Перейти к содержанию

Как автопроизводители продают страховщикам данные о вождении | Блог Касперского


Рекомендуемые сообщения

В первой части фильма «Пятый элемент» есть фоновый эпизод, призванный продемонстрировать антиутопичность мира будущего: умное такси Корбина Далласа штрафует его за нарушение правил и аннулирует лицензию. Тогда это казалось фантастической выдумкой, а в наши дни постепенно становится реальностью. Но обо всем по порядку.

Не так давно мы рассказывали о том, насколько опасны современные автомобили с точки зрения количества данных, собираемых ими о своих владельцах. А недавно появилось расследование, которое иллюстрирует, во что эта потенциальная опасность может вылиться для водителей на практике.

Выяснилось, что автопроизводители через специализированных дата-брокеров уже вовсю продают данные телеметрии страховым компаниям, которые на основании этих данных увеличивают стоимость страховки за недостаточно аккуратное вождение. Ну а самая серьезная неприятность в том, что владельцев автомобилей не очень-то об этом предупреждают. Рассказываем обо всем этом подробнее.

Геймификация аккуратного вождения с далеко идущими последствиями

Все началось с того, что американские владельцы автомобилей, произведенных компанией General Motors (ей принадлежат бренды Chevrolet, Cadillac, GMC и Buick), стали замечать, что цены на страховку авто для них значительно выросли по сравнению с предыдущим периодом страхования. Как оказалось, причиной такого роста стали досье, составленные на водителей компанией LexisNexis. Это брокер данных, работающий с автостраховщиками и обычно поставлявший им информацию об авариях и штрафах водителей. Однако у заметивших подорожание страховки водителей не было истории аварий или значительных нарушений!

Выяснилось, что в досье, составленных LexisNexis, содержалась подробная информация обо всех поездках, совершенных на страхуемом автомобиле, включая время старта и финиша, продолжительность, дистанцию и — самое главное — все случаи резкого набора скорости и торможения. Собственно, эти данные и стали основанием для страховщиков повысить страховые премии — за недостаточно аккуратное вождение. Где же дата-брокер взял настолько подробную информацию?

Оказалось, эти данные были собраны с помощью OnStar Smart Driver. Так называется функция геймификации безопасного вождения, встроенная в автомобили General Motors и мобильные приложения принадлежащих ей брендов: myChevrolet, myCadillac, myGMC и myBuick. Эта функция ведет учет резких ускорений и торможений, превышений скорости и прочих опасных событий и дает виртуальные награды за аккуратное вождение.

OnStar Smart Driver — часть приложений General Motors

Функция геймификации безопасного вождения OnStar Smart Driver встроена в мобильные приложения General Motors — myChevrolet, myCadillac, myGMC и myBuick. Источник

Причем, судя по рассказам владельцев автомобилей, далеко не все из них включали эту функцию самостоятельно — в ряде случаев ее включал для них автодилер. Отдельно стоит отметить, что приложения не предупреждали пользователей в явном виде о том, что собранные OnStar Smart Driver данные могут быть переданы дата-брокеру, работающему со страховыми компаниями.

Не увенчались успехом и попытки найти четкие предупреждения о данном факте как в тексте условий использования мобильных приложений General Motors, так и в положении о конфиденциальности, опубликованном на сайте OnStar. В нем содержится уведомление о возможности передачи собранных данных третьей стороне, но страховщики в явном виде в списке не указаны, и вообще он сформулирован максимально расплывчато.

 

Посмотреть статью полностью

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      В ноябрьском вторничном обновлении Microsoft исправила 89 уязвимостей в своих продуктах, причем две из них активно эксплуатируются. Особый интерес вызывает одна из них, CVE-2024-43451, позволяющая атакующим получить доступ к NTLMv2-хешу жертвы. Казалось бы, она имеет не особенно пугающий рейтинг по шкале CVSS 3.1 — 6,5 / 6,0. Однако при этом ее эксплуатация требует минимального взаимодействия от пользователя, а существует она благодаря движку MSHTML, наследию Internet Explorer, который теоретически отключен, деактивирован и больше не используется. Но при этом уязвимости подвержены все актуальные версии Windows.
      Чем опасна уязвимость CVE-2024-43451
      CVE-2024-43451 позволяет злоумышленнику создать файл, который, попав на компьютер жертвы, позволит атакующему украсть NTLMv2-хеш. NTLMv2 — это протокол сетевой аутентификации, который используется в средах Microsoft Windows. Получив доступ к NTLMv2-хешу, злоумышленник может провернуть атаку типа pass-the-hash и попытаться аутентифицироваться в сети, выдав себя за легитимного пользователя, но не имея при этом его реальных учетных данных.
      Разумеется, для этого недостаточно одной CVE-2024-43451 — для полноценной атаки ему придется воспользоваться дополнительными уязвимостями, но чужой NTLMv2-хеш изрядно облегчит жизнь атакующего. На данный момент дополнительных сведений об атаках, в которых CVE-2024-43451 применяется на практике, у нас нет, но в описании уязвимости четко говорится, что уязвимость публична, эксплуатируема и попытки эксплуатации выявлены.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Вопреки распространенному мнению о том, что из Сети ничего невозможно удалить, Интернет помнит далеко не всё. В предыдущем посте из этой серии мы рассмотрели аж девять сценариев, в которых вы можете потерять доступ к данным, хранящимся онлайн, и привели подробные инструкции, какую информацию из онлайн-сервисов нужно обязательно (и желательно — быстро) бэкапить на свой компьютер и как это сделать. Сегодня расскажем о том, как удобнее всего сохранять веб-страницы на локальный компьютер, организовывать эти архивы и что делать, если ваш любимый сайт канул в Лету.
      Предположим, вы хотите сохранить статью с рецептом, сформировать библиографический список статей для своей научной работы или даже зафиксировать ту или иную публикацию в Интернете для суда. Все перечисленное публикуется в виде веб-страниц, и страницы эти ненадежны. Захотелось вспомнить музыкальные новости из 2005 года? Будет нелегко — сайт MTV News закрылся вместе со всеми своими статьями. Проверяете ссылки на источники в статьях Википедии? 11% из них уже ведут в никуда, хотя и были рабочими в момент написания статьи в Википедии. В целом «гниение ссылок» — постепенное удаление или переезд онлайн-контента — идет с высокой скоростью. 38% страниц, которые существовали десять лет назад, сегодня уже недоступны. Поэтому, если какую-то веб-страницу и ее содержимое вы считаете важным, есть смысл создать ее резервную копию.
      Как сохранить веб-страницу на компьютер
      Поскольку веб-страница состоит из десятков и сотен файлов, то для ее сохранения придется немного потрудиться. Основные способы сделать это:
      Сохранить только текст в файле HTML. Нажать в браузере «Сохранить веб-страницы» и выбрать вариант «Только HTML». Сохранится лишь текст веб-страницы, без какой-либо графики и красот.
      Сохранить текст и изображения. Соседняя опция «Сохранить веб-страницу целиком» (Web Page, Complete) создаст кроме файла HTML еще и папку с таким же именем, а в ней сохранит все графические элементы, стили и сценарии со страницы. Этот вариант неудобен тем, что на диске образуется много мусора из вспомогательных файлов страницы. Более удобна опция «Сохранить одним файлом» (Webpage, Single File), которая соберет веб-страницу и все ее ресурсы в файл с расширением .mhtml. Он свободно открывается в Chrome и Edge, но в других браузерах с ним могут возникнуть сложности. Эта опция есть не во всех браузерах, но если установить расширение SingleFile (доступно для большинства браузеров), то можно сохранить всю веб-страницу и ее медиаконтент в единый файл HTML, который прекрасно открывается во всех современных браузерах.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Серьезные ИБ-инциденты порой затрагивают многих участников, зачастую и тех, кто повседневно не занимается вопросами ИТ и ИБ. Понятно, что в первую очередь усилия сосредоточиваются на выявлении, сдерживании и восстановлении, но, когда пыль немного осядет, наступает время для еще одного важного этапа реагирования — извлечения уроков. Чему можно научиться по итогам инцидента? Как улучшить шансы на успешное отражение подобных атак в будущем? На эти вопросы очень полезно ответить, даже если инцидент не принес существенного ущерба из-за эффективного реагирования или просто удачного стечения обстоятельств.
      Немного о людях
      Разбор инцидента важен для всей организации, поэтому к нему обязательно привлекать не только команды ИТ и ИБ, но также высшее руководство, бизнес-владельцев ИТ-систем, а также подрядчиков, если они были затронуты инцидентом или привлекались к реагированию. На встречах этой рабочей группы нужно создать продуктивную атмосферу: важно донести, что это не поиск виноватых (хотя ошибки будут обсуждаться), поэтому перекладывание ответственности и манипулирование информацией исказят картину, повредят анализу и ухудшат позицию организации в долгосрочной перспективе.
      Еще один важный момент: многие компании скрывают детали инцидента в страхе за репутацию или опасаясь повторной кибератаки по тому же сценарию. И хотя это вполне объяснимо и некоторые подробности действительно конфиденциальны, нужно стремиться к максимальной прозрачности в реагировании и делиться подробностями атаки и реагирования если не с широкой публикой, то как минимум с узким кругом коллег из сферы ИБ, которые могут предотвратить похожие атаки на свои организации.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Игра Battle City, более известная как танчики, — символ давно ушедшей эпохи. Около 30 лет назад геймеры вставляли картридж в приставку, садились за пузатые телевизоры и пачками уничтожали вражеские танки до тех пор, пока кто-нибудь им не скажет про «кинескоп, который вот-вот должен сесть».
      Сегодня мир совсем другой, а танчики по-прежнему популярны. Дело в том, что современные аналоги предлагают геймерам не только поиграть, но и заработать NFT-токены. Злоумышленники тоже кое-что предлагают: сложную атаку для любителей криптовалютных игр.
      Бэкдор и эксплойт уязвимости нулевого дня в Google Chrome
      Эта история началась в феврале 2024 года, когда наше защитное решение обнаружило проникновение бэкдора Manuscrypt на компьютер пользователя из России. Такой бэкдор нам давно известен, его различные версии используют члены группировки APT Lazarus как минимум с 2013 года. Но что особенного в этой истории, если мы прекрасно знаем основной инструмент и методы работы злоумышленников?
      Дело в том, что эти хакеры обычно нацелены на крупные организации: банки, IT-компании, университеты и даже правительственные организации. Теперь руки Lazarus дотянулись до физических лиц — бэкдор на компьютере частного пользователя! Киберпреступники заманили жертву на сайт игры и получили полный доступ к ее компьютеру. Злоумышленникам удалось это сделать благодаря трем составляющим:
      невероятному желанию жертвы сыграть в любимые танчики в новой оболочке; уязвимости нулевого дня в Google Chrome; наличию эксплойта, позволявшего удаленно выполнить код в процессе Google Chrome. Для тех, кто переживает: компания Google выпустила обновление браузера, заблокировала сайт танчиков и поблагодарила исследователей безопасности «Лаборатории Касперского». Но на всякий случай: наши продукты детектируют и бэкдор Manuscrypt, и эксплойт. Подробности этой истории мы раскрыли в блоге Securelist.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Желание оставаться анонимным в Интернете существует столько же лет, сколько и сам Интернет. Раньше пользователи считали, что, скрываясь за никнеймом, можно писать гадости про соседа на местных форумах — и никто не узнает об этом. Сейчас таких троллей можно вычислить на раз-два. С тех пор технологии совершили квантовый скачок: появились распределенные сети, анонимные браузеры и прочие инструменты для личной конфиденциальности. Один из них, Tor Browser*, особенно активно продвигал десять лет назад бывший агент АНБ Эдвард Сноуден.
      А может ли сегодня Tor обеспечить полную анонимность — или можно уже не заморачиваться и переходить на классический браузер вроде Google Chrome?
      Как деанонимизируют пользователей Tor
      Если вы впервые слышите про Tor и не представляете, как он работает, ознакомьтесь с нашим винтажным материалом. Там мы ответили на самые популярные вопросы: как в браузере обеспечивается анонимность, кому она нужна и чем обычно занимаются в теневом Интернете. Если коротко, то анонимизация трафика пользователей Tor обеспечивается за счет распределенной сети серверов, которые называют узлами. Весь сетевой трафик многократно шифруется, проходя через несколько сетевых узлов на пути между двумя коммуницирующими компьютерами. Ни один сетевой узел не знает одновременно и адрес отправки пакета данных, и адрес получателя, к тому же узлам недоступно содержимое пакета. Теперь, когда короткий экскурс закончен, мы сосредоточимся на реальной угрозе безопасности адептов анонимного Интернета.
      В сентябре немецкие спецслужбы установили личность одного из пользователей Tor. Как им это удалось? Главным ключом в деанонимизации стали данные, полученные в результате так называемого временнóго анализа.
       
      View the full article
×
×
  • Создать...