Microsoft выплатит $20 млн, чтобы урегулировать претензии американского регулятора, уличившего компанию в незаконном сборе персональных данных несовершеннолетних, которые воспользовались консолью Xbox, не получив на это разрешения родителей.

Источник изображения: Xbox

Регулятор заявил, что несмотря на то, что Microsoft требовала от всех, кто пользуется сервисом Xbox Live, регистрации с указанием имени, адреса электронной почты и возраста, до конца 2021 года дети могли начать процесс создания нового аккаунта на Xbox ещё до того, как появлялось уведомление о требовании получения разрешения от родителей. При этом, даже когда компания узнала о пользователях младше 13 лет, она продолжала собирать и хранить данные, нарушая американский закон о защите личных данных детей в интернете (Children’s Online Privacy Protection Act, COPPA).

Microsoft заявила, что это произошло из-за «сбоя в хранении данных» и пообещала улучшить свои системы. «В дополнение к существующей стратегии многофакторной безопасности мы также планируем разработать систему подтверждения личности и возраста нового поколения — удобный, безопасный, одноразовый процесс для всех игроков», — говорится в заявлении компании.

После заключения мирового соглашения Microsoft присоединилась к десяткам других компаний, включая Amazon, Google и TikTok, которые столкнулись со штрафами Федеральной торговой комиссии США за сбор данных о детях без согласия родителей.

В рамках урегулирования инцидента Microsoft удалит в течение двух недель всю информацию, собранную о детях без согласия родителей. Помимо этого, компания будет предупреждать издателей видеоигр, которые запрашивают личную информацию, если пользователи являются детьми.

Корпорации Meta✴ грозит рекордный штраф за несоблюдение Общего регламента ЕС по защите персональных данных (GDPR) и отправку пользовательских данных резидентов ЕС в США без обеспечения надлежащих гарантий их защиты от доступа со стороны местных властей.

Источник изображения: Markus Spiske/unsplash.com

Как пишет The Register, сумма штрафа, который Ирландская комиссия по защите данных (DPC) наложит на Meta✴, пока не озвучена. По данным источников Bloomberg, она может превысить штраф в размере €746 млн, который в ЕС выписали компании Amazon в 2021 году за аналогичные нарушения GDPR.

По словам источников ресурса Bloomberg, помимо рекордного штрафа ирландский регулятор может заблокировать передачу данных Facebook✴ из ЕС в США на основании новых соглашений, поставленных под сомнение высшим судом ЕС. Речь идёт о документе Data Privacy Framework (DPF), призванном гарантировать конфиденциальность данных пользователей из ЕС взамен отменённого в 2020 году соглашения Privacy Shield.

Законодатели ЕС считают, что DPF не соответствует стандартам GDPR, позволяя американским компаниям использовать данные граждан ЕС способами, несовместимыми с европейским законодательством. В частности, DPF не обеспечивает запрет на доступ к данным для служб радиотехнической разведки или других спецслужб в целях защиты национальной безопасности.

Поэтому парламентарии ЕС призвали Европейскую комиссию не принимать решение о достаточности мер DPF, что станет официальным признанием ЕС того, что страна, не входящая в блок, принимает достаточные меры по защите данных.

В 2023 году DPC уже дважды оштрафовала Meta✴: на €390 млн за использование личных данных для таргетированной рекламы в Facebook✴ и Instagram✴ и ещё на €5,5 млн за нарушения регламента GDPR в работе с личными данными мессенджера WhatsApp.

Сегодня в своём выступлении перед Конгрессом США генеральный директор TikTok Шоу Цзы Чу (Shou Zi Chew) заявил, что сервис планирует удалить все данные пользователей из США со своих серверов к концу года. Чу подробно описал инициативу компании под названием Project Texas по перемещению данных американских пользователей на серверы компании Oracle, расположенные в США, где за этими данными будет наблюдать американский персонал.

Источник изображения: Pixabay

Этот план является частью более широкой программы TikTok, направленной на предотвращение запрета приложения правительством США по соображениям национальной безопасности. Сервис, принадлежащий китайской ByteDance, также стремится убедить Конгресс в том, что в его приложение включён ряд средств защиты для обеспечения безопасности молодых пользователей, и добавлены возможности для получения дохода авторами и малыми предприятиями из США.

Конкретно с Project Texas миссия TikTok состоит в создании того, что Чу назвал «брандмауэром», изолирующим чувствительные данные пользователей США от несанкционированного доступа извне, особенно из Китая. Своим названием Project Texas обязан штату Техас, где располагается штаб-квартира Oracle. Общие планы TikTok в отношении Project Texas были описаны ещё летом 2022 года в письме сенаторам-республиканцам. Это письмо стало ответом на обращение в Конгресс, в котором утверждалось, что некоторые сотрудники в Китае имели доступ к данным пользователей TikTok из США.

Чу заверил сенаторов, что компания планирует удалить данные со своих серверов в этом году. «Сегодня данные американского TikTok по умолчанию хранятся на серверах Oracle, — сказал Чу. — Только проверенный персонал, работающий в новой компании под названием TikTok U.S. Data Security, может контролировать доступ к этим данным. Эта компания будет отчитываться перед независимым американским советом директоров. У нас есть устаревшие данные из США на серверах в Вирджинии и Сингапуре. Мы планируем удалить их в этом году. Когда это будет сделано, все данные из США будут находиться под защитой законодательства США».

Шоу Цзы Чу был допрошен и о других аспектах безопасности данных, и не на все вопросы смог дать прямой и исчерпывающий ответ. В частности, после первоначального обязательства не продавать данные брокерам, он уклонился от ответа на вопрос, продавал ли TikTok данные пользователей ранее. Также, он затруднился ответить, полностью ли отделит Project Texas американский TikTok от его китайской материнской компании из-за взаимосвязанности технологий. Кроме того, на вопрос о том, будут ли сотрудники TikTok в Китае иметь доступ к данным США, Чу ответил: «После "проекта Техас"… нет», косвенно подтвердив, что сейчас такой доступ существует.

Сенаторы также поинтересовались, подпадают ли китайские сотрудники ByteDance под действие китайского законодательства, включая Закон о национальной разведке 2017 года, требующий от любой организации или гражданина сотрудничества с государственной разведкой Китая. Шоу Цзы Чу сначала уклонился от ответа, отметив, что «как и многие компании, в том числе многие американские компании, мы полагаемся на глобальную рабочую силу, включая инженеров в Китае», а после требования дать прямой ответ ответил: «В прошлом да, но мы строим "проект Техас" и стремимся защитить все данные брандмауэром».

В открытом доступе оказались данные клиентов и сотрудников компании «СберЛогистика», сообщил ресурс VC.ru со ссылкой на Telegram-канал «Утечки информации». Как утверждают исследователи, информацию разместил тот же источник, что и публиковавший до этого конфиденциальную информацию, касающуюся клиентов «Почты России», образовательного портала GeekBrains, службы доставки Delivery Club и многих других.

Источник изображения: Kevin Ku/unsplash.com

В Сеть утекли два файла с 671 474 и 691 548 строками, содержащими сведения о пользователях и сотрудниках «СберЛогистики», включая ФИО, номера телефонов, адреса электронной почты и хешированные пароли (только для пользователей), а также данные о филиале и должности сотрудников.

Имеющаяся в файлах информация свидетельствует о том, что данные были получены не ранее 3 февраля 2023 года.

В свою очередь, аналитики ресурса Habr.com подсчитали, что в публичный доступ попали 126 715 уникальных адресов электронной почты, включая 3876 адресов на домене sberlogistica.ru и 2029 — на домене sberbank.ru, а также 736 891 номер телефона.

Позднее в ответ на запрос vc.ru в «Сбере» заявили, что информация об утечке не соответствует действительности. «На хакерских ресурсах в интернете представлены различные данные, имеющие отношение к клиентам “Сбербанка”. Это компиляции различных баз данных, полученные в результате взлома компаний-подрядчиков дочерних компаний “Сбера”. Никакой чувствительной финансовой информации в них нет. Как правило, спекуляции на тему утечек спровоцированы мошенниками, которые торгуют компиляциями данных, рекомендуем не обращать на них внимания».

Согласно исследованию «Лаборатории Касперского», в прошлом году лидерами по объёму утечек данных в России стали сервисы доставки, на которые пришлось более трети всех утечек (34 %), и ретейлеры (14 %).

Данные берутся из публикации Заметаем цифровые следы: руководство к действию

Регулирующие органы стран ЕС должны будут продемонстрировать более решительные действия при нарушениях Закона о защите персональных данных (GDPR). Еврокомиссия отныне требует, чтобы страны ЕС делились обзорами «крупномасштабных» расследований дел по GDPR каждые два месяца. Они будут включать «ключевые процедурные шаги» и предпринятые действия — национальные регулирующие органы должны будут активнее реагировать при нарушениях GDPR крупными компаниями.

Источник изображения: Pavlo Gonchar/SOPA Images/LightRocket via Getty Images

Евросоюз стремится максимально жёстко реагировать на нарушения конфиденциальности со стороны технологических гигантов, но во многих случаях расследования по подобным делам затягиваются, а наказания оказываются предельно скромными. Но вскоре действия в этом направлении станут более решительными. Более жёсткий подход появился после того, как омбудсмен ЕС потребовал пристального внимания к делам, подпадающим под действие Ирландской комиссии по защите данных, которая регулирует деятельность Meta✴ и других отраслевых гигантов. Он обвинил комиссию в том, что она слишком медлительна и снисходительна к нарушениям конфиденциальности. К примеру, несколько недель назад Европейскому совету по защите данных пришлось вынуждать комиссию увеличить штраф, наложенный на Meta✴ за обработку персональных данных с 28 до 390 миллионов евро.

Как отмечает Bloomberg, Европейская комиссия и раньше каждые два года выпускала отчёты об общем состоянии соблюдения GDPR, но тщательные и частые проверки исполнения закона в отдельных странах не проводились. Новое требование теоретически привлечёт к ответственности все государства-члены ЕС, если они задержат расследование или не применят закон, когда это необходимо. Предусмотрены юридические последствия в Европейском суде.

Новые требования критикуются активистами за недостаточную прозрачность. Поскольку страны будут делиться своим прогрессом на «строго конфиденциальной основе», общественность не сможет узнать, правильно ли регулирующий орган рассматривает дело, пока ЕС не предпримет видимых ответных действий. Тем не менее, это может побудить Meta✴, Amazon, Google и других технологических тяжеловесов серьёзней относиться к европейским законам о конфиденциальности, так как они могут столкнуться с ускоренными расследованиями и весьма ощутимыми штрафами.

В 2022 году стоимость «пробива» — незаконного получения информации о транзакциях, собственности и тайне переговоров граждан через инсайдеров в компаниях, банках и госорганах — выросла в среднем на 22 %, сообщается в исследовании российского сервиса по расследованию утечек данных и мониторинга даркнета DLBI (Data Leakage & Breach Intelligence).

Источник изображения: Pixabay

В предыдущем, 2021 году, темпы роста расценок на «пробив» в годовом исчислении были гораздо выше — почти в два раза. Больше всего выросла стоимость мобильного «пробива», примерно на 60 % до 27 тыс. рублей за месяц детализации звонков и SMS пользователя — такой же рост был отмечен и в 2021 году.

Причём нелегальное получение данных абонентов операторов «Билайн», МТС и Tele2 теперь обходится в два и более раз дороже, а расценки для «МегаФона» не изменились. Самые высокие расценки — на «пробив» данных абонентов МТС — 40 тыс. рублей. У Tele2 и «МегаФона» — 28 тыс. и 25,5 тыс. рублей соответственно, а «Билайн» по-прежнему замыкает список — 15 тыс. рублей.

Стоимость банковского «пробива» осталась на прежнем уровне, составляя 25,4 тыс. рублей за выписку о движении средств клиента за месяц, хотя в 2021 году она выросла в годовом исчислении более чем в 2,5 раза. Благодаря принятым банками мерам по борьбе с утечками, предложение такой услуги в этом сегменте уже второй год сокращается. За исключением «Сбербанка »подобные предложения для крупнейших коммерческих периодически полностью исчезают. Также сокращается число посредников, которое составляет менее 27 % от всех занятых в этом криминальном бизнесе.

Стоимость «пробива» по государственным базам данных тоже осталась на прежнем уровне, составляя 1,5–2 тыс. рублей.

По словам главного эксперта «Лаборатории Касперского» Сергея Голованова, количество объявлений о «мобильном пробиве» в 2022 году снизилось примерно в 2–2,5 раза. В Tele2 объяснили «Коммерсанту» подорожания услуги «пробива» тем, что процессы выявления и пресечения незаконной передачи информации автоматизированы и «инциденты практически невозможны». В МТС сообщили, что принимают «строгие организационные меры и применяют современные аппаратно-программные средства, предотвращающие несанкционированный доступ к информации ограниченного доступа». В «ВымпелКоме» утверждают, что усилили контроль доступа сотрудников к клиентским данным, «в том числе используется двухфакторная аутентификация».

Основатель Telegram-бота «Глаз бога» Евгений Антипов выразил мнение, что такая услуга начала терять ценность с ростом утечек различных баз данных. DLBI ранее сообщил, что в 2022 году в Сеть утекли данные 75 % россиян. «Ожидания же злоумышленников по своим заработкам меньше не стали, и, чтобы компенсировать отток клиентов, они начали поднимать цены», — считает Антипов, добавив, что растёт число посредников, а это тоже сказывается на цене.