Что такое GetContact — вирусная утилита, которая собирает персональные данные

В конце февраля в уанете набрало популярности приложение GetContact. Телефонная утилита наиболее известна тем, что позволяет посмотреть, как ваш (или чужой) номер записан в адресной книге других пользователей. В результате соцсети наводнили скриншоты с неуклюжими или забавными подписями. Редакция AIN.UA рассказывает, что не так с приложением и почему оно напрямую угрожает вашей приватности.

Что случилось?

Приложение GetContact «завирусилось». По данным аналитического сервиса AppAnnie, в украинском App Store программа занимает первое место по популярности, обогнав Telegram и Instagram. При этом вторую строчку заняла программа GetContact_ — клон с урезанной функциональностью. В Google Play ситуация иная, у GetContact всего 32 позиция в общем зачете.

Первый скачок популярности GetContact зафиксирован еще 9 февраля. Тогда разработка заняла 5 место в разделе «Утилиты» и 45-е в общем списке украинского App Store. Однако по-настоящему массовым использование GetContact стало в последнюю неделю февраля. С 25 по 28 февраля утилита скакнула со 165 на 1 место. Это связано с эффектом «сарафанного радио» — в соцсетях начали массово появляться скриншоты от пользователей, которые установили GetContact и обнаружили, что странно или забавно подписаны у других абонентов. Шутить на эту тему стали и блогеры.

Как это работает?

При первом запуске GetContact просит доступ к вашим контактам. Следом информация из адресной книги отправляется на сервера компании. Взамен можно посмотреть, как твой номер подписан у других пользователей GetContact. Кроме того, можно ввести любой другой номер — кто-то проверяет таким образом друзей, кто-то — супругов. На сайте разработчика запущен интерактивный счетчик, который показывает количество адресов в базе сервиса. На момент написания статьи их более 2,2 млрд и количество продолжает расти.

Помимо анализа телефонной книги GetContact предлагает блокировку от телефонного спама, а также идентификацию входящих звонков от абонентов, не записанных в телефонной книге.

В чем опасность?

Устанавливая GetContact, необходимо принять условия пользовательского соглашения. Да, это именно та штука, которую все не глядя отмечают галочкой.

Принимая условия договора, вы позволяете компании собирать любые данные и делиться ими с третьими сторонами. Также она может распоряжаться сведениями в рамках туманного положения о праве «поддерживать и расширять свои услуги». Еще один пункт открывает дорогу для спама, фиксируя разрешение на проведение «маркетинговой активности». В нее входит рассылка SMS, электронных писем и даже звонки.

Неполный список информации, которую извлекает GetContact, выглядит так:

• информация из телефонных книг (контакты и прочее);
• фотографии;
• почтовый адрес;
• IP-адреса;
• история звонков.

Уловка еще и в том, что даже не устанавливая GetContact, ваш номер может оказаться в распоряжении разработчиков — достаточно, чтобы он оказался в адресной книге одного из пользователей.

Кто это разработал?

Граждане Турции: Бурак Саглик и Мустафа Севинк. Права на приложение принадлежат компании GetContact LLP, которую они зарегистрировали в Лондоне в 2017 году, о чем сообщается в записях Британской регистрационной палаты. Саглик и Севинк также числятся топ-менеджерами турецкого разработчика Tekyason yazılım. Эта компания тоже указывает среди своих проектов GetContact.

Где еще работает GetContact

Турция — главный по популярности рынок программы, а всего разработчики заверяют о присутствии в 148 странах. На протяжении декабря и февраля GetContact покоряло электронные магазины Армении, Азербайджана, Киргизии и Казахстана. В результате нарушения законов про обработку персональных данных в Казахстане и Азербайджане утилиту запретили. В декабре армянские СМИ даже сообщали, что пользователям удалось получить личные номера президента Азербайджана и его супруги. Достоверность этой информации подтвердить не удалось, а формальной причиной для удаления стала передача данных третьим лицам.

С этим связано и появление клона программы. Казахстанские разработчики из студии CodeBusters оперативно выпустили приложение GetContact_ (вскоре переименовано в Pootin). Оно имело урезанную функциональность, ограничившись самой «вирусной» фичей — сканированием телефонных книг. В Казахстане запретили и его, но в украинском App Store именно GetContact_/Pootin сейчас занимает второе место по популярности.

В Армении дело ограничилось призывом властей отказаться от использования GetContact. В России, которую представители AppAnnie в комментарии РБК назвали «вторым рынком» GetContact после Турции, проверку программы на соответствие законодательным нормам проводит Роскомнадзор. Если будут установлены нарушения, в суд будет направлен иск о блокировке приложения.

Это вообще законно?

В каждой стране свои нормы обработки персональных данных. В Казахстане, например, GetContact заблокировали на основании нарушения норм, зафиксированных в статье 41-1 Закона Республики Казахстан «О связи». В России поводом для блокировки может послужить то, что местное законодательство обязует ясно уведомить человека об использовании его персональных данных. При этом не вводя его в заблуждение, вплоть до предоставления полного списка третьих лиц, которым будет передана информация.

Редакция AIN.UA уже обратилась за информацией к юристам о том, легальна ли работа GetContact в Украине. Партнер юридической компании Brightman Дмитрий Гончаренко поставил под сомнение условия работы сервиса:

Правила сбора, обработки и хранения персональных данных определены в Законе Украины «О защите персональных данных». Закон (абзац 8, статьи 2), в отличие от своих «собратьев» из ЕС (к примеру, Общего регламента по защите данных GDPR), никак не детализирует и не определяет перечень персональных данных. Поэтому положения Закона могут быть применимы к множеству ситуаций, в том числе и к сбору и обработке запрашиваемых данных во время регистрации в GetContact. То есть, когда пользователь устанавливает на свой смартфон приложение GetContact, он соглашается с условиями, один из пунктов которых — сбор персональных данных, а ст. 2 Закона, легитимизирует это действие. Поэтому, сбор личных данных граждан Украины приложением GetContact можно считать легальным.

У государственных органов могут возникнуть вопросы к легальности работы приложения, если GetContact, собрав персональные данные пользователей в единую базу, не зарегистрирует ее в соответствии с требованиями ст. 9 Закона. Таким образом, если GetContact не провели государственную регистрацию своих баз данных, содержащих персональные данные граждан Украины, то работу приложения можно считать незаконным, несмотря ни на какие «оговорки» в Terms of Use и Private Policy приложения. Отдельно стоит обозначить вопрос хранения и передачи приложением персональных данных пользователей третьим лицам. Настоящая редакция Terms of Use и Privet Policy приложения, по моему мнению, не совсем соответствует требованиям Закона и может быть оспорена как пользователями, так и непосредственного государственными органами.

Регистрация баз данных происходит по «заявочному принципу», то есть владельцу базы данных достаточно просто заполнить заявление и подать его в государственный орган, не дожидаясь от подобного органа никаких регистрационных документов. По общему правилу ст. 9 Закона владелец базы данных обязывает уведомить гос.орган в течении 10 дней после каждого случая обработки персональных данных.

Я уже установил GetContact. Можно что-то сделать?

Можно удалить аккаунт. По крайней мере, в этом заверяют разработчики. На их сайте есть специальная форма в разделе Unlist, которая позволяет изъять свой номер из общего реестра. Убрать его обещают в течение 24 часов. Стоит отметить, что просто удалить приложение со смартфона недостаточно — нужно сначала зайти в настройки и отыскать раздел «О Get Contact». При повторной регистрации номер вернется в базу.

Команда AIN.UA спільно з фондом Group 35 збирає 608 800 грн на мобільний діджитал-штаб для підрозділу 148 ОБР ДШВ. Штаб інтегрує системи роботизованої аеророзвідки та передає стріми на відеостіну. Це дозволяє командуванню ефективніше планувати операції, зберігаючи життя захисників та захисниць, і збільшуючи шанси місій на успіх. Більше деталей у Facebook AIN.UA.

Программа джет контакт что это

#Мессенджер #Идентификатор Абонента #Блокировка Спама

Getcontact на ТВ

Турецкая Телевизионная Реклама

Российская Телевизионная Реклама

Индонезийская Телевизионная Реклама

Реальное влияние

This app is really great. It hasn’t given me any problems so far. Infact it is really helpful in finding unknown numbers and also scams as well. It really helps you feel safer on your phone as well as your everyday life

Это приложение просто супер. Никаких проблем не испытываю. Даже наоборот, очень помогает против неизвестных номеров и мошенников. Помогает чувствовать себя безопасно и в телефоне и в повседневной жизни.

Siphokazi Nxumalo
16 май 2023 , время: 21:04
Google Play

Отличное приложение.Стало много звонков не известных.Как скачала приложение увидела сколько жуликов звонят.Молодцы.Пять звезд

Ivanna рккоделие
20 апр 2023 , время: 11:09
Google Play

В целом удобное и полезное приложение. Можно пробить любой незнакомый номер и понять, что из себя представляет человек.

Наталья Слаева
27 апр 2023 , время: 12:50
Google Play

Приложение отличное!На раз, выявила звонившего с незнакомого номера.

Вера Емельянова
06 янв 2023 , время: 08:30
Google Play

Отлично работает. Столько времени освободило от выслушивания всякого спама. Пользуюсь 2 года

Sergey Nagornyy
23 дек 2022 , время: 02:30
Google Play

Скачав данную программу меня удивило как просто, но в тоже время точно она работает. Контакты которые тебе звонят, определяются очень точно. Отдельное внимание привлекла система против спама и мошенников, которых можно блокировать или просто увидеть при звонке и не стать жертвами злоумышленников! В наше время очень актуально, учитывая высокий уровень и мощные ресурсы, а так же различные схемы, которые используют мошенники, хакеры и другие недобросовестные пользователи . Рекомендую, одним словом!

Приложение Getcontact светит вашими персональными данными, даже если вы им никогда не пользовались

Getcontact — мобильное приложение, позиционирующее себя как менеджер звонков и блокировщик спама. Появилось в конце 2017-го и стремительно взлетело на первые места магазинов приложений: сейчас загрузок в Google Play больше 100 миллионов, а сами создатели сервиса оценивают свою аудиторию в 400+ миллионов пользователей.

Начали за здравие…

Приложение декларирует, казалось бы, благие намерения: предотвращение нежелательных звонков от спамеров и телефонных мошенников — услуга в современном мире необходимая и востребованная. Однако свою популярность Getcontact приобрёл совсем по другой причине, но об этом чуть позже.

Основной функционал приложения работает так: пользователь, получив нежелательный звонок, например, из «Отдела безопасности банка», может пометить этот номер телефона тегом произвольного содержания, например: «Мошенники». Теперь, если другим пользователям приложения позвонят с того же номера, они увидят этот тег и смогут проигнорировать звонок.

…закончили как обычно

Однако проблема Getcontact в том, что, если вы разрешили ему доступ к вашей телефонной книге (что делает подавляющее большинство пользователей), то ваши контакты (номера телефонов и то, как они у вас записаны) уходят в зрительный зал на серверы приложения и тоже становятся тегами. Таким образом изначально обезличенная сущность номера телефона обрастает дополнительной информацией из телефонных книг пользователей.

Касательно видимости этих данных предусматриваются два варианта:

• Если вы зарегистрированы в Getcontact, то по умолчанию все другие пользователи приложения видят все ваши теги, то есть каким образом вы записаны у других людей

• Если вы не зарегистрированы в приложении, то пользователям будет виден только один тег. Предполагаю, что выбирается он по количеству совпадений, так как чаще всего это имя и фамилия. Именно эта информация и будет отображаться при вашем звонке пользователям Getcontact, даже если вы у них в телефонной книге не записаны

Какие личные данные могут отсвечивать

В зависимости от размера и качества вашего социального круга теги могут нести в мир следующую информацию (примеры не выдуманы):

• ФИО и производные от этих данных
• места́ работы, должности, например: Геннадий Сергеевич ДПС
• места́ жительства: Старший по дому Хворостухина , Сосед 12 кв.
• родственные и деловые взаимосвязи между людьми: Дочь Карины
• прочие проявления фантазии абонентов: Душнила футбол , Лена ночной клуб

То есть в самом оптимистичном случае — в мире, где базы данных не утекают и не сливаются, — даже если вы никогда не слышали про Getcontact, то ваши имя и фамилия скорее всего всё равно светятся всем пользователям этого приложения. Кто угодно может по номеру телефона получить эту информацию. Это ваши персональные данные, но права на их публикацию у вас никто не спрашивает.

И конечно же наивно будет предполагать, что собранная на серверах Getcontact информация не используются кем надо и кем не надо в различных целях, как минимум рекламных, но в нашем мире это настолько обыденное дело, что мы сейчас не об этом.

Автор, ну ты проснулся, как там в 2018-м?

В плане информационной безопасности меня сложно назвать человеком безграмотным: больше половины жизни я провёл в интернете, а десяток лет даже посвятил непосредственно веб-разработке. Паранойей не обременён, но светить своими персональными данными где попало не буду. И даже с таким бэкграундом я был неприятно удивлён описываемой проблемой лишь несколько дней назад, и то по большой случайности.

Может быть я и слышал раньше что-то про Getcontact на волнах его хайпа, но пропустил мимо ушей, навесив на эту информацию ярлык «Опять зумерам нечем заняться» и оставался спокоен, руководствуясь принципом «Мне подобные игры типа “Узнай как ты записан в телефоне твоих друзей” не интересны», значит я могу об этом даже не думать.

Но проблема в том, что ваши данные всё равно лезут наружу независимо от вашей осведомлённости. То есть на протяжении пяти лет по моему номеру телефона мои имя и фамилия пробивались на раз абсолютно любым человеком без моего ведома. Неприятно.

И я был бы рад, например, пару лет назад встретить где-нибудь в рассылке Хабра заметку, освещающую эту тему. Поиск по сайту релевантной информации не выдал, поэтому я решил восполнить пробел самостоятельно.

Хватит это терпеть!

Чтобы предотвратить это безобразие, придётся сначала подружиться с Getcontact:

❗→ Как подсказали в комментарии, есть способ попасть в раздел Visibility settings (пятый шаг инструкции) без установки приложения. Оставляю оригинальную инструкцию для исторической целостности статьи:

• Устанавливаем приложение, регистрируемся, авторизуемся по нужному номеру телефона, но не выдаём никаких доступов: ни к логам звонков, ни к сообщениям, ни тем более к своим контактам — функционал Getcontact будет доступен и так
• В разделе Other → Show Profile на этом этапе есть возможность посмотреть свои теги, а также поискать теги других людей — после выполнения этой инструкции сервис станет для нас недоступным. У приложения, кстати, есть ограничение на шесть бесплатных поисков номеров в месяц; больше — за деньги (от 590 ₽ в месяц)
• Заходим на официальный сайт приложения, находим в подвале в разделе Help пункт Manage Your Privacy Profile

• Авторизуемся на сайте удобным вам способом
• В разделе Visibility settings отключаем Search visibility . Развлечения ради можете почитать почему вы не должны делать это

• Подтверждаем серьёзность своих намерений и узнаём, что вступление изменений в силу может занять до трёх часов времени и, что если потом вы решите снова воспользоваться сервисом, то ваши теги опять станут видимыми для всех

• После подтверждения вас автоматически разлогинит как на сайте, так и в приложении, которое можно смело удалять Теперь при вашем звонке пользователи Getcontact увидят только цифры вашего номера телефона (если вы у него никак не записаны конечно же), а при попытке поиска вашего номера в приложении появится такое сообщение:

Горит очаг

Лично я считаю ненормальной ситуацию, когда мои персональные данные (имя и фамилия как минимум) свободно торчат наружу кому угодно. Вы, конечно, можете возразить, что все наши данные уже давно слиты в сеть случайно или намеренно; но эти сливы — дела́ противозаконные и находятся вне моей зоны ответственности. По-хорошему в идеальном мире этого быть не должно.

А тут выходит, что подобные приложения юридически ничего не нарушают, а происходящее считается нормальным, по крайней мере в РФ (в некоторых странах приложение под запретом). Ведь получается, что сливаете свои данные не вы сами под лозунгом «Сам себе злой Буратино», а другие люди, которые записали вас себе в телефон, бездумно понаставили в него сомнительных приложений и раздали им все запрашиваемые права. Невозможно поручиться за благонадёжность всех своих абонентов — им может даже и не приходить в голову, что они таким образом сливают чью-то личную информацию.

И самое раздражающее — недостаточно просто пройти мимо этих глупостей, чтобы не ощутить на себе их влияние. Приходится в них разбираться, регистрироваться и настраивать сервисы, пользоваться которыми в ином случае я даже и не подумал бы.

Берегите свои персональные данные (и чужие тоже). И если вы знаете другие подобные приложения с душком, не сочтите за труд поделиться информацией о них в комментариях.

UPD

Пользователь @Vadiara50 в комментариях поделился способом избавить себя от внимания со стороны аналогичного Getcontact сервиса Truecaller

Пользователь @inscriptios в комментариях подсказал более прямой путь к отключению видимости своего номера телефона в Getcontact без установки приложения

При подготовке материала использовались источники:
https://ain.ua/ru/2018/03/01/getcontact-is-dangerous/
https://www.getcontact.com/
https://habr.com/ru/articles/745688/