Болотяний присмак клікера Hamster Combat
Днями українські медіа про digital почали випускати матеріалі про небезпеку популярної Телеграм-фармілки Hamster Combat. Вони побачили, що домен зареєстрований через Nic.ru і швидко зробили висновки про збір даних українських користувачів.
Аналізуємо проект більш детально, щоб зробити висновки про його походження і потенціальну небезпеку.
Що відомо про Hamster Combat
Hamster Combat останній місяць форситься Телеграм-каналами, на Ютубі, в TikTok та інших соцмережах. Зокрема, його активно просувають і в українському сегменті. Здебільшого, це роблять для залучення рефералів, за яких на баланс капають монетки.
На офіційному сайті проєкту відсутні сторінки та дані для ідентифікації компанії чи хоча б країни. 24 травня користувач Twitter помітив, що домен гри лежить у російського реєстратора. Цього факту вже достатньо, щоб ідентифікувати Hamster Combat як російський продукт.
Для реєстрації домена в gTLD зонах не обов'язково додавати скани паспорта, але овнери проєкту навіть не намагалися сховатися від OSINTерів. Тому вони пішли на перший-ліпший сайт з пошукової видачі, спокійно зареєстрували домен та почали видавати продукт за міжнародний.
Для реєстрації домена в gTLD зонах необов'язково додавати скани паспорта, але сервіс може запросити актуалізацію анкети в будь-який момент і для цього потрібно додавати скан паспорта навіть для закордонних доменів.
Тому логічно, що овнери або з росії або з країн так званого СНД.
Комунікація англійською, локальні чати та ведення акаунту в Twitter — стандартний механізм просування криптопродуктів. Але на цьому винахідливість розробників гри закінчується, ідентифікувати геоприв'язку команди можна за 2 хвилини.
Болотний слід
Скріншоти з whois чекерів гуляють по інтернету вже кілька днів. Навіть була інформація, що розробники намагалися приховати цей факт, але є така штука як історичні дані.
Нагадаємо, що на сайті немає політики конфеденційності, умови зберігання даних, публічної довідки. Жодних документів для підтвердження надійності проєкту теж немає.
Йдемо далі, збираємо ID адмінів та модерів в офіційних чатах Hamster Combat і бачимо наступну картину:
Чекаємо групи деяких заступників та бачимо, що в них проскакують локальні російські спільноти, на кшталт групи забудовника в Пітєрє. Все зрозуміло без додаткових слів.
Більшість адмінів приховали особисті дані в TG, але заступники з російськими телефонами перетинаються як в російському, так і в міжнародному чатах.
Які дані збирає клікер
Hamster Combat працює на базі Telegram Mini Apps. Це надбудова, яка дозволяє створювати веб-застосунки з авторизацією через акаунт месенджера. Гра входить в список Editor's Choiсe, тому логічно припустити, що в неї дуже велика авдиторія.
Згідно ToS для Mini Apps веб-застосунки мають доступ до:
- IP-адреси.
- ID користувача;
- фото;
- загальнодоступного ім’я;
- зображення профілю;
- статусу преміум-підписки.
За запитом застосунку користувач може поділитися номером телефону і місцезнаходженням. Але поки що Hamster Combat не вимагає надання цих даних.
Фінансову перспективу в рамках цієї статті розглядати не будемо, все і так зрозуміло. У проєкта немає токеноміки і навіть whitepaper. У деяких користувачів вже по кілька мільярдів монет за місяць.
А ось небезпека для українських користувачів точно є. Деякі користувачі фармлять монети на «фермах» з десятків акаунтів, які відкриті у фоновому режимі. Ніхто не заважає розробникам змінити контент гри та додати якийсь трекер для збору інформації.
Гра стала дуже популярною серед школярів, а це дуже небезпечно. Вони можуть стати потенційною мішенню інформаційних атак. Тому клікер не треба вважати безглуздою «іграшкою» по дефолту.
Висновки кожен зробить сам, даних достатньо для об'єктивного аналізу. Вебам не рекомендуємо ловити FOMO від кожного нового клікера. NotCoin приніс багатьом ікси, але кожний наступний проєкт — це слабка тінь першопрохідців.