На этой неделе Федеральная торговая комиссия (FTC) США выступила с предложением о внесении ряда радикальных изменений в работу Meta✴ Platforms, являющейся материнской для Facebook✴, Instagram✴ и WhatsApp. В ведомстве уверены, что компания нарушает целый комплекс мер по защите конфиденциальности детей, включая Закон о защите конфиденциальности детей в Интернете (COPPA).

Источник изображения: StartupStockPhotos / Pixabay

В сообщении регулятора сказано, что Meta✴ нарушает постановление о конфиденциальности от 2020 года. В частности, приводятся примеры, когда компания вводила родителей в заблуждение относительно возможностей контроля того, с кем общаются их дети через сервисы Meta✴, такие как Messenger Kids. Кроме того, гигант социальных сетей обвиняется в искажении информации о доступе к частным данным пользователей, которые компания предоставляет сторонним разработчикам приложений.

«Facebook неоднократно нарушала свои обещания в плане конфиденциальности. Безрассудство компании подвергло риску молодых пользователей, и Facebook✴ должна ответить за свои промахи», — прокомментировал данный вопрос директор бюро по защите прав потребителей при FTC Самуэль Левин (Samuel Levine).

FTC предлагает запретить Meta✴ и её дочерним компаниям монетизировать данные детей младше 18 лет. В дополнение к этому предлагается запретить компании запускать новые услуги и продукты без разрешения от независимого эксперта по вопросам конфиденциальности, а также обязать Meta✴ получать явное разрешение пользователей на использование технологий распознавания лиц. Эти правила будут распространяться на Facebook✴ и другие принадлежащие Meta✴ платформы, включая Instagram✴, Oculus и WhatsApp. Они также будут распространяться на любые компании, которые Meta✴ может купить в будущем.

Представитель Meta✴ Энди Стоун (Andy Stone), комментируя предложение FTC, назвал его «политическим трюком», а также обвинил регулятора в попытке «узурпировать полномочия Конгресса по установлению общеотраслевых стандартов». Позднее Meta✴ опубликовала официальное заявление, в котором сказано, что FTC не имеет права навязывать в одностороннем порядке новые правила.

На прошлой неделе в сообществе Reddit появились сообщения о проблемах с конфиденциальностью в браузере Edge. Пользователи обратили внимание на то, что последняя версия обозревателя Microsoft отправляет запросы к Bing API (bingapis.com), передавая полные адреса практически всех посещённых веб-страниц.

Источник изображения: Microsoft

Энтузиасты попытались выяснить назначение данной функции, но им не удалось этого сделать, поскольку такое использование Bing API не задокументировано. Разработчик Рафаэль Ривера (Rafael Rivera) также заинтересовался данным вопросом. Он провёл собственное расследование и пришёл к выводу, что подобное поведение Edge может быть связано с плохо реализованной новой функцией обозревателя.

«В Microsoft Edge теперь есть функция подписки на авторов, которая включена по умолчанию. Похоже, что она предназначена для уведомления Bing, когда вы находитесь на определённых сайтах, таких как YouTube, The Verge и Reddit. Похоже, она работает неправильно, отправляя в Bing данные о практически всех посещённых страницах», — приводит источник слова Риверы.

Источник изображения: Leopeva64 / Reddit

В сообщении сказано, что Microsoft начала тестировать упомянутую функцию ещё в прошлом году, а последние месяцы она была развёрнута более широко. Предполагается, что она поможет пользователям Edge следить за обновлениями любимых авторов на YouTube и других площадках. Также отмечается, что в случае, если пользователь самостоятельно отключит функцию подписки на авторов в настройках Edge, то браузер перестанет отправлять данные о посещённых сайтах в Bing.

«Нам известно о сообщениях, в настоящее время мы проводим расследование и примем соответствующие меры для решения обнаруженных проблем», — прокомментировала данный вопрос глава отдела коммуникаций в Microsoft Кейтлин Роулстон (Caitlin Roulston). Пока Microsoft не завершит расследование и не исправит ошибку, пользователям Edge рекомендуется отключить функцию подписки на авторов в настройках браузера.

ФБР, Интерпол, Национальное агентство по борьбе с преступностью Великобритании и правоохранительные органы ряда других стран раскритиковали решение компании Meta✴ Platforms расширить использование сквозного шифрования сообщений на своих платформах. Об этом пишет Financial Times со ссылкой на соответствующее заявление.

Источник изображения: Christina @ wocintechchat.com/unsplash.com

Виртуальная глобальная рабочая группа (VGT), куда входят представители 15 правоохранительных организаций разных стран, в том числе занимается защитой детей от сексуального насилия и домогательств в интернете. В организации посчитали, что намерение Meta✴ расширить использование сквозного шифрования ухудшит ситуацию и осложнит обеспечение безопасности детей. Правоохранители призвали технологические компании сбалансировать усилия, направленные на поддержку конфиденциальности пользователей, с усилиями по обеспечению безопасности детей в интернете.

«VGT призывает всех отраслевых партнёров в полной мере оценить влияние решений по проектированию системы, которые могут обернуться случаями сексуального насилия над детьми на их платформах, или снизят возможность выявлять такие случаи и обеспечивать безопасность детей», — сказано в заявлении VGT.

Представитель Meta✴ отметил, что компания разработала механизмы, которые позволяют эффективно выявлять и противодействовать нарушениям прав пользователей, в том числе несовершеннолетних. «Подавляющее большинство британцев уже использует приложения, в которых реализовано шифрование. Мы не думаем, что люди хотят, чтобы мы читали их личные сообщения, поэтому разработали механизмы, которые предотвращают, обнаруживают и позволяют предпринимать меры против злоупотреблений, сохраняя при этом высокий уровень конфиденциальности и безопасности», — заявил представитель Meta✴. Он также добавил, что компания остаётся привержена сотрудничеству с правоохранительными органами и экспертами по безопасности детей.

WhatsApp, Signal и некоторые другие сервисы обмена сообщениями призвали правительство Великобритании пересмотреть законопроект о безопасности в интернете (OSB), который обяжет платформы следить за пользователями по запросу правоохранительных органов. Разработчики считают, что новый закон нарушит конфиденциальность пользовательских данных, но власти уверены, что он необходим для защиты детей от насилия.

Источник изображения: Pixabay

«Мы поддерживаем надёжное шифрование, но оно не должно достигаться за счёт общественной безопасности <…> Закон о безопасности в интернете ни в коем случае не является запретом на сквозное шифрование и не требует от сервисов ослабления шифрования», — прокомментировал данный вопрос представитель правительства Великобритании.

Напомним, сквозное шифрование (E2EE) обеспечивает высокий уровень конфиденциальности, поскольку доступ к передаваемым данным имеют только участники чата. Данные шифруются и расшифровываются непосредственно на пользовательских устройствах, из-за чего даже операторы сервиса не имеют доступа к ним.

«Ослабление шифрования является подрывом конфиденциальности и ведёт к массовой слежке за частными сообщениями людей <…> Сторонники законопроекта говорят, что они понимают важность шифрования и конфиденциальности, но при этом утверждают, что можно следить за сообщениями каждого, не подрывая сквозное шифрование. Правда заключается в том, что это невозможно», — говорится в открытом письме, которое подписали руководители ряда технологических компаний, включая Signal, WhatsApp, Wire, Element и др.

Итальянское агентство по защите данных объявило о начале расследования в отношении чат-бота ChatGPT компании Open AI в связи с предполагаемым нарушением правил сбора и обработки данных ИИ-алгоритмом. На этом фоне ведомство временно ограничило работу чат-бота в стране и запретила ему использовать персональные данные итальянских пользователей. Подобный прецедент произошёл впервые в мире.

Источник изображения: Rolf van Root/unsplash.com

В дополнение к этому регулятор обвинил ChatGPT в том, что алгоритм не проверят возраст пользователей. Этот пункт обвинений также является важным, поскольку в соответствии с действующим законодательством взаимодействовать с чат-ботом можно с 13 лет. Кроме того, предоставленная ChatGPT информация не всегда соответствует фактическим данным, из-за чего возникают неточности при обработке персональной информации.

По данным источника, итальянский регулятор не нашёл «каких-либо правовых оснований, оправдывающих массовый сбор и хранение персональных данных с целью обучения алгоритмов, которые лежат в основе платформы» Open AI. Официальные представители Open AI пока воздерживаются от комментариев по данному вопросу.

Работа ChatGPT в Италии будет ограничена до тех пор, пока чат-бот не приведут в соответствие с законом Евросоюза о защите персональных данных. OpenAI должна исполнить требование итальянского регулятора в течение 20 дней, иначе ей грозит штраф до 4 % годового оборота или 20 миллионов евро. Ещё власти Италии напомнили, что на прошлой неделе произошла утечка данных платных подписчиков ChatGPT. Из-за сбоя некоторые пользователи могли видеть чужие имена, фамилии, их адреса электронной почты, а также платежную информацию.

С момента запуска чат-бота ChatGPT в конце прошлого года алгоритм стал пользоваться огромной популярностью по всему миру. В январе этого года, всего через два месяца после запуска, количество ежемесячно активных пользователей ChatGPT превысило 100 млн человек. Стремительное увеличение популярности сделало ChatGPT самым быстрорастущим потребительским приложением в истории IT-индустрии.

Google уже второй раз за последние несколько дней подверглась санкциям со стороны судебных инстанций США. В минувшую среду магистратский судья Окружного суда США в Северном округе Калифорнии Сьюзан ван Кеулен (Susan van Keulen) обвинила компанию в невыполнении сроков, установленных в прошлогоднем судебном постановлении по коллективному иску об обеспечении конфиденциальности данных пользователей.

Источник изображения: Pixabay

Как судебное постановление от мая 2022 года, так и нынешнее касаются доказательств Google об использовании клиентами опции приватного просмотра в браузере компании.

Напомним, что в коллективном иске, поданном от имени десятков миллионов пользователей сервисов Google, утверждается, что компания незаконно отслеживала действия пользователей, когда те занимались веб-сёрфингом с помощью браузера Chrome в приватном режиме (режиме «инкогнито»).

В свою очередь, Google заявила, что пользователи браузера Chrome знали о сборе информации в режиме «инкогнито» и давали на него согласие. Представитель Google отметил, что компания предоставила множество документальных подтверждений осведомленности пользователей о сборе данных.

Согласно решению судьи, Google запрещено полагаться на показания некоторых свидетелей-сотрудников по делу о нарушении конфиденциальности пользователей. Кеулен также постановила, что Google должна компенсировать комиссионные, связанные с выплатами двум экспертам, привлечённым истцами, и заплатить штраф в размере $79 000.

Несколькими днями ранее Google признали виновной в нарушении судебного предписания сохранять сообщения в рабочем чате сотрудников компании — это касается материалов по антимонопольному иску, поданному Epic Games. В связи с этим суд обязал Google покрыть расходы Epic на гонорары адвокатов по данному вопросу, а решение о санкциях будет вынесено немного позже.

Конфиденциальность в условиях метавселенной может оказаться невозможной без мер безопасности нового поколения, гласят результаты исследования, проведённого учёными Калифорнийского университета в Беркли.

Источник изображения: Gerd Altmann / pixabay.com

Самым удивительным аспектом исследования стал тот факт, что для идентификации пользователя в виртуальном пространстве требуется чрезвычайно малый объём данных, поэтому настоящая анонимность в метавселенной может быть вообще исключена. Современные гарнитуры виртуальной реальности оборудуются многочисленными камерами, микрофонами и сенсорами, собирающими различные данные: черты лица пользователя, тембр голоса, движения глаз, а также окружающие его объекты в доме или офисе. В перспективе допускается даже установка ЭЭГ-сенсоров, считывающих показатели активности мозга через кожу головы. И даже если удалить весь этот комплект, анонимность обеспечить всё равно не получится — для идентификации человека достаточно проанализировать простые данные о его движении.

Под «простыми данными» подразумеваются движения трёх базовых точек, отслеживаемых гарнитурами виртуальной реальности: одной на голове и двух на руках пользователя — это минимальный набор данных, необходимых для работы в виртуальной среде. Учёные из Беркли проанализировали 2,5 млн анонимных записей от более чем 50 тыс. пользователей VR-приложения Beat Saber и обнаружили, что для идентификации человека с точностью 94 % необходимы данные о его движении, которые записывались всего 100 секунд. При этом половину пользователей можно было идентифицировать по 2-секундному фрагменту данных. Исследование потребовало работы алгоритмов искусственного интеллекта, но нужно учесть, что данные были крайне скудными — 2 секунды движения всего трёх точек.

Источник изображения: dlohner / pixabay.com

Это представляет серьёзную угрозу конфиденциальности пользователей — в исходом виде анонимность в метавселенной оказывается невозможной. Помимо идентификации личности, этих же скудных данных достаточно, чтобы определить конкретную информацию о человеке: рост, пол и преобладающую руку. А в сочетании с данными других датчиков идентификация может быть ещё более точной. Если человек подключается к метавселенной и посещает виртуальный мебельный магазин, он с большой вероятностью будет производить простые движения: брать виртуальные предметы с виртуальных полок или отступать на несколько шагов, чтобы увидеть, как они смотрятся. Учёные Беркли подчёркивают, что все эти повседневные движения уникальны для каждого человека так же, как и его отпечатки пальцев.

Защитить же конфиденциальность пользователей в метавселенной будет намного сложнее. В качестве одного из вариантов исследователи предлагают передачу данных с сенсоров на промежуточные ресурсы, которые будут их искажать. Но это означает появление информационного шума, снижение точности гарнитур виртуальной реальности и потерю удовольствия от игры, в которой требуются физические навыки. Есть и альтернативный вариант — ввести отраслевые нормативы, запрещающие платформам метавселенной хранить и анализировать данные о движениях человека. Такие нормативы будут призваны защитить общественность, но исполнение подобных требований будет непросто обеспечить — отрасль обязательно будет им противостоять. Хотя если потребители не будут чувствовать себя в безопасности в метавселенной, то сделать виртуальные пространства важной частью повседневной жизни человека будет затруднительно.

Примерно год назад компания Google объявила о намерении повысить защиту конфиденциальности пользователей Android от рекламных систем и всевозможных поведенческих трекеров с помощью инструмента Privacy Sandbox. Теперь возможность настройки данной функции появилась у ограниченного числа пользователей устройств на базе Android 13.

Источник изображения: Google

Новый механизм во многом соответствует концепции функции Apple App Tracking Transparency для iOS. Ранняя версия Privacy Sandbox для Android-разработчиков появилась ещё в апреле прошлого года, а теперь возможности настройки конфиденциальности стали доступны ограниченному кругу пользователей Android 13. Это позволит как разработчикам, так и пользователям опробовать новую функциональность в реальных условиях.

Доступ к новым функциям постепенно будет расширяться, владельцы некоторых моделей смартфонов получат уведомления операционной системы, сообщающие о том, что их устройства подходят для участия в эксперименте. Privacy Sandbox на Android представляет собой набор инструментов, призванных задать новый стандарт доступа сайтов и рекламодателей к информации о пользователях без компрометации конфиденциальности данных.

Сейчас Android-устройствам присваиваются уникальные идентификаторы Android Advertising ID (с возможностью сброса), которые используются для отслеживания пользовательских интересов и создания персональных рекламных профилей, используемых разработчиками приложений. При применении Privacy Sandbox эти идентификаторы будут заменяться специальными API, что, по мнению Google, ограничит передачу пользовательских данных сторонним компаниям и позволит избавиться от универсальных идентификаторов, причём возможность демонстрации персонализированной рекламы по-прежнему сохранится.

Privacy Sandbox для Android отличается от Privacy Sandbox для Chrome, хотя оба проекта преследуют одну и ту же цель. По данным Google, бета-версия Privacy Sandbox для Android использует новые API, разработанные для обеспечения большей конфиденциальности. Они не применяют идентификаторов, способных отслеживать активность в приложениях и на сайтах. Приложения, участвующие в программе бета-тестирования, могут использовать эти API для демонстрации пользователям релевантной рекламы и оценки её эффективности.

Источник изображения: Google

Пользователи, выбранные для участия в программе бета-тестирования для Android, смогут управлять рекламой, редактируя свои персональные интересы в секции Privacy Sandbox. Например, если пользователь видит рекламу туристического снаряжения и спальных мешков, отобранную на основе алгоритмов Android, но она не соответствует его реальным интересам, он сможет отключать соответствующий раздел в настройках. Кроме того, пользователи смогут в любое время отказаться от участия в бета-тестировании или, наоборот, вернуться в программу.

Исследователи из Университета Карнеги-Меллона разработали метод создания цифровой трёхмерной модели человеческого тела и его передвижений в комнате с использованием одних лишь маршрутизаторов Wi-Fi. Другими словами, с помощью только сигналов Wi-Fi можно следить за людьми буквально сквозь стены.

Источник изображения: Vice

Для этого исследователи использовали программное обеспечение DensePose — систему трёхмерного сканирования всех пикселей на поверхности человеческого тела на фотографии. DensePose был разработан лондонскими исследователями и ИИ-инженерами Facebook✴. На основе этой системы была создана нейросеть, которая сопоставляет мощность, фазу и амплитуду сигналов Wi-Fi, отправляемых и получаемых маршрутизаторами, с координатами на теле человека, рисуя 3D-модель человека по Wi-Fi.

Исследователи годами работают над тем, чтобы «видеть» людей без использования камер, тепловизоров или дорогостоящего оборудования вроде лидаров. В 2013 году группа исследователей из Массачусетского технологического института нашла способ использовать сигналы мобильных телефонов, чтобы видеть сквозь стены, в 2018 году другая команда Массачусетского технологического института использовала Wi-Fi для обнаружения людей в другой комнате и мониторинга их перемещений.

Исследователи из Университета Карнеги-Меллона высказали мнение, что сигналы Wi-Fi «смогут служить повсеместной заменой обычным камерам, когда дело доходит до обнаружения людей в комнате». Использование Wi-Fi позволяет преодолеть такие препятствия, как плохое освещение и мёртвые зоны, с которыми сталкиваются обычные объективы камер.

Особого внимания заслуживает тот факт, что учёные позиционируют свои исследования как прогресс в области прав на неприкосновенность частной жизни. «Наши разработки защищают конфиденциальность людей, а необходимое оборудование можно купить по разумной цене. На самом деле, в большинстве домохозяйств в развитых странах уже есть дома Wi-Fi, и эту технологию можно масштабировать для наблюдения за самочувствием пожилых людей или просто для выявления подозрительного поведения дома», — сказано в заявлении разработчиков.

Неизвестно, что может подпасть под понятие «подозрительное поведение», если эта технология когда-либо выйдет на массовый рынок. Но, учитывая, что такие компании, как Amazon, пытаются применять дроны с камерами в жилых домах, легко представить, как широкое распространение обнаружения человека с помощью Wi-Fi может принести пользу, например, для обеспечения безопасности — или стать ещё одной технологией, нарушающей конфиденциальность частной жизни.

Стало известно, что некоторые сотрудники китайской компании ByteDance, являющейся владельцем популярного сервиса коротких видео TikTok, получили неправомерный доступ к данным пользователей платформы из США. Очевидно, это затруднит попытки китайского технологического гиганта убедить американские власти в безопасности своего приложения.

Источник изображения: Lam Yik / Bloomberg

«Затронутые инцидентом лица злоупотребили своими полномочиями, чтобы получить доступ к данным пользователей TikTok», — написал Шоу Чу (Shou Chew), исполнительный директор TikTok, в служебной записке, с которой ознакомились журналисты издания Bloomberg.

Обнаружить факт неправомерного доступа к данным пользователей TikTok удалось в ходе внутреннего расследования, которое было начато летом с целью выявления источника утечки информации о сотрудниках в прессу. Сотрудники ByteDance, которые проводили внутренний аудит, получили доступ к данным аккаунтов ряда журналистов, чтобы определить, взаимодействовали ли они с представителями TikTok.

В дополнение к этому компания начала отдельное расследование после того, как в СМИ появились сообщения о намерении ByteDance использовать приложение TikTok для отслеживания физического местоположения некоторых пользователей платформы из США. Второе расследование проводилось сторонней юридической компанией, сотрудники которой и выявили факт неправомерного доступа к личным данным пользователей. В итоге один из сотрудников, которые были уличены в нарушении правил, ушёл в отставку, а ещё трое были уволены. Группа внутреннего аудита ByteDance также была реструктурирована, чтобы избежать подобных инцидентов в будущем.

«Я хотел бы добавить, что этот проступок совершенно не соответствует принципам нашей компании. Я разочарован тем, что кто-то, даже небольшая группа сотрудников, посчитала это приемлемым», — говорится в письме Шоу Чу.

Ранее сообщалось, что TikTok прикладывает массу усилий, чтобы американские власти разрешили ему остаться в собственности ByteDance. Однако не все американские чиновники считают, что сделка с TikTok в области обеспечения безопасности данных американских пользователей является правильным шагом. Некоторые чиновники по-прежнему уверены, что приложение следует заблокировать или полностью отделить от материнской компании.

Компания Apple официально представила три новые функции для повышения конфиденциальности данных пользователей. Речь идёт о дополнительной аутентификации в iMessage, интеграции физических ключей авторизации для Apple ID и сквозном шифровании в iCloud.

Источник изображения: Apple

Ранее Apple уже интегрировала в сервис iMessage поддержку сквозного шифрования, благодаря чему пользователи могут быть уверены в том, что сообщения в чатах видят только отправитель и получатель. Теперь же сервис получает новую функцию Contact Key Verification, которая должна обеспечить дополнительный уровень безопасности, что может быть важным для некоторых пользователей устройств Apple. С помощью Contact Key Verification можно запросить проверку ключа у собеседника, после чего у каждого из участников переписки отобразится один и тот же код, который и позволит убедиться в подлинности личности собеседника. Сравнить идентичность кода можно любым доступным способом, например, с помощью FaceTime или по телефону.

Apple внедрила поддержку двухфакторной аутентификации для Apple ID в 2015. По данным компании, сейчас эту функцию используют более 95 % активных пользователей. Сделать этот инструмент ещё более надёжным поможет поддержка сторонних физических ключей безопасности. В скором времени пользователи устройств Apple смогут использовать физические ключи безопасности для авторизации через Apple ID. Такой подход сделает процесс использования Apple ID более безопасным, поскольку злоумышленники, использующие разные обманные схемы для кражи проверочных кодов, не смогут преодолеть защиту устройства, не имея физического ключа.

В дополнение к этому Apple объявила о запуске программы Advanced Data Protection, в рамках которой поддержка сквозного шифрования будет распространяться на 23 категории данных, а не на 14, как было прежде. Помимо прочего, сквозное шифрование будет применяться к резервным копиям устройств и сообщений, заметкам, фотографиям, напоминаниям, голосовым заметкам и др.