Во Владимирской области ФСБ задержала сотрудника ПАО «Вымпелком-Коммуникации» (торговая марка «Билайн»), занимавшегося “мобильным пробивом” (подробнее про это явление тут) - копировавшего и продававшего данные абонентов связи. 👍

Сотрудник офиса продаж владимирского отделения компании копировал файлы на свой мобильный телефон и отправлял их знакомому. 🤦‍♂️🙈

Всего он продал конфиденциальные данные из базы три раза: в марте, мае и сентябре.

Обвиняемому предъявлены несколько эпизодов противоправной деятельности по ч.3 ст.272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации) и ч.2 ст.138 УК РФ (нарушение тайны телефонных переговоров и переписки с использованием служебного положения).

В декабре уголовное дело направлено в прокуратуру Владимирской области для утверждения обвинительного заключения и направления в суд.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: 👇

https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Четкое понимание формулировки «персональные данные» есть у 83% учащихся школ. При этом в прошлом году результат тестирования Роскомнадзора показал всего 43%.
50% школьников устанавливают настройки приватности для своих страниц.
https://iz.ru/958155/2019-12-25/v-roskomnadzore-uznali-otnoshenie-shkolnikov-k-poniatiiu-lichnye-dannye

Статья с Хабра про уязвимости в мобильном приложении «IngoMobile» страховой компании Ингосстрах, которые приводят к утечкам персональных данных (сканы паспортов, ПТС, водительские удостоверения, договора купли продажи и т.д.). 🔥

https://www.pvsm.ru/informatsionnaya-bezopasnost/341168

Накопилось много вопросов к новому закону об электронной подписи.
Сейчас квалифицированная электронная подпись должна использоваться в соответствии с ограничениями, указанными в сертификате ключа подписи, что не позволяет полностью запретить выпуск и использование электронной подписи. В результате сертификаты выпускаются на ничего не подозревающих об этом граждан.
Каким образом усиление требований к аккредитации удостоверяющих центров решит эти проблемы? Означает ли наличие у центра капитала в 100 млн рублей его нежелание увеличивать обороты, а обязанность хранить ключ электронной подписи — отсутствие возможностей использовать эти ключи сотрудниками центров, имеющими к ним доступ, в корыстных целях? Почему нельзя решить вопрос несанкционированного выпуска электронной подписи с самим лицом, уведомляя его о выпуске сертификата на его имя? Почему нельзя стандартизировать технологию выпуска сертификата и ключа к нему, предусматривающую множество качественных степеней защиты, включая каналы передачи данных? Что означает определение достоверности идентификации лица с использованием электронного сервиса, обеспечивающего электронное взаимодействие, кому будет принадлежать этот дополнительный цифровой слой?
https://regnum.ru/news/polit/2817987.html

Переход крупнейших банков в режим экосистем увеличивает нефинансовые риски, в том числе утечки данных, считает глава ЦБ. И думает, как это подрегулировать https://www.interfax.ru/business/689367

Самые крупные утечки данных за последние 10 лет http://win10pro.rbc.ru/article/11-utechek-2010-x

Представлен новый способ обхода двухфакторной аутентификации https://t.co/EIEqnkrz0j
— TAdviser (@TAdviser) December 26, 2019

Рынок данных раздирают противоречия. С одной стороны, государство, обладая данными, не дает бизнесу их использовать. С другой стороны, растет озабоченность граждан по поводу сохранности и легального использования информации о них. Бизнес, торгуя обезличенными данными, находится в серой зоне. Как их разрешить? https://iidx.ru/o-kompanii/novosti/idx-predstavila-pravitelstvu-moskvy-resheniya-po-legalizatsii-rynka-personalnykh-dannykh/

ФАС признала Headhunter (HH) нарушителем закона о защите конкуренции. Нарушение проявилось в блокировании сторонних сервисов подбора персонала, которые пользовались базой HH. «Хедхантер», ссылаясь на свои условия использования сервиса, начал блокировать работодателей, использующих сторонние сервисы по автоматизированному подбору персонала при работе с сервисом по поиску работы, и предлагать взамен собственный сервис со схожим функционалом, - говорится в решении ФАС. https://www.cnews.ru/news/top/2019-12-27_vlasti_zapretili_headhunter_narushat

Кардиолог из Университета Нью-Йорка 27 декабря подал иск в федеральный суд в Бруклине против корпорации Apple за нарушение авторских прав. По его мнению, в часах Apple Watch используется его запатентованный метод отслеживания сердцебиения

https://www.rbc.ru/rbcfreenews/5e0712e59a79474e211c499e

Cтранная история с утечкой данных с портала госуслуг. Вчера «Коммерсант» со со ссылкой на основателя компании DeviceLock Ашота Оганесяна соотющил, что в открытом доступе оказались персональные данные более 28 тысяч пользователей госуслуг в Ханты-Мансийском автономном округе, Можно было узнать их фамилии, СНИЛС, ИНН, номера телефонов и адреса электронной почты. https://www.kommersant.ru/doc/4213775?query=%D1%85%D0%B0%D0%BD%D1%82%D1%8B
«Коммерсант» писал, что данные пользователей могли находиться в открытом доступе более 20 дней, а закрыть утечку стали пытаться лишь 28 декабря.
Между тем, «Ростелеком» (оператор портала госуслуг и ЕСИА) не подтвердил информацию СМИ об утечке персональных данных пользователей единого портала госуслуг. В пресс-службе компании РБК сообщили, что инцидентов, связанных с единой системой идентификации и аутентификации, не выявлено.
https://www.rbc.ru/technology_and_media/29/12/2019/5e08c9979a79473f493668bc

Amazon подала заявку на регистрацию системы определения личности человека по его ладоням.
Сейчас сеть магазинов Amazon Go состоит из 24 пунктов продаж. Первый открылся в начале 2018 года в Сиэтле. Перед входом в магазин покупатель идентифицирует себя на турникете через сканер специального приложения. Дальше датчики и камеры следят, какие товары клиент снял с полок, и включают их в счет. На выходе из магазина платить не надо. Все товары записаны в учетной записи.

В заявке на патент сказано, что сканер будет определять личность покупателя как по внешним деталям на ладонях, так и по тканям под кожей: костям, венам, мышцам. Устройства разместят на входе или выходе из магазина.
https://ko.ru/news/amazon-reshil-zapatentovat-tekhnologiyu-identifikatsii-pokupateley-po-rukam/

⚔Рыцарь утечек

Вчера федеральные СМИ наперебой перепечатывали новость про утечку в Ростелекоме, которую впоследствии опровергли. За валом недовольных комментариев и хором экспертных мнений легко не заметить уши, которые торчат буквально из всех статей про утечки данных за последний год. И уши эти принадлежат основателю и техническому директору компании DeviceLock Ашоту Оганесяну, который чуть ли не каждую неделю оказывается первым, кто сообщает о найденных в сети данных пользователей.

DeviceLock — компания-лидер своего сегмента, она разрабатывает софт для предотвращения утечек с корпоративных компьютеров. По крайней мере, так написано на их сайте. Еще там написано, что в числе клиентов у него Сбербанк, METRO, ЮниКредит и даже Американский Минюст. Однако о такой солидной на первый взгляд компании нет никакой информации, только страница в русской «Википедии», да и она написана самим Оганесяном, что следует из истории правок, рассказал «Нецифровой экономике» партнер slovo.media Тимофей Ватолин. По его словам, статья была создана и редактировалась только людьми из компании, в том числе самим основателем. Исключение — украинский раздел, где её перевели в рамках конкурса.

Как говорит Ватолин, немецкая и французская статья удалены, так как не соответствовали правилам, а в английской версии Оганесян попался на массовой расстановке ссылок на сайт DeviceLock под видом источников, за что попал в черный список «Википедии» (то есть теперь нельзя ставить ссылки на сайт DeviceLock). В русской статье ситуация аналогичная — все источники формальные, а информации взята из головы сотрудников. Странно, что русскоязычная вики-статья не была удалена, но если она попадется кому-то из редакторов на глаза, то непременно исчезнет, подытоживает Ватолин.

В сети также нет никаких отзывов бывших сотрудников, зато практически во всех корпоративных аккаунтах в соц сетях стоит ссылка на Ашота Оганесяна. Он же выступает единственным экспертом от DeviceLock, который дает интервью и рассказывает об утечках. Как рассказывают наши прихожане, Оганесяном движет не альтруизм, а жажда контрактов. Перед заходом в СМИ, как рассказывают жертвы, после нахождения утечки Оганесян обычно приходит к компании, у которой данные утекли, и вымогает контракты на поставку своего софта, угрожая публикациями в СМИ. Так было, например, со Сбербанком в октябре, говорят прихожане. Тогда же «Известия» писали про возможный коммерческий интерес Оганесяна, по данным их источников в Альфа-банке, «Открытии» и Тинькофф-банке, сообщения об утечках появились в СМИ после того, как они отклонили предложение компании DeviceLock.

Ашот Оганесян заявил «Нецифровой экономике», что подобные заявления — «тупая ложь, не имеющая под собой никакого основания». По его словам, он всегда сообщает компаниям об утечках, а потом и иногда про них узнает пресса. При этом предложение заключить с ним договор он отрицает:

«Есть продукт, который свободно продается на рынке. И этот продукт реламируется и может так быть, что в какой-то банк приходило предложение рассмотреть продукт. И потом этот же банк допускал утечку, про которую я писал. Но между этими событиями нет и не может быть связи и более того, реальные такие случаи разнесены во времени более чем на год.»

Он также добавил, что информация подобного рода проплачена «обиженками», которые пытаются «нагадить» компании.

Всех с началом прекрасной двухдневной рабочей недели! Постараемся найти какие-то новости про ПД. А пока — свежая карикатура печально известных жуналистов Charlie Hebdo: Новая цензура, Новая дикатутра https://twitter.com/Charlie_Hebdo_/status/1214224009094676480?s=20

В конце 2019 года парламент принял закон, существенно модернизирующий нотариальную деятельность в соответствии с развитием современных технологий. В частности, Закон предусматривает возможность называемой биометрической идентификации человека в случаях, когда по различным причинам невозможно предоставить нотариусу документ, удостоверяющий личность, либо есть сомнения в подлинности предъявленного документа. В распоряжении нотариуса теперь будет база ЕБС. Увы, нотариусы там, скорее всего, никого не найдут. Ведь база ЕБм измеряется пока тысячами записей.
О других изменениях закона в "Известиях" https://iz.ru/959963/ivan-petrov/uznaiut-po-golosu-novyi-zakon-rasshiril-polnomochiia-notariusov

Китайский суд приговорил генетика Хэ Цзянькуя к трем годам лишения свободы и штрафу в размере 3 млн юаней за незаконное редактирование генома человеческого эмбриона.
Дело завели не сразу. Ведь о самом факте редактирования эмбриона Хе сообщил в ноябре 2018 года. Он сам рассказал об успешном появлении на свет первых двух младенцев с искусственно измененным геномом. У новорожденных девочек, отец которых был ВИЧ-положительным, по словам ученого, был иммунитет к ВИЧ.
Для проведения эксперимента была приглашена чета китайцев, собирающихся обзавестись ребенком, причем мужчина был ВИЧ-положительным. Женщина забеременела в результате процедуры ЭКО, после которой в оплодотворенную яйцеклетку был введен специальный фермент, который должен был разрезать ДНК в определенном месте и добавить на место разреза отредактированную копию нужного гена.
Однако ликование китайского ученого почти никто не разделил. После первого потрясения и шумихи, вызванной его заявлением, научное сообщество обрушилось на него с резкой критикой, начались проверки и расследования в отношении биофизика и его экспериментов. Выяснилось, что Хе и двое его коллег, также попавших за решетку, все делали в тайне и дезинформировали руководство и регуляторов. Проведенные в связи с этой историей учеными Калифорнийского университета в Беркли исследования показали, что двойная мутация гена CCR5 хотя и обеспечивает иммунитет от ВИЧ, но зато у ее носителей риск ранней смерти на 21% выше, чем у тех, у кого такой мутации нет.
https://www.kommersant.ru/doc/4214020

Главный продукт CES – это Privacy. Так назвал CNN свой репортаж с проходящего сейчас в США крупнейшего мирового форума цифровой индустрии CES.
Facebook обновил свою «Проверку конфиденциальности». Теперь пользователи могут посмотреть, как используются их данные и кто видит их профиль, а также получить советы по повышению безопасности аккаунта).
Google научил своего голосового помощника забывать услышанное, достаточно сказать: "Эй, Google, это было не для тебя". Или "Эй Google, сотри все что я сказал на этой неделе»
Amazon представил центр контроля конфиденциальности для Ring – дочерней компании, которая занимается безопасностью дома. Пользователи теперь решают, какие приложения могут получать доступ к подключенным к ним камерам, а также позволяет отказаться от обмена данными с полицией - но при этом не требует двухфакторной аутентификации и не запрещает третьим лицам получать доступ к данным.
Jane Horvath, старший вице-президент Apple по глобальной приватности (senior director of global privacy) провел круглый стол со своими собратьями по должности из других компаний, на котором попытался выяснить, чего же хочет пользователь. (via @Нецифровая экономика)
https://edition.cnn.com/2020/01/07/tech/privacy-ces-2020/index.html

Министерство обороны США рекомендовало военнослужащим удалить Китайский мессенджер TikTok как со служебных, так и личных устройств. http://d-russia.ru/amerikanskim-voennym-zapretili-ispolzovat-tiktok.html

С конца декабря «Билайн» бомбит пользователей смс-ками. Прийдите в офис и подтвердите свои паспортные данные! А то отключим связь! Причём ссылается на изменения в законе «О связи», которые вступили в силу 1 июля 2018 года! Аж полтора года назад! В офисах в новогодние праздники была толпа. Однако такие смс пришли не всем. И как показывает личный опыт и опрос знакомых, дело не только в неправильных или неполных паспортных данных. У кого-то они не полны, а угрожающие смс не пришли.
Что это было?
«Билайн» чистит базу , чтобы повысить качество обслуживания?
Чтобы дорого продавать накопленные ПД?
«Вымпелком» просто исполняет требования регуляторов?
Автоматизация проверки качества ПД позволила приступить к исполнению закона Яровой спустя 1,5 года после его утверждения?