✈️ Приложения для путешествий собирают данные пользователей без их согласия
Специалисты Cybernews изучили 22 популярных приложения для бронирования гостиниц и планирования отпуска в Google Play, чтобы определить, к каким данным они имеют доступ и какую информацию могут собирать.
🏆 Абсолютными «чемпионами» стали Booking.com, MakeMyTrip и HotelTonight.
Выяснилось, что некоторые приложения не только не раскрывают информацию о том, что они собирают конфиденциальные данные пользователей, но и, похоже, не имеют законного основания для их сбора.
➡️ Все протестированные приложения собирают данные о местоположении, однако половина из них об этом не сообщает.
➡️ 14 приложений имеют доступ к камере устройства для фотосъемки, записи видео и совершения видеозвонков. Согласие пользователей даже не запрашивают.
➡️ Некоторые приложения получают доступ к IMEI, IMSI, номеру телефона, серийному номеру устройства и уникальному идентификатору SIM-карты.
➡️ Добавляем к этому доступ к SMS-сообщениям, файловым системам на устройстве, к хранилищу, контактам, микрофону и получаем «безопасный» отдых 🥴
🤔 Бельгийская полиция хочет получить «прямой» доступ ко всем сообщениям пользователей зашифрованным и нет
Немецкое новостное издание Heise обнаружило в Сети документ, разработанный Национальной группой технической поддержки (NTSU) Федеральной полиции Бельгии. В течение года рабочая группа вела дискуссии о предоставлении правоохранительным органам доступа к переписке пользователей в мессенджерах. Комиссия ЕС опубликовала несколько частично отредактированных презентаций в ответ на информационный запрос члена Европейского парламента Патрика Брейера.
В презентации NTSU говорится о «реальной необходимости» правоохранительных органов иметь доступ к данным, в том числе практически в режиме реального времени, пусть даже в качестве исключительной меры, строго ограниченной законом. Полиция утверждает, что это поможет не только идентифицировать преступников после совершения преступного деяния, но и предотвратить совершение преступления.
«Как только оператор получает законный запрос, выданный компетентным судебным органом, он несет ответственность за обеспечение доступа к сервису в режиме реального времени», — говорится в презентации.Читать полностью…
☝️ Важные летние новости
Системы самостоятельной регистрации Ariane Systems, установленные в тысячах отелей по всему миру, содержат уязвимости, которые могут позволить получить доступ к личной информации гостей и ключам от номеров.
Терминалы Ariane Systems позволяют людям самостоятельно бронировать номера и регистрироваться в отелях, оплачивать проживание через подсистему POS, распечатывать счета и предоставлять RFID-транспондеры, используемые в качестве ключей от номера.
Проблему обнаружил исследователь Мартин Шоберт еще в марте. Он смог легко обойти системы защиты Ariane Allegro Scenario Player и получить доступ к рабочему столу Windows со всеми данными о клиентах.
📷 Швеция хочет разрешить полиции использовать технологию распознавания лиц
Правительство намерено предоставить правоохранительным органам возможность использовать камеры с технологией распознавания лиц в режиме реального времени в общественных местах, например, для идентификации людей, подозреваемых в определенных преступлениях.
В марте Европейский союз принял правила, регулирующие использование искусственного интеллекта, которые запрещают применять системы распознавания лиц в режиме реального времени в общественных местах, но допускают некоторые исключения для правоохранительных органов.
В декабре правительство Швеции распорядилось провести расследование относительно расширения полномочий правоохранительных органов по использованию камер наблюдения, включая использование технологии распознавания лиц. Казимир Аберг, возглавлявший расследование, заявил, что полиции должно быть разрешено использовать технологию распознавания лиц в режиме реального времени только в случае преступлений, влекущих за собой тюремное заключение сроком от 4 лет, и только после получения разрешения судебного органа.
👀 Европейский суд по правам человека вынес решение по делу о массовой слежке за польскими правозащитниками
Суд заявил, что власти Польши нарушили Европейскую конвенцию по правам человека, в частности статью 8, гарантирующую уважение прав на частную и семейную жизнь.
Дело было инициировано группой польских правозащитных НПО. Они пожаловались на отсутствие эффективного надзора и средств правовой защиты для тех, кто подвергается слежке со стороны государственных органов. Правозащитники заявили, что законы, разрешающие тайное наблюдение за людьми, в том числе Закон о борьбе с терроризмом, нарушают их право на частную жизнь.
👀 Глава WhatsApp прокомментировал заявления Илона Маска о передаче данных пользователей
Уилл Кэткарт ответил на заявления Илона Маска о том, что приложение для обмена сообщениями регулярно передает личные данные пользователей, назвав их «несправедливыми».
Ранее Маск предупредил о потенциальных проблемах конфиденциальности, связанных с WhatsApp. В его твите говорилось, что приложение может активировать микрофоны пользователей ночью для передачи данных на серверы компании.
При этом Кэткарт отметил, что сообщения в WhatsApp полностью зашифрованы, а это означает, что компания вообще не может их прочитать. Однако исследователь Томми Мыск подчеркнул, что пользовательские данные — это не только сообщения, это также метаданные: сведения о местоположении пользователя, контакты, с которыми он общается, и другая конфиденциальная информация.
👊 Эксперты нашли хакеров, которые шпионили за российскими компаниями
Специалисты компании «Солар» обнаружили хакерскую группировку Shedding Zmiy, на счету которой несколько десятков кибератак на госсектор, промышленность и телеком. Злодеи шпионят за компаниями минимум с 2022 года.
Группировка — серьезная угроза для российской инфраструктуры. Злоумышленники применяют как коммерческое вредоносное ПО, так и уникальное, разработанное специально под конкретные цели (включая загрузчики, бэкдоры и веб-шеллы). Скомпрометированные данные используют в последующих атаках и выкладывают в публичный доступ.
🤔 Австралийцы не знают, какой объем персональных данных собирается из-за «двусмысленной» политики конфиденциальности
Австралийская комиссия по конкуренции и защите прав потребителей (ACCC) поделилась новым отчетом.
Выяснилось, что среднестатистическому пользователю потребуется почти 46 часов в месяц, чтобы полностью прочитать каждую политику конфиденциальности, с которой он сталкивается. В среднем типичная политика конфиденциальности содержит 6876 слов, и на ее прочтение уходит около 29 минут.
👁🗨 Глава разведки предупредил канадцев, что Китай может использовать TikTok для шпионажа за ними.
Директор CSIS Дэвид Виньо дал большое интервью телеканалу CBC. Собрали самые яркие заявления:
➡️ У правительства Китая есть очень четкая стратегия. Их цель — получать личную информацию от любого человека по всему миру.
➡️ Почему TikTok так нацелен на подростков? Потому что через 5–10 лет этот подросток станет взрослым и будет заниматься различными видами деятельности по всему миру.
➡️ Если вы по какой-либо причине попадете под прицел Китайской Народной Республики, у них будет много информации о вас.
➡️ Использование TikTok рискованно, а потенциальный доступ правительства Китая к личным данным с платформы социальных сетей представляет угрозу нашему образу жизни.
➡️ Они используют аналитику больших данных, у них есть потрясающие компьютерные фермы, обрабатывающие данные, они разрабатывают искусственный интеллект... основанный на использовании этих данных.
➡️ Конечной целью всегда является защита интересов Коммунистической партии Китая. И поэтому с этой точки зрения во многих отношениях это угроза тому, как мы живем.
🛍 Visa, ИИ и передача клиентских данных ритейлерам
Visa Inc. внедряет новую технологию, которая позволит платежному гиганту передавать ритейлерам больше информации о предпочтениях клиентов на основе их истории покупок. Таким способом компания хочет остаться ведущим игроком в конкурентном пространстве электронной коммерции.
Обмен данными будет осуществляться с помощью запатентованных платежных «токенов», которые обеспечивают дополнительный уровень безопасности между банковской информацией потребителя и продавца. Предпочтения покупателей и другая информация, основанная на прошлых транзакциях, будут передаваться розничным продавцам с согласия потребителей.
Чтобы адаптировать процесс совершения покупок с помощью искусственного интеллекта, Visa использует огромные объемы данных. Хотя компания обещает «улучшить впечатления от покупок» за счет обмена информацией, правозащитники задают резонный вопрос: а знают ли потребители, что они разрешают делиться такой информацией?
😱 В 2024 году количество утекших паролей в России выросло в шесть раз
🅰️ С начала года в даркнете нашли более 19 миллионов паролей российских пользователей.
🅰️ Больше всего утечек данных фиксируется в сфере ритейла.
🅰️ Вырос объем утекших данных среди организаций в сегменте малого и среднего бизнеса.
🅰️ Более 72 миллионов, или 87% всех пользовательских данных, относятся к банкам, микрофинансовым организациям и страховым компаниям.
«Пароли, особенно от финансовых аккаунтов и различных интернет-сервисов, остаются лакомым куском для злоумышленников. Часто подобная информация попадает в руки злоумышленников даже не в результате атак на компании, а из-за программ-стилеров, которые проникают на устройства самой жертвы. Поэтому забота о собственной кибербезопасности частных пользователей остается одной из ключевых мер для предотвращения утечек. Для защиты от такого рода ВПО стоит использовать антивирусные решения, а также настраивать двухфакторную аутентификацию в тех сервисах, где это возможно», — рассказал Игорь Фиц, аналитик Kaspersky Digital Footprint Intelligence.Читать полностью…
🔥 Apple и Google будут предупреждать пользователей о слежке
Техгиганты объявили, что пользователи iPhone и Android начнут получать предупреждения о том, что неизвестное устройство Bluetooth используется для слежки за ними.
Обе компании разработали отраслевой стандарт под названием «Обнаружение нежелательных устройств отслеживания местоположения». Apple введет эту функцию в iOS 17.5, а Google запустит на устройствах с Android 6.0+.
Причиной всему Bluetooth-трекеры AirTags от Apple, которые должны помогать отслеживать повседневные предметы, например ключи. Вот только популярность они набрали у сталкеров, которые выслеживали своих жертв с помощью гаджетов.
🤲 Налоговая служба Австралии запросила у криптовалютных бирж личные данные около 1,2 млн граждан
В список попали даты рождения, номера телефонов, учетные записи в социальных сетях, номера банковских счетов и адреса цифровых кошельков. По замыслу налоговиков, эти данные помогут идентифицировать трейдеров, которые не сообщили об обмене криптоактивами или их использовании для оплаты товаров или услуг.
Криптоактивы набирают популярность в Австралии. В отчете властей страны, опубликованном в 2022 году, говорится, что более 800 тыс. австралийских налогоплательщиков совершили операции с цифровыми активами за последние три года.
⛔️ Служба пограничного контроля США задержала и допросила более 30 сотрудников TikTok
Большинство из них — граждане Китая и работают в технологических подразделениях TikTok и компании ByteDance.
На допросе пограничники интересовались связями между TikTok и ByteDance и мерами, которые компании предпринимают по защите конфиденциальных данных американских пользователей. Напоследок задавали вопросы личного характера: о членстве в Коммунистической партии Китая, образовании и политических взглядах.
Ранее американские чиновники не раз выражали обеспокоенность по поводу защиты данных пользователей TikTok. Они подозревают, что платформа может передавать данные американцев правительству Китая.
👀 Организация Euro-Mediterranean Human Rights Monitor призвала срочно изучить роль технологий и социальных сетей в убийствах мирных жителей в Газе
Компании, владеющие цифровыми платформами, должны быть привлечены к ответственности, если будет доказано, что они не приняли адекватных мер для предотвращения доступа к информации пользователей. Они должны гарантировать, что их услуги используются в зонах конфликтов и что конфиденциальность их пользователей соблюдается, отметили правозащитники.
Представители Euro-Mediterranean Human Rights Monitor сообщили, что Израиль использует ряд технологических систем, поддерживаемых искусственным интеллектом, в том числе Where’s Daddy?, Fire Factory, Gospel и Lavender, для незаконного наблюдения за палестинцами.
😱 Австралийские пограничники за последние два года скопировали данные с телефонов 10 тыс. путешественников
Большинство людей, которым было приказано сдать свои телефоны, охотно соглашались предоставить пароль.
Данные, полученные изданием Guardian Australia в соответствии с законами о свободе информации, показывают, что с тех пор, как границы Австралии вновь открылись после ослабления ограничений в связи с Covid-19, количество досмотров телефонов возросло по мере увеличения числа путешественников. В 2021–2022 финансовом году было произведено 2,1 тыс. досмотров, в 2022–2023 годах – 5,1 тыс., а в период с 1 июля 2023 года по 31 марта 2024 года – 4,4 тыс.
Примерно у каждого четвертого человека, остановленного на границе Австралии, были скопированы данные с устройств: 590 случаев в 2021–2022 годах, 1,1 тыс. – в 2022–2023 годах и 1,4 тыс. – в текущем финансовом году.
🤬 Adobe разрешила себе доступ ко всему контенту пользователей
Компания может получать доступ к контенту, созданному пользователями в приложениях Adobe. Просматривать их автоматическими и ручными методами, анализировать с использованием машинного обучения. Фактически никакие материалы, созданные или редактированные посредством ПО Adobe, не защищены от потенциального доступа разработчиков.
И еще одна неприятность. Не согласиться с новыми правилами нельзя. Более того, нельзя даже удалить приложения Adobe без предварительного согласия с этими правилами.
🥸 Израиль тайно оказывал влияние на американских законодателей
В прошлом году Израиль организовал и оплатил кампанию влияния, нацеленную на американских законодателей и американскую общественность с помощью произраильского контента. Компания была направлена на содействие поддержке действий Израиля в войне в Газе.
Тайную кампанию организовали по заказу Министерство по делам диаспоры и борьбы с антисемитизмом, сообщили четыре израильских чиновника. Согласно официальным данным и документам, министерство выделило на операцию около $2 млн и наняло для ее проведения маркетинговое агентство Stoic.
Кампания началась в октябре и по-прежнему проводится на платформе X. Сотни фейковых аккаунтов, замаскированные под учетные записи реальных американцев, в X, Facebook* и Instagram* публиковали посты и комментарии в поддержку Израиля.
*Деятельность Meta (соцсети Facebook, Instagram) запрещена в России как экстремистская
🤬 Google тайно собирала личные данные пользователей на протяжении шести лет
Согласно копии внутреннего отчета Google, посвященному проблемам конфиденциальности и безопасности, корпорация собирала личные данные о пользователях в течение шести лет, сообщило издание 404 Media.
Google записывала голоса детей, сохраняла автомобильные номерные знаки из функции Street View, которая позволяет просматривать панорамные виды улиц. Кроме того, компания раскрывала данные о поездках и домашних адресах пользователей сервиса совместного использования автомобилей и давала рекомендации на платформе YouTube на основе удаленной истории просмотра пользователей.
😈 Миллионы людей скачали вредоносные банковские приложения из Google Play
Исследователи из компании Zscaler ThreatLabz обнаружили в магазине Google Play более 90 вредоносных приложений для Android, которые за несколько месяцев скачали 5,5 млн раз. Эти приложения содержат вредоносное ПО Anatsa, которое незаметно похищает учетные и финансовые данные из различных банковских приложений.
«Злоумышленники используют приложения-приманки, такие как программы для чтения PDF-файлов и считыватели QR-кодов, которые действуют как загрузчики для развертывания вредоносного ПО Anatsa для Android через магазин Google Play», — отметили эксперты Zscaler ThreatLabz.
👊 Access Now подала в суд на Службу таможенного и пограничного контроля и Иммиграционную службу США из-за отказа предоставить информацию о сборе данных мигрантов.
Правозащитники подали запросы в соответствии с Законом о свободе информации (FOIA). Они касались непрозрачного и опасного трансграничного обмена личными данными мигрантов, беженцев, просителей убежища и других людей, пересекающих границы между США и различными странами Латинской Америки.
«Недопустимо, что ICE и CBP не получили никакой значимой информации с тех пор, как мы запросили ее в 2022 году. В какой степени существует профилирование или автоматизированное принятие решений? Сколько людей имеют доступ к конфиденциальным данным мигрантов? Непрозрачность этого и других вопросов ставит под угрозу конфиденциальность тех, кто находится в пути, и их шансы безопасно построить свое будущее», — заявила Анхела Аларкон, участник кампании за Латинскую Америку и Карибский бассейн в Access Now.Читать полностью…
😳 Местоположение пользователей Apple и Starlink можно отслеживать через Wi-Fi
Эксперты из Университета Мэриленда провели исследование и выяснили, что системы позиционирования (WPS) на базе Wi-Fi Apple и Starlink могут использоваться для слежки за людьми, особенно в зонах боевых действий.
💡 Технология WPS использует сигналы Wi-Fi для определения физического местоположения устройства: смартфона или планшета. Она работает путем триангуляции положения устройства на основе известных местоположений близлежащих точек доступа Wi-Fi и силы сигнала.
Исследователи Эрик Рай и Дэйв Левин описали, как WPS Apple облегчает наблюдение даже за теми, кто не использует устройства Apple. Например, люди, у которых нет гаджетов Apple, могут иметь точку доступа в WPS Apple, просто если устройства Apple находятся в зоне действия Wi-Fi. За год исследований команда определила точное местоположение более двух миллиардов идентификаторов набора базовых услуг (BSSID) по всему миру.
🥷 Шпионское ПО нашли на компьютерах для регистрации в отелях США.
Шпионское приложение pcTattletale обнаружили в системах регистрации по меньшей мере трех отелей Wyndham.
Приложение незаметно снимало скриншоты систем бронирования отелей, на которых содержались данные постояльцев и информация о клиентах: имена, детали бронирования и частичные номера платежных карт. Благодаря бреши в системе безопасности, скриншоты доступны любому пользователю в интернете.
😱 Новая функция Windows 11 будет записывать все действия пользователя
Компания продемонстрировала новую функцию Recall на базе искусственного интеллекта. Она записывает абсолютно все, что пользователи видят и делают на своих устройствах.
Прокрутив временную шкалу, человек сможет найти содержимое любого документа, приложения или сайта, которые он открывал ранее. Доступен и поиск: нужна информация из прошлого? Спроси ИИ.
Функция Recall работает как фотографическая память для устройства: использует снимки экрана, чтобы предложить действия на основе того, что распознала в запросе. Пользователь может легко вернуться к определенному чату или нужному письму в почте.
Говорят, что все зафиксированные данные принадлежат только клиентам, создаются и хранятся исключительно на их устройствах. В настройках можно будет удалять снимки и временные диапазоны, ставить запись на паузу и фильтровать приложения и сайты, которые не будут сохраняться.
Однако вопросы к безопасности остаются. Даже если данные не будут передаваться на серверы Microsoft (действительно?), то как они будут защищены на устройстве? Кто-то получил доступ к устройству = получил доступ к конфиденциальной информации?
👀 Пользователи iPhone обнаружили на своих телефонах фотографии, удаленные много лет назад.
Старые фото появились в галерее после установки iOS 17.5. Один из пользователей Reddit рассказал, что был шокирован, когда обнаружил свои старые интимные фотографии, удаленные в 2021 году.
Тему тут же подхватили другие участники:
💬 «У меня появились четыре фотографии 2010 года, которые постоянно появляются в качестве последних фотографий, загруженных в iCloud. Я неоднократно их удалял».
💬 «Со мной случилось то же самое. Шесть фотографий из разного времени, все я удалил. Некоторые удалил в 2023 году».
💬 «Случайная фотография с концерта, сделанная на мою камеру Canon, снова появилась в моей галерее и выглядела так, как будто была добавлена сегодня».
Удаленные фотографии и видео в Apple Photos хранятся в альбоме «Недавно удаленные» в течение 30 дней. Почему снимки остались на серверах Apple — вопрос открытый.
🤔 Шпионские полномочия, нацеленные на американские центры обработки данных, вызывают все большую обеспокоенность
В прошлом месяце президент США Джо Байден подписал закон о слежке. Он расширяет полномочия Агентства национальной безопасности по принуждению американских компаний к прослушиванию коммуникаций, проходящих внутри страны и за ее пределами. Речь идет о разделе 702 Закона о негласном наблюдении в целях внешней разведки (FISA).
Изменения в законе оставили экспертов по правовым вопросам в неведении относительно истинных границ новых полномочий.
Правозащитники утверждают, что формулировки законопроекта, определяющие пределы применения мощного инструмента прослушивания телефонных разговоров, слишком расплывчаты. В итоге значительная часть корпоративной Америки будет подвергнута беспрепятственной и секретной слежке.
🤔 Силовики смогут получать больше данных о россиянах
Минцифры планирует расширить перечень сведений о пользователях, которые интернет-ресурсы должны сохранять и передавать по требованию силовых органов. Вместе с IP-адресом регулятор предлагает передавать им номер сетевого порта пользователя и сетевые параметры самого ресурса организатора хранения информации.
Это поможет выявлять конкретного пользователя при размещении или отправке противоправного контента, облегчит борьбу со средствами обхода блокировок и увеличит эффективность работы силовиков по раскрытию преступлений.
🤯 Во второй половине 2023 года социальная сеть LinkedIn получила более 1 тыс. запросов на данные пользователей
416 их них пришлось на США, далее следуют Франция (289), Индия (84), Германия (81) и другие страны. В общей сложности запросы затронули более 3 тыс. аккаунтов. Процент запросов, по которым в LinkedIn предоставили некоторую информацию пользователей, составляет 60% (1,4 тыс. аккаунта).
Число запросов на удаление контента по итогу отчетного периода составило 151. Из них 97 сделали США, 19 — Бразилия, 9 — Турция. Автоматизированная система защиты заблокировала 90,5% поддельных учетных записей, деятельность остальных 9,5% была остановлена модераторам.
😕 Большинство нейрогарнитур не обеспечивают конфиденциальность данных
Многие производители гарнитур для мониторинга мозга и других нейротехнологических устройств не обеспечивают конфиденциальность данных потребителей. Такие выводы сделали эксперты Neurorights Foundation, исследовательской организации, базирующейся в Нью-Йорке.
Эксперты изучили 30 компаний, которые продают нейротехнологические устройства напрямую потребителям. Анализ политики конфиденциальности этих компаний показывает, что многие из них собирают данные пользователей и сохраняют за собой право продавать информацию без получения дополнительного разрешения пользователей.
🤬 Федеральная комиссия по связи США оштрафовала операторов беспроводной связи за незаконную продажу данных о местоположении абонентов
Крупнейшие операторы беспроводной связи AT&T, Sprint, T-Mobile и Verizon попали на $200 млн за незаконную продажу данных.
Комиссия обнаружила, что каждый из операторов продавал доступ к информации о местоположении своих клиентов агрегаторам. А те, в свою очередь, перепродавали доступ к такой информации сторонним поставщикам услуг на основе определения местоположения. Согласие клиентов, конечно же, никто не получал, да и никаких разумных гарантий защиты этой информации от неправомерного использования не предоставили.