Пользователь
0,0
рейтинг
2 декабря 2014 в 11:54

Управление → Фишинг теперь узаконен в РФ? Ответ Роскомнадзора развязывает руки кликджеккерам

Меня очень сильно заинтересовал сервис socfishing.ru. Заинтересовал как по факту того, что мои данные передаются каким-то хмырям «третьим лицам» без моего ведома, так и то, что эти «третьи лица» являются ООО, зарегистрированными на территории РФ, действуя открыто и никого не стесняясь. Так же мне, конечно, стало любопытно, что, оказывается, можно вот так просто с помощью различных ухищрений, начиная с кликджеккинга, заканчивая всякими браузерными приблудами расширениями брать профили ссоциалок и просто тупо продавать официально. Да, не использовать хитроумно в рекламных настройках повышая релевантность рекламы и повышая продажи, не спрашивая разрешения, а вот так просто – уводи и продавай в открытую.

«Сто соц.профилей на сундук мертвеца, йохохохо, блекджек и куртизанки»

Под катом запрос в Роскомнадзор и ответ, который фактически можно использовать в качестве индульгенции для фишинга.

Не с целью насолить этой конторе, а с целью определения отношения государства к подобным действиям (в качестве понимания могу ли я это использовать в своей работе без нарушения закона) я написал в Роскомнадзор на их сайте письмо с целью разъяснения по существу нарушения закона «О персональных данных» и продаже их третьим сторонам. По сути мой вопрос, если сократить письмо в одну строку, состоял в следующем: «Вот компания, не понятно как добывает персональные данные, возможно с помощью кликджеккинга (ссылки мол вот, вот и вот как это делается) прощу разъяснить законность этих действий».

Ответ меня удивил, хотя не сказать, что очень сильно, зная государство в котором мы все живем. Однако вывод из ответа конечно напрашивается ошеломительный.

image
@manucan
карма
0,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Управление

Комментарии (22)

  • +4
    manucan, а можете привести ещё и текст обращения?
    Посетитель заходит на сайт, скрипт срабатывает и пытается определить профиль Вконтакте. Никаких особых действий от посетителя не требуется — он работает с сайтом, ничего не подозревая о работе SocFishing.
    Вот и я задумался об отключении сценариев на веб-страницах…
    • 0
      Боюсь, мне не удастся это сделать. Я текст не сохранил с формы запроса, а в обратном письме они его не приводят.
    • 0
      Для того, чтобы скрипт определил именно профиль вконтакте, Вы должны дать этому скрипту (приложению) разрешение на доступ к своим данным. Но очевидно, что Вы этого не делаете. Достигается это разными хитрыми способами. Просто от захода никто профиль видеть не может.
      • 0
        Подозреваю где-нибудь в футере появится запись «Пользуясь услугами нашего ресурса вы соглашаетесь отдать нам свои деньги и квартиру персональные данные из соц сетей».
  • +2
    Да, очень просто — вам же четко сказали, хоть и между строк «Контора создана не для блюдения ваших интересов, а для членов элитного клуба». Все.
    • 0
      Больше похоже на отъе «отстань».
      • 0
        Одно не мешает другому, а скорее логично дополняет.
  • +2
    Этот рос(ком|потреб)надзоры вообще последнее время страдают откровенным бредом. Например сегодня заблочили github.com — подозреваю что работа (ит направления) в половине страны встала.
  • +6
    Ответ меня удивил, хотя не сказать, что очень сильно, зная государство в котором мы все живем. Однако вывод из ответа конечно напрашивается ошеломительный.


    ФЗ «О персональных данных», статья 6:

    1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
    1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

    10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);


    Социальная сеть осуществляет обработку Ваших персональных данных на основании пунктов 1 и 10, а сервис отслеживания, собирающий информацию, доступную неограниченному кругу лиц на Вашей странице в социальной сети, – только на основании пункта 10. А неэтичный способ сбора такой общедоступной информации (без согласия пользователя там, где такое согласие обычно требуется) закону не противоречит. Более того, статья 7 ФЗ «Об информации, информационных технологиях и о защите информации» содержит следующие нормы:

    1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.
    2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.


    Что же касается фишинга, то в зависимости от его формы:
    — сбор пользовательских паролей в общем случае – нарушение права обладателя информации, предусмотренного пунктом 1 части 3 статьи 6 ФЗ «Об информации, информационных технологиях и о защите информации»;
    — сбор пользовательских паролей для хищения денежных средств – статья 159.6 УК РФ;
    — и т. д.
    • 0
      А что касается возможного реального нарушения, то к сфере обработки персональных данных оно не относится: во многих случаях факт посещения человеком определенной веб-страницы относится к его частной жизни, а неприкосновенность частной жизни охраняется законом (часть 1 статьи 23 Конституции, статья 137 УК РФ и некоторые другие нормы). Но здесь уже нужно доказать факт незаконной передачи сведений о посетителях веб-сайта третьим лицам.
    • 0
      Вы только, что очень грамотно объяснили название поста. А так же и последствия этого для любого сбора любых данных для любого использования, если только это не пароли.

      По факту любой теперь может снять любые ваши данные любым вирусным способом и использовать их по любому назначению.

      Ведь он не нарушит фактически ничего.
      • +2
        Общедоступная информация на то и общедоступная, что ее может использовать каждый.

        если только это не пароли


        Пароли я приводил в качестве примера.

        По факту любой теперь может снять любые ваши данные любым вирусным способом и использовать их по любому назначению.


        Если речь идет про компьютерные вирусы, то есть статья 273 УК РФ.
        • 0
          Так я об этом и говорю. То есть государство заявляет, и Вы это подтверждаете, что любые данные которые мы передаем в социалки они становятся доступными не только друзьям, но так же и рекламным сетям, собирающего данные путем эксплуатирования уязвимостей в программных продуктах, например тот же кликджеккинг. А потом продающие их за деньги.

          Прям электронный гопстоп: «Мы ниуиноуатые, сам всио отдал».
          • +1
            Прям электронный гопстоп: «Мы ниуиноуатые, сам всио отдал».


            А не сам разве? Создавать профили в социальных сетях, слава богу, пока никто не заставляет (хотя вот учителей уже по факту заставляют, да), это дело сугубо добровольное. По-моему очевидно, что все, выходящее за пределы локального компьютера — потенциально уязвимо, и это надо иметь в виду. Можно перефразировать известный принцип — «все, что вы передали в сеть, может быть использовано против вас или в интересах третьих лиц». И это не зависит от наличия или отсутствия каких-то законов — если такая техническая возможность есть, ее обязательно будут использовать, соблазн слишком велик.
          • +1
            То есть государство заявляет, и Вы это подтверждаете, что любые данные которые мы передаем в социалки они становятся доступными не только друзьям, но так же и рекламным сетям


            Не все данные, а только те, которые доступны публично (и стали публичными на законных основаниях). Личные сообщения, пароли и другая подобная информация могут стать общедоступными только с Вашего согласия (а в некоторых случаях может требоваться и согласие других лиц).

            собирающего данные путем эксплуатирования уязвимостей в программных продуктах, например тот же кликджеккинг


            Общедоступность информации и способ сбора (использования) информации – это две разных категории. Нет никакого нарушения в том, что я получил публичную информацию из Вашего профиля в социальной сети, как нет никакого нарушения в том, что я, например, сфотографировал информацию на рекламном щите на улице. В то же время информация о посещении Вами определенной веб-страницы не является общедоступной (поскольку в ряде случаев относится к частной жизни лица), хотя она и связана с полученными из социальной сети общедоступными данными. И факт передачи этой информации о посещениях веб-страниц конкретным человеком третьим лицам (т. е. не самому посетителю и не владельцу посещенного веб-сайта) без Вашего согласия будет нарушением закона (но если такой передачи нет, то и нарушения закона нет).
            • 0
              И факт передачи этой информации о посещениях веб-страниц конкретным человеком третьим лицам… без согласия самого посетителя будет нарушением закона...


              Fixed.
              • –1
                Спасибо большое за ликбез. Хотя сути заголовка этой статьи это не меняет, а наоборот подтверждает.

                И факт передачи этой информации о посещениях веб-страниц конкретным человеком третьим лицам… без согласия самого посетителя будет нарушением закона...


                Я не давал socfishing.ru разрешение на сбор данной информации.

                Понимаете, я давал вконтакте разрешение на публикацию моей информации. Но я не давал разрешение ее воровать у вконтакте, я не давал разрешение сопоставлять мои публичные данные через куки, я не давал разрешения авторизовываться на сайте через подложные невидимые кнопки авторизации и пр.

                То есть если мой профиль стал по каким-то причинам доступным socfishing.ru это не дает им право рассказывать всем подряд о моих перемещениях и более того получать за это деньги.

                Вы аппелируете к вконтакте вроде как я отдал им инфу о себе, то эта информация является общедоступной. Я согласен можно зайти на мой профиль, прочитать обо мне. Но извините, не взлом моего браузера и эксплуатация уязвимости вконтакте, а как следствие продажа данных о моих перемещениях.

                Попробую перевести на простой язык. Я говорю, что согласен с Вами, что посмотреть мой паспорт турагент может, но он не может наклеивать мне на джинсы поисковый маячок, треккать мой чип в биометрическом паспорте, а так же налево и направо продавать данные о моем местонахождении. Да, я дал разрешение посмотреть и записать данные моего паспорта, но более ни на что.

                Вы же в данном случае говорите, что турагент имел право посмотреть паспорт, а то что он за мной стал следить и продавать данные это уже вроде как просто некрасиво, но не наказуемо, типа сам дурак, что отдал паспорт.

                Я утрирую пример, но думаю Вам понятен смысл.
                • 0
                  Я говорю, что согласен с Вами, что посмотреть мой паспорт турагент может, но он не может наклеивать мне на джинсы поисковый маячок, треккать мой чип в биометрическом паспорте, а так же налево и направо продавать данные о моем местонахождении. Да, я дал разрешение посмотреть и записать данные моего паспорта, но более ни на что.


                  Нет, не совсем так. ВКонтакте — это не турагент. Это как если бы Вы ходили с большим плакатом (ну или тут, скорее, арендовали рекламный щит), на котором написаны Ваши паспортные данные, номер кредитки, etc. Разумеется, большинству нормальных людей пофиг — посмотрят и пройдут мимо, или вовсе не заметят. Но всегда есть вероятность, что кто-то перепишет данные и, например, серыми путями возьмет кредит на 100500 миллионов под залог Вашей недвижимости.
                • 0
                  Вы же в данном случае говорите, что турагент имел право посмотреть паспорт, а то что он за мной стал следить и продавать данные это уже вроде как просто некрасиво, но не наказуемо, типа сам дурак, что отдал паспорт.


                  Нет, я такого не говорил, равно как не говорил и чего-то аналогичного.

                  Понимаете, я давал вконтакте разрешение на публикацию моей информации. Но я не давал разрешение ее воровать у вконтакте, я не давал разрешение сопоставлять мои публичные данные через куки, я не давал разрешения авторизовываться на сайте через подложные невидимые кнопки авторизации и пр.


                  Хорошо, какой закон в данном случае не соблюдается? И какое именно Ваше право нарушается? Из опубликованного ответа видно, что нарушение Ваших прав как субъекта персональных данных не усматривается, с чем я полностью согласен (и что я обосновал ранее). Давайте попробуем рассматривать Вас не как субъекта персональных данных, а как обладателя информации, т. е. перейдем от ФЗ «О персональных данных» к ФЗ «Об информации, информационных технологиях и о защите информации». Закрепляет ли последний закон право на ограничение доступа к общедоступной (и ставшей общедоступной на законных основаниях) информации со стороны обладателя этой информации? Как регулирует этот закон сопоставление публичных данных через «куки» и невидимые кнопки авторизации? Есть ли вообще закон, который регулирует такие действия?

                  Но извините, не взлом моего браузера и эксплуатация уязвимости вконтакте, а как следствие продажа данных о моих перемещениях.


                  А что такое «взлом» в Вашей ситуации? Под какой закон подвести эксплуатацию уязвимости ВКонтакте (если таковая вообще имеет место)?

                  ___

                  Это все я к тому, что Роскомнадзор не будет за Вас искать правовые основания (при этом Вам дали вполне исчерпывающий юридический ответ, а не отписку), Вы должны сами указать, что конкретно было нарушено.

                  Я еще раз подчеркну, что в Вашей ситуации есть три аспекта:
                  1. характер информации о Вас (т. к. речь идет, прежде всего, о публичной информации из профиля в социальной сети, то какого-либо нарушения здесь не усмотреть, т. к. общедоступную информацию может использовать каждый; с другой стороны, есть и другая информация, фиксирующая Ваше посещение определенной веб-страницы, которая вполне может быть признана носящей закрытый характер);
                  2. использование (передача) необщедоступной информации о Вас (здесь может быть нарушение, которое я описал ранее);
                  3. способ, которым была получена информация о Вас (а здесь лежат все Ваши претензии, касающиеся «взлома», «кук» и невидимых кнопок, однако к какой-либо правовой категории – вредоносные компьютерные программы, специальные технические средства для негласного получения информации, неправомерный доступ к охраняемой законом компьютерной информации – эти понятия не относятся, т. е. к какому-либо запрету или нарушению права их не подвести – ну не регулирует закон «куки» и кнопки на сайтах и одним лишь «не нравится» здесь не обойтись).
                  • 0
                    с другой стороны, есть и иная информация


                    Fixed.
  • +1
    Еще раз убеждаюсь, что мое параноидальное недоверие к любым текстбоксам, в которые надо вводить реальные данные, более чем обосновано. Как говорится, «если вы параноик, это еще не значит, что за вами не следят».

    Ну а социальные сети… На мой вкус, выкладывать реальную личную информацию (а свои фото с описаниями — тем более) куда-то, кроме локального жесткого диска, — вообще идиотизм очень недальновидное решение, если, конечно, мы не говорим о публичной персоне, для которой это является основой бизнеса. Тем страннее для меня выглядит тот факт, что повальное большинство спокойно поступает именно так. Для простоты можно считать, что однажды выложенное останется в сети навсегда, и может быть использовано когда угодно и кем угодно, что очень недалеко от истины. Такое простое соображение очень хорошо остужает горячее желание делиться с миром чем ни попадя.
  • –1
    АААААА… ААААААААА… небо падает…
    чего разорался-то? В работе Вами указанного сайта нет ничего, что бы противоречило действующему законодательству или морали. Ребята сделали сервис, который по открытым лично вами для всех данным собирает и анализирует информацию о Вас.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.