Как стать автором
Обновить

Украинским разработчикам дали доступ к файлам со всех видеокамер Ring в мире

Время на прочтение3 мин
Количество просмотров35K
Всего голосов 64: ↑39 и ↓25+14
Комментарии76

Комментарии 76

Вот именно по этому я не смог купить никакой девайс из категории умного дома. Всё приходится делать самому и держать в полностью изолированной от интернета сети.
Вы можете купить отдельный роутер под умный дом (или заблочить доступ умным девайсам во внешний интернет на уже имеющемся) и поднять Home Assistant локально, например на raspberry.
Не знаю насчет всех устройств, но Xiaomi Smart Home (лампы, робот пылесос, очиститель, увлажнитель) можно заставить функционировать полностью, без физического доступа к внешнему интернету.
Я делал это не из соображений безопасности, а потому что меня бесил долгий отклик и перебои в работе серверов xiaomi.
Правда, для этого придется повозиться. У меня ушло 3 дня на первоначальную настройку, и я все еще не полностью продублировал все возможности MiHome. Зато я смог настроить группировку ламп намного более удобным способом, нежели это было возможно в оф. приложении.
Но для сетапа этого дела всё равно нужен внешний интернет. Нет ну его нафиг.
Только для того, чтобы читать доки.
Насколько я знаю нет, Xiaomi девайсы не подключатся без аппрува на китайском сервере. Потом могут работать, но сначала должны получить регистрацию. Сейчас сходу не нашёл, был статья недавно где вроде как это сломали и на кастом софте поднять можно.

Не могли бы вы несколько подробнее рассказать каким образом вы все это настроили? Хотелось бы проделать нечто подобное у себя. На мой взгляд отличная тема для отдельной статьи.

У Xiaomi часть устройств работает по ZigBee, другая по Bluetooth, Третья по wifi и ей нужен интернет — какой нафиг это умный дом?
Облако и подключение дома к интернету(не понятно зачем) — это только один фактор.
Есть как минимум еще один — закрытость. Что и как там работает — поди угадай. Плюс завтра производитель решил забить на свою линейку устройств или создал новую — и сидишь с инсраструктурой, которую нельзя ни поддерживать нормально, ни расширять.

Тоже делаю свой умный дом на чисто своих решениях по озвученным причинам. И вот у меня к вам вопрос: а изолировать то зачем?
У меня понятно дело весь умный дом живет в своей сети(причем даже не ethernet). Но всё равно имеет мост в локальную сеть.
Чем по вашему это плохо?
У меня кстати Ethernet. На самом деле дырочка конечно будет проковыряна, но сейчас её нет.
Вот да
особо удручает отсутствие распознавания голоса «в коробке», а не «в облаке».
хотя, казалось бы, за последние пару лет, вычислительные мощности выросли чуть ли не экспоненциально.
НЛО прилетело и опубликовало эту надпись здесь
И это при том, что оффлайн распознавание голоса есть даже в гугл-клавиатуре на андроиде (и занимает пакет мегабайт 20 на язык всего дополнительных). Но на практике — если хочешь распознать что-то, то нужно или покупать специальный софт, или покупать доступ к кому-то из крупных сервисов (ну или вам повезёт и хватит какого-нибудь wit.ai).
Где предупреждение НЛО, что данный пост может вызвать противоречивые чувства?

п.с. Ах, ну, да, НЛО эту разжигающую ненависть к социальной группе «украинские разработчики» статью и написало же. Извиняюсь.
Амазон отдала доступ к приватным файлам пользователей своей дочерней структуре. Украинские разработчики то тут причём?
НЛО прилетело и опубликовало эту надпись здесь
Потому что важно что офис дочерней компании в Украине а не в США, в которой находятся потребители. Важно в этом палеве, что приватность можно нарушить из другой страны.
> Ах, ну, да, НЛО эту разжигающую ненависть к социальной группе «украинские разработчики» статью и написало же. Извиняюсь.

Скажите, когда украинские и западные СМИ критикуют Россию и россиян по поводу и без, вы также протестуете?
оскорбление чувств верующих в украинских разработчиков?
Мне показалось или суть новости в том, что
«ШОК! РАЗРАБОТЧИКИ ПРОДУКТА ИМЕЮТ ДОСТУП К ДАННЫМ СОБИРАЕМЫМ ПРОДУКТОМ КОТОРЫЙ ОНИ РАЗРАБОТАЛИ! И СРЕДИ РАЗРАБОТЧИКОВ ЕСТЬ УКРАИНЦЫ!»

Почему так сильно выделена украина? Я уверен, что другие филиалы Ring имеют такой же доступ. А еще у меня есть подозрение, что в соглашении прописано, что ты сам сознательно отдал все видео с собой в Ring, вплоть до того, что компания может выкладывать самые смешные видосики на ютубчик, если замажет тебе лицо.

«Взлом сети. Для доступа к домашней видеосъёмке конкретного американца не нужно ломать сервера Amazon, а достаточно проникнуть в сеть киевского филиала Ring, что, очевидно, проще.»
Откуда такая уверенность? Они что, себе одновременно выкачали ВСЕ видео и хранят их локально, а не грузят их с удаленки, размечают и удаляют? Сказано, что им был предоставлен доступ к файлам. Он например может быть по паролю и ключику в виде публичного сертификата, с проверкой параметров машинки, с которой ты заходишь.
Ну и да, о том, почему проникнуть в Киевское отделение Ring проще — ни слова.

Короче, утверждения сомнительные, а сама новость ни о чем. Странно думать, что если ты пользуешься каким-то продуктом, то у его разработчиков нет доступа к твоим данным.
Почему так сильно выделена украина?

Хотя бы потому, что за слив частных данных неизвестно кому американскую компанию можно наказать существенно строже, чем украинскую или российскую.

А разве «неизвестно кому»? Украинскому филиалу американской компании. Если будут проблемы по вине этого филиала (даже если на самом деле там СБУ придет и покажет бумаги по которым им таки полагается слить все данные или данные по конкретным камерам что стоят в интересных местах) — претензии будут к американской компании.

Но подход конечно…
Делаем сейчас приложение для одной российское компании — так там вообще, данные для входа в прод-сборку можно получить только по штатной процедуре как клиенту )(либо кто-то из их руководства может дать свои данные если проблема в принципе на тестовом сервере не воспроизводится, левый аккаунт-а никак). Прод-версия промежуточного сервера с которым общаются приложения — ставится только их админами по нашей инструкции (а нашим разработчикам к нему доступа нет).
Почему? А потому что компании в этой сфере — имеют лицензии и их регулярно проверяют.
Вместо Украины можно было написать %рандомный_аутсорсер_на_другой_стороне_Земли%. То есть смысл в том, что защита приватных пользовательских данных примерно никакая. Следующим шагом может стать разве что расшаривание в открытый доступ.
Да, вы меня опередили. Тоже такие вопросы. Разве вы не знали что разработчики могут иметь доступ к серверу будь то в штатах, Украине, и либой другой стране.

К примеру у нас есть человек, который может включить режим бога и раздать каждому пользователю по 1000 бесплатных попыток или включить дьявола и отобрать всё у всех.
Разве вы не знали что разработчики могут иметь доступ к серверу будь то в штатах, Украине, и либой другой стране.

В фирмах, которые следуют наилучшим практикам (а для данных, например, кредитных карт, так и просто безусловным требованиям) по работе с sensitive данными, не могут. Именно о том и статья, что принадлежащая Amazon фирма просто намеренно отказалась им следовать.

Более того, во многих странах передача персональных данных за границу ещё дополнительно зарегулирована.
Почему так сильно выделена украина?

Где? Новость и новость. Какая разница в какой стране подразделение компании получило неограниченный доступ к приватным данным пользователей этой компании? Больше похоже, что именно вас сильно волнует название этой конкретной страны.
6 вхождений подстроки «украин» и 4 вхождения подстроки «киев», на короткий текст из 8 абзацев (абзацы на одно предложение я не считал).
Если бы я увидел тот же текст, где «украин», и «киев» были бы заменены на «американ/голланд/британ/...» и «Нью-Йорк/Амстредам/Лондон/...», соответственно, то я бы задал точно такой же вопрос сменив название города и страны.

Суть вопроса в том, что любое отделение может иметь доступ к этим данным. И совершенно непонятно, почему рассматривается одно конкретное.

Но тогда новости не будет, потому что эта информация описывается фразой формата:
«Разрабочики продукта, для того, чтобы улучшать продукт, используют данные полученные при работе этого продукта у реальных пользователей! Какой кошмар! Негодяи! Не могут все тестировать у себя, а информацию от пользователей держать приватно?»
И если вы действительно не понимаете, каков ответ на последний вопрос, то могу поделиться тайной: Вообще-то и правда могут. Просто после этого вам придется заплатить за ring… Ну, где-то в 100-1000 раз больше. Для получения продукта того же качества. Или годами ждать патчей.
Суть вопроса в том, что любое отделение может иметь доступ к этим данным. И совершенно непонятно, почему рассматривается одно конкретное.

Суть моего ответа была в том, что не важно, какое подразделение, важно, что оно получило полный доступ к персонифицированным данным, что является грубым нарушением правил хранения чувствительной информации пользователей. Тогда как для целей улучшения продукции принято обезличенную выборку использовать.
Впрочем, я не слишком надеюсь, что вы меня услышите даже со второго раза. Похоже, вы не со мной, а с каким то воображаемым собеседником дискутируете, причём за обе стороны сразу реплики придумываете.
ШОК! РАЗРАБОТЧИКИ ПРОДУКТА ИМЕЮТ ДОСТУП К ДАННЫМ СОБИРАЕМЫМ ПРОДУКТОМ КОТОРЫЙ ОНИ РАЗРАБОТАЛИ!

Если данные признаны sensitive, то наилучшие практики индустрии, в том числе стандарты, такие как PCI DSS, например, требуют разделения разработки и production, доступа только тем и только к тому, что им нужно по работе (в оригинальной статье ещё упомянуто, что всё американское руководство, вне зависимости от должностных обязанностей, получило доступ к порталу для просмотра приватного видео, необходимо лишь знать e-mail «жертвы»). Также обязательно журналирование всего доступа и т.д.

Странно думать, что если ты пользуешься каким-то продуктом, то у его разработчиков нет доступа к твоим данным.

Тут имеется некоторая разница в менталитете. В exUSSR считается, что все друг друга хотят обмануть, что договор ничего не значит, и если могут, то сделают, что захотят. Мне представляется, что такой подход очень сильно тормозит бизнес и экономику в целом. В Северной Америке же принято доверять партнёрам. По умолчанию считается, что у партнёра наилучшие намерения. Договора заключаются в одном экземпляре, ксерокопия (в том числе по факсу) высылается другой стороне, подписи на каждой странице бывают очень редко, в банковской сфере в основном. Это позволяет вести бизнес значительно эффективней. Именно поэтому, когда становится известно, что подразделение гиганта Amazon преднамеренно нарушает правила ведения бизнеса (и своё лицензионное соглашение, в оригинальной статье указано, что никакие их соглашения не содержат разрешения на ручной просмотр видео-данных), да ещё заявляют, что у них всё "secure", в Америке может разразиться огромный скандал. Единственное, что может его остановить, это тот факт, что часть mainstream media принадлежит Безосу, а многие другие находятся с ними в альянсе.
Простите, но сейчас вы говорите о совсем другой новости.

«Амазон нарушил свое лицензионное соглашение» — это действительно новостной повод и ОГРОМНЫЙ КОСЯК.
«Амазон НИКАК не деперсонализировал данные» — тоже.

Только вот, я до сих пор не вижу новости о миллиардном иске в Амазон, а это означает, что ни нарушения соглашения, ни нарушения порядка использования данных либо не было, либо они не доказуемы (как минимум, не доказуемы легко). Это означает, что оба этих факта являются вашими предположениями, на основе этой статьи. Более того, она написана так, чтобы подтолкнуть вас к этому выводу.
Но, если бы этот факт действительно имел место быть, то я считаю маловероятным, что для его обнародования была бы написана статья, которая лишь на него намекает, да еще и в таком «желтом» формате. Намного более вероятно, что мы бы увидели статью: «Нарушение соглашения/порядка использования пользовательских данных обойдется Амазон в *n* миллиардов долларов».

"
«Странно думать, что если ты пользуешься каким-то продуктом, то у его разработчиков нет доступа к твоим данным.»
Тут имеется некоторая разница в менталитете. В exUSSR считается, что все друг друга хотят обмануть,… "
Причем тут exUSSR? Наш заказчик, кстати не из exUSSR, дал девелоперский доступ мне и другим разработчикам к консолям аналитики. Appsee, Firebase, Crashlytics… Этот доступ необходим для настройки и поддержания интеграций в рабочем состоянии, отлова багов и прочего. Так же я уверен, что небольшой соц-инжиниринг — и у меня будет доступ напрямую к production серверу. Возможно он у меня и так есть, но я это не проверял. В любом случае, он есть у команды доставки, разворачивающей сервак.

И как вы в таких условиях собираетесь защитить данные пользователей от разработчиков продукта? И главное — во сколько вам это встанет и чего вы этим добъетесь?

P.S.
Нет систем, которые не ломаются. Есть системы которые слишком дорого ломать. И с ПД действует аналогичный принцип.
Тут такое дело, что Амазон купил Ринг в 2018 году, а данные сливали с 2016
ain.ua/2018/02/28/chto-takoe-ring
Хочу дополнить свой предыдущий комментарий, тем, что пока у меня есть доступ к коду, я в целом являюсь царем и богом продукта который я делаю.

Я уверен, что если я залью в репозиторий используемый проектом копию какой-нибудь библиотеки, которую я сам немного подредактирую для сбора пользовательских данных, и наш билд сервер подтянет эту «исправленную» библиотеку как зависимость — у меня будет огромное количество времени до обнаружения того что данные куда-то утекают, и еще большее до локализации причины утечки.

Я не могу придумать как сделать так, чтобы человек, который написал код продукта не имел 1000 и 1 относительно легкого способа узнать ваши ПД.
Простите, но сейчас вы говорите о совсем другой новости.

«Амазон нарушил свое лицензионное соглашение» — это действительно новостной повод и ОГРОМНЫЙ КОСЯК.

Я не совсем понимаю, что вы имеете в виду. Я ссылался на англоязычный источник, в котором именно это и написано: "Neither Ring’s terms of service nor its privacy policy mention any manual video annotation being conducted by humans, nor does either document mention of the possibility that Ring staffers could access this video at all."

Только вот, я до сих пор не вижу новости о миллиардном иске в Амазон, а это означает, что ни нарушения соглашения, ни нарушения порядка использования данных либо не было, либо они не доказуемы (как минимум, не доказуемы легко).

Когда «до сих пор»? Первое более-менее известное издание — TechCrunch опубликовало эту новость 22 часа тому. Иски в Северной Америке идут годами. Собственно, даже если иск появится, что сам этот факт докажет? Безусловно, пока не доказано обратное, Amazon/Ring — юридически невиновны.

Это означает, что оба этих факта являются вашими предположениями, на основе этой статьи. Более того, она написана так, чтобы подтолкнуть вас к этому выводу.

Простите, вы со мной разговариваете? Какие факты, какие предположения? Я комментировал статью и вашу реплику, что это нормально, когда разработчики имеют доступ к данным пользователей. Про деперсонализацию я вообще ни словом не обмолвился, это уже нюансы контроля доступа.

Но, если бы этот факт действительно имел место быть, то я считаю маловероятным, что для его обнародования была бы написана статья, которая лишь на него намекает, да еще и в таком «желтом» формате.

Вы про статью Анатолия Ализара на Хабре? Все вопросы по стилю — к автору.

… И как вы в таких условиях собираетесь защитить данные пользователей от разработчиков продукта? И главное — во сколько вам это встанет и чего вы этим добъетесь?

Я не знаю ни вашего заказчика, ни условий, ни степени конфиденциальности данных, с которыми работает ваш заказчик. Я говорю про наилучшие практики и стандарты. Например, рекомендую почитать стандарт PCI DSS, даже если вам не нужно его внедрять, там есть ответы на вопросы, как правильно принять разумные меры по контролю доступа к sensitive данным. При этом, нет никаких проблем в грамотном предоставлении не-sensitive данных, таких, как упомянутая вами аналитика.

Обходится внедрение того же PCI DSS не так уж дорого: адаптация ежедневных практик, обязательность code review, настройка прав доступа, оплата ежегодного аудита. Ничего сверхъестественного.

Добиваются уменьшения рисков. 100% гарантии от утечки, безусловно, никто и никогда не даст.

Нет систем, которые не ломаются. Есть системы которые слишком дорого ломать. И с ПД действует аналогичный принцип.

Действует. В статье же описан случай намеренного отказа от защиты sensitive информации вообще. Если «нет систем, которые не ломаются», то это не повод совсем отказаться от заботы о безопасности данных.

Я уверен, что если я залью в репозиторий используемый проектом копию какой-нибудь библиотеки, которую я сам немного подредактирую для сбора пользовательских данных, и наш билд сервер подтянет эту «исправленную» библиотеку как зависимость — у меня будет огромное количество времени до обнаружения того что данные куда-то утекают, и еще большее до локализации причины утечки.

Вы уж извините, но я опять сошлюсь на разницу в мировосприятии. Не будет программист в Северной Америке этого делать — он не для того всю жизнь учился, пробивался на хорошо оплачиваемую работу, чтобы в одночасье получить на всю жизнь criminal record и вылететь из профессии. Уж как минимум не ради возможности посмотреть домашние видео.

Там, где речь идёт о возможности нечестным путём получить миллионы в одночасье, там, рекомендуются/обязательны максимальные меры безопасности, ключая многократный контроль. При этом, есть множество примеров (и это только то, что стало публичным) взломов из-за абсолютной безответственности и в таких случаях, но наилучшие практики и стандарты существуют, применять их или нет — это уже, как правило, решение бизнеса: какие риски он готов нести по отношению к необходимым затратам на приведение информационной безопасности в порядок.

Что касается технической стороны вопроса, то если, например, следовать практикам PCI DSS, то вы столкнётесь, на вскидку, со следующими проблемами:
  • Изменения в библиотеке должны пройти code review, чтобы попасть в production.
  • У программиста, в общем виде, нет доступа по сети к production серверам, то есть организация back door по сети максимально затруднена. Конечно, можно представить возможность скачать собранные данные чере front door (если это публичный сервис), но это потребует, скорее всего, изменения архитектуры проекта, так как изначально векторы доступа к sensitive данным минимизированы на уровне архитектуры.
  • Доступ к sensitive данным журналируется на нескольких уровнях (например в программе и БД), также имеются внутренние ограничения на доступ к таким данным исключительно из выделенных частей системы. Это получается как бы само собой в процессе разработки, так как PCI DSS scope все стараются минимизировать, иначе слишком много сил уйдёт на аудиты.
  • Сейчас всё большую популярность получают поведенческие анализаторы и прочие системы обнаружения вторжения. Например, если по какому-то каналу вдруг начнут сливаться гигабайты информации, то это может быть обнаружено такими системами.

Ещё раз, это примеры возможных трудностей. Серебряной пули не бывает, но и открыто плевать на защиту данных потому что, якобы, всё равно сломают, не обязательно, можно разумно внедрить наилучшие практики.

Я не могу придумать как сделать так, чтобы человек, который написал код продукта не имел 1000 и 1 относительно легкого способа узнать ваши ПД.

Почитайте стандарты и рекомендации, там многое описано. Относительно лёгкие способы за последние годы постарались прикрыть, на мой взгляд, вполне успешно. Конечно, всё ещё очень сильно зависит от конечной реализации и специфики проекта.
В корпоративной практике, как правило, недопустимо, чтобы девелоперы имели доступ к реальным данным, а уж те более недопустимо — необезличенным.

А если в списке пользователей ринга оказались, квартиры сенаторов США или конспиративные квартиры полиции/ФБР/ЦРУ? квартиры судей и прокуроров?
Проблема в данном случае в том, что для машинного обучения нужно разметить все видео, или, хотя бы, все видео от случайно выбраных пользователей.
Очевидно, что ни о какой сохранности приватности идти не может, так как по сотне видео можно легко выяснить геграфические координаты и лица людей.
А лица людей удалять нельзя, т.к. это отдельная подзадача.
легко выяснить геграфические координаты


Возможно в некоторых случаях, но не уверен что легко.
Источник говорит, что к помощи украинских специалистов пришлось прибегнуть из-за слабости собственной системы машинного зрения Ring.

Как бы киевский офис как раз эту систему и разрабатывал последние пару лет

И ведь что интересно, окажись эта новость чуть другой: "… доступ получили сотрудники российской компании", никто бы не спросил в комментах, «почему это Россия выделена?».

Не знаю, мне всегда смешно такое, почему кто-то считает, что косой взгляд в определенную сторону — это чуть не специальное оскорбление?
Ещё немного про оригинальную новость от Intercept, на которую ссылается статья.
A never-before-published image from an internal Ring document pulls back the veil of the company’s lofty security ambitions: Behind all the computer sophistication was a team of people drawing boxes around strangers, day in and day out, as they struggled to grant some semblance of human judgment to an algorithm.

У журналистов открылись глаза, что, оказывается, ЧТОБЫ УЧИТЬ АЛГОРИТМЫ, НАДО РАЗМЕТИТЬ ДАННЫЕ!11
но разве нельзя из этого процесса ИСКЛЮЧИТЬ УКРАИНЦЕВ?! И размечать кадры КЕМ-ТО ДРУГИМ? Например, АЛГОРИТМАМИ МАШИННОГО ЗРЕНИЯ? Ой…
Алгоритмы машинного зрения разрабатывают человеки… Ой?
НЛО прилетело и опубликовало эту надпись здесь
Срочно в номер! "Сотрудники компании имеют доступ к серверам компании!", "Для настройки нейросетей требуется обучение!" и другие потрясающие открытия!

Капец, уровень Комсомолки, ей богу.
— не самой компании, а стороннего подрядчика;
— не тренировочным датасетам, а видео живых пользователей;
— не части пользователей (скажем, тестеров), а вообще всех;
— ролики не анонимны, а с привязкой ко всем персональным данным пользователей.

А в остальном да, всё норм.
не самой компании, а стороннего подрядчика


NDA решает

ролики не анонимны, а с привязкой ко всем персональным данным пользователей.


Это fail :(

А по поводу всего остального… Я, наверное, ошибусь, если в лицензионном соглашении, с которым принято соглашаться не глядя, не написано ни слова о том, зачем компании Ring эти видеозаписи и что она вправе с ними делать.
не самой компании, а стороннего подрядчика;

С каких пор украинский офис Ring'а — это сторонний подрядчик?

не тренировочным датасетам, а видео живых пользователей;

Видео живых пользователей для этой задачи и являются тренировочным датасетом.

не части пользователей (скажем, тестеров), а вообще всех;

Сейчас бы датасет из тестеров собирать. У них там петабайты данных для обучения — такие объемы физически невозможно отснять с тестировщиков.

ролики не анонимны, а с привязкой ко всем персональным данным пользователей.

Вот, да, в этом реально критическая ошибка Ринга.
Сколько живу, всегда софт писали с использованием живых данных. В последнее время правда все больше в ходу обезличивание и органичение. И тем не менее, реальные данные, в том числе приватные, всегда в ходу. Отношусь к ним как врач к пациентам. На операционном столе тоже голые лежат. Я не врач но как ит-специалисту первое время интересно, потом быстро становится скучно и на это просто не обращаешь внимания. Здесь опасно лишь то что потенциально могут использовать в преступных целях. А просто смотреть и ржать мало кому надо.
Не стороннего подрядчика, а своего подразделения. Которое этот софт и разработало.
«Не тренировочных датасетов», «не части пользователей» — это вообще смешно, как требовать от врачей лечить людей обезличено, мол, не смотрите на этого живого человека, вот на бумажке описание типичного похожего случая — лечите по нему.

Не хотите, чтобы разработчики имели доступа к вашим видео — не ставьте себе камеру, которая загружает в облако видео и считает там какую-то аналитику.

Максимум, за что тут можно предъявить претензии (если это правда) — за связку видеоролика и реального имени пользователя. Если это случилось (это доказано?), то это косяк.
Так а как иначе, если
Ring Video Recording will save all of your recordings to your Ring account for up to 60 days, and with Ring Video Recording, you can also review the videos, download them to local storage, and share them via social media, text and email.

Есс-но будет какая-то бд для этого
Не хотите, чтобы разработчики имели доступа к вашим видео — не ставьте себе камеру, которая загружает в облако видео и считает там какую-то аналитику.

Есть сервисы которые не пускают разработчиков к видео, они просто их хранят (даже в зашифрованном виде) — тут проблем нет, вся ответственность на пользователе, если они утекут по его вине.

В данном же случае, как минимум, нарушены права тех кто оказался записан на видео — потому что они 100% не давали согласия что это видео будет просматривать непонятно кто.

В T&C сервиса Ring нет ни слова про аналитику или доступ к видео кому-то кроме пользователя, и даже если бы это упоминалось, это было бы незаконно (потому что, опять-таки, нужно получить разрешение записываемых, что практически неосуществимо).

Собственно, именно те кто оказался записан и могут предъявить претензии, вне зависимости от чего-либо — если докажут факт утечки или доступа, разумеется, причём связка с реальным именем пользователя тут не играет никакой роли.
потому что они 100% не давали согласия что это видео будет просматривать непонятно кто.

Это были уличные камеры. Законы позволяют снимать публичные места, для этого не нужно согласие всех находящихся там людей. Максимум, что может сделать отдельный человек, не желающий быть на записи — постфактум потребовать удалить/замазать своё лицо.
Это видокамера, встроенная в квартирный звонок.
В Канаде, например, запрещено в частных домах направлять видекамеру наблюдения на публичные места.
Это камера идентифицировать пользователей дома и одной из задач — оповещать о незнакомцах.

www.amazon.com/Ring-Wi-Fi-Enabled-Doorbell-Nickel/dp/B00N2ZDXW2
В разных странах разные законы. В Германии, к примеру, нельзя просто взять и поставить камеру с видом на общую улицу (любое общественное место), даже в окне своего дома — это считается нарушением приватности. Камера смотрящая прямо на клочок перед дверью — пожалуйста, пока не видно тех кто к двери не подходит, равно как и камера с видом на свой двор (но не соседский). Впрочем, в любом случае придётся вешать лейбл «видеонаблюдение» и (если кто-то поинтересуется) объяснить с какой целью ведётся видеонаблюдение — иначе это тоже незаконно.

Второй момент заключается в том, что даже если сам факт видеонаблюдения не нарушает закон, то запись нельзя публиковать или иным способ распостранять без разрешения лиц которые на ней — в том числе отдавать на просмотр какой-то частной фирме, которая не имеет к нему прямого отношения (т.е. охранная фирма, к примеру, может это просматривать, другие — нет). Суд, полиция etc конечно могут получить доступ к видео, если потребуют.

Я очень подозреваю что аналогичные законы есть в большинстве развитых стран, и если даже видеонаблюдение само по себе разрешено, то не факт что разрешена запись, её распостранение, публичная демонстрация или передача третьим лицам.
НЛО прилетело и опубликовало эту надпись здесь
Есть существенная разницу между «увидеть-запомнить» и «сфотографировать-записать» — в первом случае у вас нет возможности опубликовать или размножить изображение, нет возможности проанализировать детали и использовать это (намеренно или случайно) против человека.

Нудисткий дикий пляж — это тоже общественное место. Если бы вы были нудистом, вы бы не возражали против фотографий? А фотографий с вашей женой или девушкой? Сделанными посторонними людьми, конечно. Пошли бы вы на такой пляж, зная что это «общественное место» оборудовано камерами или там ошиваются папарацци?

Другой пример. У вас встреча с человеком, общение с которым вы не хотите афишировать (неважно по какой причине). Вы выбираете общественное место с низкой вероятностью встретить тех кому не хотите это афишировать, но попадаете в кадр который оказывается в выпуске новостей, на фейсбуке etc — где его могут увидеть те кому не нужно. Снова вопрос — пойдете вы на такую встречу в общественное место, если знаете наверняка что там видеонаблюдение непонятно кем и непонятно зачем?

И конечно же, вы не будете возражать, если кто-то с камерой станет снимать как вы разговариваете с кем-то за столиком кафе на улице? Или даже просто включит диктофон для записи вашего разговора? Это ведь «общественное место», и, следуя вашим же словам, вы должны понимать что никакой приватности там быть не может.

Да, увидеть вас могут, может быть даже и запомнить (ненадолго) — но незаинтересованный человек забудет это через 10 минут. Если же за вами будут следить — это другой случай и всё будет печально даже если вы будете избегать общественных мест.

Примеры можно продолжить, но я надеюсь что наглядно объяснил разницу между камерой и глазом. Каждый человек имеет право на своё изображение, и уж точно имеет право знать, снимают его или нет даже в общественном месте (и уж тем более в необщественном), потому что это даёт ему выбор, а не навязывает что-то, в то время как использование камеры, диктофона нарушает право человека на приватность — даже если это общественное место.

Что касается «налога на телевизор» (хотя это к теме и не относится) — у него есть смысл, даже если у вас нет телевизора. Несмотря на то что реализация и эффективность его использования несколько не оптимальны, но это уже совсем другая история. Пример, позволяющий понять его смысл — налог на автомобиль, который не зависит от пробега, потому что дороги нужно строить и поддерживать независимо от того сколько автомобилей по ним ездит, и в упомянутых мной развитых странах они как раз в хорошем состоянии, а если бы он зависел от реального пробега (или автомобилисты уклонялись от его уплаты), то вряд ли они были бы достаточно хороши (или были бы вообще), и пришлось бы вам платить за частные дороги намного больше.

Несмотря на то что многие законы, правила и налоги кажутся глупыми, вредными, неправильными или неоправданными, это далеко не всегда так — иначе не было бы этих самых развитых стран. Да, иногда законы и налоги бывают неоправданными и могут использоваться для репрессий, но всё же это скорее исключение чем правило — почитайте хотя бы УК или ГК и посмотрите сколько там «репрессивных» статей по сравнению с теми которые действительно направлены на поддержание порядка. Конечно, в отдельных странах они не всегда работают (или работают репрессивно), но совсем не потому что они «неправильные».
НЛО прилетело и опубликовало эту надпись здесь
Именно так — в общественных местах никакой приватности.

В таком случае я хотел бы получить прямой ответ на прямой вопрос — находясь в общественном месте со своими друзьями, вы не будете возражать если кто-то будет записывать вас на видео или диктофон и делать фотографии? И слова не скажете?
Сложные это всё вопросы. Например, преступник во время ограбления попал на камеру, о которой не знал. Имеет ли он право запретить использование этого видео? Вряд ли. Или вот пришел человек на концерт. Может ли он запретить его видеозапись на основе того, что он находится в толпе и не хочет, чтобы его снимали? Тоже вряд ли.

Понятно, что людей нельзя снимать в их домах, дворах, кабинетах врачей, туалетах и прочих случаях, предполагающих гарантию приватности. Но улица остаётся улицей, с нашим желанием или без её прямо сейчас снимают муниципальные камеры, видеорегистраторы, смартфоны, спутники и да, электронные дверные звонки. Чтобы это изменить — уже нужно полмира разрушить.
Например, преступник во время ограбления попал на камеру, о которой не знал.

Преступник нарушает закон, к тому же, закон явно делает исключения для таких случаев и разрешает использование камер.
Не знаю как в других местах, но в большинстве стран ЕС видеонаблюдение властями (если это не тайные операции) не скрывается.

Или вот пришел человек на концерт. Может ли он запретить его видеозапись на основе того, что он находится в толпе и не хочет, чтобы его снимали?

Запретить запись и съемку — нет, не может. Но с другой стороны, тот кто её сделал не может её использовать (публиковать в частности) без его согласия — если, разумеется, того кого записали можно чётко идентифицировать на этой записи. Это кажется невероятным, но это так — по крайней мере, в странах ЕС. И да, это значит что если вас показали в ТВ-репортаже и вас можно узнать, вы вполне можете надрать им задницу за это. Если он в толпе но его нельзя идентифицировать, то вопрос снимается сам собой.

Речь не идёт о тотальном запрете съемки — речь идёт о том чтобы человек знал об этом (и целях съемки), а те кто снимают — что у этого человека есть право на приватность. Да, он может попасть в чьё-то селфи, видео etc — случайно, но тот кто выложит это публично — нарушает его права. Честные люди замылят лица или спросят разрешения перед выкладыванием в социалки, но многие про это просто не думают, к сожалению. В ряде стран (особенно восточных) просто за съемку без разрешения могут просто фейс начистить (в лучшем случае), и я их вполне понимаю, но всё же считаю что лучше это делать более цивилизованно.

Если лично я окажусь на публичной фотографии и меня не спросят — я попрошу удалить эту фотографию или замылить меня, если это не поможет — пойду в суд, потому что это неправильно — я не хочу чтобы мои изображения были опубликованы и растиражированы, даже если мне это никак не повредит. В конце концов, кто знает, что будет — возможно, невинная сейчас картинка окажется крутым компроматом через 10 лет (из-за места где я нахожусь или людей которые рядом).
НЛО прилетело и опубликовало эту надпись здесь
Если бы Вы правда так и делали — вся бы жизнь ушла на суды, и то бы 1% всех фоток и видео не удалили.
У меня были случаи — но простой вежливой просьбы хватало, до суда не доходило. Если бы доходило — дело передаётся адвокату, никаких личных временных затрат, даже являться в суд не нужно.

Да и суть-то не в том что бы удалить все фотки, дело в принципе — тот кто пару раз судом получит в следующий раз думать будет.
Т.е. у них на ТВ, в газетах и т.п. замыливают все лица в толпе на улице крупнее десятка пикселей?
Я люблю, когда я самый умный в доме.… и мне очень комфортно, что у моей кофеварки интеллект на несколько порядков ниже, чем у собаки. Хотя она отлично справляется с отключением нагрева, когда вода вскипела.
Господи, какая желтуха.
Для доступа к домашней видеосъёмке конкретного американца не нужно ломать сервера Amazon, а достаточно проникнуть в сеть киевского филиала Ring, что, очевидно, проще.

А в сети киевского филиала конечно же есть фтп сервак с именем «private_user_data_and_home_videos» с паролем password123 на котором хранятся ВСЕ данные. Там ни в коем случае не сертифицированный самим амазоном процесс доступа к данным, про ИБ там не знают, а амазону все репутационные потери не важны и аудиты безопасности они не проводят. Это на святом западе все замечательно с ИБ, а в дремучем СНГ все отстали минимум на 30 лет, знаем-знаем.

Инсайдерский доступ. Сотрудники могут продавать «налево» информацию заинтересованным лицам.
Инсайдерский доступ это, конечно, уникальное явление для конкретного офиса конкретной компании. В самом амазоне инсайдеров быть не может. И в гугле быть не может. И в FB тоже (потому что он сам продает ваши данные, без инсайдеров всяких).

Ализар в очередной раз в своей манере увидел желтушный пост написанный в рамках маркетинговой войны и бездумно потащил его сюда. Вникать в детали не нужно, главное постить больше треша с громкими фразами «о крупном провале производителя камер безопасности Ring (принадлежит Amazon)». Все как всегда.
Украину видать для желтизны упомянули. но зачем данные персонифицировали непонятно. Это fail))
А я вот труханул, когда обратился в саппорт битбакета по вопросу в приватном репозитории. И они ответили, описав мне мою структуру веток в репе. И да, это был явно не американский «надежный специалист», а сотрудник, судя по имени, откуда-то из Венгрии.
Всё еще боитесь, что будут смотреть на вашу моську? А я вот чего-то волнуюсь, что могут слить мой код :)

Bitbucket — норвежский startup программиста из Opera Software, Atlassian — известная австралийская компания. Почему же «американский надежный специалист»? :)

Это параллель с американским Амазон/Ринг и украинским офисом. Да и не только с ними.
Почему в статье сотрудников, распознающих объекты на кадрах видео называют разработчиками?

В оригинале использованы термины strangers и individuals.
Основной смысл статей в инете по этой новости — высрать украинцев. Ну типа смысл: чем платить за создание нейросети которая там рапознавать будет обьекты, дешевле нанять украинцев, которые руками маркировать обьекты будут ахахаха

Основной смысл скрывается — они маркируют даннные как раз для обучения.
Разработчики Ring имеют доступ к видео которое снимает и отправляет в облачное хранилище девайс под названием Ring. Какая неожиданность.
Странно, что нет китайского аналога с Али для этого звонка. Вроде несложная вещь.

Странно что назвали разработчиками outsource сервис по разметке данных для ML в котором работают обезьяны. Сейчас Индусы стали дороже Киевлян однако тенденция… врядли это кого-то удивляет к сожалению в среднем уровень доступных программистов вна Украине соответствует Индии, в основном все покруче уже свалили или работают на развитые страны система образования деградирует у нас кстати тоже увы :(.
Amazon, конечно чудаки на букву м мета информацию нельзя сливать, любой доказанный эпизод приведет к юридическим последствиям при желании жертв из СШП...

Триггер Украина детектед, аларм.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории