Первый хакатон на РИФе: как это было

2019-05-24 16:55:01 1440

В этом году в рамках Российского интернет-форума впервые прошел хакатон, в котором команда Далее заняла первое место. Расскажем о разработанном решении для защиты пользовательских данных.

РИФ.Хакатон

17-19 апреля прошел Российский интернет-форум. Традиционно РИФ — это важная площадка для диалога о трендах, влиянии цифровых технологий на бизнес и будущем интернета.

Это ключевое для рунета событие прошло в 23 раз, и в этом году перепозиционировалось на трендовый формат фестиваля. Поэтому кроме традиционных секций, мастер-классов и воркшопов появились световое шоу, подкасты, вечеринка, а также впервые в рамках РИФа был организован хакатон.

Хакатон — это «марафон» разработки, во время которого команда специалистов — разработчиков, дизайнеров работает над решением проблемы в очень сжатый срок. В конце команда презентует свое решение, готовый цифровой продукт. Это возможность разработать проект в формате брейншторминга.

Сохранить и защитить

Темой первого хакатона стала защита пользовательских данных. В Рунете нет сайта, приложения или инструмента для безопасного хранения и передачи пользовательских данных. Этот вопрос актуален не только для физических лиц, но и для компаний, агрегирующих данные.

IT-компании собирают данные о пользователях и об их поведении, чтобы создавать более релевантные маркетинговые предложения и быть более точными в разработке стратегии.

Большинство пользователей просто не понимают, на что дают согласие, когда ставят галочку в графе обработки данных. Они используют один и тот же пароль на всех сайтах и тем более не знают, как защитить свои данные.

Пользовательские данные продаются на «сером» рынке, их передача никак не контролируется. Поэтому мы часто получаем уведомления и письма с сайтов, где не регистрировались.

На последней конференции F8 2019 Facebook говорили о необходимости безопасного хранения данных, доступ к которым будет закрыт даже для самого Facebook и для правительства.

Нынешняя ситуация вызывает следующие проблемы:

  • нет единого сервиса для безопасного хранения и передачи данных;
  • существует риск, что данные будут проданы рекламодателям без ведома пользователя;
  • нет возможности удалить свои данные с сайта, которым перестал пользоваться.

Помимо этого, нужно решить вопрос комфорта пользователя.

Организаторы хакатона предложили 3 направления для решения задачи:

  • Поиск утечек персональных данных в «открытых источниках».
  • Препятствие отслеживанию действий пользователя в интернете с помощью расширения для браузера.
  • Сервис, дающий возможность управлять доступом к своим данным.

Команды могли выбрать одно из трех направлений, и за 48 часов разработать прототип. Финальное решение презентовали жюри, в состав которого входили представители Роскомнадзора, Сколково, РОЦИТ, РАЭК, Selectel ИЭП РТЛабс, ООО «Гарда Технологии», REG.RU, МирТесен, Amer Sports Russia, АСИ, Tazeros Global Systems.

Наша идея

Мы выбрали третий подход к задаче: вспомнили, что вызывает у нас наибольшие проблемы в вопросе хранения данных. При этом обнаружили 3 основные проблемы:

  • все доступы и пароли нужно где-то хранить;
  • бывает непросто вспомнить, через какую соцсеть или адрес почты авторизовался на сайте и с каким паролем;
  • невозможно проверить, кому предоставлены данные.

Мы решили расширить понятие персональных данных и приблизили его к понятию «электронный кошелек».

В разработанном приложении можно хранить данные паспорта, банковских карт, пароли. Вся эта информация и контроль доступа к ней будут доступны в один клик с любого устройства.

У государственных и частных компаний, которые обрабатывают данные, тоже есть сложности:

  • работа с огромным количеством источников данных;
  • проблема с верификацией;
  • незаинтересованность физических лиц в передаче данных.

Очень здорово, что Хакатон применителен к гос. сектору. Наш интерес в том, что мы делаем системы идентификации и аутентификации, поэтому для нас результаты вашей работы и ваши идеи будут очень актуальны. А на ваши вопросы мы сможем вам ответить, потому что наши проекты - это как один большой Хакатон.

Константин Рыбаков
Начальник отдела аналитики ИЭП РТЛабс

Как это работает

При проектировании пользовательского пути мы основывались на опыте приложений со смежным функционалом: хранение паролей, двухэтапная авторизация, электронные кошельки.

Наше приложение разработано на PHP с использованием Laravel и его модулей.

Безопасность и загрузка части данных обеспечена за счет подключения к APIГосуслуг — сайта, где пользовательские данные хранятся в зашифрованном виде.

При регистрации формируется токкен, по которому сайт может запрашивать и отдавать данные пользователя. Пользователь со своей стороны может отозвать токкен, отключив доступ в настройках и перестать передавать данные.

Для удобства и безопасности использовали технологию OAuth, которая позволяет авторизоваться на разных сервисах, не раскрывая свой основной пароль.

После регистрации по номеру телефона пользователь попадает в интерфейс приложения, данные паспорта и снилс загружаются автоматически. Туда же можно добавить банковские карточки, билеты загрузятся из почты.

Будущее приложения

Мы стремимся к тому, чтобы приложение стало частью известного сервиса, который используется для авторизации и вызывает доверие, такого как Госуслуги и VK.

Помимо хранения и защиты данных, мы добавили дополнительный функционал. Это уведомления, маркетплейс данных, загрузка и обработка печатных документов.

Если новая компания запросила доступ, пользователю придет пуш-уведомление. Он сможет разрешить или запретить доступ к данным.

После того, как человек заполнил профиль, его данные попадают в маркетплейс. Например, регистрируется женщина, 45 лет, живет в Москве. Компания, которой нужны эти данные для таргетирования рекламы, может купить их, сделав ставку.

Таким образом получается не только сервис для безопасного хранения паролей, но и функционал управления: пользователю придет уведомление о том, что сервис запрашивает его данные, и может подтвердить или отклонить доступ.

В итоге появилось многофункциональное приложение с функциональностями электронного кошелька, авторизации и безопасной передачи данных.

На демонстрации прототипа жюри хакатона отметило проработанный пользовательский опыт, дизайн и оригинальность решения, а также потенциал бизнес-модели.

Мы благодарим организаторов за возможность пообщаться с экспертами и государственными заказчиками.

Может быть, это выглядело странно со стороны, но внутри это был незабываемый процесс работы над интересной задачей и общение с интересными людьми из других команд.