Решил запилить разбор пользовательского соглашения RuStore. Собрал для вас самое интересное. Если коротко, то собирают практически всё: технические данные (IP, ОС, тип устройства, рекламный ID), данные из вашего VK ID при авторизации (если вы зачем-то авторизовались), а встроенный трекер отслеживает ваши покупки, логины, приглашения и даже время, проведенное в приложении. Эти данные могут передаваться партнерам, рекламным сетям и госорганам по запросу.
Теперь о самом вкусном, перекосах в пользу сервиса. Оставляя отзыв, вы "автоматически, безвозмездно и безотзывно" даете VK неограниченные права на его использование по всему миру. Встроенный Антивирус Касперского включен по умолчанию, и его нужно отключать вручную. В случае нарушения правил, VK имеет право идентифицировать все ваши аккаунты по железу и IP и заблокировать их все разом. Соглашение может меняться в любой момент, и продолжение использования сервиса — это ваше автоматическое согласие. А отозвать согласие на обработку персональных данных можно только через письменное заявление по адресу компании
Как минимизировать риски? Во-первых искать альтернативы, но если очень нужен именно Рустор, то скачивайте приложения без авторизации через VK ID, чтобы не связывать свои данные. Отключите встроенный антивирус в настройках профиля, если не хотите, чтобы ваше устройство сканировали по умолчанию (а что там собирает антивирус - одному ему известно). И, конечно, не оставляйте отзывы, если не готовы подарить их VK навсегда.
Кстати, на скринах видно по каким доменам ломится RuStore при первом запуске (
99% соединений можно дропать.
Классический пример того, как бесплатный сервис на самом деле оплачивается вашими данными.
Не читай, принимай.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍5🤯2
Please open Telegram to view this post
VIEW IN TELEGRAM
😁6🌚2
Собрал для вас самое вкусное из соглашения. Если прям коротко, то ваш почтовый ящик это прямо полноценный источник данных для всей экосистемы VK. Помимо стандартных технических данных вроде IP и
User-Agent, мобильные приложения Почты Mail собирают просто огромный массив информации. На Android, если вы дадите разрешение, они получат доступ к вашему списку контактов, полной истории звонков (call log) и даже к содержимому SMS (под предлогом автоматической верификации). На iOS, помимо прочего, они могут получить доступ к вашему рекламному идентификатору (IDFA) и списку установленных на телефоне приложений. Вся эта телеметрия, обогащенная данными из вашего почтового ящика, уходит в целый зоопарк аналитических сервисов, включая AppsFlyer, Firebase и myTracker - по ним сделаю отдельный разборЧто касается самих писем, то тайна переписки, как говорится в соглашении, обеспечивается "в пределах функционирования Сервиса". На практике это означает, что все ваши письма автоматически обрабатываются для фильтрации спама и антивирусной проверки. Но самое интересное - это модуль «Покупки». Он по усмотрению компании может анализировать и систематизировать ваши письма-чеки, используя "автоматическое распознавание содержимого"
Если вы не заходили в ящик 6 месяцев, его могут заблокировать или удалить со всем содержимым (но на практике такого не видел). Если вы поигрались с их ИИ-функциями, например, сгенерировали текст, вы автоматически даете компании безотзывную, с правом передачи третьим лицам, лицензию на этот контент. Политика соглашения может меняться в любой момент, и вы об этом, скорее всего, не узнаете. Новая редация вступает в силу на следующий день. То есть, вы находитесь в постоянном состоянии согласия по умолчанию с правилами, которые вы не читали.
З.Ы. На подходе обзор пользовательского соглашения Gmail и многие другие.
Не читай, принимай.
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯4👍2😱1
n8n автоматизировал собственный взлом. Критическое RCE (9.9 баллов).
Любители связывать сервисы стрелочками и программировать без кода, у меня для вас плохие новости. В популярнейшей платформе автоматизации n8n нашли дыру размером с Эверест. Уязвимость CVE-2025-22631 получила почти максимальный рейтинг опасности 9.9 из 10😗
Проблема кроется в механизме песочницы, который должен был изолировать исполняемый пользователем JavaScript-код. Разработчики n8n использовали встроенный модуль Node.js
Масштаб катастрофы сложно переоценить. n8n это обычно связка ключей от всей инфраструктуры. Там хранятся API-токены, доступы к базам данных, ключи от ботов телеги и прочее, которое нужно для автоматизации. Получив RCE на таком узле, атакующий получает ключи от всего. А учитывая, что многие запускают n8n в Докере под рутом (потому что так проще монтировать вольюмы), взлом контейнера происходит мгновенно.
Под угрозой находятся все версии от 1.0.0 до 1.71.2. Разработчики уже выкатили патч в версии 1.71.3, и обновляться нужно было еще вчера. Если ваш n8n торчит наружу интерфейсом (а он часто торчит, чтобы принимать вебхуки), то вы сейчас сидите на пороховой бочке, к которой уже поднесли спичку💥
Автоматизация... это прекрасно, особенно когда она автоматизирует слив ваших данных🤡
☢️ @zeroday_log
Любители связывать сервисы стрелочками и программировать без кода, у меня для вас плохие новости. В популярнейшей платформе автоматизации n8n нашли дыру размером с Эверест. Уязвимость CVE-2025-22631 получила почти максимальный рейтинг опасности 9.9 из 10
Проблема кроется в механизме песочницы, который должен был изолировать исполняемый пользователем JavaScript-код. Разработчики n8n использовали встроенный модуль Node.js
vm, который, как написано даже в официальной документации Node.js (но кто её читает?), не является механизмом безопасности. Хакеры нашли способ совершить Sandbox Escape (побег из песочницы). Злоумышленник может создать вредоносный воркфлоу, который выберется за пределы изоляции и начнет исполнять произвольные команды в хост-системе.Масштаб катастрофы сложно переоценить. n8n это обычно связка ключей от всей инфраструктуры. Там хранятся API-токены, доступы к базам данных, ключи от ботов телеги и прочее, которое нужно для автоматизации. Получив RCE на таком узле, атакующий получает ключи от всего. А учитывая, что многие запускают n8n в Докере под рутом (потому что так проще монтировать вольюмы), взлом контейнера происходит мгновенно.
Под угрозой находятся все версии от 1.0.0 до 1.71.2. Разработчики уже выкатили патч в версии 1.71.3, и обновляться нужно было еще вчера. Если ваш n8n торчит наружу интерфейсом (а он часто торчит, чтобы принимать вебхуки), то вы сейчас сидите на пороховой бочке, к которой уже поднесли спичку
Автоматизация... это прекрасно, особенно когда она автоматизирует слив ваших данных
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍3