О каких рисках чат-ботов не принято говорить?

Из этой статьи вы узнаете: те ли чат-боты, за кого себя выдают, как обезопасить себя при общении с ними и как мы спасали пользователей конструкторов чат-ботов.

На дворе только начиналась СВО и мир увидел проявления информационных войн. К нам в агенство BotCreators.ru стали поступать нетипичные запросы по тематике чат-ботов. Требовалось не разработать продукт, а удалить сообщения, которые отправляли чат-боты без ведома клиента из разных мессенджеров. А то и вовсе удалить чат-бота, лишь бы он не спамил.

Конечно, и до этого в сети мелькали новости, что взломали чат-бот какой-то компании, но эти новости были редки. Да и взломом это можно назвать с натяжкой. Механика сводилась к захвату аккаунта, на который был заведен токен чат-бота.

Но ситуация в марте 2022 года резко отличалась:

• массовостью инцидентов (только к нам обратилось более 30 владельцев чат-ботов);
• никто аккаунты владельцев чат-ботов не ломал.

Стали собирать воедино все факты и вот что оказалось.

Создатели нескольких зарубежных конструкторов чат-ботов решили без ведома клиентов сделать рассылку по их базе. Только вдумайтесь. Вы доверили сервису свою базу, а он берет и рассылает по ней что хочет (рассылка содержала артефакты информационной войны).

Технически метода для удаления любого сообщения, отправленного чат-ботом в Телеграмме нет. Нужно знать ID-сообщения, а чтобы его получить нужно запросить историю сообщений. А метода по запросу истории сообщений чат-бота тоже нет. Получается какая-то ловушка.

Пораскинув мозгами и включив смекалку все-таки нашли выход из ситуации и написали несложный скрипт, который удалил все сообщения (помог незадокументированный функционал Телеграмм в части MTProto).

Владельцы чат-ботов остались довольны. Деньги мы за такую услугу не стали брать. Чему может научить эта история?

• Проверять бенифициаров сервисов, которыми пользуетесь и которым доверяете свои данные.
• Оценивать репутационные риски, если сервис окажется не тем, за кого себя выдает.
• Если система критически важная для бизнеса, рассмотреть переход на on-promise решения (хотя и это не панацея). Open Source сообщество дала поводы к разочарованию. Но это совсем другая история.

Про каждую платформу говорить в отдельности не буду — слишком длинный пост получился бы. Обобщенный набор собираемых данных такой:

• ID аккаунта в соц.сети /мессенджере;
• имя, фамилия, никнейм;
• аватарка пользователя;
• номер телефона (по явному запросу);
• гео (по явному запросу).

Сами собранные данные единожды не имеют практического смысла. Как учит теория OSINT ценность представляют обобщение и пересечение данных. В одном боте вы оставили телефон, в другом приложении адрес доставки, а на третьем сайте почту. И вот уже подготовленному дата-хантеру с набором слитых баз не представляет труда собрать ваш цифровой портрет.

За последние пару месяцев наблюдаем бурный рост юзер-ботов. Это телеграмм аккаунты, которые пишут первые с предложением записаться на тот или иной вебинар. Базы по которым формируются такие рассылки получаются двумя способами:

• парсингом списка участников каналов / групп;
• сбором Telegram_ID из так называемой паутины ботов с бесплатным контентом (фильмы / книги / курсы).

Что же теперь, не запускать ботов и обходить их стороной? Конечно, нет. Просто нужно ясно понимать для каких целей, например, чат-боту нужен ваш номер телефона или почта. И не забывать:

Несколько рекомендаций при работе с чат-ботами:

• не надо незнакомых ботов добавлять в группы (например для просчета статистики / матерных слов / админства)
• не запускать ботов, которые предлагают бесплатно выполнить функцию поиска фильма / книги (или осознавать риски, что ваш ID будет использован при спам-рассылках)
• создать отдельный аккаунт в мессенджере (благо Телеграм поддерживает мульти-аккаунты) для исследования незнакомых ботов и тогда хаос не выйдет дальше этого аккаунта.

Любая новая технология несет в себе и преимущества и риски. Зрите в корень.

#чат-боты

#безопасность

#соцсети