Правы ли индийцы? Как TikTok шпионит за пользователями

Как вы помните, вчера индийское правительство решило заблокировать в стране 59 китайских приложений, включая TikTok. Все это происходит на фоне военного конфликта Индии и Китая и, соответственно, мощного роста антикитайских настроений в Индии. Тем не менее, претензии к вольному обращению с данными и к прочим проблемам безопасности китайских приложений, кажется, небезосновательны. Давайте разберем их на примере TikTok.

Недавно вышло сразу несколько расследований о «дырах» в TikTok. Главный вывод такой: приложение больше похоже на «сервис по сбору персональных данных, замаскированный под соцсеть».

Что не так в TikTok:

✔️Скрытая функция в TikTok «читает» буфер обмена, в который пользователь копирует информацию. Это было обнаружено на устройствах iOS. TikTok это признал и пообещал отключить.
✔️TikTok собирает информацию об установленных на смартфоне человека приложениях. И даже о том, какие из них он удалил после установки TikTok. Такую же инфомацию когда-то собирала Facebook, но перестала после громкого скандала.
✔️TikTok собирает ВСЕ данные устройства, на которое установлено: тип процессора, идентификаторы, размеры экрана и памяти.
✔️А также данные о GPS.
✔️И о сетях пользователя – IP-адресе, Mac-адресе, точках доступа Wi-Fi, о наличии у пользователя прав администратора и т.п.
✔️Интересно, что команды на сбор данных могут настраиваться удалённо.

TikTok уже пообещал разобраться с «дырами» и сообщил, что данные пользователей из Индии не передаются китайскому правительству. Напомню, что похожая проблема была у TikTok в США, где ему тоже пришлось доказывать, что данные американцев не уходят в Китай. Тем не менее, в Штатах до сих пор идет расследование, не вредит ли Тикток нац безопасности. Все это происходит на фоне торговой войны между США и Китаем и планов Америки сделать Индию главной фабрикой товаров вместо Поднебесной.

Глава ДИТ Москвы снова рассказывает о прелестях «Социального мониторинга». Ничего нового... https://vedomosti.ru/politics/characters/2020/07/05/833986-ne-sledyat-za-zhitelyami

Политики Владимир Милов и Алена Попова обжаловали в ЕСПЧ применение технологии распознавания лиц на митинге 29 сентября. Это первая подобная жалоба не только в отношении России, но и в практике ЕСПЧ вообще.
https://www.rbc.ru/politics/06/07/2020/5efde4e69a79472b5e07ef32

Глава СПЧ Валерий Фадеев снова критикует «Социальный мониторинг». «Система «Соцмониторинг» (приложение, разработанное правительством Москвы для отслеживания местонахождения больных COVID-19.— “Ъ”) — абсолютно недоработанная. Даже если мы говорим об 1% сбоев, который, по мнению технарей (разработчиков приложения.— “Ъ”), незначителен, этого уже достаточно для отмены всех штрафов, которые люди, не нарушившие ничего, получили. Если бы 1% сбоев был в ракетных силах, все давно погибли бы в ядерной войне. Сейчас оштрафованные москвичи подают в суд, который почти всегда отказывает в аннулировании штрафа,— видимо, аргументы региональной власти более убедительны. Я настаиваю на отмене штрафов, но мое предложение не принимается.»https://www.kommersant.ru/doc/4407142

Система для отслеживания контактов зараженных коронавирусом, разработанная Минкомсвязью, не предполагает обработку персональных данных, заверяют в министерстве. https://ria.ru/20200707/1574005891.html

В США хотят запретить китайскую соцсеть Tiktok. В Вашингтоне опасаются, что данными американских пользователей приложения могут воспользоваться власти КНР
https://www.rbc.ru/politics/07/07/2020/5f0408279a7947510af24f85

Правоохранители хотят получать доступ к переписке граждан без судебного решения

Власти фактически выложили в открытый доступ персональные данные всех интернет-избирателей.
В голосовании по поправкам участвовали тысячи недействительных паспортов https://meduza.io/feature/2020/07/09/vlasti-fakticheski-vylozhili-v-otkrytyy-dostup-personalnye-dannye-vseh-internet-izbirateley

Сбербанк запустил платежную систему SberPay. Разработчики утверждают, что со SberPay можно «не бояться кражи персональных данных — больше не нужно вводить данные карты на сайтах интернет-магазинов и платежных сервисов, они остаются в защищенной системе Сбербанка». Утечки данных из Сбербанка почему-то не рассматриваются)) https://plusworld.ru/daily/platezhnyj-biznes/sberbank-anonsiroval-zapusk-sberpay/

Мэрия Москвы отрицает, что сведения о голосовавших в интернете оказались в открытом доступе https://echo.msk.ru/news/2673657-echo.html

В ОНФ попытались придумать, как защитит народ от мошенничества с банковскими картами, например, ввести блокировку смс с пин-кодами, которые присылают Банки. В ОНФ отмечают, что в стране огромное количество граждан, не имеющих достаточного уровня знаний в сфере защиты персональных данных, использования новых технологий, противодействии мошенничеству. https://www.kommersant.ru/doc/4235987

В Белгородской области (г. Губкин) за передачу информации третьим лицам осуждена 25-летняя руководитель офиса обслуживания и продаж одного из операторов сотовой связи.

В апреле 2019 года девушка использовала свои служебные логин и пароль, чтобы сделать детализацию телефонных звонков одного из абонентов (мужчина 1970 г.р., проживающий в другом регионе), а затем передала эти сведения посторонним лицам за 900 рублей. 🤦🏻‍♂️

Предложение о покупке услуг “пробива” она увидела в интернете. Про вербовку сотрудников сотовых операторов и банков мы писали тут: https://news.1rj.ru/str/dataleak/1413

За нарушение тайны телефонных переговоров, совершённое с использованием своего служебного положения, в отношении девушки было возбуждено уголовное дело по ч. 2 ст. 138 УК РФ. Так как она ранее никогда не привлекалась к уголовной ответственности и совершила преступление небольшой тяжести, следствие ходатайствовало о прекращении уголовного дела. Суд назначил обвиняемой судебный штраф в размере 30 тыс. рублей.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в новом отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

Интересно, Минкомсвязь считает, что хэширование не позволяет идентифицировать гражданина https://t.co/UUe1smd1zT, хотя раньше @roscomnadzor утверждал, что это не так https://t.co/UhSHMVjFyr Что поменялось, хэши или данные?
— Russian cryptography (@CryptographyRU) July 11, 2020

В Аналитическом центре при правительстве РФ обсудили оборот персональных данных.
Некоторые тезисы:
—качественная аналитика, монетизация и остальные действия будут доступны только после того, как повторное использование данных государственного сектора в коммерческих или некоммерческих целях будет доступно физическими и юридическими лицам;
и частный, и государственный сектор должны во взаимодействии обогащать систему за счет собственных накопленных данных, но для этого необходимы определенные требования к обороту данных;
— отсутствие понимания среди участников оборота данных относительно наличия государственных данных у тех или иных держателей, а также возможностей распоряжаться ими тормозит развитие цифровой экономики
https://ac.gov.ru/news/page/eksperty-obsudili-mezdunarodnuu-praktiku-pravovogo-regulirovania-gosdannyh-26660

МВД потратит 245 млн руб. на разработку к концу 2022 года базы данных ИБД-Ф 2.0 для автоматизации работы полицейских. Там будет огромное количество персональных данных.
Согласно конкурсной документации, ИБД-Ф 2.0 должна будет
⭕️автоматически получать информацию о проживающих в гостиницах,
⭕️аккумулировать данные о преступниках и нарушителях,
⭕️собирать сведения об аккредитации дипломатов и членов их семей,
⭕️вести реестр задержанных и подозреваемых,
⭕️собирать информацию о совершивших преступления иностранцах,
⭕️учитывать похищенные вещи, транспорт, антиквариат,
⭕️утраченное оружие, паспорта,
⭕️получать данные из загсов.
Кроме того, ИБД-Ф 2.0 включит в себя подсистемы
«Запретник» (сбор и анализ данных о лицах, которым запрещен въезд в РФ),
«Дистанционное мошенничество» (сбор информации о преступлениях, совершенных с помощью технологий связи),
«Опознание. Биометрическая идентификация» (поиск людей по изображениям через биометрический процессор по распознаванию лиц) https://www.kommersant.ru/doc/4415475

«Ростелеком» выпустил новую версию мобильного приложения «Биометрия». Новая версия «Биометрии» позволяет самостоятельно создавать ключ шифрования для безопасной работы приложения и передачи биометрических данных. Для этого при первом запуске «Биометрии» компания «Ростелеком» предлагает пользователю сыграть в небольшую игру, в ходе которой сформируется ключ шифрования. Также для входа в приложение потребуется установить пароль, заявили в компании. https://www.company.rt.ru/press/news/d455583/?backurl=/press/

Единая биометрическая система может получить статус государственной со всеми вытекающими отсюда последствиями - модель угроз, аттестация, сертификация и т.п. - https://t.co/ZnMclI0F4E
— Alexey Lukatsky (@alukatsky) July 14, 2020

США хотят заблокировать еще и WeChat

Крестовый поход против китайских приложений продолжается. Как вы помните, недавно президент США Дональд Трамп заявил, что в стране может быть заблокирован TikTok. По его словам, это «месть Китаю за коронавирус». (параллельно США расследуют, как вирус распространялся по миру, и готовят обвинение против Китая).

И вот следующая возможная жертва – WeChat. Советник Белого дома Питер Наварро заявил, что и TikTok, и WeChat – «самые крупные площадки с цензурой, и поэтому мы планируем решительные действия в их отношении».

Кроме того, по его словам, все данные, которые попадают в эти приложения и которые так удобны и так нравятся детям, на самом деле отправляются на сервера в Китае, а оттуда – напрямую в руки компартии Китая, военных и компаний, которые «крадут нашу интеллектуальную собственность».

WeChat – самое крупное приложение в Китае с аудиторией больше 1 млрд. Но ущерб от бана в США у него скорее всего будет меньше, чем у TikTok. Дело в том, что вичатом пользуются в основном китайцы, в США – китайская диаспора. А у TikTok существенная международная аудитория, в том числе – больше 52 млн пользователей в США.

Напомню, что в конце июня Индия, кажется, не без участия США, заблокировала 59 китайских приложений. Среди них – WeChat, TikTok, Kwai и т.п.

Бывший премьер-министр Великобритании считает, что пандемия ускорит внедрение цифрового ID в различных странах. С его помощью люди смогут доказывать, что не заражены, что позволит избежать жесткого карантина и замедления экономики
https://www.rbc.ru/technology_and_media/08/07/2020/5f05ad619a794788da56bb20

МВД пока не рассматривает водительские права как идентификатор личности https://ria.ru/20200715/1574362626.html

Минкомсвязь запускает эксперимент по идентификации пользователей соцсетей и агрегаторов товаров и услуг через единую систему идентификации и аутентификации (ЕСИА), которая связана с единым порталом госуслуг. https://regulation.gov.ru/projects#npa=105741 Это следует из подготовленного министерством проекта постановления правительства.https://rg.ru/2020/07/08/podtverdit-lichnost-v-socsetiah-mozhno-budet-cherez-portal-gosuslug.html