Разработчик RedShieldVPN Владислав Здольников анонсирует запуск проекта GlobalCheck - онлайн-сервиса для исследования блокировок в России и странах СНГ, например, в Беларуси и Казахстане.
Идея проекта в том, что современные блокировки и замедления могут быть непубличными, работать по-разному у разных провайдеров и не попадать в официальный Реестр запрещенных сайтов. Но если много волонтеров поставят у себя сенсоры на базе небольших роутеров, то при помощи проекта можно будет в реальном времени проверять, что и как блокируется. Немножко собственных сенсоров работает уже сейчас, их можно потыкать на офсайте проекта. Если хотите быть волонтером и поставить у себя бесплатный сенсор - оставляйте заявку на сайте https://globalcheck.net/ru/support.
И напоминаем: наше расширение для браузеров для обхода блокировок, Censor Tracker (https://censortracker.org/) также помогает собирать информацию о внереестровых блокировках.
Идея проекта в том, что современные блокировки и замедления могут быть непубличными, работать по-разному у разных провайдеров и не попадать в официальный Реестр запрещенных сайтов. Но если много волонтеров поставят у себя сенсоры на базе небольших роутеров, то при помощи проекта можно будет в реальном времени проверять, что и как блокируется. Немножко собственных сенсоров работает уже сейчас, их можно потыкать на офсайте проекта. Если хотите быть волонтером и поставить у себя бесплатный сенсор - оставляйте заявку на сайте https://globalcheck.net/ru/support.
И напоминаем: наше расширение для браузеров для обхода блокировок, Censor Tracker (https://censortracker.org/) также помогает собирать информацию о внереестровых блокировках.
С сегодняшнего дня в кафе и ресторанах в Москве нужно предъявлять COVID-ный QR-код. Коды получают на https://immune.mos.ru, на сайте Госуслуг в разделе "Здоровье" (и еще на паре официальных сайтов), а потом их должны проверять на входе и сверять с паспортом.
Специального софта для проверки пока нет, QR-код - это просто ссылка на веб-страницы типа https://immune.mos.ru/qr?id=[идентификатор] или https://www.gosuslugi.ru/vaccine/cert/verify/[идентификатор]. Идентификаторы одного и того же пользователя на mos.ru и Госуслугах - разные.
Какую информацию о посетителях видит на экране персонал кафе (а значит, теоретически может ее собирать)?
• первые буквы ФИО вакцинированного/переболевшего и количество букв в имени (типа И***** И*** И******)
• дату рождения
• на mos.ru - срок действия сертификата
• на Госуслугах - две первые и три последние цифры номера паспорта. На mos.ru эту информацию не показывает.
Всё, других данных там нет. Вчера в программе "Точка" на Эхе ведущий рассказывал, что нашел в исходном коде страницы проверки QR-кода на Госуслугах кучу персональных данных, но он напутал - это не персональные данные вакцинированного, это персональные данные того, кто открывает страницы Госуслуг, если он залогинен. То есть условный охранник на входе будет там видеть свои полные ФИО, телефон и адрес (если при проверке он залогинен на сайте Госуслуг), а не данные клиента.
В результате, хотите ходить в кафе в Москве и оставлять меньше информации о себе - пользуйтесь QR-кодом от mos.ru, там нет пяти цифр номера паспорта. И выходит, что гораздо больше персональных данных - в открытом для сверки паспорте, который по идее нужно будет показывать вместе с QR-кодом, чтобы люди не ходили по кафе с чужими кодами.
Специального софта для проверки пока нет, QR-код - это просто ссылка на веб-страницы типа https://immune.mos.ru/qr?id=[идентификатор] или https://www.gosuslugi.ru/vaccine/cert/verify/[идентификатор]. Идентификаторы одного и того же пользователя на mos.ru и Госуслугах - разные.
Какую информацию о посетителях видит на экране персонал кафе (а значит, теоретически может ее собирать)?
• первые буквы ФИО вакцинированного/переболевшего и количество букв в имени (типа И***** И*** И******)
• дату рождения
• на mos.ru - срок действия сертификата
• на Госуслугах - две первые и три последние цифры номера паспорта. На mos.ru эту информацию не показывает.
Всё, других данных там нет. Вчера в программе "Точка" на Эхе ведущий рассказывал, что нашел в исходном коде страницы проверки QR-кода на Госуслугах кучу персональных данных, но он напутал - это не персональные данные вакцинированного, это персональные данные того, кто открывает страницы Госуслуг, если он залогинен. То есть условный охранник на входе будет там видеть свои полные ФИО, телефон и адрес (если при проверке он залогинен на сайте Госуслуг), а не данные клиента.
В результате, хотите ходить в кафе в Москве и оставлять меньше информации о себе - пользуйтесь QR-кодом от mos.ru, там нет пяти цифр номера паспорта. И выходит, что гораздо больше персональных данных - в открытом для сверки паспорте, который по идее нужно будет показывать вместе с QR-кодом, чтобы люди не ходили по кафе с чужими кодами.
В Словакии пару дней назад крупный провайдер 02 целиком заблокировал стриминговую платформу Twitch.tv из-за единственного пользователя (правда, достаточно популярного), который играл в онлайн-покер. Местный госорган, который регулирует азартные игры, внес его страницу (https://twitch.tv/ddandis) в черный список и суд предписал словацким провайдерам ее блокировать.
Но такой адрес невозможно заблокировать отдельно от остальной платформы, потому что во-первых HTTPS, а во-вторых это не отдельный домен, который можно было бы блокировать DPI-оборудованием провайдера по заголовкам SNI. Поэтому O2 просто заблокировал Twitch целиком, и Twitch сам быстренько удалил нужный аккаунт.
Вполне распространенная стратегия современной интернет-цензуры: создавать условия, в которых платформа сама будет делать то, что от нее требуется.
Но такой адрес невозможно заблокировать отдельно от остальной платформы, потому что во-первых HTTPS, а во-вторых это не отдельный домен, который можно было бы блокировать DPI-оборудованием провайдера по заголовкам SNI. Поэтому O2 просто заблокировал Twitch целиком, и Twitch сам быстренько удалил нужный аккаунт.
Вполне распространенная стратегия современной интернет-цензуры: создавать условия, в которых платформа сама будет делать то, что от нее требуется.
Вчера вечером редакция заблокированного в Беларуси новостного сайта Tut.by удалила из соцсетей весь контент, опубликованный с 1 января 2020 года. Tut.by было крупнейшим по охвату пользователей изданием в Беларуси, но с мая редакция работала только в соцсетях после блокировки сайта и изъятия оборудования.
Вчера, когда посты стали исчезать, читатели Tut.by забеспокоились, что это кто-то перехватил аккаунты и стирает архивы, но редакция отписалась, что они "удалили публикации из-за дела об "экстремизме" наших соцсетей и сайта. Мы сделали это для безопасности наших читателей и сотрудников." Такая вот онлайн-самоцензура.
Вчера, когда посты стали исчезать, читатели Tut.by забеспокоились, что это кто-то перехватил аккаунты и стирает архивы, но редакция отписалась, что они "удалили публикации из-за дела об "экстремизме" наших соцсетей и сайта. Мы сделали это для безопасности наших читателей и сотрудников." Такая вот онлайн-самоцензура.
Ковидные QR-коды в ресторанах в Москве начали проверять только вчера, а сегодня в интернете - уже 29 поддельных сайтов, имитирующих Госуслуги, на которых лежат поддельные подтверждения. Коммерсант пишет, что коды для посещения кафе и ресторанов продают через Telegram-каналы.
Идея простая и понятная: охрана в кафе не обязана и не станет внимательно проверять подлинность домена, на котором размещено подтверждение. Это можно было бы сделать, если бы проверка работала через приложение, которое бы обращалось только к "хорошим" сайтам, но браузер - он же на то и браузер, чтобы открывать любые сайты. А QR-код - это просто ссылка, он может вести и на какие-нибудь g0suslugi.tk. Чтобы сделать подтверждение, которое выглядит как настоящее, пользователь должен передать мошенническому серверу только первые буквы ФИО, дату рождения и пять цифр паспорта.
Департамент информационных технологий Москвы говорит, что использование поддельных QR-кодов - это типа статья УК 327 о подделке и использовании официальных документов, но другие юристы считают, что QR-код - это вообще не документ. В общем, пока система проверки не очень удалась, видимо, ее будут переделывать.
Идея простая и понятная: охрана в кафе не обязана и не станет внимательно проверять подлинность домена, на котором размещено подтверждение. Это можно было бы сделать, если бы проверка работала через приложение, которое бы обращалось только к "хорошим" сайтам, но браузер - он же на то и браузер, чтобы открывать любые сайты. А QR-код - это просто ссылка, он может вести и на какие-нибудь g0suslugi.tk. Чтобы сделать подтверждение, которое выглядит как настоящее, пользователь должен передать мошенническому серверу только первые буквы ФИО, дату рождения и пять цифр паспорта.
Департамент информационных технологий Москвы говорит, что использование поддельных QR-кодов - это типа статья УК 327 о подделке и использовании официальных документов, но другие юристы считают, что QR-код - это вообще не документ. В общем, пока система проверки не очень удалась, видимо, ее будут переделывать.
РБК
Эксперты предупредили о схеме подделки QR-кодов для прохода в рестораны
Мошенники предлагают купить сгенерированный QR-код, который ведет на поддельный сайт, имитирующий «Госуслуги». Эксперты сообщили, что число таких доменных имен выросло с двух до 29
Ну вот, кто-то уже запилил инструкцию по генерации поддельных QR-кодов и сайта с подтверждениями, и положил на Github https://github.com/IDQDD/qrmosru
UPD: Удалена, но форков - куча.
UPD: Удалена, но форков - куча.
Тут читатель пишет важную вещь про нынешнюю систему проверки QR-кодов. Мы обратили внимание на то, какие данные может собирать само кафе, и их немного. А какие данные могут в процессе собирать Госуслуги (или mos.ru)?
Сейчас при проверке QR-кода Госуслугам видно, "кто" и "когда" ходит в кафе (и это уже немало), но не очень понятно "куда". Но достаточно изменить систему так, чтобы кафе тоже должно было аутентифицироваться для проверки, и мы получим систему, способную фиксировать "кто", "когда" и "куда" ходит.
Сейчас при проверке QR-кода Госуслугам видно, "кто" и "когда" ходит в кафе (и это уже немало), но не очень понятно "куда". Но достаточно изменить систему так, чтобы кафе тоже должно было аутентифицироваться для проверки, и мы получим систему, способную фиксировать "кто", "когда" и "куда" ходит.
В прошлую пятницу Twitter временно заблокировал аккаунт индийского министра связи, электроники и информационных технологий Рави Шанкар Прасада за нарушение авторских прав. В одном из его твитов 2017 года была ссылка на его же интервью, где присутствовал фрагмент песни A.R. Rahman - Maa Tujhe Salaam. Twitter получил об этом жалобу от Международной федерации производителей фонограмм, твит заблокировали, а аккаунт восстановили после того, как министр просмотрел твиттеровскую Политику в отношении авторских прав и нажал на синюю кнопочку, что соглашается не нарушать. Теперь министр теперь ужасно ругается на правовой беспредел, кстати, в Твиттере же.
Это вообще известная проблема - такие жалобы массово автоматически генерируют боты, которые парсят контент соцсетей. Google как-то жаловался, что автоматических жалоб от ботов им приходит больше 99%. А потом соцсети по этим жалобам блокируют лишнее, потому что внимательно обработать столько вручную - просто нереально.
Это вообще известная проблема - такие жалобы массово автоматически генерируют боты, которые парсят контент соцсетей. Google как-то жаловался, что автоматических жалоб от ботов им приходит больше 99%. А потом соцсети по этим жалобам блокируют лишнее, потому что внимательно обработать столько вручную - просто нереально.
Twitter
Сервера российского VPN-провайдера DoubleVPN арестованы в результате международной полицейской операции. DoubleVPN предлагал клиентам цепочку из двух последовательных VPN-серверов, их очень хвалили на форумах в даркнете и ими часто пользовались киберпреступники для доступа к своей инфраструктуре. Сервис обещал, что логов не хранит, а теперь на заглушке на сайте написано, что какие-то логи и информация клиентов захвачены полицией. Либо имеются в виду разные логи, либо кто-то врет.
На тему доверия к VPN-провайдерам недавно очень точно писал гуру безопасности Брюс Шнайер: "Мы об этом нечасто говорим, но вообще использование VPN целиком основано на доверии. Потребители понятия не имеют, какой провайдер лучше защитит их приватность. Мы не знаем, какие законы о защите данных работают в Панаме или Сейшеллах [где часто зарегистрированы VPN-провайдеры]. Мы не знаем, какие страны могут оказывать незаконное давление на провайдеров, работающих в их юрисдикциях. Мы не знаем, кто фактически владеет этими сервисами и не знаем людей, которые обслуживают сервера. Наконец, мы не знаем, какие зарубежные компании NSA (АНБ США) взломал, чтобы потом использовать украденные у них данные для массовой слежки. Все, что мы можем, это попытаться правильно угадать."
На тему доверия к VPN-провайдерам недавно очень точно писал гуру безопасности Брюс Шнайер: "Мы об этом нечасто говорим, но вообще использование VPN целиком основано на доверии. Потребители понятия не имеют, какой провайдер лучше защитит их приватность. Мы не знаем, какие законы о защите данных работают в Панаме или Сейшеллах [где часто зарегистрированы VPN-провайдеры]. Мы не знаем, какие страны могут оказывать незаконное давление на провайдеров, работающих в их юрисдикциях. Мы не знаем, кто фактически владеет этими сервисами и не знаем людей, которые обслуживают сервера. Наконец, мы не знаем, какие зарубежные компании NSA (АНБ США) взломал, чтобы потом использовать украденные у них данные для массовой слежки. Все, что мы можем, это попытаться правильно угадать."
Команда бывших сотрудников Google вчера запустила новый поисковик, https://neeva.com/. Хотят брать с подписчиков $4.95 в месяц, не показывать рекламу в выдаче и бережно относиться к приватности пользователей. Сервис уже работает, нужна регистрация, кредитку привязывать не нужно и первые три месяца бесплатно. В условиях конфиденциальности Neeva описывает, что cобирает информацию о пользователях, делиться могут, историю поиска обещают хранить 90 дней.
В общем, с точки зрения приватности это лучше, чем Google, но сильно менее круто, чем публичные сервера Searx.
В общем, с точки зрения приватности это лучше, чем Google, но сильно менее круто, чем публичные сервера Searx.
Fast Company
Inside Neeva, the ad-free, privacy-first search engine from ex-Googlers
Sridhar Ramaswamy and Vivek Raghunathan helped turn Google into an ad giant. Now they’re starting over with a service whose only customers are its users.
Роскомнадзор разослал по ведомствам официальную просьбу написать им, если кому-нибудь для работы нужны сервисы Hola!VPN, ExpressVPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN, IPVanish VPN.
Такие запросы РКН в последнее время рассылает регулярно. Недавно по их просьбе Минобрнауки рассылал по подведомственным учреждениям подобный запрос и вроде еще какое-то министерство рассылало, но письмо не попало в паблик. В результате этой работы у РКН должен появиться список, каким клиентам нужны какие провайдеры VPN, и какие IP-адреса клиентов просят оставить им доступ. Но что они будут делать с этим списком? Не блокировать VPN для клиентов из белого списка? Раздать им аккаунты какого-нибудь хорошего разрешенного VPN-провайдера? Пока непонятно.
И еще большой вопрос, а как будут блокировать "плохие" VPN-ы?
Технически самое простое решение - блокировать сайты VPN-провайдеров, просить Apple и Google убрать приложения из маркетов, и надеяться, что провайдеры включат самоцензуру или что клиенты испугаются. Неэффективно, но просто.
Еще можно пытаться блокировать инфраструктуру конкретных провайдеров. Но это - сложная задача: VyprVPN пишет, что у них 300 000 адресов, и разобраться, какой адрес принадлежит какому VPN-провайдеру может быть сложно, если адресов много и если клиенты не обращаются к понятным доменным именам типа 111.badvpn.com. И если VPN-провайдеры захотят бодаться, они могут менять эти адреса.
Наконец, можно блокировать или замедлять сами протоколы VPN и оставлять доступ только по белому списку клиентов или к белому списку провайдеров. Какие-то средства обхода останутся, но в целом это самый радикальный вариант, при котором точно будут лишние пострадавшие в бизнесе.
А как еще можно блокировать VPN? Не давать оплачивать плохих провайдеров российскими картами? Ввести штрафы за использование?
И кстати, VyprVPN и OperaVPN так никто и не блокирует. OperaVPN после публикации пресс-релиза РКН включил неэффективную самоцензуру, а VyprVPN как работал, так и работает.
Такие запросы РКН в последнее время рассылает регулярно. Недавно по их просьбе Минобрнауки рассылал по подведомственным учреждениям подобный запрос и вроде еще какое-то министерство рассылало, но письмо не попало в паблик. В результате этой работы у РКН должен появиться список, каким клиентам нужны какие провайдеры VPN, и какие IP-адреса клиентов просят оставить им доступ. Но что они будут делать с этим списком? Не блокировать VPN для клиентов из белого списка? Раздать им аккаунты какого-нибудь хорошего разрешенного VPN-провайдера? Пока непонятно.
И еще большой вопрос, а как будут блокировать "плохие" VPN-ы?
Технически самое простое решение - блокировать сайты VPN-провайдеров, просить Apple и Google убрать приложения из маркетов, и надеяться, что провайдеры включат самоцензуру или что клиенты испугаются. Неэффективно, но просто.
Еще можно пытаться блокировать инфраструктуру конкретных провайдеров. Но это - сложная задача: VyprVPN пишет, что у них 300 000 адресов, и разобраться, какой адрес принадлежит какому VPN-провайдеру может быть сложно, если адресов много и если клиенты не обращаются к понятным доменным именам типа 111.badvpn.com. И если VPN-провайдеры захотят бодаться, они могут менять эти адреса.
Наконец, можно блокировать или замедлять сами протоколы VPN и оставлять доступ только по белому списку клиентов или к белому списку провайдеров. Какие-то средства обхода останутся, но в целом это самый радикальный вариант, при котором точно будут лишние пострадавшие в бизнесе.
А как еще можно блокировать VPN? Не давать оплачивать плохих провайдеров российскими картами? Ввести штрафы за использование?
И кстати, VyprVPN и OperaVPN так никто и не блокирует. OperaVPN после публикации пресс-релиза РКН включил неэффективную самоцензуру, а VyprVPN как работал, так и работает.
Google Pay научился показывать QR-коды вакцинации, пока собираются тестировать только в США. Обещают данные в облаке не хранить, третьим лицам не передавать и рекламу на их основе не показывать. QR можно использовать на нескольких устройствах, но поскольку в облаке данные не хранятся, на каждое устройство код нужно будет добавлять отдельно. Для показа QR в приложении пользователю нужно будет авторизоваться - ввести код доступа или биометрию.
Интересно, появится ли в результате какой-нибудь единый международный стандарт хранения, отображения и проверки QR-кодов вакцинации?
Интересно, появится ли в результате какой-нибудь единый международный стандарт хранения, отображения и проверки QR-кодов вакцинации?
9to5Google
Google Pay gains the ability to save and display COVID vaccination cards on Android
Google Pay is now capable of saving and displaying COVID-19 vaccination cards on Android, starting in the United States.
Позавчера представители Googlе выступали перед комиссией парламента Индии и отвечали на вопросы, связанные с новым индийским законодательством о регулировании интернета. В материале India Today об этом событии пишут две интересные вещи.
Во-первых, живые сотрудники Google могут слушать записи речи пользователей, сделанные голосовым помощником Google, если пользователи согласились участвовать в программе Voice & Audio Activity (VAA) во время настройки Google Ассистента на своем устройстве. Это в принципе не новость: в 2019 году Google объяснял, что живые люди отслушивают что-то около 0.2% таких записей, не хотите - не соглашайтесь участвовать в VAA. Во-вторых, представители Google признают, что иногда Android-смартфоны и другое оборудование может записывать своих владельцев при включенном голосовом помощнике даже без активации фразой OK Google. В условиях использования написано, что так случается, если голосовой помощник ошибся и решил, что его позвали, хотя пользователь сказал что-нибудь другое.
В общем, выходит, что сотрудники Google слушают пользователей. Редко, по ошибке, но бывает. Индийская парламентская комиссия собирается жаловаться в правительство на нарушение приватности. А сами пользователи могут проверить в аккаунте (https://myactivity.google.com/myactivity), сохраняются ли там записи их голоса, и отключить Google Ассистент в настройках своих устройств.
Во-первых, живые сотрудники Google могут слушать записи речи пользователей, сделанные голосовым помощником Google, если пользователи согласились участвовать в программе Voice & Audio Activity (VAA) во время настройки Google Ассистента на своем устройстве. Это в принципе не новость: в 2019 году Google объяснял, что живые люди отслушивают что-то около 0.2% таких записей, не хотите - не соглашайтесь участвовать в VAA. Во-вторых, представители Google признают, что иногда Android-смартфоны и другое оборудование может записывать своих владельцев при включенном голосовом помощнике даже без активации фразой OK Google. В условиях использования написано, что так случается, если голосовой помощник ошибся и решил, что его позвали, хотя пользователь сказал что-нибудь другое.
В общем, выходит, что сотрудники Google слушают пользователей. Редко, по ошибке, но бывает. Индийская парламентская комиссия собирается жаловаться в правительство на нарушение приватности. А сами пользователи могут проверить в аккаунте (https://myactivity.google.com/myactivity), сохраняются ли там записи их голоса, и отключить Google Ассистент в настройках своих устройств.
India Today
Google tells Parliament IT Panel that its employees listen to some Ok Google queries
Panel sources stated that Google admitted that its employees listen when users with Google Assistant on their phones and smart speakers.
Счетчик очереди на Госуслугах провисел минут 15 и его убрали. Счетчик работал полностью в браузере со стороны пользователя и, чтобы перейти на сайт, достаточно было поправить исходник страницы. Цитирую коммент: "Это [счетчик] тупо плашка с таймером, ее можно убрать в коде и тыкнуть на кнопку) просто выпилить class="hidden"
Хакеры украли базу 70 000 пользователей VPN-провайдера LimeVPN с паролями и платежной информацией, которую достали с плохо защищенного бэкап-сервера. Утечка совсем свежая, включает в себя июньские данные. Вместе с аккаунтами и платежной информацией украли приватные ключи, которыми можно расшифровывать VPN-трафик клиентов. Если посмотреть на скриншоты украденного, возникает сомнение, действительно ли LimeVPN не хранил никаких логов, как обещал.
Похоже, что обещание не хранить логи - это теперь такой же маркетинговый трюк, как "нулевое доверие". Все так говорят, а потом обнаруживается, что имелось в виду что-то не то, что мы думаем. VPN-провайдерам нужен независимый аудит с публичным детальным отчетом, какие данные клиентов, как и насколько долго хранятся. Или поднимайте собственные VPN-ы и не доверяйте. Например, проект Amnezia VPN, запущенный с нашей помощью, недавно выпустил очередную версию, рекомендуем.
Похоже, что обещание не хранить логи - это теперь такой же маркетинговый трюк, как "нулевое доверие". Все так говорят, а потом обнаруживается, что имелось в виду что-то не то, что мы думаем. VPN-провайдерам нужен независимый аудит с публичным детальным отчетом, какие данные клиентов, как и насколько долго хранятся. Или поднимайте собственные VPN-ы и не доверяйте. Например, проект Amnezia VPN, запущенный с нашей помощью, недавно выпустил очередную версию, рекомендуем.
Mashable пишет про очередной случай, когда американский полицейский громко включает защищенную авторскими правами музыку на телефоне, чтобы видео с ним "нельзя было выложить в Youtube", и прямо признается в этом на камеру.
Делать это советуют на форумах и Facebook-группах для американских правоохранителей. Снимать полицию при исполнении в США разрешено, но полицейские рассчитывают на то, что технология защиты авторских прав Youtube под названием Content ID не даст закачать ролик или автоматически удалит, посчитав его пиратским, а пользователь, который его закачал, получит предупреждение. В материале пишут, что способ реально иногда срабатывает.
Делать это советуют на форумах и Facebook-группах для американских правоохранителей. Снимать полицию при исполнении в США разрешено, но полицейские рассчитывают на то, что технология защиты авторских прав Youtube под названием Content ID не даст закачать ролик или автоматически удалит, посчитав его пиратским, а пользователь, который его закачал, получит предупреждение. В материале пишут, что способ реально иногда срабатывает.
Вчера китайский интернет-регулятор постановил заблокировать DiDi, популярный китайский аналог Uber, в китайских магазинах мобильных приложений. Сам сервис, у которого 377 миллионов активных пассажиров и водителей в Китае, продолжает работать, ограничение касается только новых установок и регистраций.
Ситуация с DiDi развивается быстро: в пятницу 2 июля против них начали расследование и запретили им регистрировать новых пользователей в приложении, а в воскресенье выкинули из каналов распространения до устранения нарушений. DiDi в ответ сам снял приложение из магазинов и выпустил заявление, в котором "искренне благодарит ... регулятора за инструкции, как устранить риски", и обещает все исправить.
DiDi наказывают по новому закону о защите персональной информации, который приняли в мае, до сих пор китайский регулятор только выписывал по нему предупреждения, а теперь перешел к блокированию установки. В законе явно указано, какие данные кому можно собирать. Например, вот что можно собирать сервисам такси:
• Номер телефона пользователя
• Адрес откуда, адрес куда, маршрут следования, геолокацию пассажира.
• Платежную информацию: время и сумму платежа, способ платежа.
Интересный принцип: законодательно ограничить, какой информации должно хватать для работы приложения, и запретить собирать все остальное.
Ситуация с DiDi развивается быстро: в пятницу 2 июля против них начали расследование и запретили им регистрировать новых пользователей в приложении, а в воскресенье выкинули из каналов распространения до устранения нарушений. DiDi в ответ сам снял приложение из магазинов и выпустил заявление, в котором "искренне благодарит ... регулятора за инструкции, как устранить риски", и обещает все исправить.
DiDi наказывают по новому закону о защите персональной информации, который приняли в мае, до сих пор китайский регулятор только выписывал по нему предупреждения, а теперь перешел к блокированию установки. В законе явно указано, какие данные кому можно собирать. Например, вот что можно собирать сервисам такси:
• Номер телефона пользователя
• Адрес откуда, адрес куда, маршрут следования, геолокацию пассажира.
• Платежную информацию: время и сумму платежа, способ платежа.
Интересный принцип: законодательно ограничить, какой информации должно хватать для работы приложения, и запретить собирать все остальное.
ProtonMail успешно прошел очередной аудит безопасности веб-приложения и выложил отчет с результатами. Отчет хороший, самая большая проблема, которую нашли их аудиторы, поляки Securitum.pl, это межсайтинговый скриптинг через встроенный во вложенное изображение Javascript. Если эта фраза вам ничего не говорит - проблема не самая страшная, поправить такое несложно.
ProtonMail ориентируется на целевую аудиторию пользователей, которые любят доказуемую безопасность и опенсорс. В этом смысле швейцарская компания очень правильно себя ведет - таким пользователям нужны:
• регулярный внешний аудит безопасности (есть),
• приложения с открытым исходным кодом (есть)
• и публичный отчет о прозрачности, где регистрируются запросы от государства на выдачу информации (есть).
Конечно, у пользователей может оставаться недоверие: вдруг, к примеру, ProtonMail записывает в отчет о прозрачности не все запросы или еще что-нибудь скрывает. Внешний аудит безопасности как раз решает проблему этого недоверия: аудиторы дорожат своей репутацией, и поэтому стараются найти побольше косяков. Чем больше они найдут, тем больше клиентов захотят их потом нанять.
ProtonMail ориентируется на целевую аудиторию пользователей, которые любят доказуемую безопасность и опенсорс. В этом смысле швейцарская компания очень правильно себя ведет - таким пользователям нужны:
• регулярный внешний аудит безопасности (есть),
• приложения с открытым исходным кодом (есть)
• и публичный отчет о прозрачности, где регистрируются запросы от государства на выдачу информации (есть).
Конечно, у пользователей может оставаться недоверие: вдруг, к примеру, ProtonMail записывает в отчет о прозрачности не все запросы или еще что-нибудь скрывает. Внешний аудит безопасности как раз решает проблему этого недоверия: аудиторы дорожат своей репутацией, и поэтому стараются найти побольше косяков. Чем больше они найдут, тем больше клиентов захотят их потом нанять.
Proton
Proton Mail: Get a private, secure, and encrypted email account | Proton
Proton Mail is the world’s largest secure email service with over 100 million users. Available on Web, iOS, Android, and desktop. Protected by Swiss privacy law.