Мы все уже давно под колпаком монополистоа

el_tolstyh — 20.09.2022

Очередной раз, очередной слив, очередная контора и так далее. Ок. Давайте я вам немного поясню за ваши персональные данные, что бы вы были в курсе, почему они есть у всех?

Пресловутая защита персональных данных не работает и работать не может в принципе, как бы она не реализовывалась, по нескольким причинам. И основная причина тут - человеческий фактор. Вернее - желание людей работать более-менее удобно, а не когда шаг влево-вправо - побег, прыжок - попытка улететь, конвой стреляет без предупреждения.

Но начнем сначала. Что такое ПД в нашем случае и как они защищаются? ПД - это персональные данные в электронном виде, включающие в себя номер телефона, адреса, ФИО и тому подобную информацию. Хранятся они в какой-то базе данных с которой работает какая-то CRM, ERP и так далее система. Все это по закону об обработке ПД должно быть защищено. Но, как говорится, есть нюанс.

В первую очередь надо понимать, что защита ПД направлена сперва на внешний захват этих данных. То есть - фаерволы, парольная защита и так далее, что бы человек пришедший снаружи не смог получить данные. Во вторую очередь защита направлена на внутренние системы, то есть - что бы человек не имеющий прав на чтение ПД не мог их получить находясь внутри системы. В третью очередь защита направлена на внутренего пользователя, что бы человек имеющий права на чтение ПД не мог их перенести вовне.

И вот тут мы обнаруживаем интересное. На третьем уровне защиты у нас получается следующее - есть оператор Маша, в ее обязанности входит контроль регистрации новых заказов и формирование отчетов для руководства, в отчет включается табличка с ПД, где прямо указан телефон, фио, номер заказа, адрес заказа, сумма заказа. Выгружает этот отчет Маша в Excel, отправляет по почте.

Момент поняли? Для работы, у Маши есть почта, отправить файл на свой домашний email она может так же как на email начальника. Это просто не предусмотрели, это же не выгрузка дынных по базе клиентов, у Маши туда доступа нет! Это всего лишь выгрузка "последних 100500 заказов", "последних 100500 карт оформленных в регионе" и там даже все замаскировано! Вместо "Иванов Иван Иванович" написано "И. Иван Иванович", вместо номера карты *4755, вместо номера заказа 77xx8473. Видите, что ничего не видно?

А Маша хочет новый Ойфон, а ее знакомый ей его обещал, если она пришлет ему две такие выгрузки, за последние месяцы. Вот и звонят:

- Иван Иванович? Из службы безопасности вас беспокоят.
- ххх
- По вашей карте, поседние 4 цифры 4755 был оформлен заказ на фалоимитатор.
- ххх

- Да, номер заказа оканчивается на 8473, вы его в системе видите?

И так далее. И прекратить это в принципе невозможно. Просто потому, что есть Маши, просто потому, что есть мошенники, просто потому, что есть лохи. Не включайтесь в их число. Старайтесь думать. Ну а я, просто рассказал историю.

==================

Пару дней назад сделали заказ в интернет-магазине Ситилинк на имя сына, но оставили мой телефон в качестве запасного. На следующий после заказа день, не дозвонившись сыну, менеджер Ситилинка позвонил на мой номер для уточнения деталей. А ещё на следующий день, уже не набирая даже номер сына, а сразу мне позвонили из "службы безопасности банка" и обратившись ко мне по имени сына (без отчества и фамилии), начали рассказывать про якобы оформленный кредит и всякие мошеннические действия. Были посланы.

Так вот вопрос: Ситилинк, вы сами так быстро сливаете данные или у вас просто не существует защиты? Или, может, менеджеры сидят на проценте от мошенников? Что-то ведь надо делать, потому что настолько очевидная утечка от вас - это какой-то позор!


Базу данных сливают всегда и везде, все кому не лень.
Пока системы безопасности и адекватный персонал стоит дороже, чем мизерный штраф за утечку данных - Это будет продолжаться до бесконечности...
======================

Сотни миллионов пользователей, топы App Store по всему миру и регулярные заголовки СМИ – TikTok всего за два года стал феноменом уровня Instagram, добившись схожей популярности за почти десятикратно меньшее время.

Но взрывная популярность китайской соцсети коротких видео будоражит не только детей, проводящих там целые дни.

Внимание к TikTok приковано и со стороны экспертов по безопасности. Речь не про государственных, ангажированных политикой США, Европы или любой другой страны. Просто людей, которые в курсе, что и как работает.

Эти эксперты и «любители» уже полгода бьют тревогу: TikTok – самая мутная соцсеть из популярных, которая построена вокруг сбора данных.

Так основательно ещё никто не контролировал каждого пользователя. TikTok собирает данные и отправляет их на китайские сервера, а алгоритмы и системы, задействованные в этом, активно скрывает.

Дыма без огня обычно не бывает. В отличие от голословных заявлений без доказательств – см. обвинения Telegram в слежке за россиянами – TikTok ловится за руку и почему-то спокойно уходит, отмахнувшись. Популярность и нежелание разбираться в теме, увы, решают.

Поэтому тем, кто считает, что это «нормально», и «сейчас все так делают», хочу приоткрыть глаза.

Что творит TikTok с вашими данными
Из всех популярных приложений в App Store, TikTok на сегодняшний день – абсолютный рекордсмен по количеству систем слежения и контроля за пользователями. Уровень проработки этих механизмов заоблачно высок и сравним с лучшими достижениями частных шпионских организаций международного или государственного уровня.

На фоне TikTok даже Facebook (Instagram, WhatsApp) и Amazon меркнут. Они как минимум действуют открыто, а где нет, там в итоге «палятся». TikTok тем временем не подчиняется никому, никаким законам и требованиям, кроме желаний китайских владельцев, компании Bytedance.

Целые сообщества любителей и экспертов (например, на Reddit) возникли вокруг попыток «вскрыть» TikTok и разобраться:

▹ что и как он собирает о пользователях
▹ куда эти данные отправляются и как часто
▹ каким образом приложение защищается от желающих его взломать

Так что вот вам неполный список технологий логирования и слежения за пользователями, найденных в ТикТоке.

Часть из них вполне безобидны и не выходят за пределы, скажем, обычной аналитики на большинстве сайтов. Даже на iPhones.ru некоторое из перечисленного ниже сохраняется благодаря системе Google Analytics. Но чем дальше будете листать этот список, тем глубже убедитесь: для социальной сети столько данных не нужно, а уж возможностей – и подавно.

▪ Конфигурация смартфона. В неё входит модель процессора, количество ядер, уникальные идентификаторы «железа», разрешение экрана и плотность пикселей-на-дюйм, объём занимаемой оперативной памяти, объём свободной памяти в накопителе и так далее.

▪ Список установленных приложений. Его собирают как напрямую на Android, так и используя специальные инструменты. Например, работающий в фоне TikTok перехватывает открытие ссылок в сторонних программах, используя доступ к буферу обмена. На этом его поймала iOS 14 неделю назад.

▪ Сетевые данные. Это IP-адрес, отдельно локальный IP, MAC-адрес роутера, ваш MAC-адрес, название точки доступа Wi-Fi.

▪ Наличие джейлбрейка или рута. TikTok никак не реагирует на то или другое, но знает, «взломан» ли ваш смартфон.

▪ Геолокация по GPS. Считывается примерно раз в 30 секунд. Слежение активируется единожды и остаётся активным до ручного отключения в системных настройках смартфона – с момента, как пользователь впервые указал геопозицию поста в TikTok.

▪ Личные данные. Логи SMS-сообщений, список контактов, история звонков. Микрофон смартфона включается даже тогда, когда пользователю это не требуется. В версии TikTok для Китая, Douyin, данные собираются агрессивнее, чаще и глубже.

До последнего пункта было более-менее нормально, типично для многих приложений App Store. Но это могут быть не все данные, которые собирает TikTok – лишь те, которые ранее идентифицировали исследователи.

Помимо них, у приложения есть очень много «особенностей». Ниже только те, что удалось раскопать в замаскированном коде и подтвердить:

▪ Запуск прокси-сервера на устройстве. Якобы задействован для транскодирования медиафайлов, но его реальное назначение неизвестно. У сервера нет защиты или аутентификации – это «дыра».

▪ Открытый протокол HTTP для передачи данных. Использовался до последнего времени. Из-за этого исследователи неоднократно показывали, как легко украсть или подменить данные пользователей TikTok при наличии доступа к одной сети с ними. Можно было даже подменять отображаемые ролики.

▪ Загрузка любого ZIP-архива с сервера и запуск исполняемых файлов в нём. Естественно, поддерживается и распаковка ZIP-архива. Следы кода найдены в Android-версиях TikTok. Цель неизвестна. Этот код также был в «прошлом» поколении сервиса, musical.ly, и его хорошо прятали.

▪ Отключение приложения при запрете передачи личных данных. Если приложение замечает, что пользователь каким-то образом заблокировал соединение TikTok с серверами, принимающими личные данные (например, благодаря DNS-фильтру), то оно отказывается работать. Объективных причин в таком отказе нет.

▪ Отправка данных на 70+ разных серверов, >30% – китайские. Собираемая информация о действиях пользователя постоянно уходит на различные IP-адреса, среди которых больше 30% являются китайскими. Основная их часть принадлежит Alibaba Group, гигантской китайской корпорации-владельца AliExpress, Taobao, Cainao, крупнейшей в мире платёжной системы Alipay и многих других сервисов. В потоке есть банальная рекламная аналитика, но содержимое части пакетов жёстко зашифровано.

TikTok не только следит, но и защищается от любопытных


Попытки «вскрыть» TikTok сопряжены с постоянными проблемами и сложностями. Это не Telegram с его открытым кодом, регулярно публикующемся в интернете.

Эксперты жалуются, что приложение на лету меняет алгоритмы работы, если замечает «подозрительную» активность в сети пользователя (например, спуфер) или сторонний код, взаимодействующий с TikTok и передаваемыми/принимаемыми им данными.

Многое в TikTok настраивается не в самом приложении, а на серверах его разработчика. У Bytedance есть возможность менять существенную часть функциональности клиента соцсети без его обновления через App Store. В том числе алгоритмы трекинга пользователя.

Большая часть кода приложения остаётся замаскированной по сей день, потому что его создатели постоянно модифицируют защиту и оперативно реагируют на попытки разобраться в алгоритмах работы сервиса.

Несколько компаний, занимающихся «пентестингом» (проверкой безопасности систем через взлом), уже поднимали вопрос про TikTok и приходили к аналогичному мнению: приложение необычно сильно завязано на сборе данных – больше, чем любая другая популярная социальная сеть.

И что теперь?


Общая проблема глобальных сервисов азиатского и китайского происхождения заключается в том, что они могут беспрепятственно игнорировать правила защиты персональных данных в любой стране и продолжать там работать.

Facebook распинают за их рекламные политики уже пять лет подряд. Google достаётся постоянно, даже Apple задевает. А TikTok только недавно начали упоминать в подобном контексте. Да и то без сильного интереса.

Китайская компания может плюнуть на GDPR, базовые принципы защиты данных и вытащить сервис на мировой уровень хайпом и деньгами. Наказывать её некому, кроме самих китайцев. Единственный способ влияния, который может сработать – термоядерный: тотальный запрет на территории страны.

На прошлой неделе именно так поступила Индия, заодно «забанив» несколько десятков сервисов других крупных техногигантов КНР. Армия США тоже запретила TikTok.

Нельзя забывать и то, что внутри Китая который год подряд растёт давление на крупные технологические компании. Коммунистическая партия Китая, помимо уже легендарной мега-цензуры, всё сильнее присматривает за «правильностью» контента и его соответствию «ценностям социализма». В таком климате заставить Bytedance встроить что угодно в свои продукты – дело одного звонка.

В целом картина складывается так. Западные страны боятся государственного и частного шпионажа Китая – вспоминаем Huawei и ZTE. А TikTok, принадлежащий китайской компании, следит за пользователями активнее других социальных сетей. И на деле не пытается это объяснять или оправдывать, за исключением общих фраз.

Америка напрягается, Европа прислушивается, Индия вообще банит. Посмотрев на работу приложения, начинаешь их понимать.

Единственно правильным решением здесь, ИМХО, может быть только такое: удалить TikTok со своего смартфона.

Оставить комментарий

Популярные посты:

• Ранее
• Архив