Австралия такая Австралия

Новость дня (нетерпеливые читатели прислали мне примерно 100500 миллионов ссылок на эту тему) — поправка к закону 1997 года Telecommunications Act, принятая вчера парламентом Австралии в виде дополнительного законопроекта Telecommunications and Other Legislation Amendment (Assistance and Access) Bill 2018.

Согласно этому законопроекту, принятому в весьма сложных условиях, технологические компании должны предоставлять всевозможную помощь австралийским правоохранительным органам по запросу. Компании должны будут помогать расшифровывать сообщения (например, WhatsApp, Telegram или Signal), или даже внедрять код в свои приложения и сервисы для перехвата данных. От технологических компаний также могут потребовать разработки новых инструментов для обхода установленных методов безопасности или для взлома паролей, если возникнет такая необходимость. По сути, речь идет в том числе и о разработке бэкдоров в сервисах и устройствах, что может иметь очень далеко идущие последствия. С этим в свое время боролась Apple, сопротивляясь запросу ФБР о написании ПО для разблокировки защищенного паролем iPhone террориста. Штрафы за отказ от сотрудничества для организаций могут достигать до 10 млн австралийских долларов (7,3 млн долл США), а также тюремные сроки для физических лиц, отказывающихся передать данные, которые могут иметь отношение к незаконной деятельности.
Continue reading

Документы Facebook

Парламент Великобритании выложил в открытый доступ 250 страниц документов и внутренней переписки компании Facebook, которая была изъята у основателей стартапа Six4Three в рамках судебного разбирательства между стартапом и социальной сетью.

Вот ссылка на документ (PDF):
https://www.parliament.uk/documents/commons-committees/culture-media-and-sport/Note-by-Chair-and-selected-documents-ordered-from-Six4Three.pdf

Из этих документов можно узнать массу интересного о том, как Facebook использует пользовательские данные, их политику при работе с разработчиками приложений, и как они используют свое доминантное положение на рынке социальных сетей.

Документ разбит на несколько разделов:

White lists
О неких белых списках компаний, которые сохранили данные о пользователях и их друзьях после изменения политики Facebook в 2014-2015 годах касательно доступа к пользовательским данным

Value of friends data
О том, как Facebook оценивал доступ к пользовательским данным и данным о друзьях, и как это влияло на выручку, получаемую разработчиками приложений

Reciprocity
Об обмене данных о пользователях между разработчиками и Facebook после внедрения новой версии платформы социальной сети

Android
О том, как Facebook внедрял возможность получить доступ к информации о звонках и сообщениях пользователей на смартфонах с Android (осознавая, что это может быть проблемой с точки зрения PR), и как компания пыталась замаскировать этот факт — чтобы не показывать соответствующее уведомление при обновлении приложения (УДОБНО!). Эта информация впоследствии была использована для подсказок о “людях, которых вы можете знать”.

Onavo
Я писал несколько раз в канале об Onavo — VPN-клиенте, который купила Facebook, и предлагала пользователям сети установить на смартфоны (и как его выперла из App Store Apple). Из документа можно узнать, что Facebook это все делал намеренно, пытаясь еще больше узнать о своих пользователях, в том числе о том, какие приложения они используют и как часто — чтобы принимать решение о том, какие приложения копировать и каких разработчиков покупать.

Targeting competitor apps
Как Facebook реагировал на приложения, которые им не нравились, и как принимались решения о перекрытии кислорода (доступа к данным) таким приложениям.

Сплошная корпорация добра, скажу я вам, этот Facebook. Connecting the world требует этого всего, как я понимаю.

Вот, например, письмо Цукерберга, в котором он размышляет о продаже пользовательских денег за деньги:

Короче, там много такого. Впереди как раз выходные, можно будет усесться поудобней и почитать повнимательней весь документ. А сколько всего мы еще не знаем.

А потом человек, сидящий в Facebook, задает там вопрос:

Конечно, ему даже в голову не придет, что там не нужно микрофон слушать, чтобы и так о нем все знать.

Китайское наблюдение

Я уже как-то давал ссылку на статью о китайской системе наблюдения и распознавания лиц с последующим учетом поведения в некий социальный балл (t.me/alexmakus/2424). Теперь об этой системе и её вводе в строй уже в 2020 году в Пекине пишет Bloomberg (да-да, тот самый Bloomberg, который пока что продолжает отмалчиваться по поводу истории с китайскими чипами наблюдения в серверах Supermicro для Apple и Amazon).

Собственно, “Большой брат” в полный рост: наблюдение за всеми резидентами города, бонусы за хорошее поведение и усложнение жизни за плохое. Город будет покрыт системой видеонаблюдения, следящей за каждым шагом проживающих, и наказания за проступки могут быть самыми разными: от невозможности занимать госдолжности до запрета на продажи билетов на самолеты и поезда. Все системы наблюдения будут завязаны на единую базу, чтобы сформировать полную картину жизни граждан (сначала в Пекине, а потом и по всей стране).

https://www.bloomberg.com/news/articles/2018-11-21/beijing-to-judge-every-resident-based-on-behavior-by-end-of-2020

У меня только один вопрос: когда эти системы видеонаблюдения начнут устанавливать в домах жителей города и страны? Это логичный следующий шаг — для того, чтобы хорошо знать своих граждан, государство должно знать не только то, что происходит на улицах города, но и что происходит в домах. Потому что если человек отказывается от установки камеры дома, значит, ему есть что скрывать? Значит, он неблагонадежен? Может, он там в Покемонов по ночам играет?

рекламная крипота

DuckDuckGo тут напомнили, что можно заглянуть в рекламные настройки Facebook, чтобы увидеть список рекламодателей, которые загрузили вашу контактную информацию в ФБ для показа рекламы. То есть не просто таргетирование “белый мужчина такого-то возраста в таком-то городе с интересом к автомобилям”, а именно конкретно вашу информацию – имейл или номер телефона.

Settings > Ad preferences > Advertisers you’ve interacted with > Advertisers who uploaded a contact list with your info > See all

(Эту функциональность Facebook никогда и не скрывал — если вы оставляете свою информацию в какой-то компании, и она потом хочет показать вам рекламу, то она может загрузить свой контактный список в Фейсбук и показывать рекламу совершенно конкретным людям).

Но я решил ради интереса заглянуть в свой список, что там у меня, и увидел ТАКОЕ… Кликай скорей, чтобы узнать!
Continue reading

Пользовательские данные Apple

Пару недель назад я писал о том, что Apple обновила раздел “Конфиденциальность” на своем сайте, и в том числе рассказывал о запуске возможности загрузки данных, которые хранятся у компании о пользователе. Тогда эти данные были доступны только пользователям из Австралии, США, Новой Зеландии и Канады, но теперь их можно заказывать и пользователям из России.

Для этого вам нужно зайти на эту страницу, залогиниться со своим Apple ID, и выбрать опцию “Получение копии данных”. Там нужно отметить чекбоксы, чтобы получить соответствующие данные:


Continue reading

Выступление Тима Кука о конфиденциальности персональных данных

На фоне новостей о слежке за пользователями со стороны WiFi-провайдера в Москве, выступление Тима Кука в Брюсселе вчера смотрится особенно актуально. Выступая на конференции, посвященной конфиденциальности данных (Conference of Data Protection and Privacy Commissioners (ICDPPC)), Тим Кук в достаточно жестких выражениях озвучил то, что происходит сегодня с пользовательскими данными:

“Наша личная информация — от ежедневных событий до глубоко личной информации — используется в качестве оружия против нас с армейской эффективностью. Эти кусочки данных, каждый безвредный сам по себе, аккуратно собираются, синтезируются, обмениваются и продаются. В экстремальных кейсах этот процесс создает живучий цифровой профиль и позволяет компаниям узнавать вас лучше, чем вы знаете себя. Ваш профиль — это куча алгоритмов, которые выдают вам все более экстремальный контент, превращая наши безвредные предпочтения во вред”.

(сравните это с тем, что делает с вашими данными та же максима телеком в предыдущем посте)

Кук не указывал прямо на рекламно-технологических конкурентов вроде Google, Facebook и другие компании, занимающиеся сбором и обработкой пользовательских данных, но было совершенно очевидно, о ком он говорил. Кроме этого, в своем выступлении Тим Кук похвалил принятие и внедрение европейского законодательства по охране пользовательских данных General Data Protection Regulation (GDPR), и призвал американских законодателей на федеральном уровне принять подобный закон. GDPR принуждает компании, хранящие пользовательские данные, обеспечивать максимальную безопасность этим данным (а также обеспечивает право пользователей узнавать, какую информацию хранит компания о нем, и требовать удаления этой информации). Работает ли GDPR на самом деле — это другой вопрос: спама больше не стало, а кто и как там хранит мою информацию на самом деле узнать все еще не просто. (Зато удалось почитать политики конфиденциальности многих сервисов и сайтов и ужаснуться количеству всяких сторонних сервисов, с которыми эти сайты могут делиться теми или иными пользовательскими данными).

Дальше в Твиттере Тим Кук продублировал озвученные во время выступления четыре основных принципа защиты права на сохранность частной информации, которые во многом перекликаются с тем, о чем говорится в акте GDPR:
1. Компании должны либо применять усилия по деперсонализации пользовательских данных, либо не собирать эти данные вообще.
2. Пользователи должны знать, какая информация о них собирается и с какой целью.
3. Компании должны понимать, что данные принадлежат пользователям и должны обеспечивать возможность пользователям получить эту информацию, изменить или удалить.
4. У всех есть право на безопасность своих данных. Безопасность лежит в основе всех прав конфиденциальности данных.

Если есть время, посмотрите видео выступления целиком:

Можно любить или ненавидеть Apple, можно относиться к ней индифферентно, но Apple, по сути, практически единственная из крупных технологических компаний, которая занимает четкую позицию по отношению к конфиденциальным пользовательским данным и их безопасности, в том числе и в переговорах с правительствами разных стран. Да, иногда эта позиция бывает “гибкой” и ей приходится соответствовать законодательству этих стран (например, история с Китаем и VPN-клиентами в App Store, когда пришлось удалить несертифицированные правительством Китая приложения из магазина). Возможно, это счастливое совпадение, что позиция также хорошо вписывается в бизнес-модель Apple, когда нет необходимости эксплуатировать пользовательские данные для того, чтобы демонстрировать финансовую состоятельность.

Кто-то может называть это “маркетингом” (как будто это что-то плохое). Важно, что за маркетингом озвученной позиции и подобных выступлений есть масса различных действий Apple в разработке устройств и операционных систем, которые подтверждают, что все эти заявления и выступления — это не пустые слова, а реально позиция компании. Если это помогает Apple продавать больше iPhone — отлично, потому что в результате покупатели получают более безопасные устройства, обеспечивающие сохранность пользовательских данных.

Конфиденциальность Apple

И говоря о сборе данных (как в истории с GM, например). Вчера Apple существенно обновила страницу Конфиденциальность, как компания регулярно делает к выходу новых версий своих операционных систем. На этой странице пользователи могут узнать о тех шагах, которые предпринимает Apple для сохранения конфиденциальной информации своих пользователей и их данных от самой себя, от сторонних приложений и других интересующихся этой информацией. Тут же отражены и те изменения, которые Apple внесла в последние версии iOS и macOS, например улучшения Internet Tracking Prevention в браузере Safari для ограничения слежки за пользователями в интернете. Очень полезная страница для тех, кто верит в то, что Apple действительно считает себя ответственной за сохранность конфиденциальности пользовательских данных (тех, кто не верит и считает это все маркетингом, никакая страница, конечно, не убедит).
Continue reading

Сбор данных через автомобиль

Detroit Free Press рассказывает об эксперименте General Motors, которая на протяжении трех месяцев в 2017 году собирала данные по прослушиванию радио из автомобилей. Детали собираемых данных включали в себя выбор радиостанции, уровень громкости, почтовый индекс владельца.

Какие выводы из этого собирается делать GM и что будет делать с этими данными – пока непонятно, но ясно, что это может быть шагом к таргетированию рекламой водителей прямо в автомобиле. Представитель GM рассказывает, например, о том, что они обнаружили, что владельцы Cadillac Escalade и GMC Yukon (родственные большие внедорожники) будут, скорей всего, слушать разную музыку. А любитель музыки стиля кантри может чаще останавливаться в определенной сети ресторанов традиционной американской кухни. У GM есть приложение Marketplace в мультимедийной системе автомобилей для совершения покупок прямо в автомобилях, и собранная статистика от прослушивания радиостанций может помочь GM при работе с партнерами в этой системе.
Continue reading

Facebook такой Facebook

Я недавно писал про анонсированный Facebook “умный” гаджет для дома – Portal. Он должен обеспечивать видео-звонки с другими устройствами Portal и приложением на смартфонах, а также наличие умного помощника в доме. Во время анонса представители Facebook утверждали, что у Portal не будет рекламы, а данные, собранные Facebook о пользователях Portal (использование приложений, прослушивание музыки в Spotify, и тд) не будут использованы для таргетирования пользователей рекламой.

В итоге, это оказалось неправдой. То есть часть про “не будет рекламы” все еще пока что правда, а вот с данными как-то нехорошо получилось.
Continue reading

Sign-in в Google Chrome

Эта информация будет актуальна для пользователей браузера Google Chrome. Начиная с версии 69, если вы логинитесь в какой-то сайт Google со своим аккаунтом, то этот аккаунт также будет автоматически использован для логина в сам браузер Google Chrome. До этой версии подобный вход давал пользователю опцию отказаться от логина в сам браузер, отказываясь от функциональности по синхронизации закладок, истории и прочей, которая требует аккаунта пользователя. То есть можно было не логинясь в браузер, по-прежнему использовать, например, сервис GMail.

С 69 версии это поведение изменилось, так что однажды войдя своей учетной записью в какой-то сайт Google, вы будете автоматически залогинены этой учеткой и в браузер (автокорректировка исправила “залогинены” на “запоганены”, и что-то в этом есть). Это позволило некоторым пользователям в интернете тут же заявить, что таким скрытым образом Google сразу начинает получать закладки и историю пользователя, но это не так, синхронизация этих данных по-прежнему требует отдельного подтверждения со стороны пользователя. Правда, теперь, залогинившись в браузер, ваш логин будет использован не только для Gmail, но и для поиска в Google, так что что-то Google о вас все равно узнает. Объяснение, которое дает Google этому изменению, что это упрощает ситуацию с общими компьютерами, когда пользователь А мог быть залогинен в Gmail, а пользователь Б – в браузер. Звучит так себе.

Правда, это изменение вызывает другие вопросы. До этого браузер и контент в браузере были отдельными сущностями, что позволяло браузеру быть как бы нейтральным по отношению к сервисам Google. Теперь же это разделение уходит, и теперь Chrome становится неотделимой частью сервисов Google. Мириться или не мириться с этим — на ваше усмотрение.

Еще по ссылке много интересных мыслей по этому поводу:
https://blog.cryptographyengineering.com/2018/09/23/why-im-leaving-chrome/