Федералната търговска комисия (ФТК) постигна споразумение с компанията, което включва и засилена защита на децата геймъри. Освен това се установи, че тех гигантът не е информирал родителите за своите политики за събиране на данни.

В нова тенденция ли ще се превърне злоупотребата с лични данни и нарушаване на поверителността? Само преди няколко дни същата комисия в САЩ глоби Amazon с 25 млн. долара за нарушаване правото на неприкосновеност на личния живот на децата със своя гласов асистент Alexa.

Не пропускайте подробности около новината на DevStyleR.IO – New Privacy Trend: US Fines Microsoft for Misusing Children’s Personal Data

Информацията идва от Financial Times и определено една такава обща платформа може да улесни живота на европейските граждани. Различни държави имат подобни разработени решения за дигитална лична карта, но те са индивидуални за конкретните страни. Възможно е пандемията да е инициатор на това решение, като с него ЕС ще промотира по-лесния достъп до различни частни и публични услуги из целия европейски блок.

Твърди се, че за услугата потребителите ще трябва да инсталират приложение, което ще се отключва с пръстов отпечатък или сканиране на ретината. Определено тук могат да се породят и доста съмнения и скептицизъм около защитата на данните на потребителите. В случай, че това приложение съдържа онлайн лична карта, шофьорска книжка, платежни и други данни, то пред ЕС стои сериозна работа за опазването на тази информация. Според FT, данните няма да бъдат предоставяни на различни компании, за каквито и да било маркетинг и комерсиални дейности.

Очаква се платформата да бъде готова и пусната до една година.

“Това не е грешка в кодирането. Това е некомпетентност. Разработчикът, който е създал това, е некомпетентен … Това са основни неща“, каза човекът, който забелязал проблема със системата за резервации.

“Изходният код на уебсайта маркира няколко тревожни неща, включително нечие име, и NHI (национален здравен индекс) номер, кодирани твърдо в уебсайта, по каква причина? Не знам“, каза той. “Можехме да видим подробностите на всички. Прегледахме имена, датите на раждане, NHI номерата на тези, които са ги въвели, данните за контакт, къде се ваксинират, по кое време са ваксинирани”.

Оказа се, че Canterbury DHB е използвал модифицирана вътрешна система за създаване на резервационна система. “Можете да разберете по изходния код, че това никога не е било предназначено за публичен уебсайт. Това е било само за хора, които да го използват на iPad.“

Обажданията и известията ще продължат да функционират „за кратко“, но TechCrunch съобщава, вероятно че това ще е в срок от само „няколко седмици“. WhatsApp обяви актуализацията през януари и събуди множество недоволни реакции от потребители, които основно се съмняваха, че всичко това означава, че компанията планира да промени количеството данни, които споделя с компанията майка – Facebook.

Съответно, от WhatsApp изясниха, че това не е така и тези притеснения не отговарят на реалността. Актуализацията има за цел да даде възможност за извършване на плащания към бизнеса.

Все пак, WhatsApp вече споделя известна информация с Facebook, като IP адреса на устройството и покупките, направени чрез платформата – нещо, което не важи напълно в Европа и Великобритания, където съществуват различни закони за поверителността.

Но разбира се, всички дебати и съмнения около WhatsApp влияят доста добре на конкурентни платформи като Telegram и Signal. Наблюдава се скок в търсенето им и в изтеглянето им. Потребителите на WhatsApp масово търсят алтернативни услуги за криптирани съобщения.

След първоначалното съобщение на платформи като Telegram и Signal се наблюдава огромен скок в търсенето, тъй като потребителите на WhatsApp искат алтернативни услуги за криптирани съобщения. В много от коментарите из интернет може да се види негативния отзвук от случващото се с WhatsApp и освен, че потребителите препоръчват други платформи, то сочат с пръст към Марк Зукърбърг виждайки в него зли намерения за събиране на още и още данни.

Все пак, въпреки негативните коментари, то WhatsApp все още се използва от цели 2 милиарда души по света.

Grindr е потенциално най-голямата платформа за срещи и запознанства за хомосексуални, бисексуални, транссексуални и куиър хора. Твърденията за нарушаване на поверителността датират от 2018 г. и въпреки, че настоящите практики от политиката на поверителност на Grindr вече не изглеждат по същия начин, то норвежкият орган за защита на данните има желанието да затвори този случай с налагането на глоба и нейното изплащане.

„Предварителното ни заключение е, че нарушенията са много тежки“, заяви норвежката агенция в изявление, в което обяви, че според нея това е рекордна глоба, съответстваща на около 10% от прогнозните глобални годишни приходи на Grindr.

Grindr има време до 15 февруари да отговори на исковете, след което Органът за защита на данните ще вземе окончателното си решение по случая.

„Ние непрекъснато подобряваме нашите практики за поверителност, като обмисляме променящите се закони и разпоредби за поверителност и очакваме с нетърпение да влезем в продуктивен диалог с норвежкия орган за защита на данните“, споделя говорител на компанията в имейл до Ройтерс.

Reuters съобщава, че Норвежкият потребителски съвет (NCC), наблюдател, казва в доклад от януари 2020 г., че Grindr споделя подробни потребителски данни с трети страни, участващи в рекламирането и профилирането, като IP адрес на потребителя, рекламен идентификатор, GPS местоположение, възраст и пол.

Според NCC в някои случаи широкото споделяне на лични данни може да стане въпрос на физическа безопасност, ако потребителите са разположени и са насочени в страни, където хомосексуалността е незаконна. В случаите с платформи като Grindr, Tinder, или други приложения за запознанства, потребителските данни са силно чувствителни и могат директно да повлияят на личния живот на човек. В този случай нарушаването на поверителността на потребителите, както и на тяхното доверие, може да причини сериозни щети.

В изявление NCC приветства решението да глоби Grindr като историческа победа за неприкосновеността на личния живот.

Глобеният notebooksbilliger.de AG (работи като NBB) е онлайн портал за електронна търговия и търговска верига, посветена на продажбата на лаптопи и други ИТ консумативи.

Държавният комисар за защита на данните (LfD) за провинция Долна Саксония заяви, че компанията е инсталирала преди две години система за видео наблюдение в своите складове, търговски помещения и общи работни пространства с цел предотвратяване и разследване на кражби и проследяване на движението на продуктите.

Длъжностни лица заявиха, че системата за видеонаблюдение е била активна през цялото време, а записите са били запазени за около 60 дни в базата данни на компанията.

Но докато търговецът е с представата, че използва нормалното решение за видео наблюдение, както се среща в много други бизнеси в Германия и по целия свят, то германският регулатор на данни установи, че това е грубо посегателство върху правата на работниците.

“Имаме работа със сериозен случай на видеонаблюдение в компанията“, каза Барбара Тиел, ръководител на LfD Долна Саксония, в съобщение за пресата по-рано този месец. “Компаниите трябва да разберат, че с толкова интензивно видеонаблюдение те масово нарушават правата на своите служители.”

Германският регулатор на данните твърди, че служителите не трябва да се отказват от правото си на неприкосновеност на личния живот, дори работодателят да ги поставя под съмнение за потенциално извършване на престъпление в бъдеще.

Видеонаблюдението не трябва да се използва като „възпиращ фактор“ за предотвратяване на престъпления, а само когато работодателят има основателно подозрение срещу определени служители. В тези случаи служителите могат да бъдат наблюдавани за ограничен период от време, докато подозрението не бъде потвърдено, а не години поред.

„Видеонаблюдението е особено интензивно посегателство върху личните права, защото теоретично цялото поведение на човек може да бъде наблюдавано и анализирано“, каза Тийл.

Ръководителят на LfD каза, че поради постоянното видео наблюдение служителите са подложени на непрекъснат стрес и натиск да се държат възможно най-незабележимо, за да избегнат критики за поведението си.

Освен това германският регулатор на данни заяви, че NBB също записва клиенти, докато тестват устройства без тяхно знание или съгласие, което представлява друго голямо нарушение на поверителността.

Служителите на LfD заявиха, че са глобили търговеца за постоянните практики на видеонаблюдение, тъй като нямат правно основание, като се позовават на горепосочените причини, но и на факта, че компанията не е успяла да приложи други методи за спиране на кражби, като случайни проверки на чанти за клиенти и служители напускащи на помещенията им.

Но в PDF изявление, публикувано на уебсайта, главният изпълнителен директор на NBB Оливър Хелмолд заяви, че глобата и обвинението са неоснователни.

“В нито един момент видеосистемата не е проектирана да следи поведението или представянето на служителите. Дори не е била технически оборудвана за това“, казва Хелмолд.

Освен това Хелмолд нарече глобата непропорционална на размера на компанията и казва, че планират да обжалват.

“Абсурдно е органът да наложи глоба над 10 милиона евро, без да разследва достатъчно въпроса. Очевидно тук трябва да се даде пример за сметка на нашата компания“.

Това е втората сериозна глоба, която същият офис на LfD налага, след като през октомври регулаторът глоби H&M с 35,3 милиона евро, поради същите съображение – постоянно видео наблюдение на служителите.

За да помогне на този процес, Google добавя и нова секция в таблото за управление на уеб магазина си, в която разработчиците на разширения ще могат да разкриват какви данни събират от потребителите. Новият “data usage” dashboard ще бъде с ограничен набор от предварително зададени опции, които ефективно ще забранят на разработчиците прилагането на определени практики, свързани с данни. Такива са:

• Продажбата на потребителски данни е с цел подсигуряване, че всеки трансфер е в основна полза на потребителя и в съответствие с посочената цел на разширението.
• Използването или прехвърлянето на потребителски данни за персонализирана реклама.
• Използването или прехвърлянето на потребителски данни, свързани с кредитоспособност или друга форма на кредитиране, на брокери на данни или други дистрибутори на информация.

Това, което Google предприема не е съвсем ново и се появява след като по-рано през годината от Apple съобщиха, че скоро всички приложения на App Store ще трябва да включват “privacy prompt (label)”, който ще изброява всички данни, които приложенията събират от потребителите и кои от тях се използват за проследяване на потребители в различни приложения. Въпросният “label” на Apple трябва да стартира на 8-ми декември тази година.

От Google ще известяват всички разработчици в Web Store, подканвайки ги да създадат свой раздел “Privacy practices”.

Компанията BrandTotal, създател на UpVoice, примамва потребителите да инсталират разширението от Google Chrome Store, като предлага различни плащания под формата на онлайн карти, в замяна срещу инсталация. Това е практика, която сериозно подвежда потребителите. По подобен начин, компанията Unimania пък, свързана с Ads Feed, обещава на инсталиращите разширението за браузъра, членство в елитна група, влияеща върху рекламните решения на корпорации с милиарди долари.

От Facebook обаче, са убедени, че тези практики са лоши и се изпълняват с цел измама, така че да се достигне до събирането на данните на потребителите. Според съдебните документи, подадени от компанията, тези разширения крадат потребителска информация от Facebook, Instagram, Amazon, Twitter, LinkedIn, Pinterest и YouTube. Става въпрос за класическия пакет – име, user ID, пол, дата на раждане, семеен статут, локация, предпочитания към реклами, интереси и т.н. Всичко това, като следствие на инсталирането, се използва с цел маркетингово разузнаване.

Но освен това, от Facebook разчитат и по-голяма схема. Вярването е, че всъщност двете компании са една и съща, защото използват почти еднотипен код за източване на данните, а освен това информацията отива към едни и същи сървъри. От социалната мрежа изискват забраняване на всякакъв достъп на компаниите до уебсайтовете на Facebook и Instagram, както и блокиране от правото за разработване на още разширения за браузъри.

Все пак и UpVoice, и Ads Feed са все още достъпни. Въпреки многократните опити на Facebook да ги свали, от Google не са предоставили отговор. Unimania бе замесена и в друг подобен скандал, след като през 2018 г. от AdGuard разобличиха четири разширения за Chrome, които събират данни от потребителите на Facebook – без разрешение.

След инсталация на WhatsApp например, както знаем, можем инстантно да започнем кореспонденция с даден човек от нашия телефонен указател, стига и той да има същата платформа. Разбира се, за да се случи това, потребителите дават разрешение за достъп, следователно редовно техните контакти биват качени и на сървърите на компанията, предлагаща услугата.

Проучването на Secure Software Systems Group от университета във Вюрцбург и Cryptography and Privacy Engineering Group в Техническия университет в Дармщат, гласи, че използваните в момента услуги за намиране на контакти сериозно може да застраши поверителността на потребителите. Изследователите, използвайки сравнително малко ресурси, са успели да атакуват WhatsApp, Signal и Telegram, и са достигнали до извода, че хакери биха могли да съберат чувствителна информация, след като използват услугата за откриване на контакти за случайни телефонни номера.

За целта на проучването, изследователите са поискали 10% от всички мобилни телефонни номера в САЩ за WhatsApp и 100% за Signal. По този начин, те успяват да съберат данни, които обикновено се съхраняват в профилите на потребителите, като профилни снимки, псевдоними, статуси, както и “Last seen” часът. Чрез анализиране на цялата информация се достига до статистически изводи за поведението на потребителите, като например това, че много малко от тях променят настройките за поверителност. Около 50% от използващите WhatsApp в САЩ имат публична, открита профилна снимка, а 90% от тях – публична “About” секция. 40% от потребителите на Signal пък, също използват WhatsApp, където почти всеки втори също има публична профилна снимка. С течение на времето и проследяването на данни, нападателите могат да изградят точни модели на поведение, а трети страни да създадат също профили с подробна информация, така че да изглеждат истински, но да бъдат използвани за измами.

Коя информация се разкрива по време на откриването на контакт и може да се събира чрез обхождащи атаки (crawling attacks), зависи от доставчика на услуги и настройките за поверителност на потребителя. WhatsApp и Telegram например, прехвърлят цялата address book информация на потребителя на своите сървъри. Повечето privacy-concerned messenger платформи пък, прехвърлят само кратки криптографски хеш стойности на телефонните номера или разчитат на надежден хардуер. Изследователският екип обаче показва, че с новите и оптимизирани стратегии за атака, ниската ентропия на телефонните номера позволява на нападателите да изведат съответните данни от криптографските хешове в рамките на милисекунди. Освен това, тъй като няма сериозни ограничения за регистриране в платформите за комуникация, всяка трета страна може да създаде голям брой акаунти за обхождане на потребителската база данни за информация, като поиска данни за случайни телефонни номера. „Настоятелно препоръчваме на всички потребители на приложения за съобщения да преразгледат настройките си за поверителност. Понастоящем това е най-ефективната защита срещу потенциалните атаки,” казват проф. Александра Дмитриенко от Университета във Вюрцбург и проф. Томас Шнайдер от ТУ Дармщат.

Резултатите от изследването ще бъдат представени в доклада “All the Numbers are US: Large-scale Abuse of Contact Discovery in Mobile Messengers” през февруари 2021 г. по време на голямата конференция за ИТ сигурност NDSS. Междувременно, екипът е докладвал своите открития на WhatsApp, които са повишили сигурността си и би следвало атаките в големи мащаби да могат да бъдат уловени. От Signal пък са намалили броя на възможните заявки, за да затруднят потенциална crawling атака.

SIDN Fund е независима фондация, създадена от SIDN – фондацията за регистрация на интернет домейн в Холандия. От 2014 г. има над 250 подкрепени иновативни проекти, които помагат за изграждането на по-силен, по-добър и по-безопасен интернет.

/е/OS е базирана на своето обещание за чиста, неприкосновена, “privacy first” операционна система, която е изцяло “deGoogled”. Но в момента, в който се инсталира приложение за придвижване или пък за резервация на ресторант, от e Foundation не изключват риска потребителите отново несъзнателно да компрометират личните си данни. Повечето приложения включват тракери, софтуер, които следят активността, местоположението, както и имат достъп до документи на телефона. Именно тук, пишат от e Foundation, влиза в сила новият проект, финансиран от SIDN.

e Foundation ще разработи приложение „Privacy Center“, за да повиши информираността на потребителите и да получи повече контрол върху тракерите на смартфоните, както и като цяло ще подобри управлението на поверителността на данните.

Приложението цели да бъде неразделна част от /e/OS, но ще бъде достъпно и за други операционни системи Android, така че да помогне на колкото се може повече потребители да осъзнаят проблемите с поверителността на своите телефони. “Privacy Center” ще предоставя на потребителите централизирана точка, от която да се получава подробен анализ на поверителността на телефона, което пък да позволява предприемането на действия при необходимост. Освен информацията за тракери, разрешения, както и потенциални изтичания на поверителността. Ще съществуват различни сигнали и настройки, деактивиране на функциите на приложението, както и настройване на фалшива локация. Приложението ще бъде изцяло с отворен код, като кодът е достъпен за всички.

Друг аспект на проекта ще бъде разработката и интегрирането на PWA технология в /e/OS, като това е страхотна възможност за придобиването на по-голяма независимост от SDK на Google и Apple приложенията и магазините.

Проектът е вече задвижен, като се търсят експерти в областта на privacy, както и софтуерни инженери.

Допълнителна информация, може да бъде намерена на сайта на e Foundation.