Казахстанцы под угрозой? Скрытые механики китайских маркетплейсов

Что произошло

Китайские маркетплейсы подвергаются всё более пристальному вниманию из-за потенциальных рисков кибербезопасности.

Эксперты предупреждают, что такие приложения, предназначенные для сбора огромных объёмов пользовательских данных, могут представлять серьёзную угрозу конфиденциальности и безопасности пользователей по всему миру, в том числе в Казахстане.

Что с ними не так

В марте 2023 года Google заблокировала Pinduoduo после обнаружения вредоносного ПО в некоторых версиях приложения. Пользователям было рекомендовано удалить любые версии приложения, не загруженные из официального магазина Google Play. Pinduoduo отвергла обвинения и заявила, что не получила детальной информации от Google о причинах блокировки.

В России "Лаборатория Касперского" тоже выявили вредоносное ПО в Pinduoduo. В исследовании говорилось, что приложение может повышать свои собственные привилегии, чтобы обойти конфиденциальность и безопасность данных пользователя.

Исследователи из киберкомпании Check Point Research (Тель-Авив) установили, что приложение Pinduoduo не могло продолжать работать в фоновом режиме и не допускало удаления, что позволяло ему увеличивать ежемесячные показатели активных пользователей. Оно также имел возможность шпионить за конкурентами, отслеживая активность в других приложениях для покупок и получая от них информацию.

Они также выявили в некоторых плагинах намерение скрыть потенциально вредоносные компоненты, спрятав их под законными именами файлов, такими как имена Google.

Далее пошли претензии уже к дочерней компании Pinduoduo – Temu, которая обогнала предшественника по охвату рынка.

Хитрости приложения

Генеральный прокурор Арканзаса (США) Тим Гриффин подал иск против Temu, утверждая, что приложение собирает огромные объёмы конфиденциальной личной информации, включая местоположение, контакты, текстовые сообщения и многое другое, без надлежащего согласия пользователя. Эти действия подвергают пользователей значительным рискам конфиденциальности, утверждает Тим Гриффин.

По его словам, Temu, как и его китайский аналог Pinduoduo, может использовать данные, собранные у ничего не подозревающих пользователей, в целях, которые угрожают личной конфиденциальности и национальной безопасности.

Согласно иску, Temu якобы получает неограниченный доступ к телефонам пользователей, собирая личные данные, такие как текстовые сообщения, контакты и документы, без полного ведома пользователей. Тим Гриффин также утверждает, что сбор данных Temu может привести к его продаже третьим лицам, что принесёт прибыль за счет прав пользователей на конфиденциальность.

Расследования, проведённые компаниями по кибербезопасности (Grizzly Research), показали, что Temu спроектирован так, чтобы обходить проверки безопасности и скрывать свое вредоносное поведение. Расследователи предполагают, что основная цель приложения – сбор данных. Поэтому китайский маркетплейс изобилует товарами низкого качества, чтобы быстро распродаться за счёт низких цен и больше пользователей скачали приложение, значится в расследовании.

Эксперты утверждают, что способность приложения манипулировать своим кодом после установки может использоваться для доступа к ещё более конфиденциальным данным.

Опасения, связанные с Temu, не остались незамеченными мировыми регуляторами. Власти США, Канады и Европы уже начали принимать жесткие меры в отношении китайских приложений, таких как TikTok, из-за проблем национальной безопасности.

Хотя Temu ещё не столкнулся с массовыми запретами, его спорные методы обработки данных привели к более пристальному вниманию. И Apple, и Google раскритиковали приложение за то, что оно вводит пользователей в заблуждение относительно масштабов сбора данных, а Apple приняла меры по решению этой проблемы в июле 2024 года после того, как политика конфиденциальности Temu была признана вводящей в заблуждение.

В ноябре 2024 года уже Европейская комиссия начала официальное расследование в отношении Temu осле обвинений в несоблюдении Закона о цифровых услугах (DSA) Европейского союза и стандартов безопасности продукции.

Кибербезопасность в Казахстане

В Казахстане, где электронная коммерция становится всё более популярной, такие платформы могут представлять особую опасность. Многие пользователи не знают о масштабах, в которых собираются и передаются их персональные данные.

BES.media поинтересовался у министра цифрового развития Казахстана Жаслана Мадиева, что он может сказать касательно исследований западных стран.

Министр посчитал, что претензии западных стран возможно инициированы конкуренцией за рынок.

"На самом деле в мире очень высокая конкуренция, в том числе в особенности между США и Китаем, с точки зрения развития технологий. Это те две страны, которые ушли вперед по сравнению с другими странами, в особенности по развитию искусственного интеллекта. США отличается тем, что она постоянно порождает инновационные решения лучше всех. Китай отличается тем, что они лучше всех имплементируют эти решения, поэтому это будет такая постоянная конкуренция. Если это было высказывание со стороны американских компаний, то здесь есть, я думаю, и присутствует элемент конкуренции, чтобы ограничить пользователей, повысить свою рыночную долю. И я думаю, что такие исследования, высказывания мы будем слушать постоянно", – сказал министр.

Также Жаслан Мадиев призвал читать пользовательское соглашение, в котором прописаны все положения по сбору информаци.

При этом МЦРИАП исследований не проводило.

BES.media также получил дополнительные комментарии у МЦРИАП.

В них говорится следующее:

• Для платформ, которые не зарегистрированы в Казахстане, местное законодательство не применяется. Пользователи сами несут ответственность за свои данные при использовании таких приложений.
• Министерство рекомендует избегать использования незарегистрированных в Казахстане платформ, так как они могут нарушать законы и создавать риски для безопасности персональных данных.
• Министерство подчёркивает, что ответственность за защиту данных в случае использования зарубежных приложений лежит на самих пользователях.
• Персональные данные могут собираться и обрабатываться только с согласия пользователя. Это касается и их передачи за границу, если есть согласие пользователя.
• Если данные хранятся за пределами Казахстана, то платформа обязана также хранить их дублированную копию в базе данных, расположенной в Казахстане.

Законодательство в РК защищает в полном объёме?

Сопредседатель комитета по информационной безопасности QazTech и управляющий директор DataStar Евгений Питолин в интервью BES.media сказал, что несмотря на значительный прогресс в законодательстве, рынок сталкивается с определёнными вызовами, в том числе и в контексте китайских маркетплейсов.

Евгений Питолин отметил, что пользователям угрожают три ключевые группы рисков:

• Киберпреступники, которые массово похищают данные.
• Несовершенство ресурсов компаний, где безопасность часто приносится в жертву скорости и конкурентоспособности.
• Мошенники, действующие в формате "один пользователь – одна атака".

По словам Евгения Питолина, стремление бизнеса опередить конкурентов приводит к пренебрежению безопасностью:

"Часто бизнесу приходится игнорировать безопасность, чтобы продвинуться вперед, чтобы обогнать конкурента".

Он добавил, что в периоды массовых распродаж, таких как "Чёрная пятница", риски для пользователей возрастают многократно.

"В эти моменты пользователи становятся наибольшей точкой риска. Миллионы мошенников активируются", – отметил эксперт.

Регуляторы и законы

При этом Евгений Питолин подчеркнул, что законодательство Казахстана значительно улучшилось:

"Законодательство очень динамично выросло... Сейчас у нас есть все для того, чтобы на текущем базисе дальше совершенствоваться в сторону отраслевых тем, как маркетплейсы."

Однако он отметил, что полностью урегулировать проблему через законы невозможно.

"Если мы реалисты, а не поклонники сферического коня в вакууме, надо понимать, что это вопрос качества профилактики и работы самих сетей".

Говоря о роли пользователей, Евгений Питолин выступил против безответственности, отметив, что нельзя всё ссылать на то, что абонент согласился с пользователським соглашением, но при этом эксперт предостерёг от потребительского инфантилизма и потребительского терроризма.

Эксперт акцентировал внимание на важность баланса между безопасностью, бизнес-интересами и осведомленностью пользователей. Он уверен, что Казахстану предстоит пройти путь зрелости бизнеса и повышения стандартов цифровой безопасности.

Евгений Питолин добавил, что государство должно активно корректировать нарушения, особенно со стороны зарубежных платформ.

Согласно казахстанскому законодательству, все персональные данные граждан должны обрабатываться и храниться внутри страны. Однако в реальности многие международные платформы нарушают этот принцип.

Он добавил, что в таких случаях государству необходимо устанавливать чёткие правила ещё до выхода платформ на рынок.

"Государство должно изначально выстраивать те самые правила, красные линии, чтобы игроки знали, как работать".

О маркетплейсах и их рисках

Евгений Питолин охарактеризовал маркетплейсы как огромные интернет-магазины с миллиардными запасами товаров и мощной рекламой. Однако по сути, их риски мало отличаются от небольших интернет-магазинов. Основными угрозами он назвал:

Несанкционированный доступ к данным клиентов

"Когда преступники получают доступ к данным покупателя или всей базы маркетплейса".

Утечки данных

"Это может происходить как из-за атак злоумышленников, так и из-за действий внутренних сотрудников".

Эксперт отметил, что регулирование таких сфер, как маркетплейсы, зачастую осуществляется уже "на живом механизме".

"Многое приходится править задним числом, что называется".

В отличие от маркетплейсов, новые области, такие как искусственный интеллект, имеют возможность начинать с чистого листа, что делает регулирование более понятным и эффективным.

Напоследок эксперт призвал к усилению регулирования работы международных платформ в Казахстане и созданию чётких правил игры для всех участников рынка. Он подчеркнул, что государство должно быть готово оперативно реагировать на вызовы цифровой эпохи, защищая интересы пользователей и их данные.

Читайте также:

• Акции владельца Temu упали на фоне замедления экономики Китая
• "Казпочта" ведёт переговоры с Temu и Pinduoduo о регистрации в Казахстане
• "Казпочта" заключила контракт с Alibaba на доставку посылок в девять стран СНГ

–––

• Читайте коротко о важных событиях в Telegram. Подписывайтесь и включите уведомления.
• Если у вас есть чем поделиться или вы стали очевидцем событий, пишите, присылайте фото, аудио и видео, документы в наш анонимный бот @bessimptomno_bot