к геолокации, что вполне логично, ибо от этого зависит часть функциональности.
Однако в 2020 году выяснилось, что собранные геоданные миллионов пользователей продавались через встроенного в приложение брокера данных X‑Mode подрядчикам из Министерства обороны США. Более того, согласно расследованию Motherboard, данные о перемещениях пользователей Muslim Pro использовались американскими спецслужбами для разведывательных операций и планирования ударов дронов на Ближнем Востоке.
После публикации расследования Muslim Pro заявил, что прекратил сотрудничество с X‑Mode и удалил их SDK из приложения. Но X‑Mode — далеко не единственный брокер данных на рынке и таких SDK‑библиотек существуют достаточно. С учетом того, что сейчас приложения всё чаще собираются из готовых компонентов и библиотек (привет, вайб‑кодинг!), разработчики сами не всегда понимают, какие данные куда утекают и через чьи руки проходят.
Свяжите ваш аккаунт с банковским приложением, чтобы нам было проще начислять вам зарплату и автоматически оформлять документы в налоговую
Данный раздел будет содержать элемент экстраполяции, но он кажется мне важным. Сначала мы поговорим о кейсе, не имеющем прямого доступа к финансовой статистике претендента, но пытающемся «восстановить» эту информацию с помощью алгоритмов. Так приложения для поиска подработки медсестрам в США (казалось бы, жители этой страны точно защищены) используют то, что исследовательница Вина Дубал определяет как «алгоритмическую дискриминацию по зарплате». Система анализирует данные о работнике и назначает индивидуальную ставку оплаты на основе его финансового положения.
Ключевой параметр тут — рассчитываемый уровень задолженности по кредитам, который определяется алгоритмически, к примеру, по готовности брать частые длинные смены и прекращение этого при достижении определенной суммы в месяц. Приложения также учитывают историю принятых ставок, частоту подачи заявок на смены и другие поведенческие паттерны. В итоге, чем выше у работника желание брать тяжелые смены, тем сильнее система определяем его потребность в деньгах, и тем ниже ставку может ему предложить.
Некоторые приложения, такие как Clipboard Health и ShiftKey идут еще дальше и используют систему торгов: работники конкурируют друг с другом, указывая минимальную почасовую ставку, за которую готовы работать.
При этом, с точки зрения законодательства, вся схема легальна. Классификация медсестер как независимых подрядчиков исключает их из сферы действия трудовых законов и позволяет им конкурировать с друг другом.
Данный кейс особенно интересен тем, что похожая схема с выводом персонала на периферию трудового законодательства используется и российских технологических компаниях, где ставка делается на самозанятости (по сути и так перекладывая все социальные выплаты на плечи работника).
Учитывая то, что часть из таких компаний имеют собственные банки, которые можно использовать для получения выплат, и вуаля — перед нами готовый пакет данных для анализа, позволяющий назначать оплату смены ровно между «я не буду работать за такие копейки» и «очень нужны деньги, поэтому черт с вами».
Отозвать разрешения
Мы все понимаем, что установка приложений из официального магазина не является гарантией безопасности, потому что Google Play и App Store преимущественно проверяют приложения на вирусы и вредоносный код (и то, не сказать чтобы идеально). При этом этичность бизнес‑модели практически не анализируется и часто остается за скобками.
Поскольку законодательство многих стран не успевает за техническим прогрессом и не может предусмотреть все возможные варианты использования персональных данных, возникают серые зоны, в которых формально легальные действия оборачиваются шантажом, слежкой или финансовой дискриминацией. И тут, как всегда, остается уповать только на собственную грамотность и осмотрительность.
Размещайте облачную инфраструктуру и масштабируйте сервисы с надежным облачным провайдером Beget.
Эксклюзивно для читателей Хабра мы даем бонус 10% при первом пополнении.
