Дайджест зимних новостей: угрозы приватности и персональным данным

03.03.2021 г

Самые громкие новости в стране за первые два месяца 2021 года — возвращение политика Алексея Навального, его арест и митинги в его поддержку. Вокруг этих тем развивалась повестка во всех сферах, в том числе и в области защиты приватности и персональных данных. Приводим основные события, которые важно не упустить.

Телеграм пытался остановить распространение персональных данных силовиков, митингующих и активистов

После митингов 23 января в мессенджере появились каналы с персональными данными полицейских и силовиков, проводивших задержания. Как поясняют эксперты для «Коммерсанта», данные силовиков получают из уже слитых в сеть баз, а их имена – с помощью программ для распознавания лиц по фотографии. 30 января Роскомнадзор отреагировал и потребовал от компании «прекратить незаконное распространение персональных данных».
Впрочем, параллельно создавались и каналы с личными данными митингующих. Часть из них была позже удалена администраторами мессенджера, другая – попала в поле зрения IT-специалистов, которые самостоятельно раскрыли данные владельцев каналов, заставив удалить контент.
6 февраля Павел Дуров ответил на требование ведомства: «Подобное использование Telegram прямо противоречит нашим правилам, которые запрещают публичные призывы к насилию. Принимая во внимание эмоциональный накал обстановки в России, мы тщательно анализировали ситуацию, не желая нанести вред поспешным решением.
Однако в связи с этими каналами уже более недели не выходит экстренное обновление Telegram для iOS – оно не получает одобрение Apple. В результате сегодня мы приняли решение заблокировать проблемные каналы с личными данными»
13 февраля стало известно, что в каналах распространяется якобы утекшая база сторонников ФБК. Как сообщил коммерсант, файл содержал около 28 тыс. строк данных. Специалисты отметили, что у каждого, кто упоминается в слитой базе есть профиль в ВКонтакте, часть из них состоит в оппозиционных сообществах, некоторые были задержаны на митингах. Специалисты полагают, что архив был собран на основе открытой информации в сети.

Операторы связи выставили государству счет за слежку. В Минцифры его оплачивать не хотят.

  • Минцифры рекомендовало мобильным операторам в 5 регионах передавать ведомству данные о контактах заболевших. Выгрузка информации о местонахождении абонентов нужна чиновникам в  Бурятии, Оренбургской области, Приморском, Забайкальском и Красноярском краях. Компании сотовой связи в ответ попросили компенсировать услуги по обработке и передаче данных в систему мониторинга. 22 января об этом сообщил РБК, ссылаясь на письмо министру Максуту Шадаеву от Анны Серебряковой, главы  рабочей группы «Информационная инфраструктура» в АНО «Цифровая экономика», которая объединяет основных операторов связи. Аналитики оценивают расходы оператора в десятки миллионов рублей в каждом регионе. В Минцифры настаивают, что расходы «не являются существенными». При этом отмечается, что решение использовать системы ситуационного центра принимает не Министерство, а регионы, а авторы письма не приводят расчетов в обоснование затрат.
    В письме Серебрякова также предлагает собирать согласия пользователей на обработку данных, поскольку по закону сведения о местоположении это информация с ограниченным доступом. В ответ ей представитель Минцифры настаивает, что в системе хранятся обезличенные данные, что позволяет выполнить требования закона. В комментарии РБК он ссылается на позицию Роскомнадзора о том, что телефонные номера в отрыве от другой информации не являются персональными данными.

Опубликовано исследование 30 приложений мобильного здравоохранения

Компания Approov, которая занимается разработкой и анализом защищенности программных интерфейсов, опубликовала исследование уязвимостей API в приложениях здравоохранения. Программисты изучили 30 мобильных приложений. Программы, заинтересовавшие разработчиков, имеют в среднем 772619 скачиваний на каждую, и минимум 23 миллиона пользователей всего. Оказалось, что «ни в одном из проанализированных приложений не было реализовано закрепление сертификатов, подвергая пользователей угрозам MitM-атак, а 77% из них содержали встроенные API-ключи, токены и учетные данные. Половина API не аутентифицировала запросы с помощью токенов, а четверть приложений (27%) не были защищены от обратной разработки.»
Половина записей, предоставляемых приложениями мобильного здравоохранения, содержала имена, адреса, даты рождения, номера социального страхования, данные об аллергиях, лекарствах и другую конфиденциальную информацию пользователей.
По словам эксперта, все протестированные конечные точки API были уязвимы к BOLA-атакам (broken object level authorization), обеспечивающим доступ к конфиденциальным медицинским данным даже пациентов, не привязанных к учетной записи врача. Половина протестированных API обеспечивала доступ к информации о патологиях, рентгеновским снимкам и клиническим результатам других пациентов.

Разработчики не выбрали вариант предустановки отечественного ПО

Российские разработчики мобильного софта и производители смартфонов не могут договориться, как будет проходить предустановка отечественного ПО. Разработчикам предложили три варианта: полностью установить приложения, добавить иконки для скачивания или вывести специальное меню при первом запуске устройства, которое позволит пользователю самому выбрать нужные ему программы. Последний вариант устраивает большинство производителей устройств, однако разработчики настаивают, чтобы их программы были установлены и доступны по умолчанию всем. Так, «Яндекс» хочет, чтобы его приложения были расположены на главном экране системы, рядом с дефолтными программами Google. Компания даже готова дополнительно платить за такую возможность. Как сообщает CNews, Яндекс «предлагает по 25 руб. ($0,34 по курсу ЦБ на 21 января 2020 г.) за устройство и хочет маскировать эти платежи «под маркетинг и другие услуги». Раньше стоимость таких «услуг» производителей смартфонов варьировалась от $1 (73,7 руб.) до $5 (369 руб.)»

Закон о предустановке вступает в силу 1 апреля 2021 года. Планируется, что с этого времени все смартфоны, компьютеры и телевизоры со Smart-TV будут продаваться в комплекте с набором программ российского производства. Пока у пользователей нет полного понимания, как будет осуществляться установка и смогут ли они удалять ПО.

В начале января правительство определило окончательный список программ, требуемых к установке на смартфоны, телевизоры и компьютеры. Среди них – 16 приложений для смартфонов, 11 из которых предоставили Mail.ru и «Яндекс». Кроме них производители поставят на телефоны MirPay (притом только для Android), приложение «Госуслуги», офисный пакет «Мой офис документы», антивирус Kaspersky Internet Security(только для Android) и приложение Applist.ru – агрегатор для доступа к социально значимым интернет ресурсам, разработанный Минцифры России.

Специалисты выявили, что государственные мобильные приложения передают данные на зарубежные серверы

АНО «Информационная культура» изучила 44 государственных мобильных приложения. Специалисты выявили 20 сторонних трекеров и 88 уникальных разрешений на доступ к устройству.
Оказалось, что в большинстве приложений используются трекеры Facebook и Google.
Все приложения запрашивают как минимум 5 разрешений на доступ к данным и функциям устройства. При этом каждое приложение из выборки использует хотя бы одно потенциально опасное разрешение; из списка потенциально опасных разрешений приложения чаще всего запрашивают доступ на чтение и запись во внешнее хранилище данных, доступ к точному и приблизительному местоположению, камере и получению информации об устройстве.
«Устройство мобильных приложений, в т.ч. государственных, приводит к ситуации трансграничной передачи персональных данных, не просто игнорируемой российскими регуляторами, но и самими же регуляторами осуществляемой», – говорится в отчете об исследовании.
Авторы исследования отмечают, что разработчики государственных приложений пользуются теми же инструментами, сервисами и продуктами отслеживания пользователей, что и частные.
Анализ проводился над приложениями ведомств, сервисами правительства Москвы и некоторых других регионов.

      • 39 из 44 мобильных приложений используют сторонние отслеживающие трекеры;
      • 38 из 44 мобильных приложений используют сторонние сервисы, находящиеся юридически и инфраструктурно вне российской юрисдикции (США и Япония);
      • 19 приложений (43%) передают данные как минимум 3 сторонним компаниям
      • наиболее популярный трекер Google Firebase Crashlytics используется для отслеживания сбоев в работе приложения;
      • 5 приложений не использовали ни одного стороннего трекера – это: ЕГР ЗАГС, Госуслуги.Дороги, Липецкая область, HISTARS, Работа в России.

Больше всего трекеров встроено в приложения Московский Транспорт и Мои Документы Онлайн

Половина используемых трекеров в государственных мобильных приложениях относится к аналитическому типу. Они предназначены для сбора данных о пользователях и предоставления разработчикам трекеров аналитики по их поведению, действиям и тому подобного по каждому пользователю и по отдельным сегментам.

38 из 44 приложений (86%) имеют встроенные сторонние трекеры, принадлежащие иностранным юрисдикциям. Подавляющее большинство находится в юрисдикции США, один трекер – в юрисдикции Японии.

При проведении исследования в 44 приложения было выявлено 88 разрешений, из которых 12 относятся к потенциально опасным согласно списку уровней защиты для Android от Google.

Из списка потенциально опасных разрешений приложения чаще всего запрашивают:

  • доступ на чтение и запись во внешнее хранилище данных;
  • доступ к точному и приблизительному местоположению;
  • доступ к камере;
  • получение информации об устройстве.

Телеграмм блокировал общественных активистов, фейсбук — Рогозина, а Роскомнадзор снова заступался за Соловьева

      • 24 января, через день после первого митинга в поддержку Алексея Навального, телеграм заблокировал аккаунты некоторых гражданских активистов. О проблемах с доступом сообщили представители Либертарианской партии, «Гражданского общества», партии «Яблоко», два журналиста «МБХ медиа» и другие. Блокировка «произошла в результате сбоя скрипта борьбы с масс-репортами», рассказали представители команды Telegram изданию «Код Дурова». Доступ был разблокирован в течение часа.
      • Одновременно Фейсбук на сутки забанил гендиректора «Роскосмоса» Дмитрия Рогозина за нарушения норм сообщества. Это произошло после его комментария к публикации экс-посла США в России Майкла Макфола в Twitter. Макфол высказался о Навальном и акциях 23 января, на что Рогозин ответил ему на своей странице в Facebook, что «американцы окончательно охамели» и призвал «не строить из себя учителей». После этого его публикацию удалили. Чиновник пообещал активно читать и писать в Telegram.
      • Twitter 12 февраля заблокировал аккаунт российской делегации на переговорах в Вене по военной безопасности и контролю над вооружениями. Причины блокировки в соцсети не назвали, однако позже восстановили доступ. По примеру Рогозина делегация перебралась в Telegram.
      • Роскомнадзор снова заступился за Владимира Соловьева. На этот раз во всем виноват Clubhouse
        17 февраля Роскомнадзор впервые обратил внимание на новую соцсеть Clubhouse. Приобщиться к новым трендам чиновников подтолкнул заблокированный аккаунт телеведущего Владимира Соловьева. Двумя днями ранее Соловьев собирался провести прямой эфир в новом сервисе. Но его аккаунт мгновенно оказался заблокирован. Телеграмм-канал «Русский Маркетинг» пишет, что это был «организованный рейд двух комнат-кланов — биониклов и Лего-человечков, которые объединились комнатами для уничтожения общего врага». Разбираться с последствиями пришлось Роскомнадзору. Отметим, что ведомство вступается за телеведущего уже во второй раз. Осенью обращение о дискриминации телеведущего на Youtube уже подавалось в компанию Google LLC. Однако по сравнению с предыдущими требованиями, теперь в случае отказа исполнять Роскомнадзор может попытаться заблокировать сервис. Новый закон «против цензуры» позволяет блокировать ресурс, дискриминирующий российских блогеров и журналистов.
      • 26 января Роскомнадзор потребовал удалить ролик о том, как запугивали студентов перед митингами. Ведомство считает, что в видео, опубликованном в студенческом журнале Doxa содержится информация, «направленная на вовлечение несовершеннолетних в совершение противоправных действий». «В ролике редакция журнала рассказывает, что из-за акций в поддержку Алексея Навального вузы и школы угрожают учащимся отчислением, давят на преподавателей, учителей и родителей», — пишет Медуза. Правозащитники «Апологии протеста» сообщили, что подготовят иск к ведомству из-за этого требования.

Роскомнадзор против всех

Ведомство попытается привлечь сразу несколько соцсетей, TikTok, ВКонтакте, Facebook, Twitter, Instagram и YouTube, по статье 13.41 КоАП РФ – за неисполнение требования по ограничению контента. Это первое применение нового закона, вступившего в силу 10 января. По нему интернет-ресурсы могут заплатить штрафы до 1/10 выручки за отказ удалять контент. Ведомство пытается привлечь онлайн-площадки к ответу за «вовлечение подростков в противоправную деятельность», призывы участвовать в несогласованных акциях. Сервисы отреагировали на обращение: TikTok, Youtube, Instagram и Вконтакте активно удаляли ролики с призывами. В Вконтакте был также ограничен доступ к страницам встреч, созданных штабами Навального для этих акций. Подробнее о реакции руководства соцсетей и разъяснение юриста: https://kod.ru/roskomnadzor-oshtrafuet-sotseti-komment/ .

Рекомендуем почитать