Утечки данных, избыточный сбор персональных данных и «цифровое насилие»­

Беспрецедентные утечки колоссального количества персональных данных россиян в этом году ранили многих и особенно остро поставили вопрос: а зачем такому большому количеству контрагентов в нашей жизни СТОЛЬКО данных и покупателях/пользователях и даже случайно проходящих мимо? Настраивать рекламу? Но не слишком ли большая цена в итоге платится несчастным пользователем?

Рейтинг связности Рунета

Справочник автономных сетей

Наши расследования

Проверка блокировок

Переводы полезных сервисов

Как устроен интернет

Журналистские расследования

Важные новости

Наш новый проект:
рассказываем об устройстве интернета

Мы запускаем новый проект, в рамках которого будем рассказывать о том, как устроен Интернет. Роль Сети в нашей жизни сложно переоценить – с ней связаны буквально все аспекты жизни. Всего за пару десятилетий выстроился огромный и сложный механизм, о работе которого обычно знают до обидного мало. И если базовые знания, скажем, об электричестве или радиосвязи у нас есть детства – они как минимум внесены в школьную программу, то про интернет же и его устройство никто и нигде системно не рассказывает. Это такой магический черный ящик: каким-то чудом мы получаем от него массу благ и вообще современное устройство нашей жизни, но как это происходит – неведомо. Мы решили восполнить этот пробел и начать рассказывать о том, что представляет собой интернет, как он функционирует и из чего выстроена его инфраструктура. Это множество взаимосвязанных звеньев, в которых мы и будем детально разбираться. Что такое IPv4? Кто такие «магистральные провайдеры»? ­Как работает VPN? Зачем интернету протоколы и кто регистрирует сайты? – все эти вопросы и массу других мы будем разбирать в рамках проекта «Как устроен Интернет»­. Мы стараемся давать объяснения буквально «на пальцах»­ и максимально простым языком. Из-за этого можем не затрагивать многих тонкостей и деталей, которые могут показаться важными. Но мы будем постепенно углубляться в бездну знаний об устройстве интернета и увеличивать количество материалов. А вас призываем: пишите нам о том, что вам было бы интересно узнать, и мы будем раскрывать эти темы в первую очередь. Сегодня уже готовы детальные рассказы на такие темы: Что такое IP-адрес Что такое MAC-адрес Про адрес сайта Закончатся ли когда-нибудь IP-адреса? Что такое автономная система (АС) Операторы связи: какие бывают и как работают Как работает VPN? А что такое Proxy? Новые объяснения будут появляться в специальном разделе нашего сайта: «Как устроен Интернет»­. Следите за обновлениями!
05.12.2022

Утечки «Яндекс. Еды»­: первый суд по искам пострадавших

Спойлер: итоги этого разбирательства мы оцениваем как смехотворные. Итак, вчера Замоскворецкий суд Москвы вынес первые решения по искам пострадавших от утечек «Яндекс. Еды»­. Чуда не произошло: 13 истцам предписано выплатить компенсацию морального вреда в размере 5000 рублей (да, пяти тысяч рублей), и еще 7 истцов получили отказ по своим исковым претензиям. Напомним, после колоссального масштаба февральской утечки пользовательских данных сервиса «Яндекс. Еда»­ при посредничестве правозащитных организаций в марте–апреле 2022 было подано несколько исков о компенсации причиненного ущерба от имени приблизительно 100 пострадавших. Планировалось, что иски будут коллективными и к ним сможет присоединиться широкий круг пострадавших, – в частности, так планировал развитие событий проект «Роскомсвобода», собравший несколько сотен человек. Однако в коллективном иске им было отказано. И вот спустя 8 месяцев­ суд наконец рассмотрел по существу первые исковые заявления и начал выносить решения. На сегодня за утерю почти 50 млн строк данных о своих пользователях «Яндекс. Еда» должен выплатить 13 пострадавшим по 5000 рублей, и уже оплатил штраф «Роскомнадзора» за ненадлежащее обращение с персональными данными в размере 60 000 рублей. Т. о., общая сумма ­выплат пока практически равна одной (!!!) средней зарплате по г. Москва (по данным Росстата, средняя зарплата в Москве за январь-май 2022 – 116 354 руб.). Сам сервис «Яндекс. Еда»­ не комментирует в прессе происходящее и не демонстрирует особого желания как-то реагировать на ситуацию. Все, что увидела от него многомиллионная аудитория пользователей – извинение в блоге компании от руководителя проекта Романа Маресова (если кто-то читает этот блог) и скидку в 10% на следующий заказ. Вывод очевиден: увы, но ценность цифровой идентичности и цифровой жизни россиян прискорбно ничтожна – и «Яндекс. Еда», зарабатывающая колоссальные деньги на своих пользователях, относится к ним ну не то чтоб не по-партнерски, а и вовсе как-то оскорбительно – так нам кажется. В то же время, например, в августе завершился мирным соглашением скандал с утечкой данных 80 млн пользователей американского сотового оператора T-Mobile. Его итогом стало обязательство компании выплатить $350 млн пострадавшим и еще $150 вложить в кибербезопасность в самое ближайшее время (до конца 2023). Видимо, там компании почему-то не плевать на своих клиентов и свою ответственность за их безопасность. А нам все же хотелось бы дожить до того момента, когда бизнес станет заботиться о цифровых данных своих клиентов с не меньшим азартом, чем о своих материальных активах.
09.11.2022

Новое исследование: «цифровое насилие»­ и утечки данных

Недавно мы выпустили исследование о том, сколько персональных данных россиян в этом году оказалось в открытом доступе из-за многочисленных утечек из компаний. Без сомнения, пострадал каждый активный гражданин страны. В нашей новой работе мы посмотрели на то, СКОЛЬКО данных собирает российский бизнес о своих клиентов и задались вопросом: а зачем ему это надо? Множество российских организаций почему-то считают себя вправе собирать какое-то невероятное досье на каждого, кто к ним обращается. И бизнес-задачами это объяснить невозможно. Для покупок в онлайн-магазине – требовать доступа к профилю на Госуслугах. Для получения посылок – требовать полные паспортные данные. Для посещения музея – вводить паспортный контроль. Также мы посмотрели на судебную практику: нашли дела о том, как пострадали простые обычные люди от утечек персональных данных. И мы решительно не понимаем: зачем бизнес занимается «цифровым насилием», требуя такое количество персональных данных, которые никак, никаким образом ­не помогают оказывать те услуги, которые оный бизнес предлагает. При этом российский бизнес, как мы знаем, категорически не умеет защищать собранную с клиентов информацию и, похоже, не собирается это делать и впредь.   Мы считаем такое положение дел глубоко деструктивным вслед за нашим новым исследованием запускаем петицию против избыточного сбора данных российскими компаниями.   Ознакомиться с нашим новым материалом об избыточном сборе данных можно тут. Посмотреть и подписать петицию можно на change.org.
01.11.2022

Новое журналистское расследование: «Цифровой железный занавес»

Как развивался интернет-бизнес в России в 2022 году? Очевидно: очень многое изменилось под давлением беспрецедентных внешних обстоятельств последних месяцев. В том, как в этих условиях существует и развивается самая перспективная и быстроразвивающаяся отрасль экономики, разбирались журналисты Даниил Голубев и Влад Иванец. Исследователи посмотрели на самые разные сегменты интернет-бизнеса: денежные переводы и финансовые сервисы, онлайн-кинотеатры и пиратский контент­, социальные сети и онлайн-инструменты для создания контента; оценили изменения в инфраструктуре функционирования интернета, масштабы передела рынка и новые условия для удаленной работы. Полный и подробный материал, документально фиксирующий изменения цифровой экономики России в моменте, – в новом исследовании специально для «Лаборатории свободного интернета» | iFreedomlab: «Цифровой железный занавес»: как изменился интернет-бизнес России в условиях международной изоляции»­. Читать →
21.10.2022

Рисковые лайфхаки: кейс нашего чата

Рисковые лайфхаки: кейс нашего чата Лайфхаки в интернете бывают неплохими, а бывают, как нам кажется, тупыми (на таких сделал себе карьеру супер-популярный блогер Khaby Lame), и даже опасными. Опасно для жизни выжигать по дереву трансформатором от микроволновки, опасно для кошелька применять сомнительные финансовые советы. Нам написал наш читатель Александр (это вымышленное имя), который рассказал следующую историю. Он хотел снять денег с кредитной карты, но его банк предлагал совершенно драконовские проценты — 59,9%. Окей, будем считать их заградительными. Зато в интернете наш читатель нашел отличный «лайфхак»: можно деньгами с кредитки заплатить за мобильный телефон, а потом вывести их со счета телефона на дебетовую карту. И снять. Вуаля! И номер телефона от оператора МТС, и обе карты принадлежали нашему читателю уже много лет, то есть процент за кредит придется платить все равно, поэтому он с чистой совестью попробовал лайфхак и перевел таким способом 15 тысяч рублей. Все сработало! И еще 15. Отлично! К сожалению, на третьей транзакции деньги заблокировали на счету мобильного телефона. Александр, конечно, обратился в салон связи с доказательствами: выписками со счетов и т.д. Там претензию приняли и обещали рассмотреть в течение… 60 дней. Деньги, которые перевел Александр, мирно лежали на счете, причем их законный владелец ничего не мог с ними поделать, а вот оператор снимал абонентскую плату. Поддержка оператора утверждала, что это в интересах абонента, конечно: его спасают от махинаций. Оператор сослался на п. 12 документа «Условия предоставления сервиса «МТС Деньги» при оплате с помощью денежных средств с лицевого счета абонента МТС», где есть такой пункт: 12.8. В целях охраны интересов абонентов и предотвращения мошеннических действий, в т.ч. со стороны третьих лиц, либо в целях исполнения требований законодательства о легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, МТС вправе, в т.ч. в случае получения от кредитных организаций сведений об опротестовании платежей (ошибочный платеж, неправильно указан Абонентский номер, неправильно указана сумма платежа, др.), поступивших на лицевой счет Абонента, либо в случае установления МТС в отношении Операции и(или) Платежа, признаков того, что такая Операция и(или) Платеж совершаются в целях легализации (отмывания) доходов, полученных преступным путем, и/или финансированию терроризма, временно приостанавливать возможность пользования Сервисом (технологически в детализации отражается как опция «Запрет возврата части Аванса»). После выяснения всех фактических обстоятельств дела и исчерпания инцидента возможность пользования сервисом автоматически возобновляется. Абонент, которому временно ограничена возможность пользования сервисом, вправе в любое время обратиться с письменным заявлением в салон-магазин МТС (офис продаж МТС) с документом, удостоверяющим личность, с требованием о досрочном снятии ограничений. Мотивированный ответ на указанное заявление Абонента МТС предоставляет в срок, не позднее 60 дней с даты регистрациитакого заявления. В случае неполучения ответа от МТС в указанный срок либо получения ответа, не удовлетворяющего требованиям Абонента, Абонент вправе обратиться в суд в порядке, установленном действующим законодательством. Установление ограничений на пользование Сервисом в соответствии с условиями настоящего пункта не лишает Абонента права на получение денежных средств, отраженных на балансе лицевого счета Абонента и принадлежащих Абоненту, после погашения всех задолженностей Абонента, при предъявлении документа, удостоверяющего личность, в порядке, установленном Условиями оказания услуг подвижной связи «МТС». Абонент Александр сослался на то, что все документы оператору принес. Срок 60 дней в таком случае выглядит сомнительным и вызвает вопросы, в частности, у юриста проекта «Лаборатория свободного интернета». Дело в том, что согласно ФЗ «О Связи» ст. 55: п. 7, претензия подлежит регистрации оператором связи не позднее рабочего дня, следующего за днем ее поступления. Оператор связи в течение тридцати дней со дня регистрации претензии обязан рассмотреть ее и проинформировать о результатах ее рассмотрения лицо, предъявившее претензию. Это, кстати, отражено в самом бланке претензии, которую оператор предлагает заполнить. Срок 60 дней может применяться, если речь идет о трансграничных платежах (например, роуминге). Александр указал оператору на несоответствие сроков, поддержка оператора клятвенно обещала повысить приоритет претензии. Неизвестно, что именно повлияло на оператора, но через две недели после блокировки средства на счете были разблокированы. У этой истории хороший конец, хотя сил, времени и нервов было потрачено много. Мы попросили юриста описать ситуацию с юридической точки зрения. С юридической точки зрения Чтобы избежать «заградительных» комиссий, многие сайты предлагают различные уловки: электронные кошельки, счета телефонов и т.д. Все эти методы так или иначе связаны с понятием электронных денег и, соответственно, с законом «О национальной платежной системе» (далее — НПС). Расчеты электронными деньгами причислены Законом о НПС к иной форме безналичных расчетов. Это позволяет обращаться с электронными деньгами так же, как с теми, что лежат на банковских счетах: взыскивать, останавливать операции, запрашивать остаток и т.д. Эмитент электронных денег — это оператор электронных денежных средств, который определяется как «оператор по переводу денежных средств, осуществляющий перевод денежных средств без открытия банковского счета». В качестве такового может выступать исключительно кредитная организация, в том числе НКО, имеющая право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций. Делать кошельки для расчетов физлиц с поставщиками услуг, не являясь кредитной организацией, нельзя. То есть если вы собрались некими баллами купить некие сервисы у того же «продавца» (например, оператора), кто вам эти баллы начислил — это еще окей, но расплатиться этими баллами за услуги некого третьего лица, если эмитент баллов не является кредитной организацией, уже нельзя. Использование абонентом денежных средств, размещенных на его счете оператора мобильной связи, для расчетов с третьими лицами возможно только на условиях ст. 13 закона о НПС при наличии соглашения оператора связи с оператором электронных денежных средств. Поэтому у оператора МТС есть «МТС-Банк», который делает чудеса конвертации возможными. Последний де факто осуществляет конвертацию средств абонента на счете оператора сотовой связи, которая представляет собой аванс за услуги связи, в электронные деньги. Примечательно, что согласно определению Верховного суда от 28.10.2015г., поскольку денежные средства, размещенные на расчетном счете абонента оператора сотовой связи, представляют собой предварительную оплату услуг, оказываемых оператором связи, они не могут быть предметом ареста. На практике абоненты должны заключать отдельные соглашения с операторами связи и соответствующими операторами электронных денег, чтобы осуществлять мобильные платежи с использованием остатков на лицевом счете. Такие соглашения могут быть заключены путем принятия публичной оферты, это написано на сайте оператора. Поэтому для многих абонентов чудо конвертации аванса в электронные деньги проходит незамеченным. Кстати, закон о НПС устанавливает ряд ограничений, связанных с использованием электронных денег в обороте. В частности, запрет кредитования. Согласно закону, электронные деньги рассматриваются как предоплаченный финансовый продукт. Оператор электронных денежных платежей вправе предоставить клиенту только то количество электронных денег, которое предварительно было получено им в наличном или безналичном порядке. В рамках «антитеррористического» пакета законов установлен лимит на размер остатка электронных денежных средств и объем переводов в течение месяца. Наш читатель Александр, кстати, к этим лимитам не подобрался даже близко. Так, согласно ст. 10 закона об НПС, предусмотрено 3 степени идентификации физического лица — владельца электронного кошелька: если владелец кошелька прошел полную идентификацию владельца, то максимальный размер остатка в его персонализированном электронном кошельке не может превышать 600 тысяч рублей; ограничения на объем совершаемых им платежей не устанавливаются, хотя конкретная платежная система может устанавливать собственные лимиты; если физлицо прошло только упрощенную идентификацию, то его электронный кошелек может использоваться для переводов в пользу ИП и ЮЛ при условии, что остаток электронных денежных средств в любой момент не превышает 60 тысяч рублей, а общая сумма переводимых электронных денежных средств с использованием такого неперсонифицированного электронного средства платежа не превышает 200 тысяч рублей в течение календарного месяца; анонимные кошельки и анонимные переводы электронных денег имеют ограниченную платежную способность — 15 тысяч. При этом объем переводов не может превышать 40 тысяч в месяц. (Примечательно, что с анонимного электронного кошелька могут совершаться платежи лишь в адрес коммерческих и некоммерческих организаций, а платежи на имя других граждан осуществляться не могут). Следует отметить, что платежная система может устанавливать дополнительные ограничения по локации платежа, по характеру и т.д. То есть операции, которые кажутся абоненту достаточно простыми и прозрачными, на самом деле могут задевать разные пласты законодательства, это выливается в случаи, подобные тому, что произошел с Александром. Задача операторов, как нам кажется, в более навязчивой манере информировать своих абонентов о легальных основах происходящего. Выводы: По сути оператор прав, единственное сомнительное место — сроки рассмотрения претензий. На оператора работают юристы, которые стараются, чтобы все было «чисто». Будьте осторожны с лайфхаками. Во-первых, их пишут люди, которые их сами не пробовали или, вероятно, пробовали, но не в том объеме, который хотите применить вы. Корпоративные машины, которые устанавливают процент за снятие наличных в размере 59,9%, бдят за тем, чтобы их требования исполнялись по форме и по сути. Дорогие наши операторы, если вы понимаете, что абоненты попадаются на удочку таких вот лайфхаков, не поленитесь и втисните в свои бесконечные рассылки о супер-предложениях и повышении тарифов краткое объяснение, что так поступать не стоит. Даже маленькое предупреждение, что следующая операция может показаться вашим супер-навороченным системам анализа подозрительной, спасет силы и нервы абонентов. Если с вами случались подобные истории, пишите нам в чат, постараемся помочь и разобраться.
26.09.2022

Идеальная реакция на утечку данных

Какая она? Мы начинаем новую кампанию: против утечек данных и за адекватную реакцию на такой инцидент, если уж он произошел. Появление этого кампейна логично: о невероятных масштабов потерях персональных россиян новости появляются каждую неделю последние месяцы, а часть утечек и вовсе претендуют на звание «главного скандала года»­. Вываливание в открытый доступ реальных адресов миллионов россиян из «Яндекс. Еды»­, их анализов из «Гемотеста»­ и беспрецедентный по масштабам реестр физических и юридических лиц от претенциозного «СДЭКа»­ — выбор прискорбно большой. Мы в iFreedomLab в определённый момент просто утратили эпитеты по поводу информационной наготы соотечественников и решили сосредоточиться на конструктиве: понять, как правильно стоит реагировать на утечки данных бизнесу: что делать, как строить коммуникацию и нивелировать последствия. Обзор российских «сливов»­ и законов, иностранные практики и отечественные примеры в нашем новом исследовании «Утечки данных и компании: какой должна быть идеальная реакция»­.
06.09.2022

Новые практики e-commerce
от Wildberries?

Маркетплейс ввел платный возврат товаров, за что получил шквал негатива. Обратная связь от пользователей сервиса на социальных интернет-площадках выглядит, как нам кажется, как гротескное и утрированное пособие «как потерять всех клиентов в одночасье». Все дело в том, что крупнейший маркетплейс в стране ввел платный возврат товаров. Просто пользователи 17-18 августа массово обнаружили, что отказ от заказанного товара будет им стоить 50-75-100 рублей за каждую единицу, а по крупногабаритным вещам суммы и вовсе скакали по необъяснимому алгоритму и составляли до половины стоимости. При детальном разборе оказалось, что площадка вправе так делать, несмотря на вопиющую непривычность такого сегодня. Но не станет ли такая практика трендом для всего e-commerce? И неужели теперь за возможность посмотреть на товар или примерить его нам придется платить? В плену маркетплейсов Успех бизнеса маркетплейсов в России и так был заметен, но во времена пандемии особенно расцвел: огромные массы населения привыкли пользоваться доставками всего на свете. Компании со своей стороны всячески поощряли покупателей, предлагая интересные условия взаимодействия, например – возможность заказывать несколько вещей, часто без предоплаты, и, выбрав что-то, оставшиеся товары просто отправлять обратно. Последнее, в частности, особо ценилось покупателями для выбора вещей, требующих примерки. Но Wildberries уже неоднократно транслировал свое беспокойство по поводу логистических издержек своего бизнеса, и вот наконец пошел ва-банк, решив напрямую переложить оплату логистики на покупателей. Эффект от неожиданного нововведения также был усилен традиционно минимальной коммуникацией компании с клиентами. Никаких новостей, сообщений и описания нововведения клиенты не получали и найти не могли, а при обращении в службу поддержки получали противоречивые и часто странные ответы, – так, зачастую операторы ссылались на несуществующие пункты законов. С точки зрения закона Закон «О защите прав потребителей»­ в ст. 26.1 регламентирует дистанционную торговлю и прямо указывает на то, что продавец вправе удержать с покупателя затраты на обратную доставку при отказе от товара надлежащего качества. А факт заказа товара трактуется законом, как оформление покупки. Поэтому даже при отказе от еще неоплаченного, но предварительно заказанного вами товара продавец получает право взимать деньги за обратную логистику. Вот этими нормами и воспользовались в Wildberries, предусмотрительно внеся соответствующие пункты в свои «Правила работы с торговой площадкой»­, которые фактически являются договором-офертой (на момент публикации – пп. 7.9 и 7.9.1). А при оформлении заказа каждого товара теперь указано – сколько будет стоит заказчику отказ от выкупа. Т.о., с точки зрения закона все в порядке. Но это очень и очень непривычно и странно для потребителей (и для нас в том числе), которые за возможность померять и посмотреть товар теперь фактически должны платить. Да и непрозрачный алгоритм расчета суммы (точнее – полное отсутствие его описания) добавляет негатива в покупательские настроения.   Посмотрим, как будет укореняться эта практика: до сих пор брать деньги за просмотр товара было не принято, выглядит это в современных реалиях предельно странно, и реакция покупателей очень резко негативная. Будет ли такая схема в итоге выгодна маркетплейсам настолько, что они массово возьмут ее на вооружение и займутся формированием новой модели потребления? Или попросту потеряют существенную часть пользователей? Ну отдельно хочется напомнить Wildberries, что помимо слова «деньги»­ есть слово «коммуникация»­: безотносительно одиозности ваших нововведений все-таки стоит рассказывать клиентам, какие у вас новые правила и как они работают. Одностороннее барство редко играет на руку массовым b2c бизнесам.
29.08.2022

Утечки данных и последствия: поможет ли новый закон?

С начала года в России зафиксировано более 40 утечек персональных данных. Всего скомпрометировано 300 млн учетных записей. Об этом сообщил замглавы Роскомнадзора Милош Вагнер. Цифра похожа на правду: с начала года нас накрыл буквально шквал громких краж личной информации с публикацией ее в открытом доступе. Не смог защитить данные своих своих клиентов целый ряд крупнейших онлайн-сервисов. С учетом того, что население россии составляет 146+ млн человек, 300 млн учетных записей представляется просто фантастической цифрой: каждый дееспособный россиянин утратил по несколько учетных записей. Говорить об анонимности, приватности или хотя бы праве на тайну личной жизни более не приходится – покупки, информация о месте проживания и работы, адреса и телефоны с привязкой к именам и фамилиям теперь доступны всем и каждому безо всяких усилий. Ужесточение законодательства о персональных данных Роскомнадзор привел такую статистику в преддверии вступления в силу с сентября поправок к Закону о персональных данных. По словам представителя ведомства, нововведения дают россиянам возможность защиты своей личной информации. «У операторов персональных также появились новые обязанности, направленные в первую очередь на повышение прозрачности их деятельности», – подчеркнул Милош Вагнер (цитата по ТАСС). Он уверяет, что принятые меры обеспечат гарантию сохранности личных данных россиян. Согласно принятым поправкам, теперь операторы персональных данных (те, кто из собирает -– компании и организации) должны незамедлительно информировать об утечках уполномоченные органы власти и обеспечивать «взаимодействие с государственной системой обнаружения и предупреждения компьютерных атак и ликвидации их последствий»­. Как это будет выглядеть на практике – не очень понятно. Пока не похоже, чтобы операторы персональных данных могли опасаться каких-то санкций: нынешние штрафы за утечки смехотворны, а попытка усилить штрафное давление на компании за потерю клиентских данных пока не выглядит убедительной – поправки в закон об увеличении штрафов еще обсуждаются и уже вызывают вопросы.
12.08.2022