Вирус вместо меню: как QR-коды воруют личные данные

Ресторанные QR-коды, ведущие в онлайн-меню, собирают персональную информацию о клиенте, включая номер телефона, историю заказов и электронные письма. Сбор данных производится для того, чтобы лучше понимать поведение людей, однако эксперты по кибербезопасности утверждают, что подобная практика несет в себе угрозу приватности для посетителей предприятий общественного питания.

Во многих ресторанах бумажное меню заменили сканируемыми QR-кодами. Эта технология позволяет клиентам открывать цифровые меню на своих телефонах, а в некоторых случаях даже делать онлайн-заказ.

По данным New York Times, такие QR-коды собирают личную информацию о клиентах, например, данные о заказе, номер телефона и электронные письма. Это необходимо для того, чтобы рестораны и кафе могли проанализировать поведение людей и составить их портрет.

Базы данных, созданные на основе полученной информации, могут использоваться для маркетинговых акций, таких как персонализированные скидки или рекомендации. При этом эксперты по кибербезопасности отмечают, что подобное внедрение QR-кодов может поставить под угрозу права посетителей кафе и ресторанов на конфиденциальность.

«В QR-код можно запрограммировать всё, что угодно — от сбора данных текущего местоположения до разрешения осуществить звонок или даже платежную транзакцию», — рассказал исследователь ESET Амер Овайда.

По его словам, основная проблема при считывании QR-кода большинством сканеров заключается в том, что переход по ссылке происходит автоматически, без запроса разрешения на дополнительные действия.

«Чтобы невольно не делиться своими персональными данными, рекомендуется использовать QR-сканеры с расширенными функциями: после считывания программа уведомит о всех процессах, «зашитых» в код, и пользователь сможет либо отменить некоторые действия самостоятельно, либо отказаться от перехода по подозрительной ссылке. Большинство «продвинутых» QR-сканеров платные, также функции по проверке безопасности QR-кодов доступны во многих антивирусных программах», — посоветовал собеседник «Газеты.Ru».

Самая критичная уязвимость такой технологии — это так называемая MITM-атака, в ходе которой происходит компрометация QR-кода, рассказал руководитель отдела анализа данных и машинного обучения CrossTech Solutions Group Роман Титов.

«Как следствие, пользователь вместо получения меню ресторана переходит или скачивает вредоносный ресурс со всеми дальнейшими последствиями», — пояснил Титов.

Если говорить про конфиденциальность персональных данных, собираемых заведениями с помощью QR-кодов, то здесь, по мнению эксперта, важен вопрос о защите персональных данных.

«Они могут использоваться для безобидной персонифицированной рекламы обновленного сезонного меню. А могут продаваться «серым» организациям для холодных звонков и рассылок или использоваться в личных корыстных целях.

Здесь спасение утопающих — дело рук самих утопающих. Необходимо внимательно читать чек-боксы в согласии об использовании персональных данных, в которые мы ставим галочки.

А также стараться не обедать и не переходить по QR-кодам в сомнительных заведениях, где заведомо понятно, что к вопросу безопасности не относятся серьезно», — предупредил эксперт.

По словам ИБ-евангелиста компании Avast Луиса Корронса, проблема заключается даже не в том, что рестораны собирают данные о клиентах в маркетинговых целях, а в вопросе их хранения.

«Велика вероятность того, что в какой-то момент компания может быть взломана, база данных может быть украдена или может произойти утечка. Поэтому мы рекомендуем попытаться свести к минимуму данные, которыми вы делитесь, и делать это только при крайней необходимости», — рассказал Корронс.

Как рассказал «Газете. Ru» руководитель направления по поиску уязвимостей фирмы Check Point Software Technologies Одед Вануну единственный вариант защититься — это не пользоваться QR-кодами и просить бумажное меню.

«Но если вы все-таки зашли на сайт, то не кликайте на информацию, которая требует ваши пароли, не загружайте документы или приложения с этого сайта, не заполняйте никакие формы и не вносите на нем свои личные данные», — посоветовал эксперт.

Валерия Бунина

Опубликовал: Александр Абрамов (info@ict-online.ru)

Рубрики: Безопасность

Ключевые слова: информационная безопасность, персональные данные, QR-код