↓
 ↑
Регистрация
Имя/email

Пароль

 
Войти при помощи
Картинки ссылками
До даты

Все новые сообщения

#ссылки #хабр #IT

https://habr.com/ru/articles/850252 - ещё одна статья. Конечно, всё как всегда спорно, но если до сих пор возникают вопросы типа, а могут ли нейронки действительно решать школьные задачки, то о каком "ИИ" может идти речь? Интеллект, блин, изобрели, понимаешь ли, искусственный...
Показать 1 комментарий
... Хакер под псевдонимом 'HikkI-Chan' слил личные данные более 390 миллионов пользователей VK (а именно 390 425 719), анализ БД показал, что утечка не содержит номеров и паролей, однако в ней содержатся такие данные как: город; страна; полные имена; URL-ссылки на изображения профилей; e-mail.

Взлом произошёл в сентябре 2024 года, что говорит о актуальности данных.
...
Отсюда
upd: ложная тревога xD, VK дал комментарий по "утечке", оказалось, что данные собраны из общедоступных источников и строки с e-mail в них отсутствуют.

С учётом удобства слияния разных утекших баз, а так же насколько редко народ меняет е-мейлы (в среднем)...
Очередная соломинка тотальной деанонимизации.

PS
... Медиаконгломерат Cox Media Group предложил технологическим компаниям новый инструмент для формирования целевой рекламы — он анализирует собранные с домашних устройств аудиозаписи. О существовании этой программы стало известно в прошлом году, и теперь ресурсу 404 Media удалось раздобыть презентацию Cox и подтвердить, что ИТ-гиганты подслушивают разговоры пользователей.

Инструмент получил название Active Listening («Активное прослушивание»), и он работает, получая данные от умных устройств, которые «фиксируют данные о намерениях в реальном времени, слушая наши разговоры». Собрав информацию, рекламодатели получают возможность «объединять эти голосовые данные с поведенческими, чтобы таргетировать потребителей на рынке».

Для сбора данных о поведении потребителей в Сети используется искусственный интеллект — при этом потребители «оставляют след данных, основанный на их разговорах и поведении в Сети». ИИ собирает и анализирует «поведенческие и голосовые данные из более чем 470 источников».
...
Отсюда
Все эти ИИ-ускорители в современных "бытовых" чипах (в умных колонках, смарт-тв и так далее, включая роботы-пылесосы, дверные звонки и электронные няни) - они не для пользователей в первую очередь. Они для того, чтобы энергоэффективно сжимать и фильтровать информацию о пользователе...

#хабр #приватность #3dnews
Свернуть сообщение
-
Показать полностью
Показать 20 комментариев из 48
В блоге фандома Dungeons & Dragons
Гэри Гайгэкс. Творец, демиург, Dungeon Master
К вопросу о создании и создателях. И скандалах как рекламной компании, таки да.

#хабр #история #ссылки
#ссылки #хабр #IT

https://habr.com/ru/articles/823584 - ми-ми-мишное про суперпуперубернейронки-с.
Показать 20 комментариев из 21
Ну, прогресс и в диетах - того, прогресс.

ВОЗ: заменители сахара не способствуют похуданию
Люди, пытающиеся сбросить килограммы, часто сокращают потребление калорий, употребляя диетические напитки, искусственно подслащённые лакомства и другие продукты, содержащие заменители сахара. Однако, согласно новой оценке Всемирной организации здравоохранения, эти искусственные подсластители неэффективны для контроля веса и, что ещё хуже, повышают долгосрочный риск развития диабета 2 типа, сердечно-сосудистых заболеваний и даже смерти.

В опубликованном недавно руководстве ВОЗ рекомендует не использовать искусственные подсластители для контроля веса или для укрепления здоровья в целом. Рекомендация относится к здоровым детям и взрослым, но не предназначена для людей уже страдающих диабетом, которые все ещё могут найти преимущества от использования искусственных подсластителей.

«Замена свободных сахаров на несахарные подсластители не помогает в долгосрочной перспективе контролировать вес. Людям необходимо рассмотреть другие способы снижения потребления свободных сахаров, например, потребление продуктов с сахарами естественного происхождения, таких как фрукты, или несладких продуктов и напитков», — говорится в заявлении Франческо Бранка, директора ВОЗ по вопросам питания и безопасности пищевых продуктов. «Людям стоит комплексно уменьшать количество сахара в рационе, начиная с раннего возраста, чтобы улучшить своё здоровье», — добавил он.
отсюда
Хе.
Интересно, всплывёт ли опять про то, кто конкретно финансировал исследование? А то вон относительно недавний скандал про классические исследования опасности жиров и холестерина для сердечно-сосудистой (ещё в 60-е, которые плотно прописались в общественном как-бы-общеизвестном) оказались проплачены производителями сахара, который на самом деле...
А ведь бизнес сахарозаменителей...
...
Объём мирового рынка стевии — $347 млн в 2015 году (при этом весь рынок интенсивных подсластителей в 2014 году генерировал $1,2 млрд). К 2020 году он должен достичь $565 млн.
...
По данным Международной организации по сахару (МОС), с 2010 года ежегодный рост рынка интенсивных подсластителей составлял 4% и на 2014 год превысил 17 млн т/год в эквиваленте белого сахара (wse). Эти вещества, как правило, значительно слаще сахара, поэтому для достижения необходимого уровня сладости продукта требуются в небольших количествах.
...

#хабр #едаблоги #медицина
Свернуть сообщение
-
Показать полностью
Показать 20 комментариев
В блоге фандома Миры Г. Ф. Лавкрафта
Для ликбеза.

Не только тентакли: за что Интернеты полюбили Ктулху? Часть 1

...
Что интересно, сейчас этот район океана, где нет ни клочка суши и сколько-то оживлённых морских магистралей, именуют «точкой Немо» (48°52' южной широты и 123°23' западной долготы). Ближайшие берега находятся от неё на расстоянии 2688 километров. Из-за пустынности этой акватории космические агентства вовсю используют её для затопления всего, что сводят с околоземной орбиты за ненадобностью или поломкой.

Именно «на голову Ктулху» сыпется всё, начиная с небольших спутников и заканчивая советской орбитальной станцией «Мир»
...

PS
Вторая часть

#хабр
Немножко актуальных страшилок, новая серия старой истории.
Исследование Trend Micro: Россия на втором месте по числу китайских смартфонов на Android с вирусами с производства
...
Россия находится на втором месте после Индонезии по числу купленных пользователями китайских смартфонов на ОС Android, умышленно зараженных вирусами на стадии производства.

Это данные из исследования Trend Micro. Оно показало, что на многих китайских смартфонах, проданных в нашей стране, с завода установлены зловреды, включая вирус, который позволяет третьим лицам удаленно подтверждать по СМС учетные данные при регистрации в разных сервисах.
...
По данным экспертов издания, в России насчитывается более 100 тыс. зараженных с завода устройств на Android — со специально модифицированной прошивкой или через поставки по серым схемам с установкой зловредов третьими лицами, которые являются цепочкой поставки смартфонов.

Trend Micro обозначило наиболее пострадавшие от вмешательства злоумышленников производителей и модели смартфонов. Это ZTE (Blade 3), MiOne (P1, R5, R3, Hero 5), Meizu (V8), Huawei (Mate 20 Pro, P9, P20 Pro, Honor (5X KIW-TL100 и другие).
...
Эксперты пояснили, что зловред позволяет использовать смартфон, например, для регистрации фейковых аккаунтов в сервисах каршеринга на реальные номера телефонов без информирования их владельцев. Представитель каршерингов пояснили, что внедрили системы защиты для подобных уязвимостей и последнее время это уже не стало актуально.

Trend Micro обнаружила Telegram-канал на 27 тыс. подписчиков, где все еще можно регистрировать фейковые аккаунты в сервисах каршеринга с помощью бэкдоров в смартфонах, правда без гарантии, что они будут работать.
...

#хабр #реал #приватность
Свернуть сообщение
-
Показать полностью
И да, тут недавно выбирали телевизор... Так вот.
Производители умных ТВ зарабатывают на слежке за пользователями больше, чем на самих телевизорах
...
В 2019 году мы рассказывали, что умные телевизоры Samsung, LG, Vizio и TCL ежесекундно снимают «отпечатки» экрана и отправляют на сервер. Это главная причина, почему телевизоры так подешевели в последнее время. Умный телевизор стоит дешевле, чем такой же ТВ без функции Smart TV. Производители нашли новый способ монетизации.

К сожалению, сейчас ситуация только ухудшилась: в 2021 году у некоторых производителей ТВ слежка за пользователями стала не дополнительным, а основным источником дохода.

Сегодня производители ТВ плотно вовлечены в индустрию контента, рекламы, маркетинга, дата-майнинга и торговли данными пользователей. По объёму собираемых данных эти платформы догоняют Google и Apple.
...
Раз в секунду телевизор снимает «отпечаток» экрана. Он выглядит как два десятка квадратных фрагментов пикселей, разбросанных по экрану, которые телевизор преобразует в строку чисел. Эту строку телевизор передаёт на сервер вместе с ID телевизора. Отпечаток сравнивается с базой известного контента, алгоритм работы как у аудиоприложения Shazam. В результате составляется посекундный журнал просмотра пользователем различного контента на ТВ. Готовые профили продаются десяткам клиентов.
...
Финансовая отчётность Vizio за II кв. 2021 года показывает удивительные цифры. Так, подразделение рекламы и профилирования пользователей (Platform+) за квартал получило прибыль $57,3 млн, в то время как подразделение по продаже техники (Device) заработало $25,6 млн.
...

Смарт-ТВ всё-таки редкостная пакость. Следит (и да, не только за контентом на экране иногда - у некоторых моделей с камерой и микрофонами зафиксировали прямое слежение), быстро устаревает, глючит, всячески потакает правоторговцам...

#хабр #приватность
Свернуть сообщение
-
Показать полностью
Показать 9 комментариев
По мотивам этого поста келли малфой и новостей (а так же своей любви к старому железу) вынесу.
Проблема устаревших корневых сертификатов. На очереди Let's Encrypt и умные телевизоры
...
Чтобы браузер мог аутентифицировать веб-сайт, тот представляет себя действительной цепочкой сертификатов. Типичная цепочка показана сверху, в ней может быть больше одного промежуточного сертификата. Минимальное количество сертификатов в действительной цепочке равно трём.

Корневой сертификат — сердце центра сертификации. Он буквально встроен в вашу ОС или браузер, он физически присутствует на вашем устройстве. Его не поменяешь со стороны сервера. Нужно принудительное обновление ОС или встроенного ПО на устройстве.
...
Такая ситуация возникла 30 мая 2020 года в 10:48:38 GMT. Это точное время, когда протух корневой сертификат AddTrust от центра сертификации Comodo (Sectigo).

Он использовался для перекрёстной подписи, чтобы обеспечить совместимость с устаревшими устройствами, в хранилище которых нет нового корневого сертификата USERTrust.

К сожалению, проблемы возникли не только в устаревших браузерах, но и в небраузерных клиентах на базе OpenSSL 1.0.x, LibreSSL и GnuTLS. Например, в телевизионных приставках Roku, сервисе Heroku, в приложениях Fortinet, Chargify, на платформе .NET Core 2.0 под Linux и многих других.

Предполагалось, что проблема затронет только устаревшие системы (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 и т.п.), поскольку современные браузеры могут задействовать второй корневой сертификат USERTRust. Но по факту начались сбои в сотнях веб-сервисов, которые использовали свободные библиотеки OpenSSL 1.0.x и GnuTLS. Безопасное соединение перестало устанавливаться с выводом ошибки об устаревании сертификата.
...
Для проверки, что на вашем устройстве (телевизор, приставка или другой клиент) установлен корень ISRG X1, откройте тестовый сайт https://valid-isrgrootx1.letsencrypt.org/ . Если не появляется предупреждение безопасности, то обычно всё в порядке.
...
Из комментов:
...
Подтвердил проблему у себя на Android 5. Обновлений от вендора нет. Решение:

* Качаем новый сертификат c https://letsencrypt.org/certificates/,
* конвертируем PEM → DER, чтобы понял даже Android, как-то так:
* wget -O - 'https://letsencrypt.org/certs/isrgrootx1.pem.txt' \
| openssl x509 -in - -inform PEM -outform DER -out isrgroot.der

* переносим полученный файл на Android-устройство;
* на нём же: Настройки → Безопасность → Установка с SD-карты, выбираем файл с сертификатом, озаглавливаем по вкусу, добавляем в хранилище;

* PROFIT!
...
первые два пункта для владельцев венды:

* запустить certmgr.msc
* открыть trusted root CA/certificates/ISRG Root X1
* перейти на вкладку details
* нажать кнопку copy to file
* формат DER (расширение файла .cer)
* ввести имя файла
...
Два моих старых «дажеандроида», 4.4 и 6.0, напрочь отказались принимать в формате DER (файл серым цветом, недоступен для выбора), а в формате PEM — пожалуйста. В общем, не забываем про метод тыка.

Имеется побочный эффект — при установленном пользовательском сертификате система требует запароленную разблокировку экрана.
...
В общем, всё сложно - кое-где пишут про рут, а яблочники вообще будут страдать.

С другой стороны, всегда есть Огнелис - браузер Firefox в отличии от Хрома таскает сертификаты безопасности сам, и обновляется как сам, так и в ручном режиме при необходимости без всяких там рутов.

30 сентября: Let's Encrypt и конец срока действия IdenTrust DST Root CA X3
...
30 сентября 2021 14:01:15 GMT оканчивается срок действия корневого сертификата IdenTrust DST Root CA X3.

Это событие достойно вашего внимания по той причине, что после наступления этого момента ряд устаревших систем перестанут доверять сертификатам, выпущенным центром сертификации Let’s Encrypt. С учётом того, что на текущий момент Let's Encrypt предоставляет бесплатные криптографические сертификаты примерно для 250 миллионов доменных имен, а "устаревшие системы" - это порой системы возрастом всего 5-6 лет, вряд ли окончание срока действия сертификата DST Root CA X3 пройдёт для всех гладко и незаметно.
...
Срок действия DST Root CA X3 подходит к концу 30 сентября 2021 14:01:15 GMT, что произойдет после этого?

Те системы, которые не доверяют ISRG Root X1, перестанут доверять сертификатам, выпущенным Let's encrypt (системы будут выдавать предупреждения при посещении сайтов, использующих сертификаты Let's Encrypt). За исключением Android >= v2.3.6, т.к. Android не учитывает срок действия своих доверенных корневых сертификатов.

Проблема с доверием возникнет так же у систем, использующих OpenSSL версии меньше 1.1.0. Даже если у таких систем ISRG Root X1 входит в список доверенных сертификатов, особенность проверки сертификата в OpenSSL 1.0.x приведёт к тому, что наличие в цепочке истекшего DST Root CA X3, несмотря на наличие доверия к ISRG Root X1, будет приводить к отрицательному результату проверки на доверие. Аналогичная проблема у OpenSSL 1.0.x возникла 20 мая 2020 года с истекшим сертификатом AddTrust External CA Root.
...
Кстати, у Битриксов и node.js по некоторым версиям - тяжёлые проблемы, там в коде жёстко зашито...

Срок действия корневого сертификата Let's Encrypt истек. Миллионы устройств останутся без интернета
...
Истечение срока действия сертификата может повлиять на устройства, которые не обновляются регулярно, например встроенные системы, не предназначенные для автоматического обновления, или смартфоны с устаревшими версиями программного обеспечения. Пользователи более старых версий macOS 2016 и Windows XP (с пакетом обновления 3) могут столкнуться с проблемами вместе с клиентами, зависящими от OpenSSL 1.0.2 или более ранней версии, а также более старыми PlayStation, которые не были обновлены до новой прошивки.

У Android существует проблема с обновлениями ОС, но в Let’s Encrypt нашли обходной путь, который может предотвратить проблемы с большинством смартфонов. В этом году организация перешла на собственный сертификат ISRG Root X1, срок действия истекает в 2035 году. Хотя многие устройства Android до сих пор не доверяют этому сертификату, а именно версии Android (Nougat) 7.1.1 и более ранние, Let's Encrypt получил сертификат перекрестной подписи. Таким образом, большинство устройств Android должны исправно работать еще в течение трех лет.
...
Технический директор хостинг-провайдера и регистратора доменов REG.RU Александр Хакимов отмечает, что сложности с выходом в Сеть могут возникнуть у пользователей смартфонов iPhone и планшетов iPad, которые невозможно обновить до iOS 10, а также у обладателей ноутбуков MacBook с macOS 10.12.0 и более старых версий ОС.
...

PS
Ошибка ERR CERT DATE INVALID Let's Encrypt — что делать?
Для обновления/установки сертификата на Windows выполните следующие шаги:

1. Скачайте обновленный корневой сертификат — ссылка, а также еще один наиболее популярный для сайтов сертификат: ссылка.

2. Нажмите 2 раза на файл isrgrootx1.der. У вас откроется окно с информацией о сертификате.

3. Нажмите на кнопку «Установить сертификат»:

4. В открывшимся окне выберите «Далее»:

5. Это очень важный пункт. У вас откроется окно импорта. Выберите «Поместить все сертификаты в следующее хранилище» (ниже на скриншоте под цифрой 1).Нажмите «Обзор...». Выберите пункт «Доверенные корневые центры сертификации» (отмечено цифрой 2). Важно выбрать именно этот пункт. Нажмите «Ок»:

6. Проверьте, чтобы все выглядело, как на скриншоте и нажмите «Далее».

7. Подтвердите завершение импорта кнопкой «Готово»:

8. Вы увидите предупреждение, что будет добавлен корневой сертификат. Обязательно нажмите «Да».

9. В конце вы увидите сообщение о успешном импорте:

Все готово! Теперь вы можете посещать сайты, которые были ранее недоступны из-за ошибки сертификата!

Также рекомендуем повторить эти пункты и для другого скачанного по ссылке выше файла «USERTrustRSACertificationAuthority.crl». Ведь это второй по популярности корневой сертификат, который уже давно не обновлялся.

Обновив указанные сертификаты на вашем Android-устройстве, Mac или других девайсах, вы продолжите посещать любимые сайты в привычном режиме.

#хабр
Свернуть сообщение
-
Показать полностью
Показать 5 комментариев
В блоге фандома Гарри Поттер
Это древний, древний, крайне древний боян в своей основе - но тем не менее.
К вопросу о характерах и причинах происходившего в Хоге и вокруг.
И продолжается «вечеринка со свинцом (Pb)»…
...
Наиболее активно же свинец использовался в Древнем Риме, где его добывали вместе с серебром в Малой Азии, в Испании и на Балканах. В древнеримской жизни этот металл занимал важное место: был компонентом пудры для лица, румян и туши для ресниц; пигментом во многих красках; отличным спермицидом для неформального контроля рождаемости; идеальный «холодный» металл для изготовления поясов верности; кисло-сладкая приправа, популярная для фальсификации пищи; консервант для вина, идеально подходящий для остановки брожения или сокрытия урожая более низкого качества; податливый и недорогой ингредиент оловянных чашек, тарелок, кувшинов, кастрюль и сковородок и других предметов домашнего обихода; основной компонент свинцовых монет; и частичный ингредиент в обесцвеченных бронзовых или латунных монетах, а также поддельных серебряных и золотых монетах.

Важнее всего была пригодность свинца в качестве материала для недорогого и надежного трубопровода обширной сети, снабжавшей Рим и провинциальные города Римской империи водой. Даже само английское слово «сантехника» (plumbing) происходит от латинского слова «свинец», plumbum.
...
Нужен свинец и для изготовления хрусталя. Хрусталь получается, если при выплавке обычного стекла добавить к нему достаточное количество оксида свинца. Добавка свинца изменяет способность стекла преломлять и рассеивать свет, и упрощает обработку стекла, поэтому изделия из хрусталя так красиво переливаются и блестят на солнце. Но стоит отличать свинцовый хрусталь и хрусталь горный. Общее у них только название и внешний вид. Горный хрусталь — это разновидность кварца, без каких-либо примесей свинца.
...
Последствия отравления свинцом (повреждение мозга, судороги, гипертония и т. д.) были известны задолго до того как начали появляться официальные запреты. Судить об этом можно даже по косвенным признакам. Например, древнеримский покровитель кузнецов (именно они занимались производством свинцовых труб для трубопровода) Вулкан своим характерным внешним видом был ходячим примером свинцового токсикоза: хромой, с бледным и сморщенным лицом. Римляне связывали свинец с богом Сатурном, слово «сатурнин» использовалось для описания циничного, мрачного и неразговорчивого человека (тоже симптомы свинцового отравления).
...
У детей свинец действует прежде всего на головной мозг. Это ведет к снижению умственных способностей, особенно при отравлениях в раннем возрасте или в утробе матери; наблюдают также расстройства слуха, замедление развития, ослабление долговременной памяти. Даже при малых дозах дети становятся раздражительными, у них снижается внимание.
...
Интересный факт — хроническое отравление свинцом в школьном возрасте многими исследователями связывается с антиобщественным поведением (агрессия и преступность). Считается, что запрет США на использование свинцовых красок в зданиях и отказ от использования этилированного бензина частично способствовали снижению уровня насильственной преступности в начале 1990-х гг.
...
Традиционный, до пьютера XX века, оловянный сплав - это от 6 к 1 олово : свинец до 15 к одному (наиболее качественные), обычно десять к одному.
Свинцовые белила, желтые, оранжевые пигменты, пресловутые хрустальные флаконы для зелий, традиционные рецепты сладостей и хитрости работы с алкоголем...
Ой, маги конечно живучие - но СПГС на тему свинца не даром один из самых древних в фандоме.

#хабр
Свернуть сообщение
-
Показать полностью
Показать 8 комментариев
Всё плохо и становится хуже.
Трояны и бэкдоры в кнопочных мобильных телефонах российской розницы
...
немалое количество простых кнопочных телефонов, присутствующих в российских магазинах, содержат нежелательные недокументированные функции. Они могут совершать автоматическую отправку СМС-сообщений или выходить в интернет для передачи факта покупки и использования телефона (передавая IMEI телефона и IMSI SIM-карт). Встречаются модели со встроенным трояном, отправляющим платные СМС-сообщения на короткие номера, текст которого загружается с сервера, также бывают устройства с настоящим бэкдором, пересылающим входящие СМС-сообщения на сервер злоумышленников.
...
Вредоносную активность телефонов можно разделить на три категории:

1. Отправка СМС и выход в интернет для «отслеживания продаж»
Наиболее безобидная функция, не наносящая значительный материальный урон мобильному счёту. Устройство без ведома пользователя отправляет СМС (на обычный российский номер) или выходит в интернет, передавая IMEI-номер телефона и IMSI SIM-карты неустановленной организации или частному лицу.
Передача данных осуществляется либо один раз до сброса устройства в заводское состояние, либо после каждого извлечения аккумулятора.

2. Троян, отправляющий СМС на платные (короткие) номера, предварительно загрузив текст и номер с сервера через интернет
Функция, систематически списывающая средства со счёта мобильного номера. Помимо частого автоматического и скрытного выхода в интернет (что само по себе расходует деньги на не-пакетных тарифах), мобильное устройство отправляет отдельно тарифицируемые СМС-сообщения на короткие номера, перехватывает подтверждающую СМС и отправляет текст подтверждения в ответ.

3. Бэкдор, перехватывающий входящие СМС-сообщения и отправляющий их на сервер
Позволяет злоумышленникам использовать ваш номер телефона для регистраций на сервисах, требующих подтверждения через СМС. Телефон периодически выходит в интернет и получает команды с сервера, результат выполнения которых отправляется обратно на сервер.
...
Проверка детализации мобильного оператора — способ, доступный любому человеку. Достаточно вставить рабочую SIM в телефон, включить его и оставить лежать полные сутки, после чего запросить детализацию в виде файла через онлайн-кабинет мобильного оператора. Данный метод позволяет выявить факт выхода в интернет (без адресов хостов и передаваемого содержимого), факт отправки СМС-сообщения и номер получателя, точное время совершенных действий.
Детализация помогает легко понять, содержится ли в телефоне нежелательная функциональность, без подробностей.
...
Flip 3 российского OEM-поставщика F+ cообщает «о факте продажи» через СМС на номер +79584971255, отсылая IMEI и IMSI в теле сообщения.

Не содержит браузера, не выходит в интернет.
...
DEXP SD2810 от российского бренда сети магазинов DNS.
Опасный телефон, расходующий деньги мобильного счёта.

• Не содержит браузера, но подключается к GPRS
• Сообщает «о продаже» через интернет, без предупреждения
• Передаёт IMEI, IMSI
• Обращается к CnC в интернете и выполняет его команды
• Отправляет платные СМС на короткие номера с текстом, полученным с сервера
...
Модель SF63 от российского OEM-поставщика Irbis.
Опасный телефон, использующий номер вашего телефона в коммерческих целях, для регистрации сторонних лиц в интернет-сервисах.

• Не содержит браузера, но подключается к GPRS
• Сообщает «о продаже» через интернет, без предупреждения
• Передаёт зашифрованные данные на сервер
• Обращается к CnC в интернете и выполняет его команды
...
Причём нормального внятного регулирования вопроса через законы и подзаконные акты в РФ вот именно по этому вопросу, похоже, де-факто просто нет.

Из комментов:
...
Tecno, как и Itel входящий в холдинг Transsion, был замечен за распространением malware на смартфонах: https://www.bbc.com/news/technology-53903436

Устройства Tecno также продавались в российской рознице. Но вообще, вирусы на смартфонах — классика
...
Встречал похожее в Fly и Tesla(уж не знаю, имеет ли отношение бренд к Илону Маску). Прошивка заводская, телефоны никогда не прошивались и не разблокировались загрузчики. Даже сторонние приложения не ставились. Через год или полтора после покупки с ними начиналась творится какая то дичь. Похоже срабатывал внутренний таймер и телефон начинал грузить кучу полноэкранной рекламы. Все установленные антивирусы находили кучу вирусов и удаляли их, кроме одного, который висел в прошивке и удалить его без рут прав было нельзя. Сброс, перепрошивка заводской не помогали, реклама начинала грузится почти сразу. Видимо привязана на дату.
Вопрос решился только установкой альтернативной прошивкой, а потом телефоны были заброшены на полочку ввиду малого размера ОЗУ и флеш памяти.
...
Лет пять назад купил жене дешёвый BQ тысячи за четыре. С первого взгляда был обычный телефон, но уже через три дня начали появляться левые игры пачками, засирали все меню запуска. Удаляешь - через полчаса снова появляются, да ещё и с новыми.

Сначала просто игнорировали. Потом ещё через пару дней начала лезть полноэкранная реклама при запуске любого приложения, даже системного. Будильник? Смотри рекламу. Погода? Реклама. Итд.

В общем, пользоваться стало нереально, сдали назад в DNS и вернули деньги, купили сяоми в пару раз дороже. Хоть и минимальная модель, но такой х*рни там не было.
...
Кстати про сяоми: там тоже куча рекламы, в некоторых приложениях она уже отключается только на 30 дней! Через 30 дней операцию нужно повторять.
...
Было такое дело с телефоном, модель которого даже не вспомню.

Он ходил в интернет, при этом в функциях этого не было и браузера в телефоне так же не было.

В итоге удалось в документации производителя раскопать, что телефон ходит в интернет для, внимание, синхронизации времени(!). Ни в каких характеристиках в интернет-магазинах про интернет не было ни слова (в том числе аббревиатур типа GPRS).

Пришлось через оператора запретить интернет вовсе, т.к. бабушке интернет ни в каком виде на кнопочной звонилке не был нужен.
...
Я после поездки за границу с удивлением узнал, что у МГТС при подключении к сети телефон отправляет небольшой служебный пакет, который выглядит, как обычное интернет-соединение. Не знаю, что это было, но я так понял, что это какая-то особенность протокола. Только вот некоторые особо жадные забугорные операторы при этом радостно включают этот пакет в биллинг, как будто вы сами в интернет ходили, а МГТС не менее радостно списывает с вас оплату за использование интернета в роуминге, когда интернет на телефоне отключен. При этом, судя по биллингу, некоторые операторы за границей отлично понимают, что никакой это не интернет, и подобной глупостью не занимаются, но, увы, не все.

Изюминка тут в том, что в МГТС у вас кредитная система оплаты с лимитом, и как только за счёт таких списаний вы уходите за этот лимит, телефон вам отключают, и даже пополнение счёта не позволяет включить его обратно. Мне ещё повезло, дата выставления счёта была примерно сразу после возвращения на родину, но в интернете видел отзыв, как люди неделю сидели без телефона.
...
Столкнулся с обратной ситуацией — телефон старый, брендовый и на 100% проверенный и надёжный — при подключении к нему некоторых новых симок начинается НЕСАНКЦИОНИРОВАНННАЯ активность ТИХИЕ (СКРЫТЫЕ) звонки и СМС на платные номера опсоса.

При обращении в техподдержку опсос делает покерфейс и заявляет, что это я сам (дурак) и (видимо в порыве пароксизма) звонил на платные номера. Что конечно не так, как минимум по двум причинам:

1. Я вообще никуда не звонил (не брал в руки телефон) за тестовый период

2. Я не знал эти номера, поэтому физически не мог на них звонить и посылать СМС

Отсюда вопрос: что это было и могут ли симки жить своей жизнью и использовать телефон для несанкционированных звонков и рассылки СМС?

Описываемый случай произошёл с Мегафоном. Они за 24 часа после покупки их симки слили со счёта 600 рублей на свои платные номера. Техподдержка заявила, что это я сам звонил на их платные номера и если меня что-то не устраивает, то я могу подать на них в суд.

На следующий день (официально) расторгнул договор и забыл о Мегафоне, как о страшном сне, но вопрос о несанкционированной активности симки остался открытым.
...
Да, могут. SIM-карта — это мини-компьютер со своей операционной системой и расширенными привилегиями, которая может обновляться сервисными СМС или через интернет. Она может сама инициировать отправку SMS-сообщений (что делает моя SIM Билайн, например, если определяет, что её вставили в другой телефон, не в тот, в котором она находилась в прошлый раз), совершать звонки (не уверен, что скрытые, но обычные — точно может), выходить в интернет (как просто инициировать открытие страниц на телефоне, так и обновлять свои апплеты через интернет).

Я находил в интернете жалобы на то, что SIM-карта отправляет СМС на свои сервисные бесплатные номера в роуминге, а в роуминге они принадлежат роуминговому оператору и тарифицируются отдельно:

https://cells.ru/forum/read.php?3,1535099,1535099#msg-1535099

https://zvonok.octo.net/number.aspx/0494

Также в картах встречаются уязвимости. Атака simjacker позволяет подделать сервисные СМС и отправить их самостоятельно: https://simjacker.com/

Про возможности карт рекомендую посмотреть видео от Funbox — компании, которая встраивает сервис СМС-подписок на кнопочные телефоны: https://www.youtube.com/watch?v=CumGQSX6_ws
...
Кроме СМС есть еще вредоносные звонки. Не так давно была волна звонков на номера спутникового оператора GlobalStar. Каждый вызов около 100 руб.

Бренды такие же - Fly, BQ, Dexp и прочий хлам
...

В общем, регуляции вопроса нету, ОПСОСы и смежные структуры регулярно и систематически делают на этом деньги...


#приватность #хабр #реал #ненависти_псто
Свернуть сообщение
-
Показать полностью
Показать 11 комментариев
Типографика фильма «Чужой» - перевод вполне любопытной статьи, позволяющей весьма глубокий СПГС на тему.
...
Эти значки — плод труда легенды кинематографического дизайна Рона Кобба. Он назвал их Semiotic Standard For All Commercial Trans-Stellar Utility Lifter And Heavy Element Transport Spacecraft («Семиотический стандарт всех коммерческих межзвёздных сервисных космических кораблей для подъёма и транспортировки тяжёлых элементов»).
...

...
Кроме того, на этом скриншоте показано, что объём переработки руды Nostromo составляет «200,000,000 tonnes», а не «20,000,000 tons», как указано в Foreshadowing Inventory. Это не просто ошибка в десять раз, а ещё и совершенно иная единица измерения.
Показать полностью
Western Digital стер данные с большинства пользовательских NAS
...
Во-первых: если у вас есть любой NAS от WD - то лучше всего немедленно отключить его от сети. Обновление окирпичивающее NAS и удаляющее все данные начало прилетать вчера, мне прилетело сегодня утром. Домашние NAS от WD продаются последние лет 10.
Точно зааффекчина вся live серия. Судя по комментам отдельные другие серии тоже пострадали.

*WD уверяет что это все хакерская атака. Но выглядит сомнительно. У многих людей NAS за фаерволом, отключен от внешних серверов WD, и т.д.
...
Ах да, реакция была, но не на видном месте.

Пост на форуме, куда попадают люди пытающиеся понять что происходит. Тема на Реддите.
Статьи по теме 1, 2, 3.

Если вам нужно срочно восстановить данные, то судя по комментариям единственный способ сделать это - вытащить диск и прогнать какой-нибудь программой восстановления.

Судя по всему, на разных устройствах все проявляется по разному. У кого-то остается интерфейс и исчезают данные, у кого-то полное окирпичивание. Кто-то может зайти по SSH, кто-то нет.
...
WD: инцидент с удаленным стиранием данных My Book Live и My Book Live Duo — это хакерская атака на пользователей
...
25 июня 2021 года WD рассказала о первых результатах расследования с инцидентом по удаленному стиранию данных с My Book Live и My Book Live Duo.

По мнению компании, злоумышленники смогли непонятным образом использовать уязвимость в сетевых хранилищах My Book Live и My Book Live Duo и подключиться к ним удаленно для выполнения команды сброса до заводских настроек, стирания данных и установки зловреда. Подверженные атаке устройства хранения были или остаются напрямую доступны из Интернета, либо через прямое соединение, либо через переадресацию портов, включенную вручную или автоматически через UPnP. WD просит всех пользователей My Book Live и My Book Live Duo срочно отключить незатронутые атакой сетевые хранилища от внешней сети.

В ходе продолжающейся атаки злоумышленники сканируют сеть Интернет на наличие открытых портов к интерфейсам доступа к My Book Live и My Book Live Duo. По мнению Bleeping Computer, для атаки используется критическая уязвимость CVE-2018-18472, которую с 2018 года производитель WD так и не пропатчил на пострадавших хранилищах, хотя вместе к ней был даже выпущен публичный экспериментальный эксплойт.

Специалисты WD обнаружили, что в ходе атаки на сетевые хранилища пользователей хакеры устанавливают троян «.nttpd, 1-ppc-be-t1-z» — это двоичный файл ELF Linux, скомпилированный для архитектуры PowerPC, которая используется в My Book Live и Live Duo. Образец этого трояна сейчас исследуется антивирусными сервисами.
...

Репутация, говорили они...
И ведь никто не будет компенсировать утерянные данные пользователям (за возможным исключением некоторых избранных стран, и то очень не сразу - а через групповой иск и всё такое).

PS
В атаке на сетевые хранилища WD хакеры пользовались системным скриптом, в котором была удалена проверка пароля
...
Теперь же стало известно, что хакеры использовали уязвимость нулевого дня, эксплуатация которой позволяет удалённо сбросить настройки упомянутых сетевых хранилищ до заводских.
...
Эта уязвимость примечательна тем, что с её помощью злоумышленники без особого труда смогли уничтожить петабайты пользовательских данных. Ещё более примечательно то, что разработчики WD по неизвестным причинам избавились от функции проверки имени пользователя и пароля при выполнении команды на сброс настроек. Недокументированная уязвимость находится в файле прошивки system_factory_restore, который содержит в себе сценарий PHP для сброса настроек до заводских с полным удалением хранящихся данных.

Обычно для выполнения команды на сброс настроек требуется подтверждение данного действия паролем. В этом случае ввод пароля является гарантией, что настройки подключённого к интернету устройства не будут сброшены удалённо злоумышленником. В упомянутом файле сценария содержатся пять строк кода, которые отвечают за вывод запроса на подтверждение сброса настроек паролем. Однако по неизвестным причинам эта часть кода оказалась закомментирована разработчиками.
...
Информация о недокументированной уязвимости появилась через несколько дней после атаки вредоносного ПО. Ранее WD объявила о том, что для сброса настроек сетевых хранилищ хакеры использовали старую уязвимость CVE-2018-18472, которая позволяет осуществить удалённое выполнение кода. Хотя об этой уязвимости стало известно ещё в 2018 году, WD так и не исправила её, поскольку поддержка устройств My Book Live была прекращена за несколько лет до этого.

В WD прокомментировали, что по крайней мере в некоторых случаях хакеры использовали для атаки на My Book Live уязвимость CVE-2018-18472, а уже после этого эксплуатировали вторую уязвимость, которая позволяет сбросить настройки до заводских.
...

PPS
Ещё одна 0-Day-уязвимость угрожает многим пользователям Western Digital
...
Western Digital проигнорировала вопросы о том, были ли решены в OS 3 проблемы, обнаруженные Домански и Рибейро. В заявлении, опубликованном на сайте компании 12 марта 2021 года, говорится, что компания больше не будет разрабатывать обновления безопасности для прошивки MyCloud OS 3.

«Мы крайне рекомендуем перейти на прошивку My Cloud OS5», — написано в заявлении. «Если ваше устройство невозможно обновить до My Cloud OS 5, то мы рекомендуем совершить апгрейд на другой продукт My Cloud с поддержкой My Cloud OS 5. Дополнительная информация представлена здесь». Список устройств MyCloud, способных поддерживать OS 5, находится здесь.

Но по информации Домански, OS 5 является полностью переписанной операционной системой Western Digital, из-за чего в ней отсутствует часть наиболее популярных особенностей и функций OS3.

«Они сломали большую часть функциональности, поэтому некоторые пользователи могут и не решиться мигрировать на OS 5».
...
Вот всё-таки короткие сроки поддержки - меньше 10 лет - для NAS имхо отвратительны. По идее, поддержка вообще должна быть более-менее пожизненной...

#хабр #реал #3dnews
Свернуть сообщение
-
Показать полностью
Показать 6 комментариев
Показать 1 комментарий
#реал #законы_реала #хабр
//Вдруг кому надо обратить внимание?

Обязательная перепись бизнеса в РФ 2021 для ИП и ООО
...
А коснуться это должно всех ИП и ООО, зарегистрированных на территории РФ. Самое важное, что сделать это нужно до 31 марта. При заполнении формы на Госуслугах - до 1 мая.

Суть в том, что нужно потратить 10 минут времени и заполнить форму с данными, которые, в общем-то есть во всех открытых источниках.

За несоблюдение, вроде бы, грозят штрафами от 20тр (ИП) до 70тр (ООО).

Я заполнял форму через Госуслуги - у меня ИП и они там это знают.
Показать полностью
Показать 2 комментария
В блоге фандома Тетрадь Смерти
Death Note, анонимность и энтропия - перевод вполне интересной статьи, разбирающей де-анонимизацию с разных позиций, используя Тетрадку.
...
Исследования указывают на много других не менее странных способов деанонимизировать пользователя. Так как всё коррелирует со всем, любой мелочи может быть достаточно для деанонимизации пользователя:

* Мелкие погрешности в часах компьютера (даже через Tor)
* История браузера, а то и просто версия и набор плагинов. Это не считая случаев, когда баги Firefox, Google Docs или Facebook напрямую сливают личность пользователя.
* Атаки по времени, основанные на измерении времени загрузки. С их помощью можно даже узнать имя пользователя и число приватных фото.
* 42% пользователей XING были однозначно идентифицированы по набору групп, в которых они состоят. Тот же принцип может работать и в других соцсетях.
* Зная всего несколько фильмов, которые пользователь посмотрел на Netflix (неважно, популярных или малоизвестных), можно найти все остальные данные его профиля. Эта атака работает только для профилей, вошедших в анонимизированный датасет Netflix Prize, но она позволяет идентифицировать человека по невероятно малому количеству информации. Никто и не подозревал, что ваши предпочтения в аниме могут вас выдать, даже если не смотреть экзотические тайтлы.
* Те же авторы использовали поиск изоморфизмов между произвольными графами, скажем, социальными сетями безо всяких данных, кроме топологии графа друзей/групп (конкретно для соцсетей показано на паре Flickr/Twitter) для деанонимизации людей, вошедших в публичные анонимизированные датасеты. Поиск изоморфизмов между произвольными графами звучит как NP-трудная задача и вполне может ей являться, но на практике современные алгоритмы с ней неплохо справляются.
* Про имена пользователей и их переиспользование я вообще молчу.
* Кстати об анонимизированных данных, даты рождения, пола и места проживания вполне достаточно для кросс-корреляции между предположительно анонимизированными наборами медицинских или судебных данных и публичными списками избирателей. 97% зарегистрированных избирателей Кембриджа (Массачусетс) однозначно идентифицируются по дате и месту рождения (прим. пер.: имеется в виду не город рождения, а ZIP code, почтовый индекс), а 29% — по дате рождения и полу.
* Ритм использования клавиатуры пригоден для биометрии. Звук или видео печати не только идентифицируют человека, но и могут использоваться для кражи паролей.
* Зная путь от дома до работы с точностью до квартала, можно однозначно идентифицировать человека; 5% людей идентифицируются даже по пути с точностью до почтового индекса.
* В опознании по почерку нет ничего нового; а как вам опознание по тому, как человек заштриховывает поле в анкете? Точность не абсолютная, но в 51% случаев алгоритм угадывает человека, а в 75% называет его среди топ-3 кандидатов из примерно сотни.
* Кстати о письме, автоматическое определение автора по стилю текста — широко распространённая практика.
* Незаметный для человека шум в электрической проводке меняется со временем и позволяет датировать аудиозаписи. Подобные уникальные шумы могут использоваться для отслеживания людей или приборов, мониторинга активности в помещении и прочая и прочая.
* Каждый школьник знает про подслушивание с помощью лазерных микрофонов. А как насчёт подслушивания через видеозапись пачки чипсов или фантика от конфеты? Как насчёт подслушивания через гироскоп мобильника? Как насчёт использования жёсткого диска в качестве микрофона? С помощью лазера можно ещё и считать на растоянии сердечный ритм, а он уникален.
* Водителя можно опознать по стилю вождения, иногда даже за единственный разворот.
* Историю перемещений мобильного телефона можно отследить при отключенном GPS за счёт изменения часовых поясов, атмосферного давления, корреляции с публичными данными типа расписания поездов и прочих мелочей.
* Фотографии со смартфона позволяют идентифицировать конкретное устройство по мелким погрешностям сенсоров и линз. Фейсбук это даже запатентовал.
* Паттерн использования смартфона коррелирует с болезнью Альцгеймера и чертами личности.
* Голос коррелирует не только с возрастом и этнической принадлежностью, но и с внешностью.


Коротко говоря, дифференциальная приватность практически невозможна; почти любая активность выдаёт достаточно информации, чтобы опознать деятеля; и вообще приватность мертва.
...

#хабр #приватность
Свернуть сообщение
-
Показать полностью
#__ 2
#11 2
#146 2
#1a 2
#1класс 2
#2017 1
#2048 2
#22 2
#2slowpokes 2
#3310 1
#502 2
#5Пост 2
#8SeriesDW 2
#a1 2
#aa 2
#aa_aa 2
#aaa 2
#acer 3
#advert 2
#alignment 2
#ALLHAILBRITANNIA 2
#alpha 1
#amv 1
#ancient 2
#android 1
#anime 42
#animesuggest 1
#announce 1
#asoiaf 3
#attention 2
#au 3
#backup 2
#bash 1
#bdsm 3
#bear 1
#beardofdumbledore 2
#berserk 2
#blogs 4
#boyanus 2
#breakingnews 1
#bredor 105
#bredоr 1
#breodr 1
#brexit 2
#captain_obvious_mode 3
#christmas 2
#clarek 1
#closure 2
#cmv 1
#crash 2
#crossover 12
#cute 2
#darkside 3
#darthvader 2
#dementor 2
#dnd 2
#dniwe 1
#dniwenoob 2
#dniwenyan 11
#doctorwho 44
#doctorwho9 2
#dota 1
#DW 5
#easteregg 4
#english 1
#everybodykeepsgrowingfat 2
#exterminate 2
#facepalm 6
#fanfic 1
#fanfics 24
#fanficsme 2
#fanfiktion 1
#fantastic_beasts 3
#fear 1
#femslash 1
#ficbook 4
#game 2
#gdguhjkgdf 2
#geass 2
#geektimes 2
#got 1
#habr 18
#harshad 2
#hash 2
#hogs 2
#hotdog 1
#HP 2
#hpmor 1
#iamnotamanul 2
#idea 3
#ideas 2
#ihatebroadcomandmsndis 2
#iwish 1
#izumgorod 2
#js 2
#knightmare_frame 2
#kyso 5
#lil_stockholm 2
#links 5
#litrpg 1
#live 1
#logh 1
#lol 4
#lolg 2
#LOLWUT 3
#lookingfor 4
#lordofsiths 2
#luciuslivematters 1
#madoka 2
#manulization 1
#mathmage 2
#memes 1
#multifandom 2
#mute 1
#my 1
#nb 1
#nc 1
#nevermind 3
#news 6
#newschool 2
#nextdniwe 2
#nge 1
#no_comments 2
#noSIDnohash 2
#now 2
#nsfw 2
#nuclear 1
#nya 2
#oeis 2
#offline 1
#Oo 3
#OP 2
#ova 1
#pic 1
#Pida 2
#pidaresht 5
#pidarest 2
#pokyso 2
#potter 2
#pottermore 2
#py 3
#queue 3
#quote 2
#reddit 1
#reminder 1
#repost 1
#request 4
#rtfm 1
#sch 2
#schedule 1
#sedlex 1
#severdmode 2
#simple 2
#sith 2
#skype 1
#skyrim 2
#slayers 2
#sliceoflife 1
#slowpoke 7
#snake 2
#somewhere_around 1
#sorewahimitsudesu 2
#spoiler 1
#spoilers 1
#starwars 6
#strange 2
#stream 1
#suggest 2
#survey 5
#tag 1
#telegram 3
#terms 1
#testtag 1
#testtag1 3
#todo 1
#trailer 1
#trash 2
#trashmode 2
#trololo 2
#turkey 1
#ubuntu 2
#uprt 3
#usa 1
#userscript 3
#uybuntu 2
#vader 2
#vanilla 2
#video 5
#vis 1
#vk 1
#voldemort 1
#vsemKyso 2
#web 1
#westeros 2
#who 2
#wish 1
#wlater 1
#worm 1
#xuy 2
#xuй 2
#youtube 1
#zhh 1
#А_почему_бы_нет 2
#абыаризация 2
#аднищетонеграмотное 2
#аниме 2
#асер 2
#аяневпидареште 2
#баг 1
#бандера 2
#баян 12
#бегите_глупцы 3
#Безвыигрышнаялотерея 2
#безкомментариев 2
#белобрысыелошадки 2
#Битва_за_Хогвартс 1
#блоги 1
#блогомафия 27
#блондинка_и_лигры 1
#бойся_суп 2
#большебреда 2
#бред 4
#БРЕДОДОБЫЧА 2
#бредор 1
#бредр 1
#васпредупреждали 2
#вброс 13
#вейдер 2
#вейдерсправа 3
#вернитевейдера111 2
#Взгляд_в_будущее 1
#видео 4
#возмножно_баян 2
#вочередь 3
#всем_покисо 1
#всем_покс 2
#всем_покысо 3
#всем_пофиг 3
#всем_пох 13
#всеманул 1
#всемкысо 3
#всемманул 2
#всемпокысо 8
#всемпофиг 2
#всемпох 4
#всякая_фигня 1
#вузы 2
#гп_канон 1
#ГПФандом 2
#гречка 2
#гролар 1
#гуглень 2
#Дайри 1
#дамбигад 2
#дата 2
#дафнагринграсс 2
#деанон 2
#Дети 2
#дискиненужны 2
#для_симметрии 2
#днище_няша 2
#днищевсеравноняша 4
#днищеня 30
#докторкто 6
#др 3
#другойтег 2
#евровидение_2016 2
#ЕГЭ 2
#ёёё 2
#ёфикацияднища 2
#жолтаяпресса 2
#жыр 10
#забавно 4
#завернитессобой 2
#закон 1
#занятно 2
#заявка 20
#идеи 1
#иллюстрации_на_фанфиксе 1
#интересно 6
#информации_псто 1
#история_пидарешта 2
#историяповторяется 2
#ихихи 2
#какаятостатья 2
#кампутирнаяграматнасть 2
#канон 3
#канонгори 2
#капитаночевидность 2
#кетайскиеноуты 2
#кинопоиск 2
#кисо 1
#кошачий_суп 1
#криворукость 2
#криптоблоги 3
#кроссовер 6
#кысо 5
#ликбез 2
#лол 8
#луч 2
#любовь_моя 2
#Люциус 1
#магглятина_уходи 1
#малоли 2
#манулирование 1
#матемаг 1
#матфильтр 1
#мафия_13 1
#мафия_по_ГП 1
#мббаян 2
#мейлру 2
#мейнстрим 2
#мерка 2
#месхи 2
#мини 2
#моё 2
#мультфильм 1
#мультфильмы 1
#мухтар 2
#наблюдение 3
#наблюдения 5
#небагафича 3
#незаыть 2
#неканон 1
#немои 2
#ненависть 4
#необращайтевниманиянаэтотпост 2
#неспойлерим 2
#нечитайтепост 2
#новости 4
#ногомяч 2
#нормвсе 2
#ноэтихдрпеилможнобылоуьахуьлол 2
#нуавдруг 2
#нуавдругктонезнает 2
#ньяхаха 2
#ня 2
#ОБЖ 3
#обсуждение 2
#однакожи 2
#ололо 2
#оО 2
#опрос 3
#опрс 2
#ответ 1
#ОТП 1
#очевидно 2
#очевидность 1
#оченьважно 1
#партия_17 1
#переходы 2
#петросянство 2
#пидарешт 9
#писательское 1
#письмо_Деду_Морозу 1
#плио 1
#повседневное 2
#погода 3
#поиск_фиков 1
#покисо 4
#покысо 13
#политота 7
#пост 1
#посупо 2
#прародители 2
#приветлиза 2
#продолжаемразвиватьлинию 2
#просто 2
#просто_информация 2
#просто_цитата 2
#простотак 2
#Раз_такая_пьянка 2
#реклама 3
#Реф 1
#РРРРРРРРРРРРРРРррррррррррррррррр 2
#русская_классика 2
#сжечь 1
#сжигать 1
#скрыт 1
#скучно 5
#слеш 3
#смишно 2
#события 2
#Соцопрос 6
#спб 1
#спервадобейся 2
#спервасохранись 2
#спойлер 4
#спойлеры 3
#справавейдер 2
#ссылки 1
#старыеблоги 2
#статистика 12
#статистика_фанфикса 4
#стихи 3
#страдания 3
#странный 2
#суп 4
#тег_для_скрыта 4
#теориязаговора 2
#типа_комбинаторика 2
#типичный_суп 2
#тожедлясимметриинодругой 2
#толсто 2
#толстыйвброс 2
#треш 2
#тупойолливандер 1
#тупыевопросы 1
#тупыесериалы 2
#тупыесны 2
#Тыжднище 2
#тэг_для_скрыта 2
#угадайка 2
#упрт 5
#учеба 1
#фантастические_звери 1
#фейки 1
#фейки_фанфикса 2
#фем 1
#Феминизм 2
#фемфест 1
#фентези 3
#фикбук 7
#фики 1
#философские_размышления 2
#фича 2
#Флешмоб 3
#флэшмоб 1
#фэнтези 2
#хuy 2
#хабр 3
#хищниксамовыпилился 2
#хочуздравуюидеюикофебезсахара 2
#хроникипидарешта 4
#чс 1
#шерлок 2
#ыы 2
#ЫЫЫЫ 3
#ЫЫЫЫЫЫЫЫЫЫЫЫЫЫЫ 2
#экзамен 2
#эксперимент 2
#я_должна_учить_ 1
#я_должна_учить_матан 1
#ялюблюсупа 2
#япродругое 2
#ятебяпоIP 2
Свернуть сообщение
-
Показать полностью
Семь провайдеров VPN «без регистрации» открыто хранили 1,2 ТБ данных пользовательских журналов
...
Первым утечку обнаружил Боб Дьяченко из Comparitech. Он нашел 894 ГБ записей в незащищенном кластере Elasticsearch, который принадлежал UFO VPN. База включала пароли, токены сеансов VPN, IP-адреса пользовательских устройств и серверов VPN, к которым они подключались, временные метки подключения, информация о местоположении, характеристиках устройства и версиях ОС. Сервер впервые был проиндексирован поисковиком Shodan 27 июня.
...
Уже 5 июля команда Ноама Ротема из VPNmentor обнаружила аналогичные базы. Они принадлежат семи провайдерам VPN из Гонконга — UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN.

Эти провайдеры передавали данные в Интернет из незащищенного кластера Elasticsearch. Они включали записи посещенных веб-сайтов, журналы подключений, имена людей, адреса электронной почты и домашние адреса подписчиков, текстовые пароли, информацию о платежах в биткойнах и PayPal, сообщения в службу поддержки, спецификации устройств, и информацию об учетной записи.
...
посоветовали пользователям UFO VPN немедленно сменить свои пароли, а также сменить аналогичные пароли, которые могут использоваться в других учетных записях.
...
VPN, если он не лично ваш - это всегда риск. К сожалению, даже платность ничего не говорит о реальной надёжности - не говоря уж о юридическом адресе.
Предохраняйтесь.

#приватность #хабр
Свернуть сообщение
-
Показать полностью
Что делать, если на гос.портале с вас собирают персональные данные и хотят согласия на рассылку рекламных сообщений?
...
есть кассационное определение Верховного Суда РФ в пользу субъекта персональных данных по вопросу истребования согласия на обработку персональных данных при оказании государственных слуг.

Сама история тезисно:
1. Заявитель – физическое лицо обратился за госуслугой в госорган субъекта РФ.
2. По имеющемуся административному регламенту, вместе с заявлением на оказание госуслуги заявитель должен давать свое согласие на обработку персональных данных по установленной форме.
3. Заявитель отказался дать свое согласие, в частности, опасался передачи сведений третьим лицам.
4. Заявителю в предоставлении госуслуги отказали.
5. Первая инстанция встала на сторону Заявителя.
6. Апелляция встала на сторону госоргана.
7. ВС РФ встал на сторону Заявителя.

Из определения ВС РФ по сути:

* Согласие на предоставление персональных данных носит добровольный характер
* Все данные для оказания госуслуги были указаны в заявлении, и по ФЗ от 27.07.2010 N 210-ФЗ у госоранов нет прав требовать ненужные для оказания госуслуги согласия и документы.

...
Кому не лень - погуглите глубже, важный ведь нюанс.
Правда, разработчикам приложений для взаимодействия с госструктурами обычно этот нюанс не доводят, что изрядно обесценивает...

#хабр #реал
Свернуть сообщение
-
Показать полностью
Показать 4 комментария
Показать более ранние сообщения

ПОИСК
ФАНФИКОВ











Закрыть
Закрыть
Закрыть