О каких рисках чат-ботов не принято говорить?
Из этой статьи вы узнаете: те ли чат-боты, за кого себя выдают, как обезопасить себя при общении с ними и как мы спасали пользователей конструкторов чат-ботов.
Как мы спасали пользователей конструкторов чат-ботов
На дворе только начиналась СВО и мир увидел проявления информационных войн. К нам в агенство BotCreators.ru стали поступать нетипичные запросы по тематике чат-ботов. Требовалось не разработать продукт, а удалить сообщения, которые отправляли чат-боты без ведома клиента из разных мессенджеров. А то и вовсе удалить чат-бота, лишь бы он не спамил.
Конечно, и до этого в сети мелькали новости, что взломали чат-бот какой-то компании, но эти новости были редки. Да и взломом это можно назвать с натяжкой. Механика сводилась к захвату аккаунта, на который был заведен токен чат-бота.
Но ситуация в марте 2022 года резко отличалась:
- массовостью инцидентов (только к нам обратилось более 30 владельцев чат-ботов);
- никто аккаунты владельцев чат-ботов не ломал.
Стали собирать воедино все факты и вот что оказалось.
Создатели нескольких зарубежных конструкторов чат-ботов решили без ведома клиентов сделать рассылку по их базе. Только вдумайтесь. Вы доверили сервису свою базу, а он берет и рассылает по ней что хочет (рассылка содержала артефакты информационной войны).
Технически метода для удаления любого сообщения, отправленного чат-ботом в Телеграмме нет. Нужно знать ID-сообщения, а чтобы его получить нужно запросить историю сообщений. А метода по запросу истории сообщений чат-бота тоже нет. Получается какая-то ловушка.
Пораскинув мозгами и включив смекалку все-таки нашли выход из ситуации и написали несложный скрипт, который удалил все сообщения (помог незадокументированный функционал Телеграмм в части MTProto).
Владельцы чат-ботов остались довольны. Деньги мы за такую услугу не стали брать. Чему может научить эта история?
- Проверять бенифициаров сервисов, которыми пользуетесь и которым доверяете свои данные.
- Оценивать репутационные риски, если сервис окажется не тем, за кого себя выдает.
- Если система критически важная для бизнеса, рассмотреть переход на on-promise решения (хотя и это не панацея). Open Source сообщество дала поводы к разочарованию. Но это совсем другая история.
Какие данные собирают чат-боты?
Про каждую платформу говорить в отдельности не буду — слишком длинный пост получился бы. Обобщенный набор собираемых данных такой:
- ID аккаунта в соц.сети /мессенджере;
- имя, фамилия, никнейм;
- аватарка пользователя;
- номер телефона (по явному запросу);
- гео (по явному запросу).
Сами собранные данные единожды не имеют практического смысла. Как учит теория OSINT ценность представляют обобщение и пересечение данных. В одном боте вы оставили телефон, в другом приложении адрес доставки, а на третьем сайте почту. И вот уже подготовленному дата-хантеру с набором слитых баз не представляет труда собрать ваш цифровой портрет.
И что теперь обходить чат-ботов стороной?
За последние пару месяцев наблюдаем бурный рост юзер-ботов. Это телеграмм аккаунты, которые пишут первые с предложением записаться на тот или иной вебинар. Базы по которым формируются такие рассылки получаются двумя способами:
- парсингом списка участников каналов / групп;
- сбором Telegram_ID из так называемой паутины ботов с бесплатным контентом (фильмы / книги / курсы).
Что же теперь, не запускать ботов и обходить их стороной? Конечно, нет. Просто нужно ясно понимать для каких целей, например, чат-боту нужен ваш номер телефона или почта. И не забывать:
Если вы не заплатили за продукт, скорее всего товаром оказались ваши данные
Несколько рекомендаций при работе с чат-ботами:
- не надо незнакомых ботов добавлять в группы (например для просчета статистики / матерных слов / админства)
- не запускать ботов, которые предлагают бесплатно выполнить функцию поиска фильма / книги (или осознавать риски, что ваш ID будет использован при спам-рассылках)
- создать отдельный аккаунт в мессенджере (благо Телеграм поддерживает мульти-аккаунты) для исследования незнакомых ботов и тогда хаос не выйдет дальше этого аккаунта.
Любая новая технология несет в себе и преимущества и риски. Зрите в корень.
#чат-боты
Интересный выбор фото с жозе моуринью на заставке к статье 😂
Где он сейчас кстати? Ещё тренирует?
Ха, есть такое
мне сейчас абсолютно все собирают данные о тебе в интернете
Вы - король хакеров?
Использование конструкторов ботов это всегда большой риск, не важно где находится компания, трудно проверить ее благонадежность. Вот в 2016- м Chatfuel хороший конструктор вроде был, и сервис Storebot они предлагали, там боты в топе по 200 юзеров в сутки минимум собирали и где они сейчас... переобулись.
Многие конструкторы закрываются, лучше заказывать у студий разработки, размещать на своем хостинге, тогда риски минимальны.
Эта «проблема» справедлива как для конструкторов, так и для заказанных решений через студию. На все 100 можно быть уверенным только в собственноручно написанном боте.