Об анонимности и персональных данных

Решил я тут купить себе триммер для бороды. Ну как решил купить, просто решил пробить че за тема и чем дышит рынок. До этого никогда в жизни я не интересовался данной темой.

И я искал в Яндекс.Браузере на телефоне (iPhone) в поисковой системе Яндекс подобные триммеры. Как делают все из нас, когда хотят купить какую-то вещь и хотят узнать цены и отзывы.

А потом через день-другой я зашел в приложение ВК и среди прочей рекламы мне начало рекламировать как раз триммеры для бороды.

И вот о том, что мою privacy просто продали ВК я бы и хотел поговорить сегодня.

ВК не имеет никакого отношения к Яндексу или Apple. Но кто-то из последних двоих позволил себе собрать информацию о том, что мне интересно и слить в ВК или какой-то левой рекламной сети.

Год назад я купил машину, последние 2 месяца мне задолбали звонить различные страховые конторы и предлагать страховку. Слил автоцентр, который к тому же закрылся после того, как я выбил машину у них. Об этом была эпическая заметка в моем блоге. Когда я у бывшего менеджера того автоцентра поинтересовался на данный счет, то он сказал, что типа ничего удивительного, все сливают эти данные. Типа это нормально. Нет, это не нормально, абсолютно не нормально.

Приватность и обработка персональных данных в соответствии с заявленными целями в РФ должна осуществляться в рамках 152-ФЗ «О персональных данных». Наверняка многие из вас видели эти текста стандартные «Я ________ соглашаюсь с обработкой персональных данных» и тд. Этот текст обязан содержать цели обработки и оператор персональных данных (любой, кому вы их передаете) обязан явно указать эти цели и способы обработки. Должна быть графа типа «я согласен с тем, чтобы ООО Рога и Копыта передавали мои данные третьим лицам и тд». Напротив этой графы я явно пишу «НЕ СОГЛАСЕН». Но РосКомНадзор, который является ответственным за контроль исполнения данного закона закрывает Рутрекер и пытается блокировать Телеграм. Еще он ходит по крупным конторам с проверками, но никогда он не отреагирует на мою частную жалобу наказать условный РосГосСтрах, который не имея на то оснований взял вопреки закону 152-ФЗ мои персональные данные и звонит с фактически спамом. Прямо назвать спамом это нельзя, так как обращаются «Дмитрий Олегович». Но от этого не легче.

Скоро наличие чрезмерного количества информации о вас в сети будет существенной проблемой. При этом и государства, и частные компании собирают безумное количество информации о вас. И ладно если это была соц.сеть, где вы данные оставляете сознательно (хотя если это богомерзский фейсбук, то вы один фиг не разберетесь в настройках приватности), но данные о вас собирают все и вся. И потом эти данные либо официально продаются, либо же их просто воруют из-за взломов дырявых систем, где это все хранится.

ВК выдает информацию о вас любому полицейскому из Тьмутараканья, который эту информацию легко и непринужденно продаст. Даже данные на агентов ГРУ можно было купить легко, привет Боширов и Петров.

В книжке Первому игроку приготовиться было очень много фигни, я это отмечал в обзоре недавнем, но был один реальный момент — как именно IOI обнаружили Уэйда в реале. Он дал инфу где учится, оставив только имя, но за взятку директор его школы выдал полные домашний адрес. Тут 2 важных момента — не смотря на то, что на втором шагу Уэйд стал уже заботиться о приватности и скрывать свою личность, на первом он сдал себя с потрохами. Второе — он выдал другим людям достаточно информации, чтобы его можно было отследить.

Есть такая тема — электронная подпись. Усиленная квалифицированная электронная подпись является аналогом собственноручной подписи. Выдают такую подпись к аккредитованном удостоверяющем центре (выдают сертификат ключа проверки электронной подписи, но. Таких АУЦ сотни по стране. Формально их контролирует МинКомСвязи, но ресурсов проверять всех и вся у МКС нет. При этом любая организация может пройти формальную процедуру и получить аккредитацию и выдавать квалифицированные сертификаты. Это достаточно просто, если у вас в компании есть 2 выпускника по специальности, где проходили средства криптографической защиты информации. На крайняк можно зарегать на формальных работников, устроенных в вашу компанию.

Если ваш АУЦ выдаст квалифицированный сертификат на юридическое лицо, например, Первое лицо компании Копыта и Рога, то владелец ключей электронной подписи проставит под каким-нибудь договором такую подпись и она будет являться уже не только аналогом подписи Первого лица, но и печати организации под данным документом. Конечно, чтобы такого не было работники АУЦ должны удостоверять личность «запрашивателя» сертификата, но никто не отменял стандартного раздолбайства, «гиперклиентоориентированности» (когда ради угоды клиенту боссы сверху придумали схему выдачи квал. сертификатов без посещения АУЦ удаленно, а ИПшники какие-нибудь только рады тому, что не нужно «переться на другой конец города в АУЦ») и банальной жажды наживы, либо хорошей подделки предоставленных документов.

Пока я не слышал о том, чтобы это эксплоитили, но потенциальная дыра есть и о ней мало кто думает и еще менье кто говорит. Вообще я уже писал про гигиену ИБ тут на Мотыльке. Мы живем в мире, где технологии далеко впереди как законов, так и регуляторов.

Если вы мне скажете, что ВК серьезная компания, они серьезно заботятся об информационной безопасности и их невозможно поломать, то у меня для вас печальные данные. Фейсбук вон выдал инфу о 50кк американцев без всяких взломов. А так как защита данных и удобство пользователей — это две сущности на разных чашах весов, то есть можно сделать «мега-секьюрно с 99,99% защиты», но в результате удобство входа в систему будет уровня сдачи мазка для аутентификации и все это в присутствии мамы, адвоката, нотариуса и господа бога. Всем кажется неудобным критично относиться к персональной информации, эти заморочки с двухфакторной авторизацией, разделение критически важных бизнес-аккаунтов от некритичных аккаунтов и тд.

Да что там, все с радостью поставили GetContact чтобы узнать как они записаны у других в телефонной книге. Разработчики сомнительного приложения вырвались в свое время в топ бесплатных приложений, стащив критичные данные на десятки, если не сотни, тысяч пользователей. И все по их же просьбе. Я уверен, что никто из установивших даже не заглядывали в раздел политики приватности компании, что это приложение делало, а там весьма годный текст:

Третий пункт политики приватности, опубликованной на сайте приложения, гласит, что GetContact может «рассылать информационные сообщения по электронной почте и СМС, или связываться по телефону, или совершать маркетинговые активности». В том же пункте говорится, что компания оставляет за собой право делиться со сторонними компаниями любой собранной информацией.

Вот о каких данных идет речь:

  1. содержимое телефонных книг;
  2. контакты;

  3. аккаунты в социальных сетях;
  4. фотографии;
  5. имейл;
  6. IP-адреса;
  7. истории звонков.
То есть ради фишки «как моя бывшая записана у других в контактной книге» люди слили про себя все и вся. Классный способ поиметь человека, заставив его самого снять штаны и встать раком. Ну и подумайте есть ли в компании, что разработали это приложение, в принципе специалисты по защите информации или любой скрипткидди (хакер, который ничего не понимает во взломе, но смог скачать софтину, которая делает взлом за него) мог бы легко вытащить всю их базу с кучей персональных данных из-за багов на стороне серверной части? Ставлю на то, что их базу не только они продавали, но и хакеры/уволенные программисты.

3 комментария

6uomacca
«Поэтому я говорю о гигиене, а не об облачении в доспехи. Везде нужен здравый смысл затрат. Ну это как мыть руки перед едой, чтобы не провести вечер в скорой или на очке.» (Jolly)

Ну может ещё, гипотетически — мыть руки мылом Huawei E8372, и только в машине. Хотя не знаю, работает ли это)

Стёр кучу текста…. Опыт целования в дёсна с весёлыми организациями может и повышает «скил медного лба и железной задницы», но что нервы потом на годы в хлам — это уж точно.
Ну вам это дай бог итак не пригодилось бы, а уж просто веселиться на эту тему диковато.
0
Комментарий отредактирован: 7 декабря 2018, 01:02
6uomacca
«Властелин колец или как я покупал себе A6» — обстоятельнейшая повесть)
Ты кидай с insane.su даже что-то давнишнее, пусть даже контекстной ссылкой. Многие вещи два раза уже не напишешь, и всё запылится в чулане времени. Это печально, когда такие вещи пропадают в никуда.
0
eupraxia
Ну, лучше вообще свое реальное имя не палить лишний раз в сети, везде сидеть под псевдонимами, фото не выкладывать.
0