Под катом статья о том, как мы с группой талантливых инженеров из США создали сервис, который позволяет верифицировать личность человека за 1 минуту. Есть мнение, что это микрореволюция, которая, вероятно, изменит многие интернет-отрасли.
Проблема
Анонимность позволила интернету набрать силу и большую популярность. Однако в последнее время эта анонимность является мнимой. События последних лет с арестом видных хакеров и скандал со Сноуденом показали, что анонимность в интернете — это миф. Спецслужбы могут выяснить имя любого пользователя, когда им это нужно. Но нет эффективного простого инструмента подтверждения своей личности (применимого в промышленных масштабах), если вам это вдруг понадобится в три часа ночи.
Анонимность и юридическая слабость заключаемых в интернете сделок приводит к появлению дополнительных издержек, рисков и ограничений. Бизнес мог бы предложить больше товаров и услуг за меньшие деньги, если будет знать больше достоверной информации о вас.
Попытки решить эту проблему периодически предпринимаются. Широко используется механизмы авторизации через аккануты соцсетей и мобильный телефон, и для большинства ресурсов это является достаточным уровнем идентификации. Однако подделать аккаунт в соцсети достаточно легко. Используемая верификация через мобильный телефон тоже не является панацеей, потому что мобильный номер можно купить у любого подземного перехода.
Существует мнение, что при покупке товаров и услуг в интернете продавец может не переживать за анонимность после того, как товар был оплачен. Однако данные по кредитной карте можно купить в интернете за $1,5, с учетом последних изменений в законодательстве Российской Федерации любая покупка, осуществленная по кредитке, может быть опротестована в пользу законного владельца карты. Это приносит убытки банкам и интернет-магазинам. По данным исследований объем мошенничества с кредитными картами составляет более 1,5 млрд евро в год. Ущерб от мошенничества с банковскими картами в России за прошлый год увеличился на 35%, и Россия является лидером по приросту такого мошенничества в Европе.
Отдельной проблемой явлется то, что регистрируется много фальшивых аккаунтов в соцсетях, почтовых службах и т.п., что приносит вред известным людям, брендам, да и обычным пользователяим, потому что за фальшивыми аккаунтами часто стоят спамеры или боты. Некоторые игроки придумали собственные кустарные методы верификации через отправку копий документов по почте или общения в Skype. Однако эти копии легко подделать. В фотошопе можно сменить имя “Оля” на “Юля”, сменить пару цифр в паспорте: и вы — другой человек. Уже были скандалы, когда третьи лица верифицировали аккаунты известных людей. Ниже описаны несколько таких случаев. Мы проанализировали большинство используемых методов верификации личности и пришли к выводу, что значительная часть их рассчитана, как говорят в Одесссе, “на честных людей”. То есть если кто-то захочет обмануть — обманет.
Предыстория
В начале 2012 года после известных оппозиционных волнений в Москве, мы работали над разработкой приложения для Twitter, в котором хотели учесть ряд интересных статистических и функциональных возможностей (например, организация мероприятия, сбор денег и т.д.), в ходе работы мы провели опрос, в котором потенциально могли принять участие 500 тыс. человек (количество фолловеров тех, кто ретвитнул мою просьбу).
Оказалось, что большинство пользователей Твиттера волнует проблема верификации. Все хотят получить галочку или хотят, чтобы те, кого они читают, были верифицированы.
Мы потратили некоторое время, чтобы изучить проблему глубже, оказалось, что часто бывали случаи, когда недоброжелатели создавали фейковые аккаунты известных людей. Много сил и времени уходило у людей на опровержение публикуемых злоумышленниками новостей. Например, автора этих строк сильно расстроила эта новость о смерти сатирика Жванецкого. Но, слава Богу, это оказалось неправдой, а официальному изданию пришлось это опровергать
Также были известны случаи с фальшивыми аккаунтами Навального. У западных знаменитостей те же проблемы. У певицы Rihana мы насчитали 16 фейковых аккаунтов, Lady Ga Ga также не избежала такой участи — больше дестяка.
Какое-то время назад Twiiter сам вручную верифицировал людей. Для этого нужно было иметь (пишу по памяти) больше 40 тыс. фолловеров и нужно было быть известным человеком. Верификация в Twiiter происходила в ручном режиме. Нужно было прислать скан паспорта и еще одного документа, а также заплатить $40. Все было хорошо, пока один британский журналист не верифицировал свой аккаунт как аккаунт жены Руперта Мердока. Были скандалы и с поддельными корпоративными аккаунтами крупных компании, например, запомнился фейковый акканут Goldman Sachs: в нем публиковались разговоры, подслушанные в офисных лифтах. Вокруг верифицированных аккаунтов идет очень много активности, все его хотят получить.
Известно, что борьба за галочки звёздочки верификации идет и в российских соцсетях. Кто-то на форуме коллеги рассказывали историю, что звонят какие-то люди (звезды местного значения) и требуют поставить им галочки. Особенно активны в этом вопросе…. колдуны и гадалки. Они звонят и требуют поставить им звездочку, в противном случае грозились навести порчу на этого секретаря. Было большое давление на психику молодых девушек, говорят доходило до срывов.
Отдельной темой являлась проблема финансовых организаций, которые по требованиям регуляторов обязаны знакть своих клиентов. Особенно остро вопрос стоит у платежных систем. Одной из основных причин по которой популярный сервис Bitcoin получил ограничения в США, Тайланде это была проблема верифкации пользователей.
Дело платежной системы Liberty Reserve ставит под сомнение будущее других систем, использующих виртуальные деньги. При наличии удобной, простой и надежной системы идентификации личности в интернете масштабы этих проблем молги бы быть существенно снижены.
Решение
Оценив масштабы и значимость проблемы удаленной проверки (верификации) личности человека в интернете мы предположили несколько гипотез. Несколько из них оказалаись верными и на основе этого мы придумали несколько способов верификации, которые могли бы в удобном, простом формате легально подтвердить личность человека.
В настоящее время нами уже создан такой проект по идентификации личности в интернете, к которому может присоединится любая площадка www.PublicVerification.com
Сервис работает в тестовом режиме.
Сейчас мы можем подтвердить личность гражданина России за 1 минуту задав ему несколько вопросов из его паспорта.
Первый вопрос у пытливого читателя: как вы это делаете?
Сейчас мы использовали самый “простой” (для нас) способ идентификации — мы сверяем вводимы данные человеком с государственными базами данных. После того как убедились что такой паспорт когда-то кому-то выдавался, такой человекр реально живет в России и т.д. мы будем просить пользователя сделать еще одно действие. Сейчас мы попросим человека взять нашу квитанцию и оплатить нам по реквизитам в ближайшем банке. При этом в назначении платежа будет наш специальный код. Для этого нужно будет зайти в интернет-банк или дойти с квитаницей до ближайшего банка. Это единственное неудобство. Но мы работаем над этим.
В будущем, например, возможно будет не отходя от компьютера ответить на дополнительные вопросы типа: какого цвета была ваша первая машина? Когда в последний раз летали из Сочи в Москву? Каков размер кредита полученного вами в Сбербанке в 2012 году?
Как мы получили доступ к таким массивам данных — это тема для отдельной большой статьи. И вы имеете право сказать что это невозможно. Два года назад я сказал бы то же самое. В целом можем сказать, что сделать легально это было очень и очень трудно (лично я потратил полгода на то, чтобы найти способ и несколько месяцев чтобы подключить), но мы это сделали. Мы можем ответственно заявить: у нас все легально! Перечисление разных лицензий и норм всех регуляторов у нас занимает полстраницы в договоре.
Всего мы планируем 8 каналов верификации. Пока что реализован один канал — паспорта граждан РФ. На два глобальных способа поданы патенты, 4 способа в стадии подготовки патента.
Что позволяет наше решение?
Пока готово решение B2B. Мы можем дать владельцам сайтов кнопку для встраивания в сайт или API. Сценарий: Пользователь видит кнопку “Верификация”, открывается окно, он отвечает на вопросы, информация идет к нам, мы обрабатываем полученную информацию и сообщаем статус сайту – подтвержден или нет. Вы после этого можете дать пользователяю дополнительные права и возможности, поставить рядом с его именем в профиле нашу галочку.
Как это работает?
Пользователь отвечает на вопросы ФИО, номер паспорта, дата рождения, адрес регистрации по паспорту, и т.д., мы обрабатываем вопрос и пересылаем предварительный статус верифицирован/не верифицирован вам. В некоторых случаях может понадобиться ручная верификация (когда есть нестыковки с введенными данными и тем, что известно нам. Обычно это технические ошибки в тексте.
Для окончательного подтверждения личности мы предлагаем пользователю оплатить в ближайшем банке (или через интернет-банк) нам 150 рублей. При этом в назначение платежа должен быть присвоенный ему временный код. После получения платежа и расшифровки кода мы можем сообщить окончательный статус верификации.
Что с юридической стороной?
Наше решение полностью соответствует действующему законодательству о Защите персональных данных. Мы с партнерами работаем под несколькими лицензиями Минсвязи, ФСБ и т.д. Нам стоило больших трудов договориться со всеми и построить механизм не нарушающий закон.
Дело в том, что мы не раскрываем информацию о пользователе и не собираем ее в широком смысле. Мы просто сверяем предоставленную им информацию с реальной информацией. Если все ок – мы сообщаем это третей стороне. При этом пользователь должен дать согласие на обработку своих персональных данных. С поставщиками данных у нас заключены прямые многостраничные договора на сверку данных. Пока мы проверяем внутри России паспортные данные человека. Есть вероятность того, что человек может взять чужой паспорт и внести данные другого человека. Для таких случаев есть два способа отсечения:
1) Дополнительный вопрос
2) Банковский перевод в нашу пользу с нашим кодом в назначении платежа.
Что с безопасностью?
Обмен информацией осуществляется по защищённым каналам связи (https). Применяется уровень защиты близкий к уровню банковских каналов связи (сертификаты SSL). Данные о пользователях не хранятся на нашей стороне. Мы храним минимальную инфорацию. Для нас самое важное — это статус. А информацию, при необходимости, мы всегда знаем где взять.
Какое покрытие?
В автоматическом режиме покрытие 50% населения РФ. В ручном режиме 95%. Иностранные граждане (16 стран) в ручном режиме — порядка 30%. Технология есть, но статистики нет. Можно проверить при подключении первой большой площадки.
Зачем это надо площадке?
У каждой площадки могут быть свои мотивы введения верификации. Наиболее частые связаны с развитием бизнеса, придания юридической значимости электронному договору, защитой от злоумышленников или повышения доверия внутри сообщества.
В сети активно развиваются проекты основанные на совместном потреблении. Рекомендую посмотреть лекцию Рейчел Боцман по этому поводу.
Основой всех проектов основанных на совместном действии является доверие и ожидания поведения других людей. Сложно представить без доверия такие проекты как airbnb.com и taskrabbit.com
С другой стороны, есть особо регулируемые государством отрасли, в которых идентификация личности клиента обязательна: банки, брокерские компании, платежные системы, букмекеры и т.д.
Некоторые российские компании используют верификацию на MoneyBookers или PayZa для того чтобы дать пользователям дополнительные функции на своем сайте. Сами платежные системы обязаны верифицировать пользователей для того, чтобы соответствовать правилам регулятора: Anti-Money Laundering и Know Your Customer . Это важные международные стандарты для стран которые являются участниками Группы разработки финансовых мер борьбы с отмыванием денег — FATF.
В стремлении выполнить эти требования с россиянами западные платежные системы вынуждены были запрашивать кучу документов, в которых не каждый российский юрист сможет разобраться, не говоря уже про иностранцев.
Периодическая потребность в верификации пользователей есть у газет бесплатных объявлений и бирж труда. Недавно free-lance.ru ввела систему верификации Уже верифицировано 4 000 человек. Смею предположить, что желающих было гораздо больше, но предложенная методика верификации по кредитной истории не покрывает значительную часть аудитории интернета. Компания FF.ru предложила интересное решение: верификация по кредитной истории. Но при этом в базу кредитных историй попадают люди которые:
а) когда-то обращались за кредитом
б) дали согласие на отправку своих данных в бюро кредитных историй (пока что граждане могут отказаться от этого)
Мы изначально отказались от такого метода верификации в пользу собственных разработок, с широким охватом и возможностями глобального применения.
Перспективы и планы
Мы планируем реализовать функцию верификации в 16 странах и одновременно сделать b2c решение. Идет общение с соцсетями, малыми и большими площадками по интеграции, но однако решения в этих компаниях принимаются неожиданно долго.
В Рунете нами верифицирована большая бюрократия. 🙂 К тому же выйти на нужных людей в российских компаниях и дождаться от них ответа оказалось сложнее, чем в Кремниевой долине. Там мы встретились со специалистами Facebook буквально за 2 дня, пообщались с людьми из Twiiter и других компаний сравнительно быстро.
Другой трудной задачей в России оказались венчурные инвестиции. Первую сотню тысяч в этот проект мы вложили сами, $150 000 в наш проект инвестировал бизнес-ангел Игорь Рябенький из Altair Capital. Но последующее общений с фондами как-то застопорилось. Мы пообщались практически со всеми. Многие ждут первых продаж. Понять их можно.
Один небольшой фонд нам сказал — приходите когда у вас будет миллион пользователей. Еле удержались от того чтобы сказать, что когда у меня будет миллион пользователей мы создадим собственный венчурный фонд с преферансом и гимназистками. 🙂
Предысторию знакомства с командой можно прочесть в этой статье с громким заголовком.
ссылка на оригинал статьи http://habrahabr.ru/post/188624/