Разработчики и эксперты по безопасности iOS-приложений Mysk сообщили, что собираемая в App Store аналитическая информация связывается с учётной записью iCloud, а это значит, что обрабатываемые компанией данные не являются анонимными — по ним можно сопоставить настоящее имя их владельца, его адрес электронной почты и другую информацию.

Источник изображения: apple.com

Эксперты подчёркивают, что отправка данных производится даже при отключении аналитики в настройках, а идентификатор DSID (Directory Services Identifier) отправляется и в другие приложения. В документе, описывающем сбор аналитики на устройствах, Apple отмечает, что некоторые данные об использовании приложений под одной учётной записью могут сопоставляться, не позволяя при этом идентифицировать пользователя, пишет The Verge.

Однако в документах, регламентирующих сбор данных в App Store, Apple News и Stocks компания всё-таки признаёт, что отслеживает пользователей лично: собираются IP-адреса, случайные идентификаторы и Apple ID. В случае с App Store компания фиксирует открытие и закрытие магазина, историю поиска, просмотра и загрузок, push-уведомления и уведомления магазина в стороннем ПО.

Иными словами, Apple действительно может ограничить сбор данных на уровне системы, влияя тем самым на работу сторонних приложений, однако компания собирает статистику и на своих сервисах — для каждого из них действует собственное соглашение о конфиденциальности, с которым пользователь соглашается, запуская соответствующие службы. Официальных комментариев от Apple по данному вопросу пока не поступало.

Глава службы коротких видео TikTok Шоу Цзы Чу (Shou Zi Chew) рассказал, что компания работает над программой под названием Project Texas, которая предусматривает изоляцию конфиденциальных данных американских пользователей от остальной платформы — доступ к этой информации будет только у сотрудников компании в США.

Источник изображения: Mourizal Zativa / unsplash.com

По словам господина Чу, проект «чрезвычайно сложный и дорогой в реализации», однако он направлен на решение проблем, о которых говорят власти страны. «Это беспрецедентно. Такого не пыталась сделать ни одна компания. Уверен, что в ходе подробных консультаций, которые мы собираемся провести, мы достигнем решения, способного преодолеть проблемы национальной безопасности», — отметил глава TikTok в ходе своего выступления на мероприятии Bloomberg New Economy Forum в Сингапуре.

Платформа подвергается критике из-за того, что находящиеся в Китае сотрудники владеющей TikTok компании ByteDance имели доступ к персональным данным пользователей из США. На этой неделе к диалогу подключился директор ФБР Кристофер Рэй (Christopher Wray) — он выразил обеспокоенность тем, что китайские власти могут влиять на приложение с персональными данными миллионов пользователей и рекомендательными алгоритмами.

Глава TikTok отклонил идею о проверке гражданства пользователей платформы для локализации их данных — контроль будет осуществляться по местоположению. Ранее администрация платформы подтвердила, что китайские сотрудники имеют доступ к данным граждан США. Локализацией данных американских пользователей и экспертизой алгоритмов сервиса занимается американская компания Oracle. TikTok также недавно обвиняли в попытке прицельно отслеживать местоположение американских граждан.

Даже если администрация президента США заключит с TikTok новое соглашение, потребовав гарантий безопасности данных американских пользователей и избавив платформу от угрозы блокировки, эффект от инициативы может быть недостаточным. На этом настаивают эксперты по кибербезопасности, пишет Bloomberg.

Источник изображения: antonbe / pixabay.com

TikTok заинтересовал американские ведомства в 2019 году — тогда возникли опасения, что китайские владельцы платформы могут использовать персональные данные американских пользователей для шпионажа или другой деструктивной деятельности. Соглашение, которое может заключить администрация сервиса в США, подвергается сомнению опрошенными Bloomberg бывшими сотрудниками органов нацбезопасности страны, юристами, которые прежде работали над подобными сделками, а также экспертами по кибербезопасности, имеющими опыт работы с соцсетями и телекоммуникационными компаниями.

Представитель TikTok Брук Оберветтер (Brooke Oberwetter), напротив, считает сделку правильной инициативой: в компании «уверены, что мы находимся на пути к полному удовлетворению всех разумных сомнений в области национальной безопасности США». Впрочем, детали соглашения она комментировать пока отказалась. Госпожа Оберветтер признала, что китайские сотрудники платформы сохранят доступ к открытым данным американских пользователей, видео и комментариям, и смогут их использовать в ограниченном объёме под контролем наблюдательного совета, созданного правительством США. Персональная же информация американцев станет для них недоступной.

Сегодня весь пользовательский трафик из США обрабатывается облачной инфраструктурой Oracle — компания также контролирует работу рекомендательных алгоритмов приложения. Однако эксперты настаивают на необходимости введения дополнительных ограничений на хранение персональных данных американских пользователей и доступ к ним. Хотя и эти меры могут не разрешить всех сомнений в угрозе нацбезопасности США вне зависимости от того, как хорошо будет выглядеть соглашение на бумаге, уверены эксперты.

В первой половине 2022 года специалисты экспертно-аналитического центра InfoWatch зарегистрировали в мире 2101 утечку данных с ограниченным доступом, что на 93,2 % превосходит показатель за аналогичный период прошлого года. По России число инцидентов за I полугодие достигло 305 — на 45,9 % больше, чем в прошлом году.

Источник изображения: kalhh / pixabay.com

Статистика становится более показательной, если взять в расчёт не число инцидентов, а единицы похищенной информации: в «общемировом зачёте» их количество в I полугодии 2022 года снизилось на 27,8 %, зато в России увеличилось сразу в 16,75 раза, достигнув 187,6 млн записей. В InfoWatch напомнили, что за отчётный период утечки фиксировались в РЖД и авиакомпании «Победа», у операторов «Ростелеком» и «ВымпелКом», на портале Ykt.ru, на сервисах «Мир Тесен», Fotostrana.ru и Text.ru, на портале Pikabu, в сервисах доставки «Яндекс.Еда», Delivery Club и 2 Berega, в школе управления «Сколково», а также на образовательном портале GeekBrains.

Увеличилась доля инцидентов, связанных с действиями киберпреступников извне: в мире она выросла с 60 % до 90 %, а в России — с 21,5 % до 81 %. Эту динамику в InfoWatch объяснили рядом факторов: украинскими событиями, ослаблением контроля над информацией в период пандемии, а также господствующими в западных странах стереотипами — в любом инциденте проще обвинить «русских хакеров», чем добросовестно провести расследование в соответствии с требованиями закона.

Чаще прочих кражи информации производятся в США и в России — такой результат показал мониторинг закрытых форумов в дарквебе и анонимных Telegram-каналов. При этом на российские компании, принадлежащие к категории «Торговля и HoReCa» пришлось 27 %, что несколько выше, чем 22 %, которые наблюдаются по всему миру. А промышленные и транспортные компании из России, атакованные в 10 % случаев, оказались у хакеров менее «популярными», чем их коллеги из других стран, ставшие жертвами в 19 % инцидентов. Наконец, самым продаваемым на теневых ресурсах типом данных стали персональные с 81 %, коммерческие тайны компаний продаются в 13 % объявлений, платёжная информация предлагается в 3 % случаев, и ещё 2 % составляют государственную тайну.

Сегодня стало известно о появлении в интернете в открытом доступе базы данных участников программы лояльности оператора Tele2, которую выложили неизвестные лица. Об этом сообщил ресурс habr.com со ссылкой на информацию Telegram-каналов data1eaks и in4security.

Согласно сервису поиска утечек и мониторинга даркнета DLBI, «утекшая» база данных содержит 7 530 149 строк, включая ФИО, пол, номера телефонов, идентификатор BERCUT_CONTACT_ID, ссылки на страницы на домене l.tele2.ru за период с 05.09.2017 по 27.06.2022.

Источник изображений: Хабр

После проведённой выборочной проверки эксперты DLBI сообщили, что база содержит корректную информацию о пользователях, которая, по всей видимости, относится к программе лояльности оператора Tele2.

В свою очередь, в Tele2 подтвердили Хабру факт утечки, отметив, что опубликованные сведения «не несут материальных рисков для абонентов». «Большая часть этих данных не представляет угрозы пользователям, по сути, это перекомпиляция сведений, которые доступны онлайн из других источников, — сообщили в компании. — Tele2 проводит служебное расследование. Уже известно, что ответственность на стороне IT-партнера, который подвергся хакерской атаке. Наши собственные системы надёжно защищены, факт утечки на стороне Tele2 полностью исключён».

Отрицает свою причастность к утечке и поставщик IT-решений для телеком-бизнеса Bercut, предположение о связи которого с инцидентом возникло из наличия идентификатора с наименованием BERCUT_CONTACT_ID в базе данных. Директор по информационной безопасности Bercut, Алексей Кощиенко пояснил: «В продуктах компании Bercut не используется упомянутый идентификатор. Служебное расследование Tele2 также не установило, что информационные системы Bercut имеют какое-либо отношение к данному инциденту. Таким образом, факт утечек с нашей стороны исключен».

Также в Tele2 принесли извинения абонентам за случившееся и пообещали усилить контроль за данными в случае потенциального доступа менее защищённых подрядчиков.

Компания Aliexpress Russia Holding направила в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) уведомление о выполнении требований так называемого закона о «приземлении».

Источник изображения: pixabay.com

Документ, напомним, предполагает регистрацию иностранными IT-гигантами личного кабинета на сайте Роскомнадзора. Кроме того, предусмотрены обязанности по размещению на информационном ресурсе формы обратной связи, учреждению российского юрлица или открытию представительства на территории РФ.

Компания Aliexpress выполнила основные обязанности, предусмотренные Федеральным законом №236-ФЗ. «Её российское юридическое лицо отвечает требованиям законодательства, на интернет-ресурсе компании присутствует форма для обращений российских граждан и организаций, зарегистрирован личный кабинет на сайте ведомства», — говорится в сообщении Роскомнадзора.

Источник изображения: Aliexpress

Кроме того, Aliexpress выполнила требования законодательства о локализации персональных данных, обеспечив хранение и обработку сведений о российских гражданах на территории Российской Федерации.

По итогам проверки предоставленных документов Роскомнадзор включил Aliexpress в перечень иностранных лиц, осуществляющих деятельность в интернете на территории Российской Федерации.

Uber Technologies взяла на себя ответственность за сокрытие утечки данных, произошедшей в 2016 году в результате хакерской атаки, когда достоянием злоумышленников стала информация о 57 млн водителей и пассажиров. Компания признала вину в рамках сделки с обвинением, что позволило ей избежать уголовного преследования.

Источник изображения: freestocks-photos / pixabay.com

Гособвинитель Стефани Хайндс (Stephanie Hinds) заявила, что Uber сообщила об инциденте лишь год спустя, и виной тому было было вновь назначенное руководство компании, которое «задало жёсткий тон сверху» в отношении вопросов этики и соблюдения требований закона. Решение не предъявлять обвинений по уголовной статье госпожа Хайндс объяснила следующими соображениями: расследование в отношении компании удалось провести в минимальные сроки, новое руководство раскрыло необходимую информацию, а в 2018 году Uber заключило с Федеральной торговой комиссией США (FTC) соглашение о развёртывании комплексной программы обеспечения конфиденциальности сроком на 20 лет.

Компания также выступила на стороне обвинения по делу своего бывшего главы службы безопасности Джозефа Салливана (Joseph Sullivan), который предположительно сыграл свою роль в сокрытии информации о хакерской атаке. Обвинение господину Салливану было предъявлено в сентябре 2020 года. По версии обвинения, топ-менеджер согласился выплатить хакерам $100 000 в биткоинах и даже получил от них подписанное соглашение о неразглашении, в котором содержалось заведомо ложное утверждение, что они не производили кражу данных.

В сентябре 2018 года Uber за $148 млн урегулировала претензии всех 50 американских штатов и столичного округа Колумбия, недовольных запоздалым раскрытием информации о хакерской атаке и утечке.

Мировой суд Таганского района Москвы наложил штраф ещё на одну IT-компанию в связи с нежеланием локализовать данные о российских пользователях на серверах, расположенных на территории РФ.

Источник изображений: Zoom

Речь идёт об американской корпорации Zoom Video Communications. Она является разработчиком популярного сервиса видеотелефонии Zoom, который доступен на устройствах под управлением операционных систем Windows, macOS, Linux, Android, iOS и Chrome OS.

Как сообщает «Интерфакс», мировой суд рассмотрел протокол в отношении Zoom Video Communications без участия представителей компании, поскольку те не явились на заседание.

«Признать Zoom Video Communications Inc. виновной по ч.8 ст. 13.11 КоАП РФ (невыполнение оператором при сборе персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ) и назначить штраф в размере 1 млн рублей», — говорится в вынесенном постановлении.

Ранее штрафы за отказ локализовать данные россиян были наложены на другие известные компании, в частности, на Apple и Ookla. При этом отмечается, что хранение персональных данных российских пользователей локализовали около 600 представительств зарубежных компаний в РФ.

Мировой суд Москвы наложил штраф на компанию Ookla в связи с несоблюдением требований российского законодательства в части организации хранения персональных данных российских граждан на серверах, расположенных на территории РФ.

Источник изображений: pixabay.com

Напомним, Ookla является владельцем популярного сервиса Speedtest, предназначенного для оценки пропускной способности веб-соединений и определения задержки. Данная служба доступна как на персональных компьютерах, так и на мобильных устройствах с различными операционными системами.

«Суд постановил признать компанию Ookla LLC виновной по ч. 8 ст. 13.11 КоАП РФ ("Невыполнение предусмотренной законодательством РФ обязанности по обеспечению записи, систематизации, накопления, хранения или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ") и назначил наказание в виде штрафа на сумму 1 млн рублей», — приводит ТАСС судебное решение.

Нужно отметить, что за нарушение закона о персональных данных компании Ookla грозило взыскание до 6 млн рублей. Представители компании просили суд прекратить производство по административному делу, мотивируя это отсутствием состава правонарушения. Однако Мировой суд Москвы с доводами Ookla не согласился.

Мировой суд Таганского района Москвы признал компанию Apple виновной в нарушении федерального закона о локализации баз персональных данных российских граждан на территории России.

Источник изображения: pixabay.com

«Признать Apple, Inc. виновной по ч.8 ст. 13.11 КоАП РФ (невыполнение оператором при сборе персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ) и назначить штраф в размере 2 млн рублей», — говорится в судебном постановлении.

Это первое взыскание, наложенное на Apple по указанной статье об административном правонарушении. Ранее Роскомнадзор потребовал от ряда иностранных компаний предоставить документы, подтверждающие, что хранение и обработка персональных данных российских пользователей осуществляются на территории РФ. Выполнение этой нормы позволяет обеспечить надлежащие условия и гарантии хранения и защиты сведений о гражданах РФ.

В Apple, как сообщает «Интерфакс», заявляют, что компания не является ответственной за сбор данных в России: «К суду привлечена компания Apple Inc., а за обработку данных отвечает Apple Distribution».

Нужно также отметить, что российское представительство Apple — ООО «Эппл Рус» — ещё в 2018 году официально уведомило Роскомнадзор о локализации данных российских пользователей на территории РФ.

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России) разработало новую версию законопроекта, регулирующего оборот персональных данных.

Источник изображений: pixabay.com

Как сообщает газета «Коммерсантъ», документ предполагает безвозмездную передачу государству бизнесом массивов данных, включая персональную информацию клиентов, без предварительного обезличивания. Причём согласие граждан для этого не потребуется. Обезличиванием сведений должен будет заниматься уполномоченный орган.

Исходная версия законопроекта была принята в первом чтении в марте 2021 года. Она предусматривала, что обезличивание данных могло происходить только с согласия человека. После такой процедуры бизнес мог использовать персональную информацию по своему усмотрению.

«Новая версия документа предполагает, что бизнес по запросу министерства будет передавать данные в государственную информационную систему (ГИС) уполномоченного органа, который её обезличит и сформирует дата-сеты», — говорится в публикации.

Состав данных и цели их использования, как предполагается, будет определять правительство. Бесплатный доступ к обезличенной информации Минцифры предлагает предоставить госорганам и российским разработчикам: при этом извлекать исходные данные они не смогут.

Однако участники рынка выступают против безвозмездной передачи данных клиентов властям. Кроме того, говорится о рисках безопасности. Эксперты указывают на то, что необходимо разработать режим обезличивания, позволяющий соблюсти баланс интересов разработчиков и защищённости личной информации. В текущем варианте инициатива может привести к тому, что бизнес лишится стимула развивать проекты в области аналитики данных и искусственного интеллекта: дело в том, что документ фактически нацелен на монополизацию рынка данных.

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России) рассматривает возможность внесения поправок в законопроект о введении оборотных штрафов за утечку персональных данных.

Источник изображения: pixabay.com / geralt

На прошлой неделе Государственная Дума приняла закон, предусматривающий дополнительные меры по защите личных данных россиян. Это касается паспортных данных, сведений о недвижимости, авиаперелётах, а также данных, позволяющих идентифицировать военнослужащих и сотрудников правоохранительных органов. Закон обязывает операторов персональных данных незамедлительно сообщать в уполномоченные органы обо всех кибератаках и утечках. В течение суток должно осуществляться описание скомпрометированных данных, а в течение трёх суток оператор обязан предоставить результаты внутренней проверки.

В мае Минцифры согласовало законопроект, предполагающий введение штрафа в размере 1 % от годовой выручки и до 3 %, если компания своевременно не сообщила об утечке Роскомнадзору.

Источник изображения: pixabay.com / Gerd Altmann

Как теперь сообщает газета «Коммерсантъ», в Минцифры прошло совещание, посвящённое разработке поправок к Кодексу об административных правонарушениях (КоАП), устанавливающих размеры штрафов за утечку персональных данных в зависимости от оборота компании, её допустившей. Ведомство, в частности, приняло решение не вводить штрафы за первый выявленный факт утечки. Министерство также согласилось уменьшить размер штрафа за утечку ниже 1 % от оборота, но этот вопрос ещё обсуждается.

Представители бизнеса на совещании предложили трёхступенчатую систему наказания за утечки. «Если данные клиентов или сотрудников компании были скомпрометированы впервые, то она должна получить просто предупреждение. В случае повторной компрометации — заплатить крупный штраф. Если же компания допустила утечку в третий раз — получить оборотный штраф», — говорится в публикации.

«ВымпелКом» (бренд «Билайн») начал предлагать абонентам в мобильном приложении подписать согласие на передачу их персональных данных структурам «Альфа-групп»: Альфа-банку, «АльфаСтрахованию» и некоторым участникам X5 Group (объединяет ретейлеров «Перекресток», «Пятерочка», «Карусель»), обещая взамен скидки от партнёров, сообщил «Коммерсантъ». По мнению экспертов, оператор начал подготовку к принятию Госдумой новых правил обработки персональных данных, согласно которые потребуется согласие абонента для каждого случая обработки.

Источник изображения: Pixabay

В предлагаемом соглашении указано, что абонент даёт согласие на обработку оператором и его партнёрами данных паспорта, адреса электронной почты, номера телефона, ИНН, сведений об оборудовании и его местонахождении при получении услуг связи, информации об их оплате, а также идентификаторах: IMEI, IP-адреса, MAC-адреса и cookie id. Как отмечено в документе, обработка данных производится с целью «улучшения клиентского опыта, качества обслуживания, предоставления услуг, а также персонифицированных предложений оператора и партнеров», в том числе с помощью обзвона и отправки СМС-сообщений. «Важно понимать, что клиент всегда может отказаться давать своё согласие на использование данных», — сообщили «Коммерсанту» в Альфа-банке.

Отметим, что операторы связи, как правило, или вообще не делают подобных предложений абонентам, или указывают это условие в соглашении об оказании услуг связи.

Эксперт по кибербезопасности Алексей Лукацкий предположил, что «ВымпелКом» решил заранее получить обновлённые согласия клиентов в связи с возможным принятием Госдумой поправок к закону о персональных данных. Хотя не исключено, что это было сделано в ответ на жалобы абонентов.

Как отметил преподаватель Moscow Digital School Олег Блинов, до сих пор большинство участников оборота данных включали разрешение на передачу данных третьим лицам в условия использования сервисов или политику конфиденциальности, и отказаться от такого соглашения потребителю было невозможно.

В Tele2 сообщили, что данные клиентов третьим сторонам не передаются. Вся информация о клиентах остаётся на стороне компании, а для заказчика готовятся обобщённые выводы и результаты анализа. В МТС сообщили, что оператор получает от клиента согласие на обработку персональных данных при заключении договора, причём он имеет право отозвать его в любой момент.

Администрация китайского сервиса коротких видео TikTok подтвердила, что некоторые сотрудники за пределами США действительно могут иметь доступ к персональным данным американских пользователей. Это заявление породило очередную волну недовольства со стороны Вашингтона.

Источник изображения: antonbe / pixabay.com

Компания раскрыла истинное положение вещей в ответ на запрос от девяти американских сенаторов, которых интересовали следующие аспекты в работе соцсети: доступ китайских сотрудников к данным пользователей из США, роль этих сотрудников в формировании рекомендательных алгоритмов площадки, а также доступ китайских властей к данной информации.

Генеральный директор TikTok Шоу Цзы Чу (Shou Zi Chew) в письме от 30 июня сообщил, что в настоящее время доступ к персональным данным американских пользователей действительно может предоставляться китайским сотрудникам компании, но только после того, как те проходят ряд проверок по протоколам безопасности. Данные не передаются китайскому правительству и подлежат жёсткому контролю по защите от киберугроз.

Социальная сеть напомнила, что тесно сотрудничает с правительством США на предмет усиления защиты данных, и в первую очередь тех, которые считает особо важными Комитет по иностранным инвестициям США. Не так давно стартовала инициатива под кодовым именем «Project Texas», в рамках которой данные американских пользователей были локализованы в США в облачной инфраструктуре Oracle. В ближайшее время в американский сегмент сервиса будет перенесена и техническая часть платформы: работа всех алгоритмов, касающихся американцев, будет обеспечиваться дата-центрами на территории страны.

Ответ китайского сервиса только усилил недовольство законодателей из Вашингтона. В частности, сенатор Марша Блэкбёрн (Marsha Blackburn) заявила, что объяснения администрации платформы подтвердили их опасения, а управляемая китайцами компания должна была сказать правду с самого начала, не пытаясь сохранить её в тайне.

На заседании рабочей группы в Госдуме с участием представителей бизнеса было принято решение убрать из поправок к закону «О персональных данных», обсуждаемых сейчас в Госдуме, требование о непрерывном подключении к системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) всех операторов персональных данных. Как сообщает «Коммерсантъ», также было предложено упростить бизнесу взаимодействие с Роскомнадзором по трансграничной передаче личной информации граждан.

Источник изображения: Pixabay

23 июня глава комитета по информполитике Александр Хинштейн пообещал на заседании рабочей группы в Госдуме, что поправки к законопроекту «О персональных данных» будут доработаны с учётом предложений бизнеса. По его словам, положения законопроекта, связанные с трансграничной передачей данных, вступят в силу с марта 2023 года, хотя ранее предполагалось, что документ начнет действовать через 10 дней после опубликования.

Депутат добавил, что после внесения в документ изменений бизнесу будет необходимо уведомлять Роскомнадзор о трансграничной передаче данных только при первом взаимодействии с новой для себя страной. Если эта страна обеспечивает адекватную защиту прав субъектов данных (входит в одноименный список Роскомнадзора) или поддержала конвенцию Совета Европы «О защите физлиц при обработке персональных данных», то можно будет не ждать ответа ведомства. В ином случае необходимо будет подождать рассмотрения обращения Роскомнадзором. По словам Хинштейна, сейчас обсуждается сокращение срока рассмотрения обращения с 30 до 10 дней.

Как отметил глава Института исследований интернета Карен Казарян, внесение вышеуказанных поправок в законопроект значительно упростит исполнение закона крупным бизнесом, хотя финансовая и административная нагрузка на средний и малый бизнес останется существенной.