Хтось продає базу даних українців і стверджує, що це усі клієнти ПриватБанку

В Даркнеті виставлено на продаж базу даних українців та стверджується, що це клієнти ПриватБанку – найбільшого банку в Україні. В мене є сумніви, щодо правдивості цієї інформації.

На одному з форумів з’явилося оголошення про продаж ніби то бази даних усіх клієнтів ПриватБанку на 40 млн записів, яка містить повне ім’я, дату та місце народження, дані паспорту та ІНН, сімейний стан, наявність авто, освіту, мобільний телефон та контакт у Вайбері. Ціна досить скромна, $3,400. Звісно, що ПриватБанк все спростовує.

Як і більшість українців, я не великий шанувальник ПриватБанку, але в цій історії, мені здається, є занадто багато фактів, що вказують на спробу продавця вкраденої бази даних ввести нас в оману. По-перше, компіляції баз даних, що вже витекли раніше, продаються зараз на кожному кроці, і це може бути ще один такий випадок. По-друге, ці дані цілком можна було скомпілювати з баз, які продає на форумі той самий персонаж, адже серед них є БД українських паспортів, транспортних засобів та інших пов’язаних даних.

Фото: cybernews.com

По-третє, за всієї поваги до маркетологів Привату, 40 млн клієнтів це понад 90% населення України, що додає сумнівів. По-четверте, приклади даних, викладені на форумі, виглядають сумнівно, адже містять знак питання замість букви “і” та введені у верхньому регістрі. Це більше скидається на якийсь до-юнікодний державний реєстр, чи банківську базу з дев’яностих.

Фото: cybernews.com

Ну і по-п’яте, в базі даних клієнтів ПриватБанку я б очікував побачити хоча б натяк на фінансові дані, такі як номери рахунків та платіжних карток. Яких там немає.

Підсумовуючи, я не стверджую що ця база даних фейкова, але звертаю вашу увагу на фактори, які на це натякають. Сподіваюся, ця історія матиме продовження і ми дізнаємось більше.

Поділитися:

Німецьку фірму оштрафували на 10 млн євро через відеонагляд за працівниками

Як і будь-який закон, GDPR приймали по суті та для захисту приватності, а застосовують згідно з буквою та для наповнення бюджету. Кому заважав відеонагляд за діями працівників місцевого продавця лептопів NBB – невідомо, але “закон є закон”.

В дійсності, малий та середній бізнес економлять на безпеці, тому впровадження відеонагляд було зумовлено ризиками крадіжки товару. NBB стверджує, що відеозаписи в жодному разі не використовувалися для оцінки поведінки та продуктивності працівників. Щобільше, представники регулятора протягом розслідування жодного разу не навідалися в офіс компанії, отже робили висновки виключно зі слів третіх осіб.

Що буде далі покаже апеляція. Я згоден, що покарання непропорційне порушенню, та й факт порушення для мене виглядає дуже примарно. Далі буде.

Image: https://ipvm.com/reports/gdpr-guide
Поділитися:

Геопозиціювання користувачів Telegram

Телеграм це не месенджер, а соціальна мережа. Однією з його соціальних функцій є рекомендація “подружитися” користувачам, які знаходяться поруч. За допомогою цієї фічі неважко визначити місцерозташування Telegram-юзера. Я рекомендую вимкнути доступ Телеги до геолокації на рівні ОС смартфона.

Вразлива функція називається People Nearby, вона дозволяє користувачам Telegram знаходити один одного в реальному світі. На двох смартфонах робляться два незалежні запити на дані геолокації, результати відправляються на сервер. Якщо користувачі знаходяться на короткій відстані, їм пропонують додати один одного до контактів.

Image from the Ahmed Hassan‘s blog post.

Зловмисник може використати додаток, що підміняє дані геолокації смартфона довільними фейковими координатами. Для цього досить встановити таку апку на рутований Android. Тут немає нічого складного, якщо ви зрозуміли попереднє речення, то вам буде неважко це зробити. Користуючись спуфером геолокації, хакер може послідовно “розмістити” свій смартфон в трьох точках та виміряти відстань до смартфона жертви. По цих трьох вимірах можна триангулювати геопозицію цілі. Схожим чином мобільні оператори визначають наше розташування, вимірюючи на наших мобілках силу сигналу трьох найближчих базових станцій.

На пристроях під управлінням iOS можна надати Телеграму доступ до “приблизних” координат і це суттєво зменшить ризики. В користувачів Android такої можливості немає, адже Google сам не проти послідкувати за своїми юзерами. Telegram відповів досліднику, який відзвітував про цю вразливість, що компанія не вважає це загрозою безпеки.

Найкумедніше в цій історії те, що фіча, яка наражає користувача на небезпеку сталкінгу, вимкнена за замовчуванням. Як і наскрізне шифрування Телеграм-чатів.

Поділитися:

Як фінансуються Signal та Telegram

Після посту про Signal та Telegram надійшло багато відгуків. Приємно чути, що Signal справді популярний, це надихає. Місцями було навіть кумедно – поспілкувався з кількома фанатами Павла Дурова. На жаль, було й трохи неприємного, наприклад чергова хвиля русофілії. У стилі, мовляв, роль Кремля в негараздах України перебільшена і таке інше, ну ви в курсі. Але, завдяки надійній роботі кнопки Ban from Page, тепер все у повному порядку.

US dollars cash

Та найпоширенішим, звісно, був скептичний настрій читачів щодо джерел фінансування Телеграма та Сігнала. Я не вірю, що грошові потоки завжди визначають характер організації та поведінку її керівників. Існують зрілі та випробувані часом системи внутрішніх контролів, які можуть впоратись із впливом і бабла, і великого бабла. Але скепсис зрозуміти можу, адже дивіться, як ці контролі обхезались у випадку Facebook та Google. Signal та Telegram, звісно, до технологічних гігантів далеко, але нумо розберімось, звідки вони фінансуються.

Почнімо з Телеги. На початку проекту, розробка фінансувалася з кішені засновників, а пізніше – із продажу криптовалюти на ICO, Initial Coin Offering. Ефективність такого способу залучення інвестицій була викликана вдало обраним моментом, адже у 2018 році на хвилі популярності блокчейн-технологій в будь-які койни вливалися несамовиті об’єми фіату. Тому, щоб отримати з цього зиск, можна було просто випустити бодай якусь “монету” на базі Bitcoin чи Ethereum, та трохи інвестувати в маркетинг. Більшість цих авантюр, звісно ж, виявилися звичайними шахрайствами. Ще якась частка заснованих таким чином компаній злилися, коли прийшов час виконувати щедрі обіцянки.

Та Телеграм ніби тримався, в основному на сильному маркетингу та харизмі Павла Дурова. Агресивний піар забезпечив компанії лояльність інвесторів, які терпляче чекали, поки Павло запустить нарешті блокчейн TON (Telegram Open Network) та обміняє куплені ними на суму 1.7 млрд доларів койни на криптовалюту Gram. Аж допоки минулого року Дуров не оголосив про закриття проєкту у зв’язку із забороною випуску Gram американською комісією по цінних паперах  ¯\_(ツ)_/¯. Тепер в планах Телеграму монетизуватися через рекламу на каналах та бізнес-акаунти, тобто “все забули, давайте по-новій” (точніше, по-старій). Але що з того вийде, і чи вийде взагалі, покаже час.

А що ж в Signal? Тут значно менше драми та пригод. Signal Technology Foundation зареєстровано як неприбуткову організацію. Тобто це офіційний non-profit, як OWASP або (ISC)2, що функціонує згідно з розділом 501c3 американського податкового кодексу. Організація існує на пожертви користувачів та меценатів. Одним з таких донорів став співзасновник WhatsApp Браян Актон, що розчарувався після продажу свого стартапу Фейсбуку та влив у Signal 50 млн кешу.

Як бачите, порівнювати структури фінансування Telegram та Signal дуже важко, адже вони майже несумісні. У першому випадку мова йде про бізнес-авантюру, яка ще невідомо чим закінчиться, тоді як в другому – все нудно, банально та стабільно. Якщо дати волю фантазії та спробувати спрогнозувати майбутнє цих проєктів, то я майже впевнений, що в Сігнала ще багато попереду. А щодо успішності та оригінальності бізнес-стратегій Павла Дурова в мене великі сумніви.

Поділитися:

Свобода слова та бан Трампа в Twitter та Facebook

У зв’язку з довгоочікуваним баном Дональда Трампа у Твіттері та Фейсбуку, з усіх боків чути голосну критику в бік цих компаній. Дехто навіть звинувачує їх в порушенні свободи слова, право на яку гарантується Конституцією США. Більш обізнані в курсі, що Перша поправка стосується відносин між державою та громадянином, а не між користувачем та постачальником послуг. Але наполягають на тому, що знеплатформлення (класне слово, здається, я його вигадав) політиків та суспільних діячів все одно свободі слова шкодить. Я приєднуюся до когорти критиків: я теж вважаю, що соцмережі вчинили неправильно. Бо забанити Трампа треба було ще два роки тому.

Навальний про блокування Трампа в соцмережах

Пояснити, чому Твіттер та Фейсбук цього разу все роблять правильно дуже просто. Треба просто згадати, навіщо нам свобода слова. В демократичному суспільстві свобода слова потрібна для того, щоб зберегти умови для цивілізованої дискусії та не вдаватися до насильства. Якщо свободу слова обмежити, суспільний діалог порушиться і за деякий час призведе до насильницьких дій, наприклад революції. Але якщо усім верствам суспільства, а особливо меншинам, надавати змогу висловлювати свої позиції та аргументувати їх, то є шанс на конструктивний діалог та довготривалі поступ, мир та добробут. Звісно, це не виглядає, як ідеальна модель суспільства, але це найкраще, що нам поки що вдалося вигадати – ну ви в курсі.

Знаючи, навіщо нам свобода слова, дуже просто переконатися, що вона не поширюється на мову ненависті (hate speech) та інші прояви насильства. Заклики до насильницьких дій не можуть користуватися привілеєм свободи слова. Адже мета свободи слова якраз в уникненні насильства.

Це просто, раціонально та логічно. Саме тому це багато кому не подобається. Можна вести полеміку навколо цього скільки завгодно, але якщо спілкуватися конструктивно, то так чи інакше приходимо до цього висновку. Насилля це погано. Діалог це добре. Свобода слова захищає діалог. Заклики до насилля це не діалог.

Поділитися: