Ukládáte si v telefonních kontaktech osobní informace? Není to dobrý nápad

Wired upozorňuje, že volební aplikace Donalda Trumpa si stahuje adresáře lidí, kteří si ji naintalují. Ptá se proč. Ale také varuje

Je to poměrně běžné. Stáhnete si aplikaci z App Store či Google Play a ta požádá o práva pro přístup ke kontaktům. Po získání vaše kontakty vezme a odešle kamsi provozovateli. V minulosti to dělala řada aplikací tajně a bylo okolo toho hodně skandálů, které nakonec vedly ke zpřísnění podmínek pro přístup ke kontaktům.

Wired upozorňuje, že volební aplikace Donalda Trumpa si také říká o přístup ke kontaktům, které vzápětí zpracuje a uloží v zásadě neznámo kde. Nedělá to tajně, ale Wired poměrně správně upozorňuje, že pokud si v kontaktech ukládáte osobní informace, dostává se k nim někdo cizí. A je otázkou, jaké úmysly má. A já bych dodal, je ještě větší otázkou, jestli vůbec dodržuje nějaká základní bezpečnostní opatření.

Kontakty v telefonech nejsou určeny pro ukládání osobních informací.

Přesto je zcela běžné, že tam lidé ukládají hesla, PIN k platebním kartám, zdravotní informace, čísla účtů i řadu dalších věcí, které do cizích rukou rozhodně nepatří. Přes skutečnost, že právě kontakty jsou z telefonů běžně kompletně odesílány různorodým aplikacím.

Dostat se k nim je navíc možné i řadou způsobů, o kterých se uživatelé nic nedozví – jsou v zásadě volně dostupné a nešifrované, v řadě případů synchronizované s různými cloudovými službami. A nutno dodat, že už jenom samotná jména, příjmení, e-maily, telefonní čísla i adresy mohou být velmi zajímavými údaji pro někoho, kdo je bude moci dál využít či zpeněžit.

Wired doporučuje pro ukládání (citlivých) osobních informací použít správce hesel nebo zaheslovaných souborů. A zcela správně upozorňuje, že databáze kontaktů v telefonu rozhodně není bezpečné místo pro ukládání čehokoliv jenom trochu citlivého.

TIP: ‣ Průvodce bezpečným Internetem, který bezpečný být nemůže na @365tipů vám pomůže s řadou věcí, které se týkají soukromí a bezpečí na Internetu.  Mezi tipy je pochopitelně i Správce hesel vám pomůže nejenom si hesla pamatovat, ale také zlepší bezpečí

Evropský soud: Lidé mají právo být zapomenuti (Googlem)


Nejvyšší evropský soud v úterý rozhodl, že lidé mají právo požádat Google o odstranění citlivých informace z výsledků vyhledávání

Rozhodnutí Nejvyššího evropského soudu může a nemusí být rozhodující pro další vývoj v otázkách ochrany soukromí, práva na soukromí a hlavně, zodpovědnosti vyhledávače za to, že zprostředkoval cestu k informacím někde uloženým. Trošku ne zcela jasné je, že soud klade Google za povinnost odstranit odkazy na informace, které jsou „neaktuální“ nebo „považované za irelevantní“.

V rozhodnutí navíc zaznělo, že „operátor internetového vyhledávacího stroje je zodpovědný za zpracování osobních údajů (dat), které se objeví na webových stránkách zveřejněných třetími stranami„. Skoro tradičně by se tak dalo říci, že soud možná nechápe jak funguje internet (natož vyhledávače). Nebo že možná chápe, ale nedochází mu, že není dost dobře možné identifikovat zda zpracovávaná data jsou či nejsou osobní.

K soudu se vše dostalo na základě stížnosti ze Španělska, kde si kdosi který si stěžoval na to, že se prostřednictvím Google bylo možné dostat k informacím o aukci jeho domu, umístěným v novinovém článku z roku 1998. A že tím došlo k porušení jeho práv na ochranu soukromí.

Google v soudním sporu tradičně oponoval tím, že žádná osobní data nezpracovává, pouze zprostředkovává cestu, odkaz, k místu, kde jsou volně a legálně dostupné na Internetu. Samotný výsledek Google bude muset analyzovat, ale společnost vyjádřila zklamání nad rozhodnutím, které se dotýká jak vyhledávacích strojů, tak online vydavatelů.

Evropská Unie výsledek považuje za „čisté vítězství v ochraně dat Evropanů“. Alespoň takto se vyjádřila Viviene Reding. Dodala k tomu ještě navíc, že „společnosti se již nemohou schovávat za jejich servery umístěné v Kalifornii nebo kdekoliv jinde.„. Viviene Reding na svém postu v EU končí a uchází se o znovuzvolení.

K soudu se Google dostal v roce 2001 a uvedená žádost nebyla ojedinělá, španělský úřad na ochranu soukromí po Google žádal odstranění stovek online článků z vyhledávání. K Evropskému soudu se vše dostalo až poté, co Google čelil žádostem u soudu v Madridu. Tamní soud si ale vyžádal právě rozhodnutí od Evropského soudu.

Právo na zapomnění je a není dobré

Právo na zapomnění samozřejmě je na jednu stranu dobré, otázkou ale v tomto případě zůstává, proč by to měl být právě Google, který by se měl stát nástrojem pro „cenzuru“ nevhodných informací. V tomto konkrétním případě je navíc zřejmé, že pokud v roce 1998 vyšel o nějakém muži článek, tak je „právo na zapomnění“ spočívající ve vymazání odkazů z Google absurdní. Informace samotná stále zůstává existovat, stále existují původní výtisky novin, stále je někde na Internetu.

Vše je navíc ještě složitější tam, kde jde o „obyčejného“ člověka a osobu, které se dotýká veřejný zájem. Zatímco na obyčejného člověka se „právo na zapomnění“ vztahuje, na veřejně činné osoby nikoliv. Tam kde je veřejný zájem v zachování informace by se podobné žádosti o odstranění neměly setkat s pozitivním výsledkem. Otázkou ale zůstává, jak rozlišovat, kdy informace jsou ve veřejném zájmu a kdy nikoliv. A kdo to vlastně bude posuzovat.

Ve finále to celé nakonec působí tak nějak jako klasické „nevidím zlo neslyším zlo„. Evropský Unie uspokojí několikale
té proklamace o tom, jak lidé mají právo na digitální zapomnění, ale zásadní věc stále zůstane. Na data sice nebude Google smět ukazovat, ale ty budou přesto stále existovat.

Facebook vaše „smazaná“ data (samozřejmě) nemaže

Australský student práv zjistil, že Facebook o něm uchovává přes 1 200 stránek materiálu i přesto, že většinu z těchto informací smazal. Uchovávané informace sahají několik let zpět a obsahují i informace, které uživatel Faceboku nemá volně přístupné.

Max Schrems získal informace z Facebooku, které měly být smazané a neexistující. Mimo jiné v získaných datech našel záznamy i o odmítnutých žádostech o přátelství, záznamy o odstranění přátel, kompletní historii konverzace. Stejně tak zde našel všechny fotografie, ke kterým odstranil označení (štítek), přehled všech události do kterých byl pozván, záznamy o všech Poke a e-mailové adresy všech lidí, se kterými si kdy na Facebooku cokoliv napsal. Mezi uchovanými konverzacemi našel i e-maily, které smazal.

Přehled stížeností na Facebook Ireland Limited je poměrně dlouhý. Najdete tam stížnosti na uchovávání informací po jejich smazání, shromažďování informací o lidech bez jejich vědomí, nutnost odstraňovat štítky, vágní pravidla na ochranu osobních údajů a informací, odmítání rozpoznávání osob na fotografiích, a řadu dalších věcí.

Schrems  v reakci na zjištění podal 22 samostatných stížností u irského Ministra pro ochranu informací a tamní ministerstvo na jejich základě chystá audit Facebooku. Ten by měl začít již příští týden a pokud bude bude Facebook shledán vinným z porušování zákona ochranu údajů/informací, hrozí mu pokuty ve výši stovek tisíc Euro.

Zdroj: Facebook could face €100,000 fine for holding deleted data

LulzSec (možná) získali kompletní data z čerstvého britského sčítání lidu

Jsou data českého Sčítání v bezpečí? Pokud se data z čerstvého britského sčítání lidu mohla ocitnout na Internetu díky aktivitám devatenáctiletého hackera, jak by asi dopadla data česká? A pochází prohlášení skutečně od LulzSec?

Britská metropolitní policie potvrdila zadržení devatenáctiletého mladíka, který by měl být zodpovědný za DDoS útoky na počítačové systémy, ale také za čerstvý únik dat britského sčítání lidu. LulzSec včera na Twitteru informovali, že „Government hacking is taking place right now behind the scenes,„. A o o několik později se na Pastebin.com objevilo následující oznámení.

Greetings Internets,

We have blissfully obtained records of every single citizen who gave their records to the security-illiterate UK government for the 2011 census

We’re keeping them under lock and key though… so don’t worry about your privacy (…until we finish re-formatting them for release)

Myself and the rest of my Lulz shipmates will then embark upon a trip to ThePirateBay with our beautiful records for your viewing pleasure!

Ahoy! Bwahahaha… >:]

Cap’n Pierre „Lulz“ Dubois

LINKS:

http://thepiratebay.org/torrent/6467131/Bethesda_internal_data

BONUS ROUND! SENATE.GOV!

http://lulzsecurity.com/releases/senate.gov.txt

Zdroj : http://pastebin.com/K1nerhk0

Podařilo-li se LulzSec získat data z britského aktuálního sčítání lidu, mají k dispozici údaje o všech občanech – osobní údaje, jména, adresy, náboženství, informace o rodině, příjmové informace, informace o zaměstnání. A s ohledem na aktivity za posledních několik měsíců lze očekávat, že nebudou mít žádné zábrany tyto data zveřejnit či jakkoliv využít.

Trend Micro se na svém blogu domnívá, že nedošlo k hacku, ale k úniku informací – někdo zevnitř data poskytl. Otázkou v takovém případě je, zda to nakonec ještě není horší. Ve Velké Británii je účast ve sčítání lidu povinná stejně jako v České republice. Sčítání v Británii realizuje společnost Lockheed Martin. Shodou okolností se minulý měsíc zjistilo, že se někomu podařilo dostat do jejich sítě s využití kompromitovaných RSA klíčenek (viz “Extrémně sofistikovaný” útok na RSA (možná) ohrožuje desítky tisíc firem z března tohoto roku).

Britský Statistický úřad vydal prohlášení, že otázku možného přístupu k datům sčítání prošetřuje a že prozatím nemá žádné informace, které by něco by potvrzovaly, že se data ocitla v  nepovolaných rukou. Oznámení od LulzSec se navíc objevilo pouze v podobě textové zprávy na PasteBin – předchozí oznámení o hacknutých webech LulzSec oznamovali vždy i na svém účtu na Twitteru.

Zdroj: All your citizens are belong to us (Trend Micro)

Google Profiles nabízejí miliony jmen i e-mailů uživatelů

Matthijs Koot, nizozemský student, ukázal jak snadné je zjistit miliony e-mailů, jmen a dalších údajů. Údajů lidí, kteří mají své profily v Google Profiles. Další díra do soukromí?

Google Profiles – https://profiles.google.com/ – jsou veřejně dostupné profily uživatelů služeb Google obsahující informace, které tam lidé o sobě nechali (nastavili viditelné, případně je tam doplnili).

Google má nové vyhledávání v profilech lidí

Nové Google profiles. Inspirace Facebookem samozřejmě čistě náhodná

Z veřejné povahy plyne, že kdokoliv si může napsat prográmek, který z Google Profiles získá všechno, co je tam uvedeno. Jméno a příjmení, profilové fotografie (je na vás co tam nahrajete), mailovou adresu u Google (tomu se vyhnout můžete správným nastavení „veřejné“ adresy profilu, na rozdíl od Facebooku, kde není možné tamní mailovou adresu zneviditelnit), údaje o zaměstnání (pokud jste je vyplnili), kde žijete a žili jste (pokud máte vyplněno), telefonní čísla (pokud jste je vyplnili), další mailové adresy (pokud jste je vyplnili), datum narození (pokud jste je vyplnili) a odkazy na vaše další online identity (pokud jste je vyplnili).

U Google Profiles je potřeba znovu zdůraznit, že jsou veřejné – dokonce až tak, že neveřejné profily uživatelů Google zruší 31. července. A více než kde jinde zde platí :

Cokoliv umístíte na Internet je veřejné

„Data-mining“ je snadný a nevyhnutelný

Matthijs Koot hlavně ukazuje, jak snadné je dnes stát se někým, kdo využije „data mining“ pro získání velkých databází lidí. Snaha aby informace o lidech v Google Profiles (i Facebooku) byly snadno nalezitelné znamená, že vždy existuje nějaký „adresář“, ze kterého je možné vycházet. U Google je výchozím prvkem Google Profiles Sitemap (Google Profiles Now Indexable in Search Engines) – respektive přes sedm tisícovek Sitemap souborů, které obsahují po pěti tisících odkazů na jednotlivé Google profily.

I kdyby uvedená Sitemap neexistovala, stále je možné iterovat skrz https://profiles.google.com/číslo (kde číslo je 20 ti místné).

Matthijs Koot v únoru nechal své software projít 35 milionů odkazů na veřejné profily v Google Profiles. Podivil se přitom, že ho Google někdy v průběhu procházení nezablokoval a poté konstatoval, že 40% profilů má v adrese profilu obsaženo uživatelské jméno z Google (což je Google e-mail adresa, kterou stejně prakticky všichni veřejně používají).

Zajímavá na Google Profiles Exposes Millions of Usernames, Gmails je ale i lekce v dataminingu s pomocí JavaScriptu a rozkladu dat, které Google v rámci profilu poskytuje JavaScript poli – pokud jste ještě neznali spidermonkey, podívejte se. Užitečná pomůcka.

Něčemu takovému se prostě nedá vyhnout. A je jedno kde se „data“ nacházejí – v okamžiku kdy mají být přístupná na Internetu, vždy bude existovat způsob jak je zpracovávat.

„Data-mining“ Facebooku

Google Profiles a možnost automatického „vysbírání“ údajů o milionech lidí není nic unikátního. A ani nového.

Je potřeba připomenout, že Facebook umožňuje to samé (viz Je monitoring Facebooku v souladu s Pravidly užívání?) a v červenci loňského roku se na Internetu objevil „hrůzostrašný“ a „děsivý“ přehled zhruba 100 milionů uživatelů – viz „Facebook Hack“ – Hrůzostrašný a děsivý seznam jmen se nekoná, jen neškodná statistika a Údaje 100 milionů uživatelů Facebooku volně k dispozici.

Pokud chcete podobné informace z Facebooku získávat, stále můžete. Je to velmi snadné (viz Jak získat 100 milionů údajů o uživatelích Facebooku) a budete potřebovat pouze dostatek času, trpělivosti, přenosové kapacity a malinko výpočetní síly. A Facebook vám to navíc výrazně zjednodušil – zavedením Open Graph API, takže žádné složité procházení webu a vyzobávání dat z polí JavaScriptu nebudete muset dělat.

A také je tu (falešná) Seznamka, co stáhla až MILIÓN profilů z Facebooku, bez vědomí lidí a samozřejmě několik chronicky známých „sociálních sítí“, které stejnou praktiku používají už několik let pro růst uživatelů – data mining Facebooku slouží k zakládání falešný účtů a posílání falešných pozvánek od neeexistujících přátel (nejznámější viz Badoo pokračuje ve spamu a snaze získat nové uživatele a používá stále Facebook fotografie i přátele).

Google zaútočil na Facebook změnou podmínek použití API pro přístup ke kontaktům

Google provedl malou změnu v podmínkách užívání API (aplikačního rozhraní) pro přístup ke kontaktům. Nově požaduje, aby jakákoliv služba či aplikace používající API k získání kontaktů umožňovala svým uživatelům totéž.

5.8. Google supports data portability. By accessing Content through the Contacts Data API or Portable Contacts API for use in your service or application, you are agreeing to enable your users to export their contacts data to other services or applications of their choice in a way that’s substantially as fast and easy as exporting such data from Google Contacts, subject to applicable laws. (Terms of Service)

Není příliš složité si tuto změnu vyložit i jako útok na Facebook a nemožnost získat z Facebooku kontakty – tedy informace o vašich přátelích. Jakkoliv nedávno Facebook zpřístupnil uživatelům možnost stáhnout si jejich Facebook data (viz Stáhněte si svůj kompletní Facebook profil – návod), právě Kontakty chybí. Jediné co uživateli Facebook ve stažených datech nabídne je seznam přátel – bez dalších informací a dokonce i bez odkazu na jejich Facebook profil.

Google zaútočil na Facebook změnou podmínek použití API pro přístup ke kontaktům

Přitom je to právě Facebook, který věnuje velké úsilí tomu, aby do vašeho Facebook účtu bylo možné získat data z vnějších zdrojů – včetně importu kontaktu z Google (kde Facebook neváhá si vaší Google Mail adresu zapamatovat jednou provždy a opakovaně ji používat). Ostatním službám přitom pravidelně a opakovaně v čemkoliv takovém brání – stačí vzpomenout na zablokování Twitteru a jeho služby umožňující zjisit, kteří vaši přátlé jsou také na Twitteru.

Změna pravidel Google ale není až tak dobrou zprávou jak se může stát – znamená změnu v politice otevřenosti Google a bere si uživatele jako rukojmí. Ten nemůže ovlivnit Facebook a jeho uzavřený charakter, tedy jedině tak, že by ho nepoužíval.