Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 22
manucan, а можете привести ещё и текст обращения?
Посетитель заходит на сайт, скрипт срабатывает и пытается определить профиль Вконтакте. Никаких особых действий от посетителя не требуется — он работает с сайтом, ничего не подозревая о работе SocFishing.Вот и я задумался об отключении сценариев на веб-страницах…
Боюсь, мне не удастся это сделать. Я текст не сохранил с формы запроса, а в обратном письме они его не приводят.
Для того, чтобы скрипт определил именно профиль вконтакте, Вы должны дать этому скрипту (приложению) разрешение на доступ к своим данным. Но очевидно, что Вы этого не делаете. Достигается это разными хитрыми способами. Просто от захода никто профиль видеть не может.
Да, очень просто — вам же четко сказали, хоть и между строк «Контора создана не для блюдения ваших интересов, а для членов элитного клуба». Все.
Этот рос(ком|потреб)надзоры вообще последнее время страдают откровенным бредом. Например сегодня заблочили github.com — подозреваю что работа (ит направления) в половине страны встала.
Ответ меня удивил, хотя не сказать, что очень сильно, зная государство в котором мы все живем. Однако вывод из ответа конечно напрашивается ошеломительный.
ФЗ «О персональных данных», статья 6:
1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
…
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
Социальная сеть осуществляет обработку Ваших персональных данных на основании пунктов 1 и 10, а сервис отслеживания, собирающий информацию, доступную неограниченному кругу лиц на Вашей странице в социальной сети, – только на основании пункта 10. А неэтичный способ сбора такой общедоступной информации (без согласия пользователя там, где такое согласие обычно требуется) закону не противоречит. Более того, статья 7 ФЗ «Об информации, информационных технологиях и о защите информации» содержит следующие нормы:
1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.
2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.
Что же касается фишинга, то в зависимости от его формы:
— сбор пользовательских паролей в общем случае – нарушение права обладателя информации, предусмотренного пунктом 1 части 3 статьи 6 ФЗ «Об информации, информационных технологиях и о защите информации»;
— сбор пользовательских паролей для хищения денежных средств – статья 159.6 УК РФ;
— и т. д.
А что касается возможного реального нарушения, то к сфере обработки персональных данных оно не относится: во многих случаях факт посещения человеком определенной веб-страницы относится к его частной жизни, а неприкосновенность частной жизни охраняется законом (часть 1 статьи 23 Конституции, статья 137 УК РФ и некоторые другие нормы). Но здесь уже нужно доказать факт незаконной передачи сведений о посетителях веб-сайта третьим лицам.
Вы только, что очень грамотно объяснили название поста. А так же и последствия этого для любого сбора любых данных для любого использования, если только это не пароли.
По факту любой теперь может снять любые ваши данные любым вирусным способом и использовать их по любому назначению.
Ведь он не нарушит фактически ничего.
По факту любой теперь может снять любые ваши данные любым вирусным способом и использовать их по любому назначению.
Ведь он не нарушит фактически ничего.
Общедоступная информация на то и общедоступная, что ее может использовать каждый.
Пароли я приводил в качестве примера.
Если речь идет про компьютерные вирусы, то есть статья 273 УК РФ.
если только это не пароли
Пароли я приводил в качестве примера.
По факту любой теперь может снять любые ваши данные любым вирусным способом и использовать их по любому назначению.
Если речь идет про компьютерные вирусы, то есть статья 273 УК РФ.
Так я об этом и говорю. То есть государство заявляет, и Вы это подтверждаете, что любые данные которые мы передаем в социалки они становятся доступными не только друзьям, но так же и рекламным сетям, собирающего данные путем эксплуатирования уязвимостей в программных продуктах, например тот же кликджеккинг. А потом продающие их за деньги.
Прям электронный гопстоп: «Мы ниуиноуатые, сам всио отдал».
Прям электронный гопстоп: «Мы ниуиноуатые, сам всио отдал».
Прям электронный гопстоп: «Мы ниуиноуатые, сам всио отдал».
А не сам разве? Создавать профили в социальных сетях, слава богу, пока никто не заставляет (хотя вот учителей уже по факту заставляют, да), это дело сугубо добровольное. По-моему очевидно, что все, выходящее за пределы локального компьютера — потенциально уязвимо, и это надо иметь в виду. Можно перефразировать известный принцип — «все, что вы передали в сеть, может быть использовано против вас или в интересах третьих лиц». И это не зависит от наличия или отсутствия каких-то законов — если такая техническая возможность есть, ее обязательно будут использовать, соблазн слишком велик.
То есть государство заявляет, и Вы это подтверждаете, что любые данные которые мы передаем в социалки они становятся доступными не только друзьям, но так же и рекламным сетям
Не все данные, а только те, которые доступны публично (и стали публичными на законных основаниях). Личные сообщения, пароли и другая подобная информация могут стать общедоступными только с Вашего согласия (а в некоторых случаях может требоваться и согласие других лиц).
собирающего данные путем эксплуатирования уязвимостей в программных продуктах, например тот же кликджеккинг
Общедоступность информации и способ сбора (использования) информации – это две разных категории. Нет никакого нарушения в том, что я получил публичную информацию из Вашего профиля в социальной сети, как нет никакого нарушения в том, что я, например, сфотографировал информацию на рекламном щите на улице. В то же время информация о посещении Вами определенной веб-страницы не является общедоступной (поскольку в ряде случаев относится к частной жизни лица), хотя она и связана с полученными из социальной сети общедоступными данными. И факт передачи этой информации о посещениях веб-страниц конкретным человеком третьим лицам (т. е. не самому посетителю и не владельцу посещенного веб-сайта) без Вашего согласия будет нарушением закона (но если такой передачи нет, то и нарушения закона нет).
И факт передачи этой информации о посещениях веб-страниц конкретным человеком третьим лицам… без согласия самого посетителя будет нарушением закона...
Fixed.
Спасибо большое за ликбез. Хотя сути заголовка этой статьи это не меняет, а наоборот подтверждает.
Я не давал socfishing.ru разрешение на сбор данной информации.
Понимаете, я давал вконтакте разрешение на публикацию моей информации. Но я не давал разрешение ее воровать у вконтакте, я не давал разрешение сопоставлять мои публичные данные через куки, я не давал разрешения авторизовываться на сайте через подложные невидимые кнопки авторизации и пр.
То есть если мой профиль стал по каким-то причинам доступным socfishing.ru это не дает им право рассказывать всем подряд о моих перемещениях и более того получать за это деньги.
Вы аппелируете к вконтакте вроде как я отдал им инфу о себе, то эта информация является общедоступной. Я согласен можно зайти на мой профиль, прочитать обо мне. Но извините, не взлом моего браузера и эксплуатация уязвимости вконтакте, а как следствие продажа данных о моих перемещениях.
Попробую перевести на простой язык. Я говорю, что согласен с Вами, что посмотреть мой паспорт турагент может, но он не может наклеивать мне на джинсы поисковый маячок, треккать мой чип в биометрическом паспорте, а так же налево и направо продавать данные о моем местонахождении. Да, я дал разрешение посмотреть и записать данные моего паспорта, но более ни на что.
Вы же в данном случае говорите, что турагент имел право посмотреть паспорт, а то что он за мной стал следить и продавать данные это уже вроде как просто некрасиво, но не наказуемо, типа сам дурак, что отдал паспорт.
Я утрирую пример, но думаю Вам понятен смысл.
И факт передачи этой информации о посещениях веб-страниц конкретным человеком третьим лицам… без согласия самого посетителя будет нарушением закона...
Я не давал socfishing.ru разрешение на сбор данной информации.
Понимаете, я давал вконтакте разрешение на публикацию моей информации. Но я не давал разрешение ее воровать у вконтакте, я не давал разрешение сопоставлять мои публичные данные через куки, я не давал разрешения авторизовываться на сайте через подложные невидимые кнопки авторизации и пр.
То есть если мой профиль стал по каким-то причинам доступным socfishing.ru это не дает им право рассказывать всем подряд о моих перемещениях и более того получать за это деньги.
Вы аппелируете к вконтакте вроде как я отдал им инфу о себе, то эта информация является общедоступной. Я согласен можно зайти на мой профиль, прочитать обо мне. Но извините, не взлом моего браузера и эксплуатация уязвимости вконтакте, а как следствие продажа данных о моих перемещениях.
Попробую перевести на простой язык. Я говорю, что согласен с Вами, что посмотреть мой паспорт турагент может, но он не может наклеивать мне на джинсы поисковый маячок, треккать мой чип в биометрическом паспорте, а так же налево и направо продавать данные о моем местонахождении. Да, я дал разрешение посмотреть и записать данные моего паспорта, но более ни на что.
Вы же в данном случае говорите, что турагент имел право посмотреть паспорт, а то что он за мной стал следить и продавать данные это уже вроде как просто некрасиво, но не наказуемо, типа сам дурак, что отдал паспорт.
Я утрирую пример, но думаю Вам понятен смысл.
Я говорю, что согласен с Вами, что посмотреть мой паспорт турагент может, но он не может наклеивать мне на джинсы поисковый маячок, треккать мой чип в биометрическом паспорте, а так же налево и направо продавать данные о моем местонахождении. Да, я дал разрешение посмотреть и записать данные моего паспорта, но более ни на что.
Нет, не совсем так. ВКонтакте — это не турагент. Это как если бы Вы ходили с большим плакатом (ну или тут, скорее, арендовали рекламный щит), на котором написаны Ваши паспортные данные, номер кредитки, etc. Разумеется, большинству нормальных людей пофиг — посмотрят и пройдут мимо, или вовсе не заметят. Но всегда есть вероятность, что кто-то перепишет данные и, например, серыми путями возьмет кредит на 100500 миллионов под залог Вашей недвижимости.
Вы же в данном случае говорите, что турагент имел право посмотреть паспорт, а то что он за мной стал следить и продавать данные это уже вроде как просто некрасиво, но не наказуемо, типа сам дурак, что отдал паспорт.
Нет, я такого не говорил, равно как не говорил и чего-то аналогичного.
Понимаете, я давал вконтакте разрешение на публикацию моей информации. Но я не давал разрешение ее воровать у вконтакте, я не давал разрешение сопоставлять мои публичные данные через куки, я не давал разрешения авторизовываться на сайте через подложные невидимые кнопки авторизации и пр.
Хорошо, какой закон в данном случае не соблюдается? И какое именно Ваше право нарушается? Из опубликованного ответа видно, что нарушение Ваших прав как субъекта персональных данных не усматривается, с чем я полностью согласен (и что я обосновал ранее). Давайте попробуем рассматривать Вас не как субъекта персональных данных, а как обладателя информации, т. е. перейдем от ФЗ «О персональных данных» к ФЗ «Об информации, информационных технологиях и о защите информации». Закрепляет ли последний закон право на ограничение доступа к общедоступной (и ставшей общедоступной на законных основаниях) информации со стороны обладателя этой информации? Как регулирует этот закон сопоставление публичных данных через «куки» и невидимые кнопки авторизации? Есть ли вообще закон, который регулирует такие действия?
Но извините, не взлом моего браузера и эксплуатация уязвимости вконтакте, а как следствие продажа данных о моих перемещениях.
А что такое «взлом» в Вашей ситуации? Под какой закон подвести эксплуатацию уязвимости ВКонтакте (если таковая вообще имеет место)?
___
Это все я к тому, что Роскомнадзор не будет за Вас искать правовые основания (при этом Вам дали вполне исчерпывающий юридический ответ, а не отписку), Вы должны сами указать, что конкретно было нарушено.
Я еще раз подчеркну, что в Вашей ситуации есть три аспекта:
1. характер информации о Вас (т. к. речь идет, прежде всего, о публичной информации из профиля в социальной сети, то какого-либо нарушения здесь не усмотреть, т. к. общедоступную информацию может использовать каждый; с другой стороны, есть и другая информация, фиксирующая Ваше посещение определенной веб-страницы, которая вполне может быть признана носящей закрытый характер);
2. использование (передача) необщедоступной информации о Вас (здесь может быть нарушение, которое я описал ранее);
3. способ, которым была получена информация о Вас (а здесь лежат все Ваши претензии, касающиеся «взлома», «кук» и невидимых кнопок, однако к какой-либо правовой категории – вредоносные компьютерные программы, специальные технические средства для негласного получения информации, неправомерный доступ к охраняемой законом компьютерной информации – эти понятия не относятся, т. е. к какому-либо запрету или нарушению права их не подвести – ну не регулирует закон «куки» и кнопки на сайтах и одним лишь «не нравится» здесь не обойтись).
Еще раз убеждаюсь, что мое параноидальное недоверие к любым текстбоксам, в которые надо вводить реальные данные, более чем обосновано. Как говорится, «если вы параноик, это еще не значит, что за вами не следят».
Ну а социальные сети… На мой вкус, выкладывать реальную личную информацию (а свои фото с описаниями — тем более) куда-то, кроме локального жесткого диска, — вообщеидиотизм очень недальновидное решение, если, конечно, мы не говорим о публичной персоне, для которой это является основой бизнеса. Тем страннее для меня выглядит тот факт, что повальное большинство спокойно поступает именно так. Для простоты можно считать, что однажды выложенное останется в сети навсегда, и может быть использовано когда угодно и кем угодно, что очень недалеко от истины. Такое простое соображение очень хорошо остужает горячее желание делиться с миром чем ни попадя.
Ну а социальные сети… На мой вкус, выкладывать реальную личную информацию (а свои фото с описаниями — тем более) куда-то, кроме локального жесткого диска, — вообще
АААААА… ААААААААА… небо падает…
чего разорался-то? В работе Вами указанного сайта нет ничего, что бы противоречило действующему законодательству или морали. Ребята сделали сервис, который по открытым лично вами для всех данным собирает и анализирует информацию о Вас.
чего разорался-то? В работе Вами указанного сайта нет ничего, что бы противоречило действующему законодательству или морали. Ребята сделали сервис, который по открытым лично вами для всех данным собирает и анализирует информацию о Вас.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Фишинг теперь узаконен в РФ? Ответ Роскомнадзора развязывает руки кликджеккерам