В свете растущих опасений о безопасности данных в Китае, Tesla пытается убедить своих китайских пользователей в надёжности хранения собираемых её автомобилями данных. Это происходит на фоне усиления контроля со стороны Пекина и ужесточения требований к иностранным компаниям по соблюдению новых законов о национальной безопасности.

Источник изображения: juliandipietrantonio / Pixabay

Отношения между американскими технологическими гигантами и китайским правительством всегда были сложными. Apple уже столкнулась с проблемой балансирования между интересами Пекина и западных политиков, особенно в вопросах регулирования данных. Теперь Tesla, став ключевым игроком на китайском рынке электромобилей, сталкивается с аналогичной дилеммой. Недавние изменения в китайском законодательстве по борьбе с шпионажем заставляют иностранные компании внимательно рассматривать риски работы в стране.

Автомобили с интернет-подключением породили новые стандарты обработки данных, которые ранее не затрагивали автопроизводителей. В Китае Tesla уже столкнулась с вопросами конфиденциальности получаемых ею данных. Не так давно электромобилям Tesla был ограничен въезд в определённые общественные зоны. В мае 2021 года, некоторые государственные объекты в Китае ввели запрет на проезд транспортных средств этой марки. Один из аэропортов на юге страны запретил парковку электромобилей Tesla из-за опасений, связанных с конфиденциальностью данных, однако машины Tesla могут заезжать на территорию для посадки или высадки пассажиров.

В ответ на внимание к Tesla со стороны китайских медиа, компания заявила, что данные, сгенерированные в режиме Sentry Mode (своего рода аналог видеорегистратора), хранятся только в электромобиле и не могут быть просмотрены дистанционно. Согласно информации на сайте Tesla China, функция Sentry Mode активируется пользователем вручную. Этот режим предусматривает автоматическую активацию записи видео камерами автомобиля в случае возникновения потенциальной угрозы транспортному средству. При этом важно, чтобы владельцы Tesla строго следовали местным законам и нормативам при использовании данной функции.

Tesla также напомнила, что уже давно создала центр хранения данных в соответствии с мерами по защите данных автомобилей, введёнными в Китае в 2021 году. Однако Tesla скоро столкнётся с новой проблемой, когда включит функцию автопилота Full Self-Driving для китайских пользователей. Как компания сможет эффективно обучать ИИ на данных китайских пользователей, если ей запрещено передавать эти данные за пределы Китая?

Tesla стоит перед сложным выбором, стремясь соблюсти баланс между технологическими инновациями и требованиями китайского законодательства. В то время как рынок электромобилей в Китае продолжает расти, компании, такие как Tesla, должны адаптироваться к постоянно меняющемуся регулятивному ландшафту, чтобы оставаться конкурентоспособными.

Скоро весьма строгий процесс проверки приложений на соответствие рекомендациям Apple при добавлении в App Store станет ещё более дотошным. Apple недавно объявила, что разработчики должны будут подробно объяснить, почему их приложения используют определённые API, прежде чем отправлять их в App Store. Компания поясняет, что эта мера направлена на борьбу со сбором данных об устройствах пользователей.

Источник изображения: unsplash.com

Как указано на сайте Apple Developer, некоторые API теперь классифицируются как Required Reason API и для того, чтобы использовать их в приложении, разработчик должен объяснить Apple свой выбор именно этого API. «Чтобы предотвратить неправомерное использование определённых API, которые могут использоваться для сбора данных об устройствах пользователей с помощью фингерпринтинга, вам необходимо объявить причины использования этих API в манифесте конфиденциальности вашего приложения. Это поможет гарантировать, что приложения будут использовать эти API только по прямому назначению», — объясняет Apple.

Фингерпринтинг (fingerprint — отпечаток пальца) идентифицирует пользователя по уникальным особенностям его браузера, системы и устройства. Поскольку фингерпринтинг не требует хранения данных у клиента, его очень трудно заметить и почти невозможно избежать, что значительно упрощает слежку за действиями пользователя. Фингерпринтинг использует для идентификации пользователя его IP-адрес, версию браузера и системы, системный язык, разрешение экрана, часовой пояс, показания часов с точностью до миллисекунды и список стандартных шрифтов и любые другие доступные данные.

Начиная с этой осени, с выпуском iOS 17, tvOS 17, watchOS 10 и macOS Sonoma, разработчики будут получать уведомления при добавлении приложений с использованием Required Reason API без описания причин его использования. С весны 2024 года приложения, использующие эти API без уважительной причины, будут отклоняться.

Хотя эта мера направлена на сохранение конфиденциальности пользователей, некоторые разработчики обеспокоены потенциальным ростом числа отказов размещения приложений и обновлений в App Store. Например, Apple относит UserDefaults к Required Reason API, хотя это базовый и довольно распространённый API, в котором хранятся пользовательские настройки для приложения и его использует множество приложений.

Использование UserDefaults теперь может привести к автоматическому удалению приложения из App Store просто потому, что разработчик забудет добавить объяснение использования этого API, так как полагает его применение само собой разумеющимся. К тому же неясно, как Apple будет контролировать использование этого API, поскольку большинство разработчиков будут утверждать, что просто хранят с его помощью пользовательские настройки.

Apple пообещала разработчикам возможность обжалования отказа и получения разъяснений в случае, который не охвачен текущими рекомендациями. Более подробную информацию можно найти на сайте Apple Developer.

Конфиденциальная информация, позволяющая идентифицировать около 4000 разработчиков Roblox, включая имена, даты рождения, адреса проживания, адреса почтовых ящиков, номера телефонов, IP-адреса, оказалась в открытом доступе. По данным источника, инцидент произошёл два года назад, но компания публично о нём не заявляла. Проблема затрагивает людей, которые посещали ежегодную конференцию разработчиков Roblox в период с 2017 по 2020 годы.

Источник изображения: Roblox Corporation

«Roblox известно об инциденте безопасности, поскольку были выявлены признаки несанкционированного доступа к личным данным части нашего сообщества разработчиков. Мы привлекли независимых экспертов для поддержки расследования, проводимого нашей командой по информационной безопасности. Люди, которых затронул этот инцидент, получат электронное письмо, в котором будут изложены шаги, предпринятые нами для их поддержки. Мы продолжим проявлять бдительность, отслеживая и проверяя кибербезопасность Roblox и наших сторонних партнёров», — говорится в заявлении компании.

По оценке экспертов, злоумышленники могли получить доступ к данным разработчиков Roblox ещё раньше, предположительно 18 декабря 2020 года, когда были скомпрометированы 3943 учётные записи. При этом Roblox до недавнего времени не сообщала об инциденте публично, и данные об утечке не выходили за пределы нишевых сообществ. Теперь же в компании подтвердили, что все затронутые инцидентом пользователи получили соответствующие уведомления.

Федеральная торговая комиссия (FTC) США запустила расследование в отношении компании OpenAI, являющейся разработчиком популярного ИИ-бота ChatGPT. По данным источника, регулятор направил в адрес разработчика 20-страничное письмо, в котором говорится о начале проверки.

Источник изображения: Viralyft / unsplash.com

Основанием для проверки стало подозрение в том, что большие языковые модели (LLM) OpenAI, являющиеся основой ИИ-алгоритмов, могли создаваться с использованием «нечестных или обманчивых» методов защиты конфиденциальности, нанося «репутационный ущерб» потребителям. В документе содержится 49 вопросов, многие из которых касаются конфиденциальной информации. Помимо прочего регулятор интересуется тем, какие данные компания использует для обучения ChatGPT, как эти данные получены и какие меры принимаются для того, чтобы чат-бот не получил доступ к конфиденциальной информации пользователей.

FTC также просит OpenAI предоставить подробные данные об ошибке в программном обеспечении, из-за которой произошла утечка историй разговоров пользователей с чат-ботом и платёжных реквизитов клиентов компании. В письме отмечается, что OpenAI должна приостановить все процедуры, связанные с уничтожением документов. В ходе расследования регулятор также рассмотрит вопрос касательно того, насколько денежная компенсация со стороны OpenAI будет отвечать общественным интересам. Официальные представители FTC и OpenAI отказались комментировать данный вопрос.

В бета-версиях приложения WhatsApp под Android и iOS появилась функция «Конфиденциальность телефонного номера» (Phone Number Privacy), которая поможет полностью скрывать номера в сообществах, пишет ресурс WABetaInfo.

Источник изображения: wabetainfo.com

Номера участников общедоступных чатов при исходных условиях скрыты друг от друга, но администраторов это не касается — их номера видны всем, и администраторы тоже видят номера всех участников. При этом если участник оставляет в группе объявлений сообщества реакцию на сообщение, его номер также оказывается общедоступным.

Разработчики WhatsApp решили добавить новую опцию конфиденциальности, позволяющую скрывать номер телефона и в этом случае — при активации пользователям выводится уведомление, что он доступен только администратору сообщества и тем, кто имеет доступ к номеру из других чатов. Для связи со скрывшим свой номер пользователем необходимо отправить ему запрос, чтобы он поделился своими контактными данными.

Пока функция доступна только для некоторых участников программ бета-тестирования WhatsApp в Google Play и App Store, и работает она только в сообществах. Но со временем она будет доступна и в других группах, расширится и аудитория пользователей, которые смогут ей воспользоваться.

В англоязычной версии «Политики конфиденциальности» Google обнаружено небольшое, но важное изменение, согласно которому компания предоставляет самой себе право использовать всю публикуемую в интернете информацию для обучения собственных моделей искусственного интеллекта.

Источник изображения: Google

Первоначально документ гласил, что общедоступные данные будут использоваться в коммерческих и исследовательских целях, а также для улучшения работы службы «Google Переводчик». В новой версии «Политики конфиденциальности» говорится: «Google использует информацию для улучшения своих сервисов и разработки новых продуктов, функций и технологий для пользователей и общества. Компания использует общедоступную информацию для обучения ИИ-моделей Google и создания продуктов и функций, таких как „Google Переводчик”, Bard и Cloud AI».

Далее документ уточняет, что подразумевается под «общедоступной» информацией: «Если информация о вашей компании появляется на веб-сайте, мы можем проиндексировать и отобразить её в службах Google». Изменения вступили в силу с 1 июля 2023 года. Учитывая количество и время существования многих учётных записей Google, новая политика конфиденциальности может также включать в себя данные, которые собирались на протяжении десятилетий. И пока нет ясности, существует ли механизм, позволяющий пользователям исключать из этого массива связанную с ними информацию, как это делается в отношении поисковой машины.

В новой редакции документа Google фактически отразила современные реалии — многочисленные разработчики ИИ-моделей уже используют крупные массивы данных для их обучения, не рассуждая об их принадлежности. Некоторые ресурсы пытаются от этого защититься: Reddit и Twitter резко ограничили доступ к контенту на своих платформах, невзирая на гнев общественности и возможные долгосрочные последствия.

Apple выступила с критикой планов британских властей по принятию законопроекта «О безопасности в интернете» (Online Safety Bill), присоединившись к лагерю его противников, включающем мессенджеры WhatsApp, Signal и т.д. Компания призвала парламент страны дважды подумать, чем принимать рассматриваемый законопроект, согласно которому онлайн-сервисы обмена сообщениями, использующие шифрование, будут обязаны сканировать сообщения на предмет жестокого обращения с детьми.

Источник изображения: Pixabay

В частности, Apple выступила против положения законопроекта, которое позволит регулятору связи Ofcom приказывать технологическим компаниям использовать «аккредитованные технологии» для выявления контента о сексуальном насилии над детьми, «независимо от того, передаётся ли он публично или в частном порядке». Apple призвала внести соответствующие поправки в законопроект, чтобы обеспечить защиту сквозного шифрования.

Эксперты по безопасности отметили, что принуждение компаний к сканированию сообщений на наличие нелегального контента, даже если это будет выполняться на стороне клиента, может нанести ущерб конфиденциальности и безопасности пользователей. Ранее Apple отказалась от планов сканирования изображений в iCloud на устройствах пользователей на наличие материалов сексуального насилия над детьми (Child Sexual Abuse Material, CSAM) из-за негативной реакции со стороны защитников конфиденциальности.

На данный момент законопроект «О безопасности в интернете» проходит обсуждение в верхней палате парламента Великобритании, Палате лордов, и ожидается, что он будет принят этим летом.

Пользователи Windows, стремящиеся к большей конфиденциальности при просмотре веб-страниц, могут попробовать новый браузер DuckDuckGo. В прошлом году компания DuckDuckGo, наиболее известная своей поисковой системой, выпустила ориентированный на конфиденциальность веб-браузер для систем на базе macOS. Сегодня тот же браузер в виде бета-версии стал доступен для пользователей Windows.

Источник изображения: DuckDuckGo

От других браузеров DuckDuckGo отличается тем, что по умолчанию не собирает и не передаёт данные пользователя третьим лицам. Разработчик сообщает, что браузер использует примерно на 60 % меньше трафика по сравнению с тем же Google Chrome. При входе на любой сайт DuckDuckGo заблокирует отслеживание геолокации, зашифрует большую часть трафика, отключит все сервисы отслеживания и скроет навязчивую рекламу, а также пустые пространства страницы сайтов, где ранее находились рекламные баннеры. В нём также есть встроенный менеджер паролей. В будущем для браузера DuckDuckGo будет добавлена поддержка различных расширений.

Браузер имеет встроенный плеер Duck Player, который позволяет смотреть YouTube без рекламы. Перед началом просмотра он «вырежет» ролик с сайта и встроит его в свою страницу без трекеров и рекламы. Среди других функций также имеется возможность удаления истории нажатием одной кнопкой. Кроме того, пользователь может скрыть свой реальный адрес электронной почты с помощью заменителя @duck.com.

Ознакомиться с бета-версией браузера DuckDuckGo может любой пользователь Windows 10 версии, вышедшей в мае 2020 года или позднее.

В мессенджере WhatsApp появились две новые функции: «Отключение звука для неизвестных номеров» и «Проверка конфиденциальности», которые, по словам компании, повысят уровень конфиденциальности и безопасности пользователей мессенджера.

Источник изображения: WhatsApp

«Отключение звука для неизвестных номеров» позволит автоматически фильтровать спам, а также игнорировать нежелательные звонки с незнакомых номеров. Как пишет The Verge, эта функция была добавлена после сообщений о тенденции роста количества спам-звонков, особенно затронувшей Индию.

При активации эта функция отключает все звуковые и визуальные оповещения в приложении. Однако эти вызовы по-прежнему будут отображаться во вкладке «Звонки» в списке последних вызовов с пометкой «неизвестный вызывающий абонент отключён» на случай, если вы захотите проверить, если ли там важные.

Функция «Проверка конфиденциальности» предназначена для информирования пользователей о том, какие способы защиты есть в WhatsApp. С её помощью можно поэтапно изучить все настройки конфиденциальности и выбрать подходящий уровень защиты. Для её активации нужно выбрать опцию «Начать проверку» в настройках конфиденциальности. Проверка охватывает несколько категорий, позволяя выбрать необходимый уровень защиты для своих сообщений, звонков и личной информации, усилив защиту учётной записи с помощью двухэтапной проверки или биометрической аутентификации при открытии приложения.

Стало известно, что с начала 2023 года было зафиксировано около 75 утечек персональных данных, в результате которых в интернет попали около 200 млн записей о россиянах. Об этом пишет «Коммерсантъ» со ссылкой на заместителя главы Роскомнадзора Милоша Вагнера.

Источник изображения: pixabay.com

«Мы пока говорим грубыми цифрами, но есть порядка 200 млн записей о россиянах, которые утекли в сеть с начала 2023 года. Мы сейчас проводим по ним проверки», — приводит источник слова господина Вагнера.

Он также рассказал, что и сам столкнулся с некорректным использованием его персональных данных. Господин Вагнер на одном из веб-сайтов смотрел модель новой машины, но не оставлял своих контактных данных. Уже на следующий день с ним связался дилер и предложил купить именно ту машину, которой интересовался Милош Вагнер. Через неделю с аналогичным предложением обратился ещё один дилер. О какой именно компании шла речь, сказано не было.

В беседе с журналистами господин Вагнер констатировал, что, «по сути, происходит негласное наблюдение за человеком», а используемые для этого инструменты стали недорогими. «Пример может показаться безобидным, но, если мы предположим, что обезличенные медицинские данные, фискальные, о приобретённых услугах, товарах и т.д. будут объединены с данными о контенте, который вы посмотрели, ваше представление о приватности и частной жизни, мягко говоря, изменится», — считает Милош Вагнер.

Стало известно, что Роскомнадзор вынес первые запреты на передачу персональной информации россиян за рубеж. Всего было вынесено семь запретов, они коснулись компаний в сферах финансов и логистики.

Источник изображения: geralt / Pixabay

Напомним, новый порядок передачи персональных данных за рубеж начал действовать с 1 марта. При передаче такой информации компании должны уведомлять Роскомнадзор, а также убедиться в том, что зарубежный партнёр может обеспечить конфиденциальность информации и её защиту при обработке. Эти требования не касаются стран, подписавших Конвенцию Совета Европы и включённых в перечень Роскомнадзора. Если в течение десяти дней после получения уведомления регулятор не выносит запрет, то данные могут быть переданы.

Представитель Роскомнадзора сообщил, что с марта было получено 589 таких уведомлений от российских операторов персональных данных, в семи случаях ведомство запретило осуществлять передачу. Кого именно коснулись запреты, не уточняется. Известно, что решение о запрете затронули финансовые и логистические компании. Решения о запрете и ограничении были вынесены из-за несоответствия цели трансграничной передачи персональных данных целям, указанным при их сборе, а также их объёму и содержанию. «В частности, компании планировали передать за рубеж личные данные соискателей, а также потенциальных клиентов для проверки их платёжеспособности», — сообщил представитель Роскомнадзора.

Генеральный директор «INFO-Line-Аналитики» Михаил Бурмистров напомнил, что на территории России продолжают работать международные компании, которые используют ресурсы находящихся за рубежом центральных офисов. Однако в ближайшее время такая практика должна прекратиться. «Речь идёт о полной локализации хранения данных либо об иных способах решения проблемы, потому что трансграничная передача данных больше осуществляться не будет. Компании просто-напросто могли не успеть сформировать инфраструктуру для хранения персональных данных на территории России», — считает господин Бурмистров.

Служба безопасности ретейлера «Ашан» подтвердила утечку данных клиентов сети. Информация об этом ранее на этой неделе появилась в профильных Telegram-каналах. Этот инцидент также заинтересовал Роскомнадзор.

Источник изображения: Pixabay

«В настоящее время мы проводим внутреннее расследование с целью установления вектора атаки и источника утечки», — приводит источник слова представителя пресс-службы торговой сети. При этом не было сказано, данные какого количества покупателей «Ашан» оказались в открытом доступе. Также известно, что Роскомнадзор намерен провести собственную проверку в связи с информацией об утечке данных клиентов сетей «Ашан» и «Твой дом».

Напомним, 6 июня в Telegram-канале «Утечки информации» появилось сообщение, в котором говорилось о попадании в открытый доступ данных, предположительно принадлежащих клиентам сетей «Ашан» и «Твой дом». Данные клиентов сети «Ашан» собраны в несколько текстовых файлов общим объёмом около 7,8 млн строк. В них содержится разная информация, включая ФИО клиентов ретейлера, номера их телефонов, адреса электронных почтовых ящиков и др. В другой базе, которая предположительно содержит данные клиентов сети «Твой дом», содержится около 700 тыс. строк. При этом торговая сеть «Твой дом» пока не подтвердила информацию об утечке.

Microsoft выплатит $20 млн, чтобы урегулировать претензии американского регулятора, уличившего компанию в незаконном сборе персональных данных несовершеннолетних, которые воспользовались консолью Xbox, не получив на это разрешения родителей.

Источник изображения: Xbox

Регулятор заявил, что несмотря на то, что Microsoft требовала от всех, кто пользуется сервисом Xbox Live, регистрации с указанием имени, адреса электронной почты и возраста, до конца 2021 года дети могли начать процесс создания нового аккаунта на Xbox ещё до того, как появлялось уведомление о требовании получения разрешения от родителей. При этом, даже когда компания узнала о пользователях младше 13 лет, она продолжала собирать и хранить данные, нарушая американский закон о защите личных данных детей в интернете (Children’s Online Privacy Protection Act, COPPA).

Microsoft заявила, что это произошло из-за «сбоя в хранении данных» и пообещала улучшить свои системы. «В дополнение к существующей стратегии многофакторной безопасности мы также планируем разработать систему подтверждения личности и возраста нового поколения — удобный, безопасный, одноразовый процесс для всех игроков», — говорится в заявлении компании.

После заключения мирового соглашения Microsoft присоединилась к десяткам других компаний, включая Amazon, Google и TikTok, которые столкнулись со штрафами Федеральной торговой комиссии США за сбор данных о детях без согласия родителей.

В рамках урегулирования инцидента Microsoft удалит в течение двух недель всю информацию, собранную о детях без согласия родителей. Помимо этого, компания будет предупреждать издателей видеоигр, которые запрашивают личную информацию, если пользователи являются детьми.

Российский разработчик VPN-решений и средств криптозащиты информации «Инфотекс» подтвердил утечку данных пользователей. В ходе проверки было установлено, что в сети оказались данные учётных записей пользователей сайта компании.

Источник изображения: Pixabay

«Проверка подтвердила факт утечки базы данных с учётными записями зарегистрированных пользователей сайта. Уведомление об инциденте направлено в Роскомнадзор в соответствии с требованиями», — приводит источник слова представителя компании. Он также сообщил, что злоумышленникам не удалось скомпрометировать веб-сервер, системы управления и операционные системы.

В настоящее время компания «Инфотекс» является одним из крупнейших российских разработчиков программно-аппаратных VPN-решений и средств криптографической защиты информации. Несколько дней назад в Telegram-канале «Утечки информации» появилось сообщение об утечке 60 тыс. записей базы данных пользователей ресурса infotecs.ru. Согласно имеющимся данным, злоумышленники похитили логины и пароли пользователей сайта, их ФИО, адреса электронных почтовых ящиков, сведения о местах работы и занимаемых должностях, а также дате регистрации и последней активности (с 24 марта 2010 года по 24 апреля 2023 года).

Ранее президент РФ Владимир Путин поручил правительству до 1 июля рассмотреть вопрос введения оборотных штрафов для компаний, допустивших утечки данных. По данным источника, Минцифры может увеличить размер штрафов до 500 млн рублей. При этом вице-спикер Госдумы от ЛДПР Борис Чернышов предложил увеличить размер штрафов до 1 млрд рублей, назвав сумму адекватной, поскольку украденные данные пользователей в дальнейшем могут перепродаваться на теневых форумах.

Корпорации Meta✴ грозит рекордный штраф за несоблюдение Общего регламента ЕС по защите персональных данных (GDPR) и отправку пользовательских данных резидентов ЕС в США без обеспечения надлежащих гарантий их защиты от доступа со стороны местных властей.

Источник изображения: Markus Spiske/unsplash.com

Как пишет The Register, сумма штрафа, который Ирландская комиссия по защите данных (DPC) наложит на Meta✴, пока не озвучена. По данным источников Bloomberg, она может превысить штраф в размере €746 млн, который в ЕС выписали компании Amazon в 2021 году за аналогичные нарушения GDPR.

По словам источников ресурса Bloomberg, помимо рекордного штрафа ирландский регулятор может заблокировать передачу данных Facebook✴ из ЕС в США на основании новых соглашений, поставленных под сомнение высшим судом ЕС. Речь идёт о документе Data Privacy Framework (DPF), призванном гарантировать конфиденциальность данных пользователей из ЕС взамен отменённого в 2020 году соглашения Privacy Shield.

Законодатели ЕС считают, что DPF не соответствует стандартам GDPR, позволяя американским компаниям использовать данные граждан ЕС способами, несовместимыми с европейским законодательством. В частности, DPF не обеспечивает запрет на доступ к данным для служб радиотехнической разведки или других спецслужб в целях защиты национальной безопасности.

Поэтому парламентарии ЕС призвали Европейскую комиссию не принимать решение о достаточности мер DPF, что станет официальным признанием ЕС того, что страна, не входящая в блок, принимает достаточные меры по защите данных.

В 2023 году DPC уже дважды оштрафовала Meta✴: на €390 млн за использование личных данных для таргетированной рекламы в Facebook✴ и Instagram✴ и ещё на €5,5 млн за нарушения регламента GDPR в работе с личными данными мессенджера WhatsApp.