Стало известно, что Роскомнадзор вынес первые запреты на передачу персональной информации россиян за рубеж. Всего было вынесено семь запретов, они коснулись компаний в сферах финансов и логистики.

Источник изображения: geralt / Pixabay

Напомним, новый порядок передачи персональных данных за рубеж начал действовать с 1 марта. При передаче такой информации компании должны уведомлять Роскомнадзор, а также убедиться в том, что зарубежный партнёр может обеспечить конфиденциальность информации и её защиту при обработке. Эти требования не касаются стран, подписавших Конвенцию Совета Европы и включённых в перечень Роскомнадзора. Если в течение десяти дней после получения уведомления регулятор не выносит запрет, то данные могут быть переданы.

Представитель Роскомнадзора сообщил, что с марта было получено 589 таких уведомлений от российских операторов персональных данных, в семи случаях ведомство запретило осуществлять передачу. Кого именно коснулись запреты, не уточняется. Известно, что решение о запрете затронули финансовые и логистические компании. Решения о запрете и ограничении были вынесены из-за несоответствия цели трансграничной передачи персональных данных целям, указанным при их сборе, а также их объёму и содержанию. «В частности, компании планировали передать за рубеж личные данные соискателей, а также потенциальных клиентов для проверки их платёжеспособности», — сообщил представитель Роскомнадзора.

Генеральный директор «INFO-Line-Аналитики» Михаил Бурмистров напомнил, что на территории России продолжают работать международные компании, которые используют ресурсы находящихся за рубежом центральных офисов. Однако в ближайшее время такая практика должна прекратиться. «Речь идёт о полной локализации хранения данных либо об иных способах решения проблемы, потому что трансграничная передача данных больше осуществляться не будет. Компании просто-напросто могли не успеть сформировать инфраструктуру для хранения персональных данных на территории России», — считает господин Бурмистров.

Служба безопасности ретейлера «Ашан» подтвердила утечку данных клиентов сети. Информация об этом ранее на этой неделе появилась в профильных Telegram-каналах. Этот инцидент также заинтересовал Роскомнадзор.

Источник изображения: Pixabay

«В настоящее время мы проводим внутреннее расследование с целью установления вектора атаки и источника утечки», — приводит источник слова представителя пресс-службы торговой сети. При этом не было сказано, данные какого количества покупателей «Ашан» оказались в открытом доступе. Также известно, что Роскомнадзор намерен провести собственную проверку в связи с информацией об утечке данных клиентов сетей «Ашан» и «Твой дом».

Напомним, 6 июня в Telegram-канале «Утечки информации» появилось сообщение, в котором говорилось о попадании в открытый доступ данных, предположительно принадлежащих клиентам сетей «Ашан» и «Твой дом». Данные клиентов сети «Ашан» собраны в несколько текстовых файлов общим объёмом около 7,8 млн строк. В них содержится разная информация, включая ФИО клиентов ретейлера, номера их телефонов, адреса электронных почтовых ящиков и др. В другой базе, которая предположительно содержит данные клиентов сети «Твой дом», содержится около 700 тыс. строк. При этом торговая сеть «Твой дом» пока не подтвердила информацию об утечке.

Microsoft выплатит $20 млн, чтобы урегулировать претензии американского регулятора, уличившего компанию в незаконном сборе персональных данных несовершеннолетних, которые воспользовались консолью Xbox, не получив на это разрешения родителей.

Источник изображения: Xbox

Регулятор заявил, что несмотря на то, что Microsoft требовала от всех, кто пользуется сервисом Xbox Live, регистрации с указанием имени, адреса электронной почты и возраста, до конца 2021 года дети могли начать процесс создания нового аккаунта на Xbox ещё до того, как появлялось уведомление о требовании получения разрешения от родителей. При этом, даже когда компания узнала о пользователях младше 13 лет, она продолжала собирать и хранить данные, нарушая американский закон о защите личных данных детей в интернете (Children’s Online Privacy Protection Act, COPPA).

Microsoft заявила, что это произошло из-за «сбоя в хранении данных» и пообещала улучшить свои системы. «В дополнение к существующей стратегии многофакторной безопасности мы также планируем разработать систему подтверждения личности и возраста нового поколения — удобный, безопасный, одноразовый процесс для всех игроков», — говорится в заявлении компании.

После заключения мирового соглашения Microsoft присоединилась к десяткам других компаний, включая Amazon, Google и TikTok, которые столкнулись со штрафами Федеральной торговой комиссии США за сбор данных о детях без согласия родителей.

В рамках урегулирования инцидента Microsoft удалит в течение двух недель всю информацию, собранную о детях без согласия родителей. Помимо этого, компания будет предупреждать издателей видеоигр, которые запрашивают личную информацию, если пользователи являются детьми.

Российский разработчик VPN-решений и средств криптозащиты информации «Инфотекс» подтвердил утечку данных пользователей. В ходе проверки было установлено, что в сети оказались данные учётных записей пользователей сайта компании.

Источник изображения: Pixabay

«Проверка подтвердила факт утечки базы данных с учётными записями зарегистрированных пользователей сайта. Уведомление об инциденте направлено в Роскомнадзор в соответствии с требованиями», — приводит источник слова представителя компании. Он также сообщил, что злоумышленникам не удалось скомпрометировать веб-сервер, системы управления и операционные системы.

В настоящее время компания «Инфотекс» является одним из крупнейших российских разработчиков программно-аппаратных VPN-решений и средств криптографической защиты информации. Несколько дней назад в Telegram-канале «Утечки информации» появилось сообщение об утечке 60 тыс. записей базы данных пользователей ресурса infotecs.ru. Согласно имеющимся данным, злоумышленники похитили логины и пароли пользователей сайта, их ФИО, адреса электронных почтовых ящиков, сведения о местах работы и занимаемых должностях, а также дате регистрации и последней активности (с 24 марта 2010 года по 24 апреля 2023 года).

Ранее президент РФ Владимир Путин поручил правительству до 1 июля рассмотреть вопрос введения оборотных штрафов для компаний, допустивших утечки данных. По данным источника, Минцифры может увеличить размер штрафов до 500 млн рублей. При этом вице-спикер Госдумы от ЛДПР Борис Чернышов предложил увеличить размер штрафов до 1 млрд рублей, назвав сумму адекватной, поскольку украденные данные пользователей в дальнейшем могут перепродаваться на теневых форумах.

Корпорации Meta✴ грозит рекордный штраф за несоблюдение Общего регламента ЕС по защите персональных данных (GDPR) и отправку пользовательских данных резидентов ЕС в США без обеспечения надлежащих гарантий их защиты от доступа со стороны местных властей.

Источник изображения: Markus Spiske/unsplash.com

Как пишет The Register, сумма штрафа, который Ирландская комиссия по защите данных (DPC) наложит на Meta✴, пока не озвучена. По данным источников Bloomberg, она может превысить штраф в размере €746 млн, который в ЕС выписали компании Amazon в 2021 году за аналогичные нарушения GDPR.

По словам источников ресурса Bloomberg, помимо рекордного штрафа ирландский регулятор может заблокировать передачу данных Facebook✴ из ЕС в США на основании новых соглашений, поставленных под сомнение высшим судом ЕС. Речь идёт о документе Data Privacy Framework (DPF), призванном гарантировать конфиденциальность данных пользователей из ЕС взамен отменённого в 2020 году соглашения Privacy Shield.

Законодатели ЕС считают, что DPF не соответствует стандартам GDPR, позволяя американским компаниям использовать данные граждан ЕС способами, несовместимыми с европейским законодательством. В частности, DPF не обеспечивает запрет на доступ к данным для служб радиотехнической разведки или других спецслужб в целях защиты национальной безопасности.

Поэтому парламентарии ЕС призвали Европейскую комиссию не принимать решение о достаточности мер DPF, что станет официальным признанием ЕС того, что страна, не входящая в блок, принимает достаточные меры по защите данных.

В 2023 году DPC уже дважды оштрафовала Meta✴: на €390 млн за использование личных данных для таргетированной рекламы в Facebook✴ и Instagram✴ и ещё на €5,5 млн за нарушения регламента GDPR в работе с личными данными мессенджера WhatsApp.

Разработчики ориентированного на конфиденциальность браузера Brave анонсировали новую функцию под названием Forgetful Browsing, которая не позволит сайтам повторно идентифицировать пользователей при последующих посещениях. С её помощью обозреватель будет автоматически очищать данные, которые могут использоваться сайтами для повторной идентификации, включая файлы cookie, кэш HTTP, localStorage и indexedDB.

Источник изображения: Bleeping Computer

Отметим, что автоматическое удаление cookie и кэша будет приводить к тому, что пользователям придётся повторно авторизовываться на сайтах. Однако такой подход не позволит сайтам осуществлять повторную идентификацию пользователей. В настройках браузера пользователи могут активировать функцию Forgetful Browsing для всех сайтов или же настроить её таким образом, чтобы данные очищались только при посещении определённых ресурсов.

Разработчики Brave отметили, что созданный ими браузер уже предлагает надёжную защиту от отслеживания пользователей третьими лицами, но вопросы конфиденциальности, связанные с отслеживанием первыми лицами, остаются нерешёнными. Хотя многие современные браузеры предлагают инструменты для решения этой проблемы, зачастую ими неудобно пользоваться или же они скрыты в настройках и найти их непросто. Поэтому разработчики обозревателя Brave решили создать удобную функцию, которую легко включить или отключить, а также скорректировать настройки.

Источник изображения: Brave

Согласно имеющимся данным, функция Forgetful Browsing появится в десктопной версии Brave 1.53, а также в Brave 1.54 для устройств на базе Android. На данный момент актуальна версия браузера 1.51.

Федеральная торговая комиссия США (FTC) готовится в третий раз усилить ограничительные меры против компании Meta✴, из-за того, что она так и не смогла защитить конфиденциальность пользователей, как того требует соглашение от 2020 года, заключённое Meta✴ с регулирующим органом.

Источник изображения: Pixabay

FTC заявила, что Meta✴ не полностью выполнила приказ, а также утверждает, что компания ввела в заблуждение родителей детей, пользующихся сервисами компании, относительно функций безопасности в своём приложении Messenger Kids и исказила информацию о том, какой доступ разработчики приложений имели к личным данным пользователей. Согласно FTC, приложение Meta✴ Messenger Kids включает родительский контроль, который ограничивает круг лиц, с которыми детям разрешено переписываться. Однако есть простой обходной путь для таких ограничений: групповые чаты и групповые видеозвонки позволили неутверждённым контактам вступить в диалог с детьми, что, по словам FTC, не только нарушает предыдущее соглашение с Meta✴, но и «Закон о защите конфиденциальности детей в интернете» (COPPA).

Регулятор также утверждает, что Meta✴ не отключила сторонним разработчикам доступ к пользовательским данным в 2018 году, а некоторые сторонние разработчики могли получить доступ к пользовательским данным до середины 2020 года. В результате FTC хочет изменить своё соглашение 2020 года с Meta✴, чтобы ужесточить существующие правила, а также добавить полный запрет на монетизацию данных, собранных от лиц моложе 18 лет.

Предлагаемые изменения также включают требование, аналогичное соглашению FTC с Twitter, которое приостанавливает запуск всех новых продуктов и услуг до оценки третьей стороной того, что изменения соответствуют требованиям конфиденциальности FTC. Ограничения, наложенные на Meta✴ Комиссией, будут расширены в соответствии с новым приказом, чтобы включить любые будущие приобретения Meta✴, а также расширят ограничения на использование технологии распознавания лиц, включенной в приказ 2020 года.

В заявлении, размещённом в Twitter, представитель Meta✴ Энди Стоун (Andy Stone) назвал заявления FTC беспрецедентной политической уловкой и сказал, что Meta✴ будет бороться с приказом. «Мы потратили огромные ресурсы на создание и внедрение ведущей в отрасли программы конфиденциальности в соответствии с условиями нашего соглашения FTC», — добавил Стоун.

У Meta✴ есть 30 дней, чтобы отреагировать на распоряжение Федеральной торговой комиссии и указать причину, по которой ей не следует продвигать ходатайство, а в это время Комиссия «тщательно рассмотрит факты и любые аргументы», прежде чем в конечном итоге, решить, что делать с Meta✴.

На этой неделе Федеральная торговая комиссия (FTC) США выступила с предложением о внесении ряда радикальных изменений в работу Meta✴ Platforms, являющейся материнской для Facebook✴, Instagram✴ и WhatsApp. В ведомстве уверены, что компания нарушает целый комплекс мер по защите конфиденциальности детей, включая Закон о защите конфиденциальности детей в Интернете (COPPA).

Источник изображения: StartupStockPhotos / Pixabay

В сообщении регулятора сказано, что Meta✴ нарушает постановление о конфиденциальности от 2020 года. В частности, приводятся примеры, когда компания вводила родителей в заблуждение относительно возможностей контроля того, с кем общаются их дети через сервисы Meta✴, такие как Messenger Kids. Кроме того, гигант социальных сетей обвиняется в искажении информации о доступе к частным данным пользователей, которые компания предоставляет сторонним разработчикам приложений.

«Facebook неоднократно нарушала свои обещания в плане конфиденциальности. Безрассудство компании подвергло риску молодых пользователей, и Facebook✴ должна ответить за свои промахи», — прокомментировал данный вопрос директор бюро по защите прав потребителей при FTC Самуэль Левин (Samuel Levine).

FTC предлагает запретить Meta✴ и её дочерним компаниям монетизировать данные детей младше 18 лет. В дополнение к этому предлагается запретить компании запускать новые услуги и продукты без разрешения от независимого эксперта по вопросам конфиденциальности, а также обязать Meta✴ получать явное разрешение пользователей на использование технологий распознавания лиц. Эти правила будут распространяться на Facebook✴ и другие принадлежащие Meta✴ платформы, включая Instagram✴, Oculus и WhatsApp. Они также будут распространяться на любые компании, которые Meta✴ может купить в будущем.

Представитель Meta✴ Энди Стоун (Andy Stone), комментируя предложение FTC, назвал его «политическим трюком», а также обвинил регулятора в попытке «узурпировать полномочия Конгресса по установлению общеотраслевых стандартов». Позднее Meta✴ опубликовала официальное заявление, в котором сказано, что FTC не имеет права навязывать в одностороннем порядке новые правила.

На прошлой неделе в сообществе Reddit появились сообщения о проблемах с конфиденциальностью в браузере Edge. Пользователи обратили внимание на то, что последняя версия обозревателя Microsoft отправляет запросы к Bing API (bingapis.com), передавая полные адреса практически всех посещённых веб-страниц.

Источник изображения: Microsoft

Энтузиасты попытались выяснить назначение данной функции, но им не удалось этого сделать, поскольку такое использование Bing API не задокументировано. Разработчик Рафаэль Ривера (Rafael Rivera) также заинтересовался данным вопросом. Он провёл собственное расследование и пришёл к выводу, что подобное поведение Edge может быть связано с плохо реализованной новой функцией обозревателя.

«В Microsoft Edge теперь есть функция подписки на авторов, которая включена по умолчанию. Похоже, что она предназначена для уведомления Bing, когда вы находитесь на определённых сайтах, таких как YouTube, The Verge и Reddit. Похоже, она работает неправильно, отправляя в Bing данные о практически всех посещённых страницах», — приводит источник слова Риверы.

Источник изображения: Leopeva64 / Reddit

В сообщении сказано, что Microsoft начала тестировать упомянутую функцию ещё в прошлом году, а последние месяцы она была развёрнута более широко. Предполагается, что она поможет пользователям Edge следить за обновлениями любимых авторов на YouTube и других площадках. Также отмечается, что в случае, если пользователь самостоятельно отключит функцию подписки на авторов в настройках Edge, то браузер перестанет отправлять данные о посещённых сайтах в Bing.

«Нам известно о сообщениях, в настоящее время мы проводим расследование и примем соответствующие меры для решения обнаруженных проблем», — прокомментировала данный вопрос глава отдела коммуникаций в Microsoft Кейтлин Роулстон (Caitlin Roulston). Пока Microsoft не завершит расследование и не исправит ошибку, пользователям Edge рекомендуется отключить функцию подписки на авторов в настройках браузера.

ФБР, Интерпол, Национальное агентство по борьбе с преступностью Великобритании и правоохранительные органы ряда других стран раскритиковали решение компании Meta✴ Platforms расширить использование сквозного шифрования сообщений на своих платформах. Об этом пишет Financial Times со ссылкой на соответствующее заявление.

Источник изображения: Christina @ wocintechchat.com/unsplash.com

Виртуальная глобальная рабочая группа (VGT), куда входят представители 15 правоохранительных организаций разных стран, в том числе занимается защитой детей от сексуального насилия и домогательств в интернете. В организации посчитали, что намерение Meta✴ расширить использование сквозного шифрования ухудшит ситуацию и осложнит обеспечение безопасности детей. Правоохранители призвали технологические компании сбалансировать усилия, направленные на поддержку конфиденциальности пользователей, с усилиями по обеспечению безопасности детей в интернете.

«VGT призывает всех отраслевых партнёров в полной мере оценить влияние решений по проектированию системы, которые могут обернуться случаями сексуального насилия над детьми на их платформах, или снизят возможность выявлять такие случаи и обеспечивать безопасность детей», — сказано в заявлении VGT.

Представитель Meta✴ отметил, что компания разработала механизмы, которые позволяют эффективно выявлять и противодействовать нарушениям прав пользователей, в том числе несовершеннолетних. «Подавляющее большинство британцев уже использует приложения, в которых реализовано шифрование. Мы не думаем, что люди хотят, чтобы мы читали их личные сообщения, поэтому разработали механизмы, которые предотвращают, обнаруживают и позволяют предпринимать меры против злоупотреблений, сохраняя при этом высокий уровень конфиденциальности и безопасности», — заявил представитель Meta✴. Он также добавил, что компания остаётся привержена сотрудничеству с правоохранительными органами и экспертами по безопасности детей.

WhatsApp, Signal и некоторые другие сервисы обмена сообщениями призвали правительство Великобритании пересмотреть законопроект о безопасности в интернете (OSB), который обяжет платформы следить за пользователями по запросу правоохранительных органов. Разработчики считают, что новый закон нарушит конфиденциальность пользовательских данных, но власти уверены, что он необходим для защиты детей от насилия.

Источник изображения: Pixabay

«Мы поддерживаем надёжное шифрование, но оно не должно достигаться за счёт общественной безопасности <…> Закон о безопасности в интернете ни в коем случае не является запретом на сквозное шифрование и не требует от сервисов ослабления шифрования», — прокомментировал данный вопрос представитель правительства Великобритании.

Напомним, сквозное шифрование (E2EE) обеспечивает высокий уровень конфиденциальности, поскольку доступ к передаваемым данным имеют только участники чата. Данные шифруются и расшифровываются непосредственно на пользовательских устройствах, из-за чего даже операторы сервиса не имеют доступа к ним.

«Ослабление шифрования является подрывом конфиденциальности и ведёт к массовой слежке за частными сообщениями людей <…> Сторонники законопроекта говорят, что они понимают важность шифрования и конфиденциальности, но при этом утверждают, что можно следить за сообщениями каждого, не подрывая сквозное шифрование. Правда заключается в том, что это невозможно», — говорится в открытом письме, которое подписали руководители ряда технологических компаний, включая Signal, WhatsApp, Wire, Element и др.

Итальянское агентство по защите данных объявило о начале расследования в отношении чат-бота ChatGPT компании Open AI в связи с предполагаемым нарушением правил сбора и обработки данных ИИ-алгоритмом. На этом фоне ведомство временно ограничило работу чат-бота в стране и запретила ему использовать персональные данные итальянских пользователей. Подобный прецедент произошёл впервые в мире.

Источник изображения: Rolf van Root/unsplash.com

В дополнение к этому регулятор обвинил ChatGPT в том, что алгоритм не проверят возраст пользователей. Этот пункт обвинений также является важным, поскольку в соответствии с действующим законодательством взаимодействовать с чат-ботом можно с 13 лет. Кроме того, предоставленная ChatGPT информация не всегда соответствует фактическим данным, из-за чего возникают неточности при обработке персональной информации.

По данным источника, итальянский регулятор не нашёл «каких-либо правовых оснований, оправдывающих массовый сбор и хранение персональных данных с целью обучения алгоритмов, которые лежат в основе платформы» Open AI. Официальные представители Open AI пока воздерживаются от комментариев по данному вопросу.

Работа ChatGPT в Италии будет ограничена до тех пор, пока чат-бот не приведут в соответствие с законом Евросоюза о защите персональных данных. OpenAI должна исполнить требование итальянского регулятора в течение 20 дней, иначе ей грозит штраф до 4 % годового оборота или 20 миллионов евро. Ещё власти Италии напомнили, что на прошлой неделе произошла утечка данных платных подписчиков ChatGPT. Из-за сбоя некоторые пользователи могли видеть чужие имена, фамилии, их адреса электронной почты, а также платежную информацию.

С момента запуска чат-бота ChatGPT в конце прошлого года алгоритм стал пользоваться огромной популярностью по всему миру. В январе этого года, всего через два месяца после запуска, количество ежемесячно активных пользователей ChatGPT превысило 100 млн человек. Стремительное увеличение популярности сделало ChatGPT самым быстрорастущим потребительским приложением в истории IT-индустрии.

Google уже второй раз за последние несколько дней подверглась санкциям со стороны судебных инстанций США. В минувшую среду магистратский судья Окружного суда США в Северном округе Калифорнии Сьюзан ван Кеулен (Susan van Keulen) обвинила компанию в невыполнении сроков, установленных в прошлогоднем судебном постановлении по коллективному иску об обеспечении конфиденциальности данных пользователей.

Источник изображения: Pixabay

Как судебное постановление от мая 2022 года, так и нынешнее касаются доказательств Google об использовании клиентами опции приватного просмотра в браузере компании.

Напомним, что в коллективном иске, поданном от имени десятков миллионов пользователей сервисов Google, утверждается, что компания незаконно отслеживала действия пользователей, когда те занимались веб-сёрфингом с помощью браузера Chrome в приватном режиме (режиме «инкогнито»).

В свою очередь, Google заявила, что пользователи браузера Chrome знали о сборе информации в режиме «инкогнито» и давали на него согласие. Представитель Google отметил, что компания предоставила множество документальных подтверждений осведомленности пользователей о сборе данных.

Согласно решению судьи, Google запрещено полагаться на показания некоторых свидетелей-сотрудников по делу о нарушении конфиденциальности пользователей. Кеулен также постановила, что Google должна компенсировать комиссионные, связанные с выплатами двум экспертам, привлечённым истцами, и заплатить штраф в размере $79 000.

Несколькими днями ранее Google признали виновной в нарушении судебного предписания сохранять сообщения в рабочем чате сотрудников компании — это касается материалов по антимонопольному иску, поданному Epic Games. В связи с этим суд обязал Google покрыть расходы Epic на гонорары адвокатов по данному вопросу, а решение о санкциях будет вынесено немного позже.