Сегодня 23 октября 2017
18+
Теги → данные
Быстрый переход

OnePlus обещает не собирать данные с телефона без разрешения пользователя

Китайскую компанию OnePlus на прошлой неделе уличили в сборе данных с выпускаемых смартфонов под управлением OxygenOS без согласия пользователей. Разработчик Кристофер Мур обнаружил, что его смартфон OnePlus отправляет массу информации на сервер компании.

По словам Мура, данные, отправляемые с устройств под управлением OxygenOS, включают коды IMEI и серийные номера, MAC-адреса и сведения об особенностях их использования, например, когда открываются приложения или когда телефон разблокирован. И хотя пользователи могут отключить сбор некоторых данных, касающихся особенностей использования аппарата, остановить процесс сбора данных через пользовательский интерфейс на смартфоне невозможно.

Это вызвало волну критики среди пользователей. Поэтому компания решила отреагировать на ситуацию для предупреждения разрастания конфликта. Сооснователь OnePlus Карл Пей (Carl Pei) в посте на форуме компании затронул некоторые вопросы, касающиеся, в частности, сбора информации без получения на это согласия пользователя: «К концу октября все телефоны OnePlus, работающие под управлением OxygenOS, будут иметь диалоговое окно в мастере настройки с вопросом, хотят ли пользователи присоединиться к нашей программе взаимодействия с пользователем. Мастер установки чётко укажет, что программа собирает данные об использовании. Кроме того, мы включим условия соглашения об обслуживании, которые содержат разъяснение особенностей сбора аналитических данных. Также ставим вас в известность, что мы больше не будем собирать сведения о номерах телефонов, MAC-адреса и информацию о Wi-Fi-подключениях».

Пей подчеркнул, что хотя компания и собирала некоторую информацию о конкретном устройстве, чтобы обеспечить лучшую послепродажную поддержку, ничего из полученных данных не было передано третьей стороне, и информация использовалась только для получения сводных аналитических показателей.

Роскомнадзор раскрыл обещанную «страшную правду»

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) раскрыла смысл загадочного видеоролика, опубликованного в Интернете в минувшую пятницу.

Напомним, что ведомство на своих страницах в соцсетях обнародовало небольшой ролик с участием детей. Видео сопровождалось надписями «Во всех Telegram-каналах страны» и «Вы узнаете от детей страшную правду».

Сразу же стали высказываться предположения, что речь может идти о блокировке мессенджера Telegram в нашей стране. К счастью, эти опасения не оправдались.

Как теперь выясняется, загадочным роликом Роскомнадзор попытался привлечь внимание к теме безопасности персональных данных. «Страшная правда заключается в том, что за нашими персональными данными идёт постоянная охота. Поэтому чувство бережного отношения к своим персональным данным необходимо воспитывать с детства», — пишет ведомство.

Сообщается, что ровно через месяц, 9 ноября, стартует VII Международная конференция «Защита персональных данных». В мероприятии примут участие представители телекоммуникационных компаний, интернет-сообщества, федеральных органов исполнительной власти, компаний в области информационной безопасности и пр. Специалисты обсудят особенности регулирования отрасли, в том числе в рамках международных экспертных встреч.

Участники рынка через форму на официальном сайте конференции могут задать вопросы, касающиеся работы Минкомсвязи, Роскомнадзора, Федеральной службы безопасности (ФСБ), Федеральной службы по техническому и экспортному контролю (ФСТЭК) в области защиты личной информации. 

«Лаборатория Касперского» создала «инфодоллар» — экспериментальную дата-валюту

«Лаборатория Касперского» организовала весьма необычный эксперимент с использованием цифровой валюты нового типа — так называемых «инфодолларов», или Data Dollar.

Идея заключается в том, чтобы предоставить пользователям возможность расплачиваться за товары или услуги своей персональной информацией. Это могут быть, скажем, фотографии, видеоролики, личная переписка и т. п.

В рамках эксперимента в центре Лондона на два дня был открыт уникальный магазин Data Dollar Store, где продавались вещи с принтами известного граффити-художника Бена Айне. Причём расплатиться за покупки посетители могли только личными данными со своего смартфона.

В частности, дата-валютой предлагалось оплатить кружки, футболки с работой Бена Айна и его принты. Так, за кружку нужно было заплатить тремя фотографиями или скриншотами переписки на свой выбор, за футболку — тремя последними фотографиями или скриншотами последних сообщений мессенджера. Эксклюзивный принт «стоил» дороже всего — представитель магазина сам выбирал пять фотографий или три скриншота, которыми необходимо было пожертвовать. Данные, которыми расплачивались посетители, в течение двух дней демонстрировались на экране в витрине магазина на оживленной станции метро.

Логотип новой валюты «инфодоллар»

Логотип новой валюты «инфодоллар»

Организаторы эксперимента говорят, что пользователи зачастую недооценивают значимость своих личных данных. Между тем количество электронной информации, в том числе персонального характера, увеличивается в геометрической прогрессии, и находится много желающих получить её.

«С помощью инфодоллара мы хотим показать людям, чего действительно стоят их данные. В идеале если какой-либо сайт оказывает свои услуги бесплатно, но взамен зарабатывает деньги на личных данных пользователей, он должен предупреждать об этом символом инфодоллара. Таким образом он продемонстрирует, что на самом деле обмен всё-таки происходит», — говорят в «Лаборатории Касперского». 

DJI запускает офлайн-режим для дронов

Компания DJI объявила о запуске автономного режима данных (Local Data Mode) для своих дронов, в котором прекращается получение и отправка данных в Интернете при нахождении беспилотника в полёте.

Новый режим, анонсированный компанией ещё в августе после того, как армия США запретила воинским подразделениям использовать беспилотные летательные аппараты DJI из-за возможных кибер-уязвимостей, является фактически функцией конфиденциальности. Он будет доступен в последнем обновлении приложения DJI Pilot для CrystalSky (планшета DJI, оптимизированного компанией для своих дронов), а также для некоторых планшетов на платформе Android.

Отмечается, что этот режим пока будет недоступен для платформы iOS или потребителей, использующих приложение DJI GO 4. DJI сообщила ресурсу The Verge, что потребуется определённое время, чтобы проверить, как новый режим покажет себя в приложении Pilot. Приложение DJI Pilot предназначено для беспилотных летательных аппаратов, используемых в профессиональных целях.

Режим Local Data Mode блокирует поступление и отправку всех интернет-данных, поэтому приложение не сможет определять местоположение пользователя, демонстрировать карты или определять зоны, запрещённые или имеющие ограничения для полётов.

Компания сообщила, что данные о телеметрии в журналах полётов, включая высоту, расстояние или скорость, будут сохраняться в памяти дрона, даже если функция автономного режима данных деактивирована. Все фотографии и видео на SD-карте останутся там же, если только пользователь не захочет поделиться ими с друзьями или загрузить их в Сети.

DJI объяснила, что данный режим — это ещё один уровень безопасности, который может понадобиться для особых операций, связанных, например, с правительственными проектами.

Facebook оштрафовали в Испании на 1,2 млн евро

Испанское агентство по защите данных (Agencia Española de Proteccion de Datos, AEPD) наложило штраф на Facebook в размере €1,2 млн в связи с выявлением нескольких нарушений, заключающихся в сборе данных о пользователях без их информирования, как того требует законодательство ЕС о конфиденциальности.

Reuters/Philippe Wojazer

Reuters/Philippe Wojazer

В частности, Facebook собирает данные об идеологических и религиозных убеждениях, а также о поле, персональных вкусах и привычках пользователей в веб-сёрфинге, не сообщая им о том, как эти данные будут в дальнейшем использоваться. Проблема также заключается в том, что Facebook не получала чёткого и осознанного согласия от пользователей, поскольку информация, которую она сообщала им по поводу сбора данных, не была в достаточной степени ясной.

Компания также отслеживает вкусы как участников социальной сети, так и не являющихся её пользователями, с помощью оценки «Like», не сообщая им об этом виде отслеживания и о том, что она планирует делать с этими данными.

Кроме того, Facebook продолжает использовать данные учётных записей, которые были удалены более 17 месяцев. Учитывая, что эти данные больше не являются необходимыми для целей, указанных при их сборе, агентство сочло это ещё одним серьёзным нарушением законодательства ЕС о конфиденциальности.

Всего AEPD насчитало три серьёзных нарушения законодательства ЕС, за два из которых был начислен штраф по €300 тыс. за каждое, и за третье было начислено взыскание в €600 тыс.

Социальной сети Facebook ранее уже был назначен штраф судом Бельгии за аналогичные нарушения. Однако его решение было отменено апелляционным судом, поскольку Facebook базируется в Ирландии, и Бельгия не имеет юрисдикции в отношении компании. Пока не ясно, закончится ли новое дело в Испании таким же образом.

Взлом хакерами Equifax мог открыть доступ к данным почти половины населения США

В США разразился громкий скандал, вызванный хакерским взломом базы данных одного из крупнейших в стране кредитных бюро Equifax. Факт незаконного проникновения хакеров был обнаружен компанией 29 июля, но она сообщила об этом только сейчас.

Mike Stewart / AP

Mike Stewart / AP

Злоумышленники получили доступ к персональной информации, включая социальные номера и даты рождения, 143 млн человек, что составляет почти половину населения США, насчитывающего 323 млн граждан. В сообщении инвесторам компания указала, что хакеры похитили сведения о номерах кредитных карт 209 тыс. человек, а также получили документы с личной информацией о 182 000 пострадавших. Проверить, были ли похищены их данные, пользователи могут на сайте компании.

Указанные Equifax цифры не включают пострадавших от взлома из других стран. Компания сообщила о краже данных граждан Канады и Великобритании, но не назвала их число. «Преступники использовали уязвимость приложений веб-сайта в США для доступа к определённым файлам», — указала Equifax в своем заявлении.

Скандал усугубляется тем, что три руководителя Equifax продали акции компании после того, как был обнаружен взлом. Как выяснилось, руководители, включая главного финансового директора компании, продали акции на сумму почти $1,8 млн через три дня после обнаружения нарушения и за несколько недель до обнародования факта случившегося.

Комиссия по ценным бумагам и биржам США запрещает корпоративным инсайдерам, таким как руководители, сотрудники и директора, покупать или продавать акции своей компании, обладая при этом существенной информацией, которая ещё не была опубликована. Но Equifax отрицает, что руководители реализовали свои акции на основе инсайдерской информации.

«Три руководителя, которые продали небольшой процент своих акций Equifax во вторник, 1 августа и в среду, 2 августа, не знали, что взлом произошёл во время продажи», — заявила Инес Гутцмер (Ines Gutzmer), руководитель отдела корпоративных коммуникаций Equifax.

Закон о локализации баз персональных данных россиян соблюдает большинство компаний

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) подвела итоги реализации федерального закона о локализации баз персональных данных российских граждан на территории России.

Напомним, что 1 сентября 2015 года вступил в силу закон о хранении персональных данных россиян на серверах в РФ. Многие IT-компании практически сразу осуществили перенос сведений об отечественных веб-пользователях на серверы в нашей стране. Но были выявлены и нарушения.

Как сообщается, с момента реализации закона сотрудниками Роскомнадзора проведено 2256 плановых проверок, 192 внеплановые проверки и более 3000 мероприятий систематического наблюдения. По итогам проделанной работы выявлено 56 нарушений требований, связанных с локализацией персональных данных, что составляет около 1 % от общего числа зафиксированных нарушений.

Таким образом, сообщает ведомство, требования закона соблюдаются абсолютным большинством проверенных компаний.

Кроме реализации плановых проверок Роскомнадзор реагирует на обращения граждан, анализирует публикации СМИ и назначает дополнительные контрольно-надзорные мероприятия. В целях снижения административной нагрузки на бизнес приоритет в таком случае отводится мероприятиям систематического наблюдения, проводимым без взаимодействия с поднадзорной организацией. 

Apple, Facebook, Google призывают Верховный суд США повысить защищённость данных владельцев сотовых телефонов

Более десятка высокотехнологичных компаний, включая Apple, Facebook, Google, Twitter, Snap, а также крупнейший оператор беспроводной связи США Verizon Communications призвали Верховный суд США ужесточить критерии доступа для правительственных чиновников к персональным данным владельцев мобильных телефонов.

Reuters/Mike Blake

Reuters/Mike Blake

В понедельник компании направили в Верховный суд США документ на 44 страницах, касающийся спора о необходимости наличия у полиции ордера для получения данных о местонахождении мобильного телефона.

В документе высказано мнение, что поскольку данные об отдельных лицах всё чаще собираются с помощью цифровых устройств, согласно закону требуется более высокая степень защиты конфиденциальности.

«То, что пользователи полагаются на технологические компании для обработки своих данных в ограниченных целях, вовсе не означает, что они предполагают возможность контроля правительством без ордера их сокровенных сведений», — говорится в обращении компаний.

Следует отметить, что в июне Верховный суд согласился принять к рассмотрению апелляцию Тимоти Карпентера, который был осуждён в 2013 году за серию вооружённых ограблений магазинов Radio Shack и T-Mobile в Огайо и Мичигане. Федеральные прокуроры смогли доказать связь Карпентера с несколькими ограблениями, используя информацию базовых сотовых станций о его местонахождении, полученную у его оператора беспроводной связи.

Карпентер утверждает, что без ордера суда получение таких данных представляет собой «необоснованный обыск и изъятие» согласно Четвёртой поправке к Конституции США. Но в прошлом году федеральный апелляционный суд оставил в силе приговор, подтвердив, что ордер не требуется.

Вместе с тем некоторые адвокаты считают, что полиции требуется «резонное основание» и, следовательно, ордер, чтобы избежать конституционно необоснованных обысков.

Компании заявили, что Верховный суд должен уточнить вопросы конфиденциальности персональных данных людей, которые не должны остаться незащищёнными от нарушающих законодательство действий правительства просто из-за того, что выбрали цифровые технологии.

Производитель беспилотников DJI повысил меры безопасности после запрета Пентагона

Китайский производитель дронов SZ DJI Technology усилил защиту данных в своих беспилотных летательных аппаратах после того, как армия США решила прекратить использование её беспилотников из-за «кибернетических уязвимостей», сообщило агентство Reuters со ссылкой на заявление официального представителя компании.

Брендан Шульман (Brendan Schulman), вице-президент DJI по политическим и правовым вопросам, рассказал агентству Reuters, что компания ускоряет развертывание системы, которая позволяет пользователям отключиться от Интернета во время полётов, что делает невозможным поступление журналов рейсов, фотографий или видеороликов на серверы DJI.

Эта мера безопасности находилась в разработке у DJI в течение нескольких последних месяцев. Компания заявила, что запускает её раньше, чем планировалось, из-за поступления приказа армии США в начале этого месяца, который запрещает воинским подразделениям использовать беспилотные летательные аппараты DJI.

DJI сообщила, что не собирает изображения, видео или журналы рейсов пользователей, если только те не делятся ими. Но запуск нового «локального режима данных» предотвратит случайную синхронизацию с серверами DJI. Её беспилотники не зависят во время полёта от интернет-соединения.

Служебная записка армии США заставила клиентов выразить озабоченность по поводу безопасности данных и побудила DJI ускорить внедрение изменений для повышения их защищённости, говорит Шульман.

DJI отметила, что у неё не было никакого общения с армией США по этому вопросу. Комментарии Пентагона по этому поводу пока не поступали.

Минкомсвязи подготовило предложения по перечню данных интернет-пользователей для передачи в ФСБ

Минкомсвязи России подготовил предложения по перечню данных интернет-пользователей, которые подлежат передаче в ФСБ организаторами распространения информации, внесенными в реестр Роскомнадзора, в случае выдачи ведомством соответствующего запроса. Проект приказа Минкомсвязи опубликован на портале проектов нормативных правовых актов.

mckinsey.com

mckinsey.com

К организаторам распространения информации относятся интернет-компании, мессенджеры и социальные сети, включая «Яндекс», Mail.ru Group, «ВКонтакте», «Одноклассники», Rambler & Co. Предлагаемый Минкомсвязи перечень включает такие сведения о пользователе, как логин, фамилия, имя, отчество, паспортные данные, дата рождения, адрес, языки, которыми он владеет, список его родственников, адрес электронной почты. Также предполагается передавать в спецслужбу текст сообщений, аудио- и видеозаписи, информацию о дате и времени авторизации и выхода пользователя из информационного сервиса, наименование программы-клиента.

Проект приказа подготовлен в рамках реализации так называемого «пакета Яровой». В настоящее время проект находится на этапе проведения публичного обсуждения, который продлится до 6 сентября 2017 года. «Закон Яровой» вступает в силу в части хранения и передачи персональных данных россиян 1 июля 2018 года. 

Российские пользователи не утруждают себя резервным копированием данных

Компания ESET подвела итоги исследования, в ходе которого пользователям из России и СНГ предлагалось ответить на вопрос «Какие правила компьютерной безопасности вы нарушаете?».

Нужно сразу оговориться, что те пользователи, которые соблюдают все без исключения рекомендуемые правила компьютерной безопасности, в результатах опроса не учитывались.

Итак, выяснилось, что самым распространённым нарушением правил безопасности является нежелание создавать резервные копии данных. В частности, 59 % респондентов признались в том, что не утруждают себя формированием бекапов.

Треть опрошенных — 34 % — сообщили, что отключают автоматическое обновление операционной системы. Ещё 29 % респондентов признались, что применяют один и тот же пароль для входа во все учётные записи. Понятно, что в данном случае злоумышленники, похитив пароль, могут получить доступ сразу ко всем сервисам, которыми пользуется жертва.

Ещё 11 % участников опроса открывают вложения во всех письмах и переходят по ссылкам, не проверяя их. Такая неосмотрительность зачастую оборачивается получением вредоносных программ, в том числе шифраторов.

Наконец, приблизительно 9 % пользователей добавляют в друзья в социальных сетях незнакомцев. 

Приложение «ВКонтакте» уличили в передаче информации о пользователях

Мобильное приложение социальной сети «ВКонтакте» передаёт своему разработчику — компании Mail.ru Group — информацию о пользователях, включая данные о месторасположении, название мобильного оператора, идентификационные номера SIM-карты и мобильного телефона. Об этом сообщила газета «Ведомости» со ссылкой на программиста из Санкт-Петербурга Владислава Велюгу, проанализировавшего работу приложения.

По словам представителя «ВКонтакте» Евгения Красникова, социальная сеть и не скрывает сбор информации о пользователях в рекламных целях. «Любая соцсеть фиксирует и анализирует огромное количество данных, чтобы улучшать персональную выдачу контента. У каждого типа данных есть собственная конкретная задача», — сообщил газете Красников. Например, по смене идентификационного кода SIM-карты можно определить, сменил ли пользователь телефон, чтобы отправить ему код для валидации.

Представитель Mail.ru Group сообщил газете, что данные пользователей «Вконтакте» собирает общедоступный модуль мобильной аналитики myTarget. «MyTarget отправляет данные на серверы Mail.ru Group для обработки и анализа, потом возвращает зашифрованные отчёты компании „ВКонтакте“», — пояснил он. По мнению представителя Mail.ru Group, любое крупное приложение собирает аналогичные данные в качестве единственного источника обратной связи с пользователями. 

Две трети операторов персональных данных не соблюдают требования законодательства

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) отчиталась о проведении проверок в сфере защиты прав субъектов персональных данных.

По информации Роскомнадзора, сейчас наблюдается тенденция роста количества жалоб граждан на незаконные действия операторов, осуществляющих обработку персональных данных. Более того, по результатам рассмотрения обращений граждан в деятельности операторов систематически фиксируются нарушения, носящие повторяющийся характер.

Сообщается, что в первом полугодии текущего года было проведено более 530 проверок. Выяснилось, что приблизительно две трети операторов персональных данных не соблюдают требования законодательства. Так, те или иные нарушения были выявлены в 65 % случаев.

Наиболее часто встречаются нарушения, связанные с представлением в уполномоченный орган уведомления об обработке персональных данных, которое содержит неполные и (или) недостоверные сведения. На такие действия операторов приходится 11 % от общего количества выявленных нарушений.

В 9 % нарушений выявлено непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законом «О персональных данных».

Кроме того, зачастую операторы не направляют в уполномоченный орган сведения о прекращении обработки персональных данных или об изменении информации, содержащейся в уведомлении об обработке персональных данных.

Выявлены также такие нарушения, как несоответствие содержания письменного согласия субъекта персональных данных на обработку информации требованиям законодательства; отсутствие у оператора места хранения персональных данных (материальных носителей); несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации.

Наконец, зачастую осуществляется обработка персональных данных в случаях, непредусмотренных Федеральным законом «О персональных данных». 

Nexar хочет сделать автономный транспорт лучше с помощью 55 тысяч дорожных фото из 80 стран

Nexar в рамках открытого конкурса представила набор данных NEXET, который, по словам компании, является крупнейшей базой разнообразных в географическом плане фотографий для развития автомобильных технологий. База включает 55 тысяч помеченных снимков из более чем 80 стран в разных погодных условиях и при разном освещении.

Каждая фотография была сделана во время движения по дороге с помощью приложения компании для iOS и Android, которое работает по технологии Vehicle-to-vehicle (V2V). Компания выпустила набор данных, чтобы ускорить разработку моделей восприятия самоуправляемых автомобилей, которые могли бы работать в разных погодных и дорожных условиях, а также в различных странах.

Цель Nexar — избавиться от пробелов во многих текущих исследованиях, в рамках которых используются изображения либо из очень недоступных точек планеты, либо из симулированных или лабораторных окружений. Любой разработчик программного обеспечения знает, что существуют проблемы, которые можно обнаружить только при работе в реальных условиях. Это особенно сильно касается обучения систем автономных машин.

Главная задача компании — создать расширенную систему поддержки водителей, которая использует данные из множества источников, получаемые через устройства пользователей по всему миру. Конкурс Nexar как раз и должен помочь ей в достижении этой цели.

GameStop подтвердила кражу данных кредитных карт покупателей

GameStop, одна из крупнейших розничный сетей по продаже игровых консолей, видеоигр, игровых аксессуаров и аксессуаров для ПК, разослала своим клиентам электронные письма с извещением о возможной краже данных их кредитных карт.

Ethan Miller/Getty Images

Ethan Miller/Getty Images

Напомним, что в апреле 2017 года GameStop заявила, что изучает возможную утечку данных, которая могла бы поставить под угрозу информацию о кредитных картах клиентов. Подтверждая эти подозрения, ресурс Kotaku сообщил, что несколько клиентов GameStop получили письма с уведомлением о том, что реквизиты их кредитных карт были украдены.

В этих письмах, которые поступили некоторым читателям ресурса Kotaku, а также его главному редактору, GameStop предупредила, что хакеры могли в результате взлома получить доступ к персональным данным её покупателей, включая имена, адреса и информацию о кредитных картах тех, кто разместил или попытался разместить заказы на её сайте с 10 августа 2016 года по 9 февраля 2017 года. «Мы уведомляем вас в связи с тем, что вы разместили или попытались разместить заказ на www.GameStop.com в течение этого периода времени, используя платёжную карточку, заканчивающуюся на (номер), — говорится в письме.

Этот год нельзя назвать удачным для GameStop. Ранее розничная сеть сообщила о намерении закрыть около 150 магазинов в связи с падением продаж из-за роста цифровых загрузок. В прошлом году компания создала собственное издательское сообщество, чтобы оставаться актуальной в мире игр, который становится всё более цифровым.