Перейти к содержанию

Как автопроизводители продают страховщикам данные о вождении | Блог Касперского


Рекомендуемые сообщения

В первой части фильма «Пятый элемент» есть фоновый эпизод, призванный продемонстрировать антиутопичность мира будущего: умное такси Корбина Далласа штрафует его за нарушение правил и аннулирует лицензию. Тогда это казалось фантастической выдумкой, а в наши дни постепенно становится реальностью. Но обо всем по порядку.

Не так давно мы рассказывали о том, насколько опасны современные автомобили с точки зрения количества данных, собираемых ими о своих владельцах. А недавно появилось расследование, которое иллюстрирует, во что эта потенциальная опасность может вылиться для водителей на практике.

Выяснилось, что автопроизводители через специализированных дата-брокеров уже вовсю продают данные телеметрии страховым компаниям, которые на основании этих данных увеличивают стоимость страховки за недостаточно аккуратное вождение. Ну а самая серьезная неприятность в том, что владельцев автомобилей не очень-то об этом предупреждают. Рассказываем обо всем этом подробнее.

Геймификация аккуратного вождения с далеко идущими последствиями

Все началось с того, что американские владельцы автомобилей, произведенных компанией General Motors (ей принадлежат бренды Chevrolet, Cadillac, GMC и Buick), стали замечать, что цены на страховку авто для них значительно выросли по сравнению с предыдущим периодом страхования. Как оказалось, причиной такого роста стали досье, составленные на водителей компанией LexisNexis. Это брокер данных, работающий с автостраховщиками и обычно поставлявший им информацию об авариях и штрафах водителей. Однако у заметивших подорожание страховки водителей не было истории аварий или значительных нарушений!

Выяснилось, что в досье, составленных LexisNexis, содержалась подробная информация обо всех поездках, совершенных на страхуемом автомобиле, включая время старта и финиша, продолжительность, дистанцию и — самое главное — все случаи резкого набора скорости и торможения. Собственно, эти данные и стали основанием для страховщиков повысить страховые премии — за недостаточно аккуратное вождение. Где же дата-брокер взял настолько подробную информацию?

Оказалось, эти данные были собраны с помощью OnStar Smart Driver. Так называется функция геймификации безопасного вождения, встроенная в автомобили General Motors и мобильные приложения принадлежащих ей брендов: myChevrolet, myCadillac, myGMC и myBuick. Эта функция ведет учет резких ускорений и торможений, превышений скорости и прочих опасных событий и дает виртуальные награды за аккуратное вождение.

OnStar Smart Driver — часть приложений General Motors

Функция геймификации безопасного вождения OnStar Smart Driver встроена в мобильные приложения General Motors — myChevrolet, myCadillac, myGMC и myBuick. Источник

Причем, судя по рассказам владельцев автомобилей, далеко не все из них включали эту функцию самостоятельно — в ряде случаев ее включал для них автодилер. Отдельно стоит отметить, что приложения не предупреждали пользователей в явном виде о том, что собранные OnStar Smart Driver данные могут быть переданы дата-брокеру, работающему со страховыми компаниями.

Не увенчались успехом и попытки найти четкие предупреждения о данном факте как в тексте условий использования мобильных приложений General Motors, так и в положении о конфиденциальности, опубликованном на сайте OnStar. В нем содержится уведомление о возможности передачи собранных данных третьей стороне, но страховщики в явном виде в списке не указаны, и вообще он сформулирован максимально расплывчато.

 

Посмотреть статью полностью

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      «Лаборатория Касперского» сегодня — это в первую очередь люди. Люди, которые создают наши продукты и решения, продвигают их и пользуются ими. Вы делите с нами радость новых побед, помогаете добираться до невероятных вершин и мотивируете нас каждый день становиться лучше. Мы ценим и принимаем эту поддержку!
      Для вас мы развиваем Kaspersky Club — пространство для безопасного общения с единомышленниками, нашими коллегами и всеми, кто для себя решил, что «Лаборатория Касперского» — это по любви.
      Фан-клуб — это… Люди
      Kaspersky Club появился в 2006 году как ветвь развития официального форума «Лаборатории Касперского» — места, где можно получить ответ почти на любой вопрос, связанный с работой антивируса. А где деловое общение, там и неформальное — «пофлудить на оффоруме», как тогда говорили, собирались многие: кому-то хотелось ближе познакомиться с сотрудниками компании, другие мечтали задать любой вопрос Евгению Касперскому или просто искали себе друзей в Интернете. Так родился фан-клуб, который положил начало длинной истории.
      Члены фан-клуба на встрече с Евгением Касперским в январе 2007 года.
      Эра популярности форумов давно позади, но Kaspersky Club до сих пор не только существует, но и процветает: мы сохранили аутентичный форум (там можно найти даже самое первое сообщение), сделали канал в Telegram и сервер в Discord, а также регулярно проводим интересные мероприятия (об этом еще расскажем). Это все возможно лишь благодаря тому, что спустя 18 лет многие из основателей фан-клуба по-прежнему с «Лабораторией Касперского». За это время люди повзрослели, обзавелись семьями, но до сих пор заходят почитать новые темы и оставить пару сообщений на форуме. Ну разве это не любовь?
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Группа исследователей опубликовала информацию об атаке Unsaflok, которая использует ряд уязвимостей в гостиничных замках dormakaba Saflok. Рассказываем о том, как работает эта атака, чем она опасна, а также как постояльцы и хозяева гостиниц могут от нее защититься.
      Как работает атака Unsaflok
      Самое главное, что нужно знать об атаке Unsaflok: она позволяет подделывать универсальные ключи для электронных замков Saflok, которые широко используются в гостиницах по всему миру. Все, что для этого нужно атакующему, это любой RFID-ключ конкретного отеля, в котором эти замки установлены. Раздобыть его будет несложно: подойдет, к примеру, ключ-карта от собственного номера атакующего. Добытой из этой карты информации достаточно для того, чтобы изготовить универсальный ключ, открывающий все двери в данном отеле.
      Никакого особенно экзотического оборудования для этого также не требуется. Для чтения легитимных ключей и создания подделок можно использовать ноутбук с подключенным к нему устройством чтения и записи RFID-карт. Но можно использовать и обычный Android-смартфон с NFC.
      Для создания поддельных универсальных ключей можно использовать ноутбук с устройством чтения и записи бесконтактных смарт-карт. Но подойдет и обычный Android-смартфон с NFC. Источник
      Также для атаки Unsaflok могут использоваться различные хакерские инструменты, которые умеют работать с RFID, — вроде популярного Flipper Zero или несколько более экзотического Proxmark3.
      На самом деле возможность атаки на замки Saflok исследователи обнаружили еще в 2022 году. Однако в рамках ответственного раскрытия информации об уязвимости они дали компании-производителю значительное количество времени на то, чтобы разработать меры защиты и начать обновлять замки. Полные детали механизма атаки, равно как и proof-of-concept, пока не опубликованы из соображений безопасности отелей и их постояльцев. Исследователи обещают более подробно рассказать об Unsaflok в будущем.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      «Клавиатуры смартфонов Honor, OPPO, Samsung, Vivo и Xiaomi позволяют подсматривать по Сети за нажатием каждой клавиши». Примерно такие тревожные заголовки обошли СМИ за последние недели. Их первоисточником стало довольно серьезное исследование об уязвимостях в шифровании трафика клавиатур. Злоумышленники, способные наблюдать за сетевым трафиком, например через зараженный домашний роутер, действительно могут перехватывать нажатие каждой клавиши и узнать все пароли и секреты. Но не торопитесь менять свой Android на iPhone — речь только про ввод на китайском языке при помощи системы пиньинь и при условии, что активирована функция «облачных предсказаний». Тем не менее стоит разобраться в том, какова ситуация с другими языками и клавиатурами других производителей.
      Почему многие клавиатуры пиньинь уязвимы к прослушиванию
      Система записи пиньинь (pinyin), также называемая китайским фонетическим алфавитом, позволяет передавать слова китайского языка с помощью латиницы и диакритических символов. Это официальная система романизации китайского, принятая в том числе в ООН. Для смартфонов, на которых рисовать иероглифы не слишком удобно, пиньинь является очень популярным способом ввода, которым, по некоторым оценкам, пользуется более миллиарда человек. В отличие от многих других языков, система предсказания слов для китайского, да еще в записи пиньинь с трудом реализуема прямо на смартфоне — это вычислительно сложная задача. Поэтому практически все клавиатуры (или, более точно, методы ввода — IME) применяют облачные предсказания, то есть отправляют введенные пользователем символы пиньинь на сервер прямо в момент нажатия и получают рекомендации по завершению слова. Иногда облачную функцию можно отключить, но скорость и качество ввода на китайском от этого снижаются.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Как мы уже писали в данном блоге, работа SIEM-системы теряет смысл без постоянной эволюции детектирующей логики. Ландшафт угроз непрерывно изменяется, а это значит, что для эффективного анализа данных приходится регулярно добавлять новые правила. Разумеется, львиная доля правил корреляции неизбежно дорабатывается на стороне внутренней ИБ-команды, однако для облегчения этого процесса важно иметь актуальные правила, поставляемые из коробки. Еще один важный момент: SIEM-система должна уметь адаптироваться к эволюции информационной инфраструктуры компании; быть готовой к работе с новыми источниками событий, каждому из которых зачастую требуется новый нормализатор (механизм приведения данных от произвольных источников к единому формату). Мы постоянно ведем работу по этим направлениям и добавляем в Kaspersky Unified Monitoring and Analysis Platform (KUMA) новые нормализаторы и правила корреляции. В этом посте рассказываем о том, что было добавлено в версии 3.0.3.
      Новые и доработанные нормализаторы
      С момента релиза KUMA 2.1 до релиза KUMA 3.0.3 мы выпустили 99 пакетов обновлений с новыми или улучшенными нормализаторами. Среди них 63 обновлений, обеспечивающих поддержку новых источников событий, и 38 — улучшающих текущие нормализаторы. В них была добавлена поддержка дополнительных типов событий, а также реализованы различные доработки и исправления.
       
      Посмотреть статью полностью.
    • KL FC Bot
      От KL FC Bot
      Социальные сети завалены рекламой: блогеры и эксперты продают свои авторские курсы и предлагают уникальные методики заработка. В этой массе легко могут затеряться мошенники — им важно быстренько завлечь людей в свой скам-проект и свернуть рекламную кампанию как ни в чем не бывало.
      Видео одной из таких кампаний попалось и мне: в начале молодой парень рассказывает, как он регулярно жертвует приюту для животных по несколько миллионов рублей, а в конце говорит, откуда у него столько денег на благотворительность: «Я генерирую прибыль через проект на блокчейне, там есть крутое приложение, все выплаты в криптовалюте, переходите в бот в Telegram, там все расскажу». Криптовалюта? Проект на блокчейне? Подробности в боте? Kaspersky Premium подсказывает, что это похоже на рекламу очередного скам-проекта, давайте разберемся, в чем тут дело.
      «Двигайся, чтобы зарабатывать!»
      Мошенническая схема паразитирует на концепции Move-To-Earn (M2E) — это способ получать крипту за активный образ жизни. Обобщенно концепцию можно описать так: купи NFT-кроссовки, пройди 10 километров в реальной жизни — получи 10 условных криптомонет и продай их за реальные деньги. M2E-проекты основаны на базе блокчейнов, а потому в легальности такой схемы сомневаться не приходится.
      В головах мошенников идея M2E-приложений трансформировалась: бесплатно получи NFT-кроссовки, бесплатно найми раннера («человека», который будет за тебя ходить и бегать — генерировать заработок), а после — купи гемы или рубины за рубли, чтобы вывести свои заработанные деньги. Каким образом генерируются деньги (вывести можно только рубли, не криптомонеты), если все можно получить бесплатно, — остается за кадром.
       
      Посмотреть статью полностью
×
×
  • Создать...