Сегодня 25 декабря 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → конфиденциальность
Быстрый переход

Google регулярно нарушает приватность пользователей и в компании об этом знают

Из утекшего внутреннего отчёта Google стало известно, что компания в течение нескольких лет допускала нарушения конфиденциальности пользователей и утечку их личных данных — некоторые из эпизодов можно считать вопиющими. Google случайно собрала голосовые данные детей, раскрыла информацию о поездках и домашних адресах пользователей, а YouTube рекомендовал видео на основе контента, который пользователи давно удалили из истории просмотров.

 Источник изображения: Kai Wenzel/Unsplash

Источник изображения: Kai Wenzel/Unsplash

Как сообщает ресурс 404 Media, каждый из инцидентов мог затронуть лишь относительно небольшое количество людей либо был быстро устранен. Согласно внутреннему отчету Google, утечка конфиденциальных данных пользователей происходила в компании на протяжении многих лет. В базе данных, охватывающей период с 2013 по 2018 год, зафиксированы тысячи инцидентов, связанных с проблемами конфиденциальности и безопасности.

Один из наиболее серьёзных случаев произошёл в 2016 году, когда выяснилось, что система Google Street View распознавала и сохраняла номера автомобилей в виде фотографий. Это произошло случайно из-за ошибки в работе алгоритма распознавания текста. В результате в базе данных Google оказалась информация о геолокации и номерах многих автомобилей. Эти данные впоследствии были удалены.

Другой инцидент касался обнародованных личных данных более 1 млн пользователей приобретенного Google сервиса Socratic. В открытом доступе оказались email-адреса, данные геолокации и IP-адреса, в том числе детей. Информация была доступна более года и могла быть собрана злоумышленниками.

Отдельно отмечен случай, когда голосовой помощник Google около часа записывал все аудиоданные, включая голоса детей. Было собрано порядка 1000 фрагментов с детской речью. Эти данные впоследствии также удалили.

Зафиксированы и другие крупные инциденты, например, уязвимость в сервисе по поиску попутчиков Waze Carpool привела к раскрытию личной информации о поездках и домашних адресах пользователей. Также имел место несанкционированный доступ сотрудника Google к закрытым видео Nintendo в YouTube-аккаунте с последующей утечкой данных.

Помимо этого, в отчёт попали инциденты и меньшего масштаба, например, ошибочная рассылка писем с персональными данными и открытый на какое-то время доступ к закрытым видео на YouTube.

Хотя во многих случаях проблемы оперативно устранялись, общий масштаб инцидентов, связанных с пользовательскими данными, впечатляет. Это показывает, насколько сложно крупнейшим IT-компаниям обеспечивать конфиденциальность огромных массивов личной информации пользователей.

Slack попался на самовольном использовании переписок пользователей для обучения ИИ

Популярный мессенджер Slack тайно собирал личные сообщения, файлы и данные корпоративных пользователей для обучения своих ИИ-инструментов. Пользователи автоматически подписывались на такой сбор данных, по сути, не давая на это согласия.

 Источник изображения: Scott Webb/Unsplash

Источник изображения: Scott Webb/Unsplash

Slack оказался в центре скандала, связанного с использованием личных данных пользователей. Как выяснилось, компания тайно перекачивает сообщения, файлы и другую информацию из чатов для обучения собственных моделей искусственного интеллекта. При этом согласия пользователей никто не спрашивает.

Как сообщает издание Techspot, все началось с гневного твита эксперта по кибербезопасности Кори Куинна (Corey Quinn), обнаружившего соответствующий пункт в политике конфиденциальности Slack. В нем говорится, что системы компании «анализируют сообщения и файлы пользователей для создания моделей AI и машинного обучения».

Представители Slack подтвердили эту информацию. Данные действительно используются для улучшения некоторых инструментов ИИ в приложении, таких как поиск и рекомендации. При этом компания заверила, что премиальные функции на основе ИИ разрабатываются без доступа к персональным данным.

Однако большинство людей были шокированы тем фактом, что Slack тайно получает их личные разговоры и документы. Многие считают, что компания должна была четко информировать об этом и давать возможность отказаться. Однако процесс отказа в системе Slack от сбора данных довольно сложен. Это может сделать только администратор организации, и только путем отправки специального запроса в службу поддержки. Для отдельных сотрудников команды такая опция не предусмотрена.

На Slack также обрушилась критика со стороны других технологических компаний. Например, разработчики приложения для обмена сообщениями Signal заявили, что они в принципе не собирают данные пользователей и не используют их для какого-либо ИИ.

История демонстрирует общую проблему отношения мессенджеров и социальных сетей к конфиденциальности данных, так как они активно собирают личную информацию пользователей по умолчанию, без явного выбора и согласия с их стороны. А затем используют эти данные для улучшения собственных продуктов и услуг, в том числе с применением технологий ИИ.

При этом заявления Slack о конфиденциальности выглядят противоречиво. В одном месте они утверждают, что не имеют доступа к персональным данным при разработке ИИ. В другом допускают анализ сообщений и файлов пользователей именно с этой целью.

Сенатор США заявила о возможном продлении срока продажи TikTok до 1 года

Сенатор США предложила продлить срок для продажи американских активов TikTok до 1 года. Это предложение прозвучало на фоне обеспокоенности национальной безопасностью США и данных 170 млн американских пользователей. Решение направлено на обеспечение более крепкой юридической базы для возможного запрета приложения.

 Источник изображения: iXimus / Pixabay

Источник изображения: iXimus / Pixabay

Мария Кантуэлл (Maria Cantwell), председатель комитета Сената США по торговле, заявила о возможности увеличения срока для продажи американских активов китайской компании ByteDance, владеющей TikTok. Предложение, поддержанное Палатой представителей США 13 марта большинством голосов (352 против 65), изначально предусматривало шестимесячный срок на продажу американских активов приложения или его запрет.

В среду Кантуэлл сообщила, что Сенат всё ещё может принять законопроект Палаты представителей, однако увеличение срока до одного года позволит более тщательно подойти к обеспечению надёжной юридической базы законопроекта и безопасности данных американцев, использующих приложение.

Она отметила, что попытки администрации бывшего президента Дональда Трампа (Donald Trump) и штата Монтана не смогли запретить TikTok. Более длительный срок также позволит отложить любой потенциальный запрет TikTok до периода после 2025 года и за пределы ноябрьских президентских выборов в США.

На этой неделе лидер республиканцев в Сенате Митч Макконнелл (Mitch McConnell) поддержал идею принудительной продажи активов TikTok, назвав его величайшим стратегическим соперником Америки, который угрожает её безопасности прямо на американской земле, в домах десятков миллионов американцев. После этого законодатели были завалены звонками от граждан, выступающих против закона.

«Запрет на TikTok нарушит права 170 миллионов американцев на Первую поправку», — заявили в пятницу в TikTok. Компания также сообщила о своих усилиях по защите данных американских пользователей, на которые она потратила более $1,5 млрд.

В то время как многие законодатели и администрация президента Джо Байдена (Joe Biden) высказывают опасения относительно TikTok как потенциального инструмента для сбора данных в пользу китайских властей, компания продолжает отстаивать свою позицию, обращая внимание на свои усилия по защите конфиденциальности пользователей.

Учёные исследовали настройки конфиденциальности Apple и нашли их слишком сложными

Финские исследователи изучили политику и настройки конфиденциальности приложений Apple на нескольких платформах и пришли к выводу, что параметры конфигурации чрезвычайно запутаны, значения опций не всегда очевидны, а документация написана сложным юридическим языком и не всегда содержит подробную информацию.

 Источник изображения: Trac Vu / unsplash.com

Источник изображения: Trac Vu / unsplash.com

Авторами исследования (PDF) стали Амель Бурдусен (Amel Bourdoucen) и Янне Линдквист (Janne Lindqvist) из университета Аалто (Финляндия) — они отметили, что многие научные проекты были посвящены конфиденциальности сторонних приложений для устройств Apple, но очень мало работ посвящено этой проблеме в собственном ПО компании, включая браузер Safari и голосовой помощник Siri. Исследователи поставили цель выяснить, какие объёмы данных собирают собственные приложения Apple, куда эти данные отправляются, и могут ли пользователи понять, как ориентироваться в настройках конфиденциальности на платформах компании. Предпринимаемые Apple меры по защите своей экосистемы считаются заслугой компании в области информационной безопасности — компания пользуется своей репутацией как аргументом в пользу продажи своей продукции и оружием в борьбе с Google.

Финские исследователи не оспаривают технологических достижений Apple, но утверждают, что запутанные пользовательские интерфейсы подрывают эти усилия. Так, при первоначальной настройке устройств под управлением macOS пользователь как будто может отказаться включать голосовой помощник Siri, но он продолжает собирать данные из других приложений для предоставления рекомендаций. Чтобы полностью отключить Siri, требуется найти параметры конфиденциальности в пяти различных подменю приложения «Настройки». Документация Apple по настройкам конфиденциальности далека от идеала: в ней упоминаются не все опции; не объясняется, что происходит с пользовательскими данными; не указывается, включены или отключены соответствующие настройки по умолчанию; наконец, она написана юридическим языком, и это почти гарантия, что ни один пользователь никогда этого не прочтёт.

 Источник изображения: Alireza Khoddam / unsplash.com

Источник изображения: Alireza Khoddam / unsplash.com

Авторы исследования провели опрос среди пользователей Apple и поинтересовались, действительно ли те понимают, как работают параметры конфиденциальности на iOS и macOS, и что приложения делают с их данными. В опросе приняли участие всего 15 респондентов, но и его результаты показали, что ориентироваться в настройках конфиденциальности на устройствах Apple непросто. Так, 11 опрошенных оказались осведомлёнными об отслеживании данных и о том, что оно преимущественно включено по умолчанию. Но когда им рассказали, как работают параметры конфиденциальности в iOS и macOS, девятеро были удивлены объёмами сбора данных.

Один опрошенный признался, что при поиске конфиденциальной информации предпочёл бы пользоваться не Safari, а другим браузером. Некоторые споры вызвала функция «Семейный доступ» (Family Sharing), которая, например, позволяет делиться с членами семьи местоположением: семерым участникам опроса идея понравилась, но остальные выразили обеспокоенность с точки зрения конфиденциальности. Респондентов также проверили на знание настроек конфиденциальности восьми приложений по умолчанию, включая Siri, Family Sharing, Safari и iMessage — никто не смог указать, что нужно сделать в «Настройках», чтобы полностью отключить эти приложения по умолчанию. Участники исследования даже обратились за этой информацией к поиску в интернете, а не к документации Apple. Ключевой проблемой оказалось отсутствие единообразия настроек на разных устройствах, хотя на iPhone и Mac есть и iMessage, и iCloud.

По итогам исследования учёные внесли несколько предложений, предполагая, что Apple заинтересована в исправлении сложившегося положения вещей. Было установлено, что в поисках настроек конфиденциальности пользователи сначала обратились к настройкам ОС, а не каждого приложения в индивидуальном порядке. А это значит, что централизация этих опций поможет пользователям избежать разочарования, и они не будут отказываться от поиска этих настроек. Apple также рекомендовали более подробно информировать пользователей о том, что делают конкретные настройки: напротив многих из них значится лишь название без каких-либо пояснений. Нужно уменьшить концентрацию технических терминов и отказаться от сухого юридического языка, более подробно описать опции в самом меню настроек и, возможно, добавить иллюстрации с инфографикой.

Discord запустит рекламу с возможностью её отключения

Discord, ранее позиционировавший себя как социальная сеть без рекламы, на этой неделе объявил о планах по запуску новых рекламных объявлений — «Спонсированные квесты», которые станут частью платформы начиная со следующей недели. Это решение призвано увеличить доходы компании с помощью платных промоакций от разработчиков видеоигр. Хотя пользователи смогут отключить рекламу в настройках, это нововведение вызывает опасения относительно конфиденциальности пользователей и ухудшения их пользовательского опыта.

 Источник изображения: Discord

Источник изображения: Discord

Как сообщил в интервью Питер Селлис (Peter Sellis), старший вице-президент по продуктам Discord, реклама будет размещаться в нижнем левом углу экрана и будет таргетироваться на пользователей платформы, учитывая информацию об их игровой активности, возрасте и местоположении.

По словам людей, знакомых с ситуацией, Discord собирается нанять более дюжины сотрудников по продаже рекламы. Это изменение стратегии подчёркивает отход от первоначальной позиции компании, которая исключала зависимость от рекламных доходов в своей бизнес-модели, что отличало её от многих крупных социальных сетей.

Первыми рекламодателями на платформе станут разработчики видеоигр, предлагающие пользователям награды за выполнение заданий в играх. Этот подход может улучшить вовлечённость игроков, однако вызывает опасения насчёт потенциального нарушения их конфиденциальности и ухудшения пользовательского опыта, что может привести к оттоку аудитории Discord.

Discord оставляет возможность отключения рекламных объявлений в настройках, что может служить компромиссом между необходимостью монетизации и удовлетворением потребностей сообщества. И всё же, это решение ставит под вопрос баланс между коммерческими интересами платформы и интересами её пользователей.

С момента своего основания в 2015 году Discord вырос из нишевой платформы для общения геймеров до масштабного сервиса, объединяющего более 200 млн активных пользователей ежемесячно, включая студентов, инвесторов и просто друзей, желающих провести время вместе онлайн.

Попытки Discord монетизировать свою популярность осуществлялись на протяжении нескольких лет. Обсуждение возможности продажи компании Microsoft за сумму не менее $10 млрд в 2021 году и последующее привлечение инвестиций в размере $500 млн, увеличившие стоимость платформы до $15 млрд, отражают стремление Discord к финансовому росту.

Внедрение рекламы на платформе Discord отражает общую тенденцию в индустрии потребительских технологий, где компании ищут способы балансировать между необходимостью генерации дохода и сохранением лояльности пользователей. Предстоит выяснить, сможет ли Discord сохранить доверие сообщества, несмотря на изменения в бизнес-модели.

Cloudflare защитит искусственный интеллект при помощи искусственного интеллекта

Cloudflare разрабатывает собственный межсетевой экран для генеративных ИИ-моделей с целью защитить их от потенциальных кибератак или других вредоносных угроз. Кроме поддержки современных стандартов сетевой безопасности, брандмауэр с помощью нейросети будет анализировать запросы, отправленные пользователями генеративного ИИ, чтобы попытаться заранее обнаружить потенциальные эксплойты.

 Источник изображения: blog.cloudflare.com

Источник изображения: blog.cloudflare.com

«Некоторые уязвимости, затрагивающие традиционные веб-приложения и API-приложения, применимы и к миру LLM (больших языковых моделей), включая инъекции или кражу данных, — сообщил менеджер по продукту Cloudflare Group Даниэле Молтени (Daniele Molteni). — Однако существует новый набор угроз, которые теперь актуальны из-за того, как работают программы LLM».

Вводимые пользователем данные на сайтах и в инструментах ИИ сначала подвергнутся фильтрации через Cloudflare и лишь затем достигнут самого генеративного ИИ. Брандмауэр также сможет прерывать генеративные запросы ИИ и сканировать их на наличие потенциальных угроз. Данные, отправленные в общедоступные модели ИИ, такие как ChatGPT или Claude, могут быть доступны практически любому, поэтому брандмауэр Cloudflare будет очищать запросы пользователей от потенциально конфиденциальной информации.

Брандмауэр Cloudflare с ИИ может также подвергать цензуре вводимые пользователем данные другими способами. Брандмауэр разрабатывается для предотвращения «манипулирования» моделями ИИ с помощью входных данных, которые могут привести к галлюцинациям модели и другим ложным или опасным реакциям.

Согласно сообщению Cloudflare, клиенты также смогут «блокировать запросы, которые попадают в неуместные категории», если у них есть опасения, что такие запросы могут привести к тому, что ИИ будет использовать «токсичную, оскорбительную или проблемную лексику». Хотя компания называет такие случаи примерами «атак быстрого внедрения», неясно, в какой степени будут подвергаться цензуре подлинные запросы пользователей.

На этой неделе Cloudflare также представила сервис «Защитный искусственный интеллект» для бизнеса, который использует нейросеть для анализа веб-сайтов на предмет потенциальных угроз, основанных на искусственном интеллекте.

США заподозрили китайские электромобили в шпионской деятельности — начато расследование

Министерство торговли США инициировало расследование с целью выяснить, как автомобильные технологии иностранного производства могут быть использованы для сбора чувствительной информации. Расследование сосредоточится на «подключённых транспортных средствах», то есть на автомобилях с доступом в интернет, на фоне опасений, что их камеры, датчики и бортовые компьютеры могут быть использованы для сбора конфиденциальных данных о гражданах и инфраструктуре.

 Источник изображений: unsplash.com

Источник изображений: unsplash.com

Необходимость расследования оправдывается потенциальными рисками для национальной безопасности со стороны умных автомобилей, производимых в Китае и «других странах, вызывающих озабоченность». Во время пресс-конференции в среду министр торговли Джина Раймондо (Gina Raimondo) заявила, что расследование специально начато «до того, как автомобили китайского производства получат широкое распространение» в США.

«Представьте, если бы на американских дорогах были тысячи китайских автомобилей, которые кто-то в Пекине мог бы немедленно вывести из строя, — сказала Раймондо, обращаясь к журналистам. — Не нужно много воображения, чтобы понять, что такой иностранный противник, как Китай, может представлять серьёзную угрозу национальной безопасности и конфиденциальности граждан США».

Президент Байден сравнил современные автомобили со «смартфонами на колёсах». Он обвинил Китай в использовании недобросовестной деловой практики, такой как государственные субсидии для электромобилей китайского производства. «Китай вводит ограничения на американские и другие иностранные автомобили, — сказал Байден. — Почему подключённым транспортным средствам из Китая должно быть разрешено работать в нашей стране без гарантий?»

Представители администрации США сообщили, что расследование может привести к принятию новых правил, которые ограничат или запретят использование определённых систем транспортных средств в США. Такие действия станут аналогом торговых ограничений, введённых против компаний, подобных Huawei, из-за подозрений в шпионаже. Ранее некоторые политики в США пытались ограничить или полностью запретить даже сервис коротких видео TikTok из «соображений национальной безопасности».

Несколько лет назад Китай обогнал США, став крупнейшим автомобильным рынком в мире. Однако из-за высоких пошлин в США не продаются автомобили китайского производства. Китайские автопроизводители рассматривают возможность открытия заводов в Мексике, что вызывает опасения среди руководителей автомобильных компаний США. Китай обвиняет США в неоднократном злоупотреблении «концепцией национальной безопасности», чтобы неправомерно преследовать китайские компании и препятствовать конкуренции на мировых рынках.

Avast заплатит штраф в $16,5 млн за продажу пользовательских данных и больше не будет ими торговать

Федеральная торговая комиссия (FTC) США объявила в четверг, что запретит разработчику антивирусного ПО Avast продавать рекламодателям данные о просмотре веб-страниц потребителями. При этом разработчик заявил, что его решения не позволяют отслеживать пользователей в интернете.

 Источник изображения: StartupStockPhotos/Pixabay

Источник изображения: StartupStockPhotos/Pixabay

Сообщается, что Avast урегулировала обвинения FTC на сумму $16,5 млн, что, по словам регулятора, позволит возместить ущерб пользователям Avast, чьи конфиденциальные данные о просмотре веб-страниц были незаконно проданы разработчиком рекламным компаниям и брокерам данных.

«Avast обещала пользователям, что её продукты защитят конфиденциальность их данных о просмотренных страницах, но сделала наоборот», — сообщил Сэмюэл Левин (Samuel Levine), директор Бюро по защите прав потребителей FTC, в своем заявлении в четверг, отметив, что практика Avast идёт вразрез с законом.

По словам FTC, Avast годами собирала информацию о действиях клиентов в интернете, включая их поисковые запросы и посещаемые веб-сайты, используя собственные расширения браузера Avast, которые, по её утверждению, «защитят вашу конфиденциальность», блокируя файлы cookie онлайн-отслеживания.

Эти данные Avast продавала через свою ныне закрытую дочернюю компанию Jumpshot более чем сотне компаний, заработав на этом десятки миллионов долларов. FTC утверждает, что данные, которые продавала Jumpshot, раскрывают религиозные убеждения пользователей, имеющиеся проблемы со здоровьем, политические взгляды, а также их местонахождение и другую конфиденциальную информацию.

Согласно совместному расследованию Vice News и PCMag, проведенному в январе 2020 года, Jumpshot продавала конфиденциальные данные о просмотре веб-страниц пользователями таким компаниям, как Google, Yelp, Microsoft, Home Depot и консалтинговому гиганту McKinsey. В частности, Jumpshot продавала данные о кликах своих пользователей, включая конкретные веб-ссылки, на которые нажимали пользователи.

На тот момент у Avast было более 430 млн активных пользователей по всему миру, а Jumpshot утверждала, что имеет доступ к данным со 100 млн устройств. Спустя несколько дней после публикации этого исследования Avast закрыла Jumpshot. В 2021 году Avast объединилась с Norton LifeLock и теперь входит в состав материнской компании Gen Digital, которая также владеет приложением CCleaner.

Комментируя сообщение регулятора, Avast заявила, что не согласна с «утверждениями и описанием фактического материала». «Когда Avast добровольно закрыла Jumpshot в 2020 году, она прекратила эту практику. Операционные положения мирового соглашения соответствуют текущим программам Avast по обеспечению конфиденциальности и безопасности», — отметила компания.

Google по умолчанию собирается хранить переписку пользователей с Gemini три года

Google опубликовала на портале техподдержки разъяснение о пользовательских данных, которые собираются при взаимодействии с чат-ботом Gemini — это касается веб-интерфейса, а также переписки в приложениях для Android и iOS: по умолчанию она будет храниться три года.

 Источник изображения: Sascha Bosshard / unsplash.com

Источник изображения: Sascha Bosshard / unsplash.com

Компания отмечает, что создатели аннотаций для искусственного интеллекта регулярно читают, размечают и иным образом обрабатывают диалоги с Gemini для улучшения сервиса. Журналы переписки «отключены» от учётных записей Google, но не уточняется, кто именно читает их — собственные сотрудники компании или сторонние подрядчики. Диалоги хранятся на серверах до трёх лет вместе со «связанными данными»: языком переписки, устройством пользователя и его местоположением.

В разделе «Мои действия» настроек учётной записи Google есть страница с активной по умолчанию опцией, которая отключает сохранение переписки с Gemini — здесь же можно вручную удалить все запросы и команды, ранее отданные приложениям Gemini. Но в компании предупредили, что даже при отключении записи журналов переписка с чат-ботом будет сохраняться на сроки до 72 часов — это поможет «обеспечить безопасность приложений Gemini и улучшать приложения Gemini». Поэтому Google просит пользователей не вводить в переписке с ИИ конфиденциальные данные или любую другую информацию, которую они не хотели бы показывать сотрудникам сервиса или использовать для улучшения продуктов компании, а также её технологий машинного обучения.

Обработка конфиденциальных данных генеративным ИИ сегодня является проблемной областью. OpenAI в минувшем году пришлось по этому поводу объясняться с американскими и итальянскими властями. Amazon, Google, Microsoft и та же OpenAI предлагают основанные на ИИ сервисы для предприятий, и эти сервисы не предполагают продолжительного хранения данных. Отношения с потребителями, однако, выстраиваются по иным схемам.

Mozilla запустила сервис по удалению личных данных пользователей из даркнета за $9 в месяц

Mozilla представила улучшенный вариант своего сервиса мониторинга конфиденциальности с платной подпиской под названием Mozilla Monitor Plus. За 8,99 долларов в месяц в рамках годовой подписки сервис будет автоматически отслеживать более чем 190 брокерских сайтов, где продаётся информация, собранная из онлайн-источников, таких как социальные сети, приложения и трекеры. Если информация будет найдена, сервис сформирует запрос на её удаление.

 Источник изображения: mozilla.org

Источник изображения: mozilla.org

Менеджер по продукту Mozilla Monitor Тони Чинотто (Tony Cinotto) сообщил, что Mozilla сотрудничает с компанией Onerep для выполнения этих сканирований и последующих запросов на удаление. Обработка запросов обычно занимает от 7 до 14 дней, но иногда автоматическое удаление информации оказывается невозможным. Mozilla продолжит работу по совершенствованию своего сервиса, а также предоставит подписчикам Mozilla Monitor Plus инструкции по самостоятельному удалению данных.

Новая платная подписка Mozilla Monitor Plus основана на бесплатном мониторинге даркнета Mozilla Monitor (ранее Firefox Monitor) — службы, которую Mozilla впервые представила в 2018 году. По словам Mozilla, пользователи бесплатной версии Basic Monitor могут по-прежнему рассчитывать на бесплатное сканирование брокеров данных по запросу, постоянное автоматическое ежемесячное сканирование и однократное формирование запросов на удаление.

Mozilla заявляет, что при сканировании брокера данных в интернете пользователь может обнаружить огромное количество персональной информации, начиная с имени, домашнего адреса и профессиональной деятельности и заканчивая данными о криминальном прошлом, хобби или учебном заведении детей.

Сервисы по поиску и удалению персональных данных довольно распространены, но широкой известности не завоевали, поэтому их поиск с высокой вероятностью может привести на мошеннический сайт. Именно здесь может помочь репутация Mozilla как дочерней компании некоммерческой организации Mozilla Foundation с открытым исходным кодом, которая заботится о конфиденциальности.

Mozilla Monitor Plus теперь доступен за 8,99 долларов США в месяц, тогда как стандартный Mozilla Monitor остаётся бесплатным. В течение последних нескольких лет Mozilla предложила и другие сервисы, ориентированные на конфиденциальность, такие как Mozilla VPN и Firefox Relay.

OpenAI обвинили в нарушении европейских законов о конфиденциальности пользователей

После многомесячного расследования, проведённого итальянским органом по защите данных DPA (Data Protection Authority) в отношении ИИ-чат-бота ChatGPT, компанию OpenAI обвинили в нарушении законов о конфиденциальности ЕС. Подтверждённые нарушения в обращении с персональными данными могут повлечь за собой штрафы на сумму до €20 млн, или до 4 % годового оборота. У OpenAI есть 30 дней, чтобы ответить на обвинения.

 Источник изображения: Pixabay

Источник изображений: Pixabay

Итальянские власти выразили обеспокоенность по поводу соблюдения OpenAI Общего регламента защиты данных (GDPR) в прошлом году, что привело к временной приостановке работы чат-бота на европейском рынке. DPA Италии 30 марта в так называемом «реестре мер», подчеркнул отсутствие подходящей правовой основы для сбора и обработки персональных данных с целью обучения алгоритмов, лежащих в основе ChatGPT, склонность инструмента ИИ к «галлюцинациям» и потенциальные проблемы с безопасностью детей. Власти обвинили OpenAI в нарушении статей 5, 6, 8, 13 и 25 GDPR.

DPA располагают полномочиями требовать внесения изменений в способы обработки данных, чтобы прекратить нарушения конфиденциальности граждан ЕС. Таким образом, регуляторы могут заставить OpenAI изменить свой подход к обработке персональных данных или вынудить компанию прекратить предлагать свои услуги в странах Евросоюза.

Весной 2023 года OpenAI смогла относительно быстро возобновить функционирование ChatGPT в Италии после того, как устранила ряд нарушений, указанных DPA. Однако итальянские власти продолжили расследование и пришли к предварительным выводам, что инструмент ИИ от OpenAI нарушает законодательство ЕС. Итальянские власти пока не опубликовали список подтверждённых нарушений ChatGPT, но главной претензией к OpenAI, скорее всего, станет сам принцип обработки персональных данных для обучения моделей ИИ.

ChatGPT был разработан с использованием массы данных, извлечённых из общедоступного интернета — информации, которая включает личные данные отдельных лиц. А проблема, с которой OpenAI сталкивается в ЕС, заключается в том, что для обработки данных жителей ЕС требуется действительная правовая основа. GDPR перечисляет шесть возможных правовых оснований, большинство из которых просто не имеют отношения к данному контексту. В апреле прошлого года DPA Италии оставил для OpenAI только две законные возможности для обучения моделей ИИ: «подтверждённое согласие» или «законные интересы».

Учитывая, что OpenAI никогда и не пыталась получить согласие миллионов (а, возможно, миллиардов) пользователей интернета, чью информацию она собирала и обрабатывала для построения моделей ИИ, любая попытка заявить о наличии разрешения от европейцев на обработку их персональных данных обречена на провал. Поэтому у OpenAI осталась лишь возможность опираться на утверждение о «законных интересах». Однако эта основа также предусматривает право владельцев данных выдвигать возражения и требовать прекращения обработки своей персональной информации.

 Источник изображения: OpenAI

Источник изображения: OpenAI

Теоретически, каждый житель ЕС имеет право потребовать от OpenAI изъять и уничтожить незаконно обученные модели и переобучить новые модели без использования его данных. Но даже если предположить возможность идентификации всех незаконно обработанных данных, подобную процедуру предстоит произвести для каждого возражающего гражданина ЕС, что практически невозможно реализовать на практике.

Существует и более широкий вопрос: признает ли в конце концов DPA, что «законные интересы» вообще являются действительной правовой основой в этом контексте. Такое решение регулятора выглядит маловероятным. Ведь обработчики данных должны сбалансировать свои собственные интересы с правами и свободами людей, чьи данные обрабатываются, оценить возможность причинения им неоправданного вреда, а также учесть, ожидали ли люди такого использования их данных.

Примечательно, что в подобной ситуации Верховный суд ЕС ранее признал «законные интересы» неподходящим основанием для Meta при отслеживании и профилировании пользователей в целях таргетирования рекламы в своих социальных сетях. Таким образом, существует негативный судебный прецедент для OpenAI, стремящейся оправдать обработку данных людей в огромных масштабах для создания коммерческого генеративного ИИ-бизнеса — особенно когда рассматриваемые инструменты создают всевозможные новые риски для названных лиц (дезинформация, клевета, кража личных данных и мошенничество лишь некоторые из них). OpenAI также находится под пристальным вниманием к соблюдению GDPR в Польше, где начато отдельное расследование по этому поводу.

OpenAI пытается нивелировать потенциальные регуляторные риски в ЕС, создавая отдельную организацию в Ирландии, которая в будущем должна стать поставщиком услуг ИИ для пользователей из ЕС. OpenAI надеется получить статус так называемого «основного учреждения» в Ирландии, что позволит ей использовать оценку соответствия требованиям GDPR только от Ирландской комиссии по защите данных и действовать в Евросоюзе через механизм «единого окна» регулирования, избежав надзора органов DPA каждой страны-члена ЕС.

Однако пока OpenAI ещё не получила этот статус, поэтому ChatGPT все ещё может столкнуться с расследованиями со стороны DPA в других странах ЕС. И даже получение статуса «основного учреждения» в Ирландии не прекратит уже открытое расследование и правоприменение в Италии.

DPA Италии сообщает, что органы по защите данных стремятся координировать надзор за ChatGPT, создав рабочую группу при Европейском совете по защите данных. Эти усилия могут, в конечном итоге, привести к более согласованным результатам в рамках отдельных расследований в отношении OpenAI. Тем не менее, на данный момент DPA каждого члена ЕС остаются независимыми и компетентными принимать решения на своих рынках самостоятельно.

Популярные приложения тайно следят за пользователями iPhone через push-уведомления

Популярные приложения эксплуатируют push-уведомления на iPhone для скрытого сбора данных о пользователе, выяснил исследователь в сфере информационной безопасности Томми Мыск (Tommy Mysk). По его словам, для этой цели приложения используют представленную ещё в iOS 10 функцию для настройки push-уведомлений, позволяющую приложениям отправлять уведомления с дополнительным контентом или расшифровывать зашифрованные сообщения.

Похоже, что функция для настройки push-уведомлений в iOS стала использоваться некоторыми разработчиками для весьма сомнительных целей. В новом видео, описывающем эту практику, Мыск продемонстрировал, как различные популярные приложения, включая TikTok, Facebook, Twitter, LinkedIn и Bing, используют короткое время фонового выполнения, предоставленное для настройки уведомлений, для отправки аналитической информации.

Эта практика вызывает особое беспокойство, поскольку она обходит типичные ограничения, налагаемые iOS на фоновую активность приложений. Apple декларировала строгий контроль над приложениями, работающими в фоновом режиме, стремясь защитить конфиденциальность пользователей и обеспечить оптимальную производительность устройства. Однако функция push-уведомлений, похоже, непреднамеренно предоставила приложениям лазейку для фоновой передачи данных.

Тип отправляемых данных включает в себя уникальные сигнатуры устройства и данные, которые можно использовать для снятия «цифровых отпечатков пальцев» устройства и отслеживания пользователей в различных приложениях. Снятие «цифровых отпечатков пальцев» — это метод сбора конкретной информации об устройстве, например, конфигурации его аппаратного и программного обеспечения, для создания уникального идентификатора пользователя. Этот идентификатор используется для отслеживания действий пользователя в различных приложениях и таргетирования рекламы.

Apple не разрешает получение подобных сведений и в ближайшем будущем станет требовать от разработчиков чётко указывать, почему их приложениям необходим доступ к API, который используется для сбора информации об устройстве и пользователе. Этот шаг соответствует политике Apple по усилению конфиденциальности пользователей, которая теперь требует от приложений получать разрешение пользователя на отслеживание.

Пользователи Google в Евросоюзе смогут выбирать, какие сервисы компании имеют доступ к их данным

Google продолжает корректировать свою политику в отношении сбора и обработки данных для соответствия Закону о цифровых рынках, который вступит в силу в Евросоюзе 6 марта. На этой неделе поисковый гигант объявил, что проживающие в регионе пользователи смогут сами решать, какие сервисы компании будут иметь доступ к их данным. Можно полностью отказаться от передачи данных, выбрать какие-то отдельные сервисы или же разрешить всем службам Google продолжать обрабатывать данные.

 Источник изображения: Alex Dudar / unsplash.com

Источник изображения: Alex Dudar / unsplash.com

В сообщении сказано, что пользователи смогут ограничить обработку персональных данных в поисковике Google, на YouTube, в рекламных службах компании, Play Маркете, Chrome, а также сервисах Google Покупки и Google Карты. Отмечается, что вновь вводимые ограничения не являются абсолютными и пользовательские данные будут обрабатывать в случаях, когда того требует выполнение определённых задач. Например, при оплате товаров в сервисе Google Покупки с помощью платёжной системы Google Pay.

Отметим, что это не самое большое изменение, которое Google предстоит внести для соответствия требованиям Закона о цифровых рынках, поскольку в нём содержатся дополнительные правила, касающиеся конкуренции и ряда других аспектов. К примеру, Google больше не сможет относиться к своим сервисам в рейтинге поиска более предпочтительно, чем к сервисам потенциальных конкурентов.

При этом пользователям стоит помнить, что для корректной работы некоторых сервисов Google необходимо, что определённые пользовательские данные всё же попадали в компанию. К примеру, если заблокировать сбор данных в поисковике, YouTube и Chrome, то пользователь перестанет получать персонализированные рекомендации на YouTube. Если заблокировать сбор данных в поисковике и Google Картах, то в картографическом сервисе больше не будут предлагаться места для посещения на основе предыдущих активностей пользователя. По большому счёту, пользователям по-прежнему придётся выбирать между приватностью и удобством, но с новыми изменениями они могут более точно определить, каким сервисам Google следует разрешить сбор информации.

Умная электроника отправляет личные разговоры пользователей рекламщикам — признались сами маркетологи

На сайте маркетинговой компании Cox Media Group (CMG) некоторое время назад был размещён баннер с однозначным и тревожным заявлением: «Это правда. Ваши устройства Вас слушают». Этим заявлением CMG спровоцировала панику, намекнув, что у неё есть доступ к частным разговорам людей, собираемым их телефонами, телевизорами и другой личной электроникой. Маркетинговая компания заявила, что использует эти личные разговоры для таргетинга рекламы своих клиентов.

 Источник изображений: unsplash.com

Источник изображений: unsplash.com

Наверное, каждый пользователь интернета на себе испытал или хотя бы слышал от других: стоит только сказать вслух о желании приобрести кожаную куртку «как у Дженсена», как реклама таких кожаных курток начинает транслироваться из каждого утюга. Производители электроники с микрофонами порой признаются в продаже голосовых данных третьим лицам (рекламодателям), но обычно речь идёт о данных, накопленных после того, как пользователь разрешил устройству начать его прослушивать и согласился на сбор данных.

CMG ещё 28 ноября рассказала о технологии Active Listening («Активное прослушивание»), которая использует ИИ для «обнаружения соответствующих разговоров через смартфоны, смарт-телевизоры и другие устройства». По утверждению компании, она знает, «когда и на что настраиваться». CMG готова удовлетворить желание рекламодателей услышать каждый шёпот, который мог бы помочь им таргетировать рекламу: «Это мир, где ни один шум перед покупкой не останется без анализа, а слухи потребителей становятся для вас инструментом таргетинга, переориентации и завоевания местного рынка».

CMG не предоставила подробных и точных разъяснений своей технологии, сейчас информация об Active Listening пропала с сайта, а архивная версия даёт весьма расплывчатое представление о том, как эта функция якобы работает. CMG загружала на свою платформу данные, создавая «персонажи покупателей». Затем каждому персонажу ставились в соответствие ключевые слова, интересующие клиента CMG.

Процесс отслеживания описывался так: «Активное прослушивание начинается и анализируется с помощью искусственного интеллекта для обнаружения соответствующих разговоров через смартфоны, смарт-телевизоры и другие устройства». Далее обсуждался анализ данных при помощи ИИ и создание «зашифрованного вечнозелёного списка аудитории», используемого для таргетирования рекламы на различных платформах, включая потоковое телевидение и аудио, медийную рекламу, платные социальные сети, YouTube, Google и Bing.

 Источник изображения: CMG

Источник изображения: CMG

В ноябрьском сообщении в блоге CMG указывалось на неназванного технологического партнёра, который может «агрегировать и анализировать голосовые данные во время разговоров перед покупкой», а также на «растущие возможности доступа к данным микрофона на устройствах». Но компания никогда не объясняла, как получила вычислительные и сетевые ресурсы, необходимые для записи и отправки каждого разговора в радиусе действия устройства. Также неясно, как CMG могла получить доступ, требующий наличия ордера от правоохранительных органов.

Компания ссылалась на многостраничное соглашение об условиях использования устройств, которые обычно никто не читает, где мелким шрифтом якобы описывалась возможность использования технологий, подобных Active Listening. Ещё больше путаницы добавило утверждение CMG о сотрудничестве с Facebook, Microsoft, Google и Amazon, хотя в реальности CMG является просто участником рекламных партнёрских программ этих компаний.

Теперь CMG уверяет, что она «не прослушивает какие-либо разговоры и не имеет доступа к чему-либо, кроме стороннего агрегированного, анонимного и полностью зашифрованного набора данных, который может быть использован для размещения рекламы и сожалеет о любой путанице». Рекламные инструменты компании включают «продукты сторонних поставщиков, основанные на наборах данных, полученных от пользователей различными социальными сетями и другими приложениями, которые затем упаковываются и перепродаются поставщикам услуг данных».

Компания утверждает, что рекламные данные, основанные на голосовых и других данных, собираются этими платформами и устройствами в соответствии с условиями, предусмотренными этими приложениями и принятыми их пользователями, а затем могут быть проданы сторонним компаниям и преобразованы в анонимную информацию для рекламодателей. Эти обезличенные данные затем перепродаются многочисленными рекламными компаниями.

Как бы жутко ни звучали заявления CMG, некоторые из них не являются надуманными. Голосовые помощники дали электронике повод держать микрофоны включёнными круглосуточно. Крупные технологические компании оказываются перед выбором: максимально удовлетворить ожидания клиентов или в первую очередь обеспечивать конфиденциальность пользователей. За прошедшие годы это привело к множеству судебных разбирательств, в том числе громких процессов, которые продолжаются годами и во многом определяют будущее конфиденциальности потребителей.

Начиная с 2019 года против Google регулярно подаётся иск, обвиняющий Google Assistant в использовании данных после неверно воспринятой команды на активацию голосового управления (например, «Эй, пудель!» вместо «Эй, Google»). В июле 2021 года, добиваясь прекращения дела, Google заявила, что «никогда не обещала, что Google Assistant будет активироваться только тогда, когда истцы захотят этого». Google также отметила, что не сохраняет аудиозаписи. В 2022 году в очередном иске против Google утверждалось, что компания собирает данные распознавания голоса и лица без согласия пользователя. Google утверждает, что это «является неверной характеристикой её продуктов».

Другим примером является борьба Apple с обвинениями в записи разговоров пользователей без запроса с их стороны к Siri. Apple утверждает, что Siri не слушает пользователей, если она не активирована, а компания «активно работает над улучшением Siri, чтобы предотвратить непреднамеренные срабатывания и предоставлять визуальные и звуковые сигналы… чтобы пользователи знали, когда Siri срабатывает».

На фоне судебных разбирательств и заверений от компаний о защите конфиденциальности клиентов, маркетологи и рекламодатели продолжают попытки вторжения в личные устройства с целью монетизации полученных персональных данных. И, хотя возможности CMG оказались преувеличенными, сам факт её заявлений многое говорит о неясном состоянии конфиденциальности и доверия потребителей, когда дело касается персональных интеллектуальных устройств. Одного этого уже достаточно, чтобы пересмотреть использование интеллектуальных продуктов с микрофоном и освежить понимание пользовательских соглашений и настроек конфиденциальности.

Chrome начнёт блокировать сторонние cookie с 4 января — полностью их отключат во второй половине 2024 года

С 4 января 2024 года Google начинает тестирование в браузере Chrome функции защиты от отслеживания, которая в конечном итоге по умолчанию полностью отключит сторонние файлы cookie. В первое время это коснётся тестовой, сравнительно небольшой группы пользователей Chrome, а именно одного процента пользователей во всём мире. Затем Google планирует поэтапно отказаться от использования сторонних файлов cookie для всех пользователей во второй половине 2024 года.

 Источник изображения: Google

Источник изображения: Google

Google работает над отказом от использования cookie в Chrome с 2020 года. Ранее компания уже предупреждала о планах по отказу от использования сторонних cookie, называя это ключевым аспектом инициативы Privacy Sandbox. Случайно выбранные для тестирования защиты от отслеживания пользователи будут уведомлены при открытии Chrome на компьютере или устройстве под управлением Android. Если во время просмотра страницы в Chrome возникнут проблемы, пользователю будет предложено временно повторно включить сторонние cookie для этого сайта.

Ожидается, что после отказа от сторонних файлов cookie рекламодатели начнут использовать API-интерфейс Privacy Sandbox, которые позволят ограничить передачу пользовательских данных сторонним компаниям и повысить безопасность и конфиденциальность. Topics API был представлен разработчикам для тестирования в июле, а в сентябре стал доступен всем пользователям Chrome. Подход Google к таргетированию рекламы без файлов cookie кажется полезным как для пользователей, ориентированных на конфиденциальность, так и для всего рекламного бизнеса.

В браузерах Mozilla Firefox и Apple Safari уже реализована блокировка сторонних файлов cookie, но Google выбрала более строгий подход, рассчитывая, что другие браузеры со временем присоединятся к её стратегии. Несмотря на различия в обработке файлов cookie, Google заявляет о стремлении к обеспечению совместимости, придерживаясь стандартов конфиденциальности и безопасности.

Конкуренты Google и защитники конфиденциальности не до конца уверены в предложенной Google технологии отказа от файлов cookie. Регулирующие органы, в свою очередь, оценивают новую технологию Google, чтобы убедиться, что она не даёт компании несправедливого преимущества при продаже собственной рекламы. Поэтому Google отложила включение этой функции сразу во всём мире на полгода, чтобы иметь возможность провести тестирование и решить «любые оставшиеся проблемы с конкуренцией».


window-new
Soft
Hard
Тренды 🔥
«Недостаточно слов, чтобы выразить благодарность за такой подарок»: неофициальная русская озвучка трейлера The Witcher 4 привела фанатов в восторг 7 мин.
ИИ научили генерировать тысячи модификаций вирусов, которые легко обходят антивирусы 60 мин.
В Epic Games Store стартовала новая раздача Control — для тех, кто дважды не успел забрать в 2021 году 2 ч.
За 2024 год в Steam вышло на 30 % больше игр, чем за прошлый — это новый рекорд 3 ч.
«Яндекс» закрыл почти все международные стартапы в сфере ИИ 3 ч.
Создатели Escape from Tarkov приступили к тестированию временного решения проблем с подключением у игроков из России — некоторым уже помогло 4 ч.
Веб-поиск ChatGPT оказался беззащитен перед манипуляциями и обманом 5 ч.
Инвесторы готовы потратить $60 млрд на развитие ИИ в Юго-Восточной Азии, но местным стартапам достанутся крохи от общего пирога 5 ч.
Selectel объявил о спецпредложении на бесплатный перенос IT-инфраструктуры в облачные сервисы 6 ч.
Мошенники придумали, как обманывать нечистых на руку пользователей YouTube 7 ч.