...This is your first and only warning: Stock macOS now invades your privacy via the Internet when browing local files, taking actions that no reasonable person would expect to touch the network, with iCloud and all analytics turned off, no Apple apps launched (this happened in the Finder, via spacebar preview), and no Apple ID input. You have been notified of this new reality. You will receive no further warnings on the topic.
...

...
вчера в твиттер ворвался бывший разработчик LastPass и рассказал, почему последний взлом - это полная катастрофа. Оказывается, чем старше ваш аккаунт - тем легче взломать зашифрованный vault с паролями. LastPass годами постепенно повышал сложность шифрования (увеличивая количество проходов в PBKDF2-алгоритме), но... только для новых юзеров! Гениально, б**ь. Старые аккаунты не перекодировались, оставаясь на "простых" алгоритмах. А совсем старые юзеры вообще шифровались AES в ECB-режиме и это совсем фиаско. Чтобы перейти на "более лучшее" шифрование юзеру надо было самому лезть куда-то там в настройки и выбирать количество "PBKDF2-циклов" - серьезно?! Даже я аббревиатуру "PBKDF2" вижу примерно третий раз в жизни, чего уж говорить про мою, например, маму.
...

...
Россия находится на втором месте после Индонезии по числу купленных пользователями китайских смартфонов на ОС Android, умышленно зараженных вирусами на стадии производства.

Это данные из исследования Trend Micro. Оно показало, что на многих китайских смартфонах, проданных в нашей стране, с завода установлены зловреды, включая вирус, который позволяет третьим лицам удаленно подтверждать по СМС учетные данные при регистрации в разных сервисах.
...
По данным экспертов издания, в России насчитывается более 100 тыс. зараженных с завода устройств на Android — со специально модифицированной прошивкой или через поставки по серым схемам с установкой зловредов третьими лицами, которые являются цепочкой поставки смартфонов.

Trend Micro обозначило наиболее пострадавшие от вмешательства злоумышленников производителей и модели смартфонов. Это ZTE (Blade 3), MiOne (P1, R5, R3, Hero 5), Meizu (V8), Huawei (Mate 20 Pro, P9, P20 Pro, Honor (5X KIW-TL100 и другие).
...
Эксперты пояснили, что зловред позволяет использовать смартфон, например, для регистрации фейковых аккаунтов в сервисах каршеринга на реальные номера телефонов без информирования их владельцев. Представитель каршерингов пояснили, что внедрили системы защиты для подобных уязвимостей и последнее время это уже не стало актуально.

Trend Micro обнаружила Telegram-канал на 27 тыс. подписчиков, где все еще можно регистрировать фейковые аккаунты в сервисах каршеринга с помощью бэкдоров в смартфонах, правда без гарантии, что они будут работать.
...

...
В 2019 году мы рассказывали, что умные телевизоры Samsung, LG, Vizio и TCL ежесекундно снимают «отпечатки» экрана и отправляют на сервер. Это главная причина, почему телевизоры так подешевели в последнее время. Умный телевизор стоит дешевле, чем такой же ТВ без функции Smart TV. Производители нашли новый способ монетизации.

К сожалению, сейчас ситуация только ухудшилась: в 2021 году у некоторых производителей ТВ слежка за пользователями стала не дополнительным, а основным источником дохода.

Сегодня производители ТВ плотно вовлечены в индустрию контента, рекламы, маркетинга, дата-майнинга и торговли данными пользователей. По объёму собираемых данных эти платформы догоняют Google и Apple.
...
Раз в секунду телевизор снимает «отпечаток» экрана. Он выглядит как два десятка квадратных фрагментов пикселей, разбросанных по экрану, которые телевизор преобразует в строку чисел. Эту строку телевизор передаёт на сервер вместе с ID телевизора. Отпечаток сравнивается с базой известного контента, алгоритм работы как у аудиоприложения Shazam. В результате составляется посекундный журнал просмотра пользователем различного контента на ТВ. Готовые профили продаются десяткам клиентов.
...
Финансовая отчётность Vizio за II кв. 2021 года показывает удивительные цифры. Так, подразделение рекламы и профилирования пользователей (Platform+) за квартал получило прибыль $57,3 млн, в то время как подразделение по продаже техники (Device) заработало $25,6 млн.
...

...
Аналитики и операторы связи подсчитали, что больше половины корпоративных мобильных номеров могут быть отключены от услуг связи после 1 декабря из-за нарушения закона о серых сим-картах. В соответствии с ним корпоративные абоненты должны внести сведения о конечных пользователях сим-карт в единую систему идентификации и аутентификации (ЕСИА) портала «Госуслуги». Всего, по оценке аналитиков, в России около 32 млн корпоративных сим-карт. Больше других может пострадать малый и средний бизнес, который пока не осознает риски отключения, считают эксперты.
...
«Дело в том, что не все В2В-клиенты мобильных операторов зарегистрированы на "Госуслугах", к тому же далеко не все пользователи осознают, что оператор должен будет отключить их сим-карты, если они не внесут сведения»

Собеседник “Ъ” на телеком-рынке отметил, что есть ситуации, когда физическое лицо пользуется корпоративным тарифом много лет и не знает ничего о юрлице, которое его оформляло: «Тогда ему нужно зарегистрировать сим-карту самостоятельно, переоформив ее на себя».

Прежде всего незарегистрированными остаются корпоративные сим-карты среднего и малого бизнеса, говорит гендиректор Telecom Daily Денис Кусков. По его оценке, в России сейчас около 11 млн серых сим-карт. «Из них около половины числятся у операторов как корпоративные, остальные зарегистрированы на физлиц»,— полагает он.
...

...
немалое количество простых кнопочных телефонов, присутствующих в российских магазинах, содержат нежелательные недокументированные функции. Они могут совершать автоматическую отправку СМС-сообщений или выходить в интернет для передачи факта покупки и использования телефона (передавая IMEI телефона и IMSI SIM-карт). Встречаются модели со встроенным трояном, отправляющим платные СМС-сообщения на короткие номера, текст которого загружается с сервера, также бывают устройства с настоящим бэкдором, пересылающим входящие СМС-сообщения на сервер злоумышленников.
...
Вредоносную активность телефонов можно разделить на три категории:

1. Отправка СМС и выход в интернет для «отслеживания продаж»
Наиболее безобидная функция, не наносящая значительный материальный урон мобильному счёту. Устройство без ведома пользователя отправляет СМС (на обычный российский номер) или выходит в интернет, передавая IMEI-номер телефона и IMSI SIM-карты неустановленной организации или частному лицу.
Передача данных осуществляется либо один раз до сброса устройства в заводское состояние, либо после каждого извлечения аккумулятора.

2. Троян, отправляющий СМС на платные (короткие) номера, предварительно загрузив текст и номер с сервера через интернет
Функция, систематически списывающая средства со счёта мобильного номера. Помимо частого автоматического и скрытного выхода в интернет (что само по себе расходует деньги на не-пакетных тарифах), мобильное устройство отправляет отдельно тарифицируемые СМС-сообщения на короткие номера, перехватывает подтверждающую СМС и отправляет текст подтверждения в ответ.

3. Бэкдор, перехватывающий входящие СМС-сообщения и отправляющий их на сервер
Позволяет злоумышленникам использовать ваш номер телефона для регистраций на сервисах, требующих подтверждения через СМС. Телефон периодически выходит в интернет и получает команды с сервера, результат выполнения которых отправляется обратно на сервер.
...
Проверка детализации мобильного оператора — способ, доступный любому человеку. Достаточно вставить рабочую SIM в телефон, включить его и оставить лежать полные сутки, после чего запросить детализацию в виде файла через онлайн-кабинет мобильного оператора. Данный метод позволяет выявить факт выхода в интернет (без адресов хостов и передаваемого содержимого), факт отправки СМС-сообщения и номер получателя, точное время совершенных действий.
Детализация помогает легко понять, содержится ли в телефоне нежелательная функциональность, без подробностей.
...
Flip 3 российского OEM-поставщика F+ cообщает «о факте продажи» через СМС на номер +79584971255, отсылая IMEI и IMSI в теле сообщения.

Не содержит браузера, не выходит в интернет.
...
DEXP SD2810 от российского бренда сети магазинов DNS.
Опасный телефон, расходующий деньги мобильного счёта.

• Не содержит браузера, но подключается к GPRS
• Сообщает «о продаже» через интернет, без предупреждения
• Передаёт IMEI, IMSI
• Обращается к CnC в интернете и выполняет его команды
• Отправляет платные СМС на короткие номера с текстом, полученным с сервера
...
Модель SF63 от российского OEM-поставщика Irbis.
Опасный телефон, использующий номер вашего телефона в коммерческих целях, для регистрации сторонних лиц в интернет-сервисах.

• Не содержит браузера, но подключается к GPRS
• Сообщает «о продаже» через интернет, без предупреждения
• Передаёт зашифрованные данные на сервер
• Обращается к CnC в интернете и выполняет его команды
...

...
Tecno, как и Itel входящий в холдинг Transsion, был замечен за распространением malware на смартфонах: https://www.bbc.com/news/technology-53903436

Устройства Tecno также продавались в российской рознице. Но вообще, вирусы на смартфонах — классика
...
Встречал похожее в Fly и Tesla(уж не знаю, имеет ли отношение бренд к Илону Маску). Прошивка заводская, телефоны никогда не прошивались и не разблокировались загрузчики. Даже сторонние приложения не ставились. Через год или полтора после покупки с ними начиналась творится какая то дичь. Похоже срабатывал внутренний таймер и телефон начинал грузить кучу полноэкранной рекламы. Все установленные антивирусы находили кучу вирусов и удаляли их, кроме одного, который висел в прошивке и удалить его без рут прав было нельзя. Сброс, перепрошивка заводской не помогали, реклама начинала грузится почти сразу. Видимо привязана на дату.
Вопрос решился только установкой альтернативной прошивкой, а потом телефоны были заброшены на полочку ввиду малого размера ОЗУ и флеш памяти.
...
Лет пять назад купил жене дешёвый BQ тысячи за четыре. С первого взгляда был обычный телефон, но уже через три дня начали появляться левые игры пачками, засирали все меню запуска. Удаляешь - через полчаса снова появляются, да ещё и с новыми.

Сначала просто игнорировали. Потом ещё через пару дней начала лезть полноэкранная реклама при запуске любого приложения, даже системного. Будильник? Смотри рекламу. Погода? Реклама. Итд.

В общем, пользоваться стало нереально, сдали назад в DNS и вернули деньги, купили сяоми в пару раз дороже. Хоть и минимальная модель, но такой х*рни там не было.
...
Кстати про сяоми: там тоже куча рекламы, в некоторых приложениях она уже отключается только на 30 дней! Через 30 дней операцию нужно повторять.
...
Было такое дело с телефоном, модель которого даже не вспомню.

Он ходил в интернет, при этом в функциях этого не было и браузера в телефоне так же не было.

В итоге удалось в документации производителя раскопать, что телефон ходит в интернет для, внимание, синхронизации времени(!). Ни в каких характеристиках в интернет-магазинах про интернет не было ни слова (в том числе аббревиатур типа GPRS).

Пришлось через оператора запретить интернет вовсе, т.к. бабушке интернет ни в каком виде на кнопочной звонилке не был нужен.
...
Я после поездки за границу с удивлением узнал, что у МГТС при подключении к сети телефон отправляет небольшой служебный пакет, который выглядит, как обычное интернет-соединение. Не знаю, что это было, но я так понял, что это какая-то особенность протокола. Только вот некоторые особо жадные забугорные операторы при этом радостно включают этот пакет в биллинг, как будто вы сами в интернет ходили, а МГТС не менее радостно списывает с вас оплату за использование интернета в роуминге, когда интернет на телефоне отключен. При этом, судя по биллингу, некоторые операторы за границей отлично понимают, что никакой это не интернет, и подобной глупостью не занимаются, но, увы, не все.

Изюминка тут в том, что в МГТС у вас кредитная система оплаты с лимитом, и как только за счёт таких списаний вы уходите за этот лимит, телефон вам отключают, и даже пополнение счёта не позволяет включить его обратно. Мне ещё повезло, дата выставления счёта была примерно сразу после возвращения на родину, но в интернете видел отзыв, как люди неделю сидели без телефона.
...
Столкнулся с обратной ситуацией — телефон старый, брендовый и на 100% проверенный и надёжный — при подключении к нему некоторых новых симок начинается НЕСАНКЦИОНИРОВАНННАЯ активность ТИХИЕ (СКРЫТЫЕ) звонки и СМС на платные номера опсоса.

При обращении в техподдержку опсос делает покерфейс и заявляет, что это я сам (дурак) и (видимо в порыве пароксизма) звонил на платные номера. Что конечно не так, как минимум по двум причинам:

1. Я вообще никуда не звонил (не брал в руки телефон) за тестовый период

2. Я не знал эти номера, поэтому физически не мог на них звонить и посылать СМС

Отсюда вопрос: что это было и могут ли симки жить своей жизнью и использовать телефон для несанкционированных звонков и рассылки СМС?

Описываемый случай произошёл с Мегафоном. Они за 24 часа после покупки их симки слили со счёта 600 рублей на свои платные номера. Техподдержка заявила, что это я сам звонил на их платные номера и если меня что-то не устраивает, то я могу подать на них в суд.

На следующий день (официально) расторгнул договор и забыл о Мегафоне, как о страшном сне, но вопрос о несанкционированной активности симки остался открытым.
...
Да, могут. SIM-карта — это мини-компьютер со своей операционной системой и расширенными привилегиями, которая может обновляться сервисными СМС или через интернет. Она может сама инициировать отправку SMS-сообщений (что делает моя SIM Билайн, например, если определяет, что её вставили в другой телефон, не в тот, в котором она находилась в прошлый раз), совершать звонки (не уверен, что скрытые, но обычные — точно может), выходить в интернет (как просто инициировать открытие страниц на телефоне, так и обновлять свои апплеты через интернет).

Я находил в интернете жалобы на то, что SIM-карта отправляет СМС на свои сервисные бесплатные номера в роуминге, а в роуминге они принадлежат роуминговому оператору и тарифицируются отдельно:

https://cells.ru/forum/read.php?3,1535099,1535099#msg-1535099

https://zvonok.octo.net/number.aspx/0494

Также в картах встречаются уязвимости. Атака simjacker позволяет подделать сервисные СМС и отправить их самостоятельно: https://simjacker.com/

Про возможности карт рекомендую посмотреть видео от Funbox — компании, которая встраивает сервис СМС-подписок на кнопочные телефоны: https://www.youtube.com/watch?v=CumGQSX6_ws
...
Кроме СМС есть еще вредоносные звонки. Не так давно была волна звонков на номера спутникового оператора GlobalStar. Каждый вызов около 100 руб.

Бренды такие же - Fly, BQ, Dexp и прочий хлам
...

...
Исследования указывают на много других не менее странных способов деанонимизировать пользователя. Так как всё коррелирует со всем, любой мелочи может быть достаточно для деанонимизации пользователя:

* Мелкие погрешности в часах компьютера (даже через Tor)
* История браузера, а то и просто версия и набор плагинов. Это не считая случаев, когда баги Firefox, Google Docs или Facebook напрямую сливают личность пользователя.
* Атаки по времени, основанные на измерении времени загрузки. С их помощью можно даже узнать имя пользователя и число приватных фото.
* 42% пользователей XING были однозначно идентифицированы по набору групп, в которых они состоят. Тот же принцип может работать и в других соцсетях.
* Зная всего несколько фильмов, которые пользователь посмотрел на Netflix (неважно, популярных или малоизвестных), можно найти все остальные данные его профиля. Эта атака работает только для профилей, вошедших в анонимизированный датасет Netflix Prize, но она позволяет идентифицировать человека по невероятно малому количеству информации. Никто и не подозревал, что ваши предпочтения в аниме могут вас выдать, даже если не смотреть экзотические тайтлы.
* Те же авторы использовали поиск изоморфизмов между произвольными графами, скажем, социальными сетями безо всяких данных, кроме топологии графа друзей/групп (конкретно для соцсетей показано на паре Flickr/Twitter) для деанонимизации людей, вошедших в публичные анонимизированные датасеты. Поиск изоморфизмов между произвольными графами звучит как NP-трудная задача и вполне может ей являться, но на практике современные алгоритмы с ней неплохо справляются.
* Про имена пользователей и их переиспользование я вообще молчу.
* Кстати об анонимизированных данных, даты рождения, пола и места проживания вполне достаточно для кросс-корреляции между предположительно анонимизированными наборами медицинских или судебных данных и публичными списками избирателей. 97% зарегистрированных избирателей Кембриджа (Массачусетс) однозначно идентифицируются по дате и месту рождения (прим. пер.: имеется в виду не город рождения, а ZIP code, почтовый индекс), а 29% — по дате рождения и полу.
* Ритм использования клавиатуры пригоден для биометрии. Звук или видео печати не только идентифицируют человека, но и могут использоваться для кражи паролей.
* Зная путь от дома до работы с точностью до квартала, можно однозначно идентифицировать человека; 5% людей идентифицируются даже по пути с точностью до почтового индекса.
* В опознании по почерку нет ничего нового; а как вам опознание по тому, как человек заштриховывает поле в анкете? Точность не абсолютная, но в 51% случаев алгоритм угадывает человека, а в 75% называет его среди топ-3 кандидатов из примерно сотни.
* Кстати о письме, автоматическое определение автора по стилю текста — широко распространённая практика.
* Незаметный для человека шум в электрической проводке меняется со временем и позволяет датировать аудиозаписи. Подобные уникальные шумы могут использоваться для отслеживания людей или приборов, мониторинга активности в помещении и прочая и прочая.
* Каждый школьник знает про подслушивание с помощью лазерных микрофонов. А как насчёт подслушивания через видеозапись пачки чипсов или фантика от конфеты? Как насчёт подслушивания через гироскоп мобильника? Как насчёт использования жёсткого диска в качестве микрофона? С помощью лазера можно ещё и считать на растоянии сердечный ритм, а он уникален.
* Водителя можно опознать по стилю вождения, иногда даже за единственный разворот.
* Историю перемещений мобильного телефона можно отследить при отключенном GPS за счёт изменения часовых поясов, атмосферного давления, корреляции с публичными данными типа расписания поездов и прочих мелочей.
* Фотографии со смартфона позволяют идентифицировать конкретное устройство по мелким погрешностям сенсоров и линз. Фейсбук это даже запатентовал.
* Паттерн использования смартфона коррелирует с болезнью Альцгеймера и чертами личности.
* Голос коррелирует не только с возрастом и этнической принадлежностью, но и с внешностью.


Коротко говоря, дифференциальная приватность практически невозможна; почти любая активность выдаёт достаточно информации, чтобы опознать деятеля; и вообще приватность мертва.
...

...
Первым утечку обнаружил Боб Дьяченко из Comparitech. Он нашел 894 ГБ записей в незащищенном кластере Elasticsearch, который принадлежал UFO VPN. База включала пароли, токены сеансов VPN, IP-адреса пользовательских устройств и серверов VPN, к которым они подключались, временные метки подключения, информация о местоположении, характеристиках устройства и версиях ОС. Сервер впервые был проиндексирован поисковиком Shodan 27 июня.
...
Уже 5 июля команда Ноама Ротема из VPNmentor обнаружила аналогичные базы. Они принадлежат семи провайдерам VPN из Гонконга — UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN.

Эти провайдеры передавали данные в Интернет из незащищенного кластера Elasticsearch. Они включали записи посещенных веб-сайтов, журналы подключений, имена людей, адреса электронной почты и домашние адреса подписчиков, текстовые пароли, информацию о платежах в биткойнах и PayPal, сообщения в службу поддержки, спецификации устройств, и информацию об учетной записи.
...
посоветовали пользователям UFO VPN немедленно сменить свои пароли, а также сменить аналогичные пароли, которые могут использоваться в других учетных записях.
...

...
«Zoom занимается рекламой, причём в самом худшем её варианте: компания живёт за счёт собираемых личных данных пользователей. Но ещё более жутко то, что Zoom может собирать большое количество данных частного, интимного характера (например, беседа врача с пациентом), и ни один из участников беседы об этом не догадывается». И далее: «Если ваш браузер заботится о конфиденциальности (например, Brave, Firefox или Safari), он, скорее всего, будет блокировать и рекламные трекеры, однако в Zoom вы не сможете определить, собираются ли ваши личные данные и каким образом это происходит».
...
Крупная неприятность поджидает пользователей ОС Windows, коих в мире абсолютное большинство. Выяснилось, что Zoom преобразует в ссылки UNC-пути, то есть пути… к файлам в Windows. (https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/). Используя такие ссылки, по которым размещены изображения, аудиозаписи и другие медиафайлы, хакеру не составит никакого труда взломать хэши и получить доступ к учётным данным пользователей Zoom. В компании знают об этой уязвимости, однако пока никаких исправлений кода приложения не последовало.

Ранее ещё один удар под дых «Зум» получил от сайта новостных расследований The Intercept, где 31 марта появилась статья о том, что видео в Zoom не имеют должного шифрования и что сама компания может просматривать любые сеансы связи своих пользователей. А отсутствие сквозного шифрования приводит к тому, что в беседы могут вмешиваться посторонние: в 2020 году большую популярность приобрел так называемый «Zoombombing», когда чужаками «вскрывались» различные занятия и корпоративные видеоконференции с шутливой целью устроить «пранк» и превращали трансляции в хаос ( в том числе, и транслируя порнографический контент на всю аудиторию). Несложно догадаться, что подобные розыгрыши — это еще самое безобидное, что может произойти с пользователями в Zoom.
...
На днях американское издание Washington Post сообщило о тысячах бесед Zoom, попавших в открытый доступ, которые были опубликованы на площадках YouTube и Vimeo. (https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left-exposed-open-web/ и https://strana.ua/news/259315-skandal-s-prilozheniem-zoom-tysjachi-chastnykh-razhovorov-popali-v-set.html) Журналисты издания, отсмотревшие эти материалы, сообщили, что в ряде «слитых» в сеть бесед содержится конфиденциальная информация: имена, номера телефонов, служебные списки, финансовая отчётность частных компаний, а также личные данные детей, засветившиеся на онлайн уроках, которые сейчас массово проводятся по всему миру в связи с карантином. Во многих видео ведутся глубоко личные, интимные беседы и даже представлена обнажённая натура (таких как, например, проведение преподавателем обучения по эпиляции в одном из чатов).
...

...
Правительство Сингапура запретило школам использовать приложение для видеоконференций Zoom для проведения занятий с детьми после ряда хакерских атак, сообщает Guardian. Причиной запрета стало несанкционированное подключение злоумышленников к конференциям и демонстрация школьникам изображений порнографического характера. Во время другого инцидента хакеры стали приставать к школьницам и делать им непристойные предложения.

На основе двух этих атак правительство Сингапура приняло решение о полном запрете Zoom как инструмента школьных учителей, которым в условиях самоизоляции населения приходится проводить занятия онлайн. Вероятно, преподаватели перейдут на другие популярные альтернативы, например, Skype или Jitsi Meet.
...

...
Эти учётные данные собраны благодаря методу «credential stuffing» — вида кибер-атаки, в которой злоумышленники пытаются получить доступ к онлайн-сервису, используя украденные ранее учётные данные пользователей путём автоматического перебора регистрационных данных (логин/пароль). Прошедшие авторизацию пары «логин/пароль» формируются в списки, которые потом продаются другим хакерам.

Некоторые из учётных записей Zoom раздаются бесплатно на соответствующих форумах, чтобы хакеры могли использовать их для взлома, пранков и даже харассмента, количество которых настолько возросло в последнее время, что само это явление получило название «Зум-бомбинг» («Zoom-bombing»). Остальные продаются менее чем за один цент за одну запись.

По данным источника, компании занимающейся информационной безопасностью — Cyble, хакеры распространяют учётные данные даже бесплатно, чтобы заработать репутацию в своём сообществе.
...

...
А запущенные приложения – это вообще такая фишка, которая позволяет о человеке много чего сказать. Как понимаем, кто он? По контенту, который он потребляет. Мы можем по установленным приложениям понять всё, вплоть до сексуальной ориентации. Какие приложения установлены – это, соответственно, реальные интересы этого человека. То есть если у него установлена какая-нибудь «приложуха» для фрахтования самолётов частных – окей. Если установлен «Букинг» какой-нибудь, «Авиты», прочие приложения для продажи или есть очень много приложений для каких-то дешёвых покупок и скидок, кэшбеков – в общем, сами понимаете. Если вы сами сейчас посмотрите свои приложения…
...
То есть мы, опять же, в данном случае с фотографией извлекаем знания об этом человеке, а потом эти знания будем сравнивать с другими полученными фотографиями, то есть «машина эта – ваша или не ваша», то есть если вы её года за полтора публиковали минимум раз пять, был один и тот же номер, марка, цвет… Она при этом не была ни на «Авто.ру», «Дром.ру», нет её среди ваших друзей – тогда мы этот автомобиль присвоим к вам.

И.: – И поймёте мой примерный достаток?
А. Х.: – Да. Или потом, когда вы поедете по МКАДу и вас встретит такой большой «диджитал-суперсайд» (большой телевизор), на которых почти на всех стоит распознавание номеров автомобилей. Они за триста метров распознают номер вашего автомобиля, передадут нам, а мы скажем, какую рекламу вам показывать.
...
Сейчас самая живая история (не наша) – она связана с анализом «вай-фая». Во всех торговых центрах, когда человек приходит, подключается к «вай-фаю», соответственно, его mac-адрес отслеживается – мы можем понять, как человек перемещался. Это очень специфическая такая тёмная материя, потому что вроде поставщики оборудования ввели новые протоколы, которые мешают такому отслеживанию, а вроде как Apple не очень-то хорошо реализовал этот протокол, и всё равно можно эти mac-адреса реально получать – соответственно, отслеживать, как человек перемещался.
...
Алгоритм оценит месяц этой девушки либо по фотографии, либо скорее всего по… Беременные хоть раз делают текст типа «Ребята, мы на третьем месяце» или «Ждём чуда». Но то же самое можно сделать по фотографии.
И.: – По тексту или объёму живота можно определить месяц?
А. Х.: – Да-да. Да. Есть очень небольшая выборка медицинская, сделанная… Для чего это делается: мы определяем дату предполагаемых родов. Соответственно, мы будем знать, когда ребёнку будет полгода, восемь месяцев, год, два, три, пять…
И.: – И двадцать пять!
А. Х.: – Да-да. И в каждый из этих моментов маме будет предлагаться определённый материал: детская одежда, памперсы для двухлетних, для двухмесячных и так далее, и тому подобное. Но что самое главное, некий задел на будущее, мы уже будем знать дату рождения ребёнка. Сначала плюс-минус, но затем, если сделают уточняющую дополнительную публикацию – мы уже начали собирать данные об этом ребёнке. Он ещё не родился, а у нас уже появились на него некие знания.
...
Всё это ведёт к тому, что мы пытаемся пользователям объяснить: что бы вы ни делали, всё это попадёт в открытый доступ. Потому что сейчас люди не понимают, что то, что говорится в открытом доступе – оно действительно в открытом доступе, и ты это никак не сотрёшь оттуда, никак не избавишься.
...
И.: – Могу ли я вообще удалить что-то из интернета или это абсолютно?..
А. Х.: – Это практически невозможно, потому что необходимо будет общаться с каждым владельцем каждого ресурса. Есть так называемый закон о забвении, который вроде обязывает всех это делать, но юридически он распространяется только на поисковые системы. У нас лично есть форма на сайте для удаления данных о себе, но нельзя нам в дальнейшем запретить эти данные о людях собирать, потому что законодательство текущее не очень хорошо работает.
...

...
Похоже, методы фингерпринтинга уже вышли из разряда «тёмных практик» и открыто применяются крупнейшими рекламодателями и рекламными сетями. Защититься от такого сканирования системы помогает блокировщик рекламы.

В такой ситуации блокировка рекламы становится не просто удобной опцией, а обязательным требованием для нормальной работы в интернете. Это минимальное, но не достаточное требование для защиты от трекинга.
...

...
Итак, как я уже рассказывал, что в моём сне можно таргетировать людей по состоянию счёта и покупкам. Например, таргет: «есть дети 6 лет» может выглядеть как «вот по этому списку терминалов сетей делал частые покупки 5 лет назад». Таргет «живёт в этом районе и имеет больше 100 тысяч рублей на счету» — по точкам, где часто покупает, и если таких кластеров два — ближе к окраине.

Потом милый Гугл имеет встроенную фичу чтения верхних писем в почтовом ящике на gmail. Роботом, конечно. Он умеет выделять оттуда указанные ключевые слова и их формы (либо темы), совмещать их с профилем пользователя и показывать рекламу. По крайней мере, я слышал от одной бабки, это обкатывалось в бете, вошло ли в прод — не знаю. Можно настроить свои специальные цены на товары после рассылки конкурента (гы-гы), можно даже вычислять конкретных контрагентов и целиться в них. В общем, много интересных методов.

Что ещё? Ах да, сервисы рекомендаций на сайтах — массовая персонализация. Они встраиваются в сайт. И заранее могут знать, что вы обычно покупаете (например, по своим же базам, благо объединяют много сайтов) и какой у вас примерно профиль по железу, браузеру, географии и ещё куче факторов. По идее — помощь с товаром.
...
Теперь вай-фай. Вот тут в кейсе «Хлеба насущного» клиентам кафе вешали идентификатор в метро и потом догоняли их рекламой уже через рекламную сеть (не в метро и не в кафе, просто везде). Технологию предлагает куча компаний на рынке: можно поставить к себе роутер, который будет вешать идентификатор, который потом в публичной сети станет меткой ремаркетинга. Или прямо сотовым телефоном. То есть таки да, если вы пользуетесь открытыми сетями (это где нужен телефон для входа) — то вас можно узнать. Где есть их роутеры — там они видят, что вы бываете. Потому что при коннекте к известному SSID макушник не меняется. Коннект же доводить до стадии «раздаётся Wi-Fi» вовсе не обязательно, достаточно пары шагов дальше probe. Так продаются базы с крупных конференций.
...

...
Угу, всего пару лет назад продавались за довольно хорошие деньги телефоны людей, которые ходили по страницам сайтов недвижимости. Вы зашли на сайт, посмотрели, закрыли — через 5 минут перезванивают. Разгадок две: во-первых, если был общий трекинг-пиксель с другими сайтами, где вы выкладывали телефоны (интернет-магазины), либо если была эксплуатация бага, позволяющая получать номер телефона из пакета от сотового оператора (публиковалась такая бага).
...

...
Любопытный факт: активно продаются базы пользователей букмекеров-форексов-опционов, услуг экстрасенсов-гадалок-ворожей, покупателей БАД-ов, средств для похудания и повышения потенции. Целевые аудитории этих специфичных продуктов настолько кристаллизовались, что эти базы переходят из рук в руки, постоянно дополняются и поддерживаются в актуальном состоянии. Бизнес просто огромный по своему масштабу.
...

...
У операторов обычные сотрудники имеют доступ ко всем данным пользователя напрямую, кроме пароля, который можно получить тоже, но уже чуть сложнее. Всё довольно-таки регламентировано, база в облаке, машина админом анально огорожена. Стащить базу целиком очень трудно с машины обычного сотрудника, но можно понаделать всякого номеропробивательного. Обычно, действия сотрудников контролируются через запись экрана, но пишется экран не всегда, да и просматривает всё это 1,5 человека. Как таковой борьбы с сливом данных нет. Т.е. если поймают — накажут, но и всё. Есть ещё такой момент: сейчас у опсосов час работы обычного сотрудника стоит ~100р. Мб это причина почему данные стоят так мало в итоге. С банками ситуация весьма похожа, кстати. Инфа из личного опыта: устраивался на пару недель посмотреть что внутри в один из банков и в один из опсосов.
...
Работала у одного оператора, у нас далеко не все имели доступ к полным персональным данным, многие работали исключительно с деперсонализированными агрегированными данными (в части бизнес-пользователей). Записи экрана тоже не было, вроде как только текстовые логи.

А возможностей достать инфу, работая в подобной конторе, да, масса. Показательная порка сливателя была на моей памяти только один раз и то, не при мне, а раньше. Такая притча во языцах «чтоб неповадно было».
То что сливают обычные сотрудники с зарплатой 3 копейки вполне логично. Потому что у ИТ или тех же аналитиков достаточно высокие зарплаты, чтобы заниматься подобным рискованным бизнесом.
...
Регламентирован = защищен бумажками (ака процессами). По поводу того, что есть мало у кого, тоже хочется уточнить — а что понимать под мало? У сотрудников колл-центра, чья работа стоит реально копейки, есть. У сотрудников ритейла (аналогично), есть. У айтишников (многочисленных подразделений по тестированию все новых продуктов и фич, DBA, и т.п.) тоже есть. Правда последние вряд ли будут этим заниматься (ибо зарплата получше и терять есть чего).
...
На примере услуги «Вспышка» расскажу (определение места нахождения абонента моб.связи). Чтобы получить ответ на запрос от оператора (кстати, тоже через доверенного гос. провайдера (их несколько) менты то делают не не напрямую, все логируется более чем), нужно обоснование. Обоснование слепить — совершенно не проблема: сотрудник указывает в причине запроса, что по делу N поступили сведения о причастности абонента X к делу N, и очень срочно нужно выяснить, где он находится. Таким образом, любой сотрудник имеет обоснование на получение информации, которое вполне подходит для норм закона (например, «О Полиции»), и никаких претензий к нему не будет даже в случае служебного расследования. Бюрократия во всей красе.
...
Я, в свое время, успел поработать в банках и страховых москвы (причина смены работы — личные планы, тупая политика/курс т.д.).

Так вот, когда ты на должности, которая связана с работой с БД, работа на уровне таблиц и всего того порно, которое есть в базе, то у тебя в лучшем случае своя учетка, а в среднем — учетка на твой отдел, которая отличается от root учетки лишь тем, что ты не можешь случайно грохнуть определенные базы и добавить юзверов. В то же время у тебя есть и godmode доступ, вот с того вот "стикера на стене", если кодерам нужно добавить юзвера в свежую базу.

Так вот — что в банках, что в страховых, когда ты работаешь напрямую с данными — ты видишь все. Нету скрытой от тебя информации. Ты видишь об объекте все от 0 до F.

Если кто-то захочет поставить триггер, словить тебя на нехороших действиях — этот запрос пойдет через твой отдел + ты увидишь изменения, если кто-то их и сделал. Так же не забываем, что это Россия, где, в дружном коллективе, никто не может нормально держать язык за зубами.

Вот и все. Любой сотрудник, имеющий по тем или иным причинам прямой доступ в базу может безнаказанно и непойманно выдавать данные о ком и чем угодно.
...
Это только в сказке бывает. Когда в субботу в 6 утра спокойного сна у вас звонок, и тетки кричат, что нету 33 миллиардов, то сие правится ручками, как и сотни косяков каждый день. Не в плане, что любой мог попросить меня что-то исправить, я мог исправить что угодно что просили или я захотел, но попросить могли только опреденные люди. Это из первой десятки банк.

Заявки и ЭЦП очень круто, первые еще можно переварить, а ЭЦП… вы видели какое железо и ОС в парках компании? Какие методы они используют для ограничения доступа к периферии, и как сие глючит, если надо дать исключение?

Можно томик ужасов написать.

Так же волокита ужасно замедляет работу. ЭЦП сел и подписал? Для начала надо быть у компа, или заму быть у компа. Если там цепочка — пошло поехало. Добавляем глюки, которые рандомно бывают. И все. В банках, по крайнем мере ранее, отчетность была до обеда и после (о ошибки вскрываются именно перед закрытием, иногда после, тут больше кунгфу делать). А если тупить — тебя (банк) штрафуют. То бишь там закрывали день в полдень и открывали следом. И операции из первой половинки дня никак нельзя было закрыть во второй половинке.

В страховых все проще и спокойнее. Там не рилтайм, но иногда есть факапы, что очень крупный клиент (автосалон или армия) хотят получить договор, которые забили с косяками, как выясняется позже, или от руки сделали и перебили криво… В итоге ничего с ним не сделать, кроме ручной правки.
...

...
В документе отмечается, что владельцы интернет-ресурсов должны будут заключать с посетителями письменные соглашения с использованием идентификации на портале «электронного правительства» либо посредством sms-идентификации. На телефон пользователя при этом поступит текстовое сообщение с одноразовым паролем для заключения соглашения.

Размещать комментарии можно будет как под своим реальным именем, так и под ником. Персональные данные будут обезличиваться на основании правил, которые определяются соглашением.

Стоит отметить, что владельцы сайтов будут должны хранить информацию, которая используется при заключении соглашения весь период его действия, плюс в течение трех месяцев после расторжения.

Законопроект принят в рамках концепции развития информационной экосистемы Казахстана. Согласно ей, в стране до конца 2018 года планируется внедрить автоматизированную систему контроля информации.
...

Правительство КНР хочет обязать национальных интернет-провайдеров блокировать доступ частных лиц к VPN с 1 февраля 2018 года, сообщает анонимный источник, знакомый с ситуацией.

По его словам, указания уже получили государственные China Mobile, China Unicom и China Telecom — крупнейшие коммуникационные компании страны.
...

...
Не смотря на то, что это Блумберг и анонимный источник, я таки склонен доверять ему. Техническая возможность блокировать протоколы VPN у Китая уже есть, вот тут интересная статья на тему предполагаемого машинного обучения великого файервола.

Осталось сделать ещё пару шажков: 1. Заставить юридических лиц подключаться к Большому Интернету официально через провайдера, а не покупкой всяких частных VPN-сервисов, 2. Заблокировать все крупные VPN-сервисы и включить распознавание vpn-трафика на полную катушку.

Простым китайцам будет пофиг, китайским компаниям придётся повозиться, иностранным компаниям в Китае будет тяжко, иностранцам в Китае (тем, кто поддерживает связь с заграницей) будет очень плохо. Но китайцам пофиг.
...
А вот теперь самая ответственная часть марлезонского балета: то что шифрованное и распознается — оно легальное. Распознаём, и решаем блокировать или нет. И можно блокнуть всё, что не распознаётся/не расшифровывается. Типа оно не легальное. Или выходи на свет, получай VPN у провайдера и т.д. Или ты опасен, за тобой уже выехали. По-моему так проще. Останется только стенография и подобное.
...
Проскроллил эксперименты на VPS, по моему человек не все способы исчерпал, но у них фаер рубит все шифрованные соединения, плюс есть connection probe и ещё куча живых китайцев, которые руками смотрят айпишники. Золотой щит все прочнее.
...
Если вы будете гонять большое количество трафика через SSH, GFW снизит скорость соединения до нескольких десятков килобит на этот IP.
...

...
✓ Право на анонимный сёрфинг (поиск информации в сети) и анонимную отправку личных сообщений (e-mail, мессенджеры)

Пользователи должны иметь право на анонимный поиск информации в интернете, в том числе скрывать свои IP-адреса и отправлять сообщения анонимно. Осенью 2016 года Европейский суд справедливости (European Court of Justice) рассмотрел запрос немецкого Федерального Суда, связанного с иском представителя немецкой Пиратской партии к федеральному правительству. Жалоба была подана немецким гражданином в отношении хранения на правительственных сайтах динамических IP адресов после того, как пользователь покидает сайт. Европейский суд в своем решении признал динамический адреса (как и ранее статические адреса) персональными данными и указал, что операторы не имеют права сохранять динамические IP-адреса, кроме как для защиты от кибератак.

✓ Право на анонимный постинг (публикации информации в интернете, в т.ч. в социальных сетях)

В связи с появлением онлайн-цензуры, сбора и прослушки данных рядовых пользователей с дальнейшим их преследованием, пользователи интернета должны иметь право пользоваться технологиями по предоставлению анонимного доступа к сети и анонимному размещению материалов (посты, комментарии и другое) в интернете. Это позволяет реализовать права гражданина на свободу мнения и его выражения в цифровую эпоху. Такого мнения придерживается Совет по правам человека ООН, утвердивший доклад, посвященный проблеме анонимности пользователей в сети.

✓ Право на анонимные платежи (включая использование криптовалют)

Общепринято, что благотворительность должна быть анонимной. Благотворитель может иметь разные причины сохранять свою анонимность: желание не раскрывать своё финансовое состояние, нежелание возникновения персонифицированного чувства благодарности и т. д.
...

...
Наиболее активным «сборщиком» данных в новой ОС является голосовой помощник Cortana.
...
При этом, исследователь заметил, что информация отправляется на серверы один раз в 15 минут (примерно по 80 мегабайт).
...
Если запретить коммуникацию с серверами из списка выше через файл hosts, то в дальнейшем программа будет выдавать ошибки.

Кроме того, некоторые пользователи уже успели пожаловаться на то, что Cortana продолжает работать в фоновом режиме, даже если ее отключить в настройках.

Кроме того, как выяснили журналисты издания Ars Technica, если пользователь отключит функцию поиска в интернете из меню «Пуск», осуществление такого поиска все равно приведет к отправке запроса на сервер Bing, который вернет файл threshold.appcache, в котором также содержится некая информация Cortana, включая ID-устройства, который сохраняется при перезагрузке.

В настоящий момент виртуальный помощник понимает только английский язык,
...
Также ОС отслеживает поисковые запросы пользователя, анализирует почтовую переписку, чтобы узнать предпочтения и расписание владельца компьютера. Кроме того, данные также передаются и поисковому движку Bing.
...
При этом используется не только информация, введенная непоследственно в браузере, но и, к примеру, взятая из чатов — Windows 10 может «перехватывать» ввод любого установленного приложения. Таким образом, если пользователь в разговоре в мессенджере упомянет о том, что собирается в отпуск, после в браузере Edge ему будет показываться соответствующая реклама. Поскольку перехватывается ввод с клавиатуры, то даже при общении через защищенные мессенджеры, ОС может видеть, что вводит пользователь (но не видит, что ему прислали в ответ).
...

Windows 10 («Windows») представляет собой персонализированную компьютеризированную среду, которая обеспечивает единый доступ к службам роуминга и доступа, настройкам и содержимому во всех ваших вычислительных устройствах: от телефонов к планшетам и вплоть до моноблочных компьютеров Surface Hub. Ключевые компоненты Windows не находятся постоянно на вашем устройстве в качестве статичного программного обеспечения, а представляют собой элементы облачных технологий: при этом как облачные, так и локальные элементы Windows регулярно обновляются, предоставляя вам последние улучшения и функции. Для создания вам наиболее благоприятных условий пользования компьютерной техникой, мы собираем данные о вас, об устройстве и о том, как вы используете систему Windows. Поскольку Windows является вашей персональной системой, вы можете сами выбирать, какие ваши личные данные мы будем собирать, и как мы их будем использовать.

Как так? Я же помню, что точно отключал CEIP. Проверяю — «C:windowssystem32rundll32.exe» werconcpl.dll,ShowCEIPDialog (если честно, то на самом деле я не настолько извращенец и просто делаю поиск по слову «CEIP» в Пуске/Старте):
...
Всё нормально, но отправка тем не менее включена.
...
Ответ пока можно свести к «К сожалению нельзя полностью исключить и то, что Microsoft, пользуясь своим исключительным Правом распоряжаться своим программным продуктом так, как считает нужным, могла включить программу CEIP принудительно.» Моё замечание о недоступности страницы с описанием CEIP связано с тем, что эта страница, по какой-то мне неизвестной причине, была недоступна в течении нескольких часов (на момент завершения написания этой заметки, она снова доступна).

Причина включения заданий осталась мне также неизвестна.

В заключение: я для себя сделал вывод, что Microsoft вполне может нарушать собственные соглашения и, в том числе, отправлять данные с видеокамеры (при наличии желания и технической возможности). Увы, но «партия параноиков» в чем-то права.

На этой неделе стало известно, что Microsoft Windows версий 7 и 8 закачивают на компьютеры пользователей обновление до Windows 10, даже если они этого не просили. Компания подтвердила, что это поведение системы было преднамеренным. Подробнее об этих событиях и о том, как найти и удалить нежелательные обновления, мы расскажем вам без регистрации и смс.

Как выяснили пытливые пользователи системы, подобный казус может случиться с теми пользователями, кто включил автоматическое обновление системы. В компании Microsoft посчитали, что такого повода достаточно для того, чтобы автоматически скачать обновление целой операционки объёмом до 6 Гб и обновить систему пользователя.
...
Если вы относитесь к числу тех, кто решил подождать с обновлением, вам необходимо удалить из системы через «Установку и удаление программ» в «Панели управления» обновление системы за номером KB3035583. Также, если вы уже оказались в числе тех, кто скачал обновления без своего ведома, можно освободить место на накопителе, удалив в каталоге «Windows» скрытый каталог "$Windows.~BT". Затем необходимо отключить автоматическое обновление системы, и, выбрав доступные вам обновления, запретить установку указанного.

...
Попутно обстоятельства сложились таким образом, что в тот же самый период лета-осени 2010-го Мокси Марлинспайка вдруг начали сперва прижимать, а затем и вполне конкретно прессовать американские власти. Причем далеко не сразу стало понятно, в чем именно причина претензий к «хакеру в законе» со стороны компетентных органов, и чего, собственно, они от Мокси хотят. Внешне все это выглядело так, что поначалу у человека появились ощутимые проблемы при авиаперелетах на внутренних линиях США. Однажды Мокси обнаружил, что больше не может при онлайновой регистрации распечатать свой посадочный талон. Когда же в аэропорте он попытался зарегистрироваться на рейс через киоск самообслуживания, то оформление его проездных документов система вообще заблокировала.

И блокировку эту удерживали до тех пор, пока представитель авиакомпании не сделал специальный звонок в некие «надлежащие инстанции» – чтобы там дали разрешение на данный его перелет. Одновременно стало известно, что для TSA, службы транспортной безопасности, Марлинспайк теперь является объектом особо пристального «дополнительного досмотра» – после прохождения процедуры, обычной для всех пассажиров.
...