Утечки местного значения?
Владелец гестхауза в Лос-Анжелесе, где я остановилась, имеет пакостную привычку вешать на двери гостей распечатку брони с букинг.кома, на которой видны не только полное имя и даты проживания, но и физический адрес и телефон, указанные клиентом при бронировании.
По дороге в ванную комнату через общий коридор я успела узнать персональные данные всех постояльцев.
Я попросила владельца удалить мои данные с общего обозрения, на что получила отказ и сообщение о том, что он имеет полное право вести учет гостей так, как считает нужным. Следующие два вечера я провела за изучением законодительства США и Калифорнии в частности, чтобы понять, есть ли какие-то положения и нормативные акты, которые я могу использовать в качестве основания для своей просьбы.
Я прошерстила и CCPA/CPRA, и свод всех, самых мелких актов на оф. сайте oag.ca.gov/privacy/privacy-laws. Я нашла такие перлы, как закон, обязующий владельца съемной квартиры менять ключ от почтового ящика при заезде нового арендатора, или закон, запрещающий просить номер водителтского удостоверения при оформлений карты лояльности в супермаркетах. Законы о запросе кредитной истории и законы об обеспечении приватности на платных хайвеях. Закон о запрете установки средств слежения за арендованными авто. Закон о запрете насильной установки следящих имплантов в тело. И даже закон о защите истории книг, взятых в публичной библиотеке. Но ни слова про гостиницы и гестхаузы. Выходит, владелец был прав, послав меня нафиг? Я ограничилась тем, что вымарала свои ПДн на листочке черным маркером, а потом описала свои злоключения в мордокнижке и была, как обычно, высмеяна за паранойю.
Затем я зашла на страничку Артёма Кобрина, уважаемого мной эксперта в области privacy и защиты ПДн, создателя ТГ-канала Privacy_HUB. Давно к нему не заглядывала, так как знала, что специализируется он на GDPR и вряд ли сможет мне помочь.
Самым верхним постом была ссылка на постинг главы украинского киберальянса Андрея Барановича (более известного как Шон Таунсенд \ Sean Brian Townsend). Он еще в январе писал обзор утечки персональных данных украинцев из единого реестра Дія (т.н. "атака 14 января") и позже, в подкрепление своей позиции, ссылался на такие источники как Foreign Policy, RUSI.org и BBC, которые сходились во мнении, что (в случае вторжения) похищенная в ходе атак информация может быть использована для быстрого обнаружения "неугодных лиц".
Между тем, Министерство цифровой трансформации (МЦТ) Украины факт утечки отрицало, утверждая, что выложенные в даркнете данные скомпилированы из источников, как минимум, 2х-летней давности. А Шона многие комментаторы называли параноиком.
Я пролистала страницу Шона на несколько месяцев вниз. Бесплатная проверка безопасности сервиса Дiя и других проектов МЦТ на протяжении прошедших 3х лет. Выявление и репортинг багов и уязвимостей, которые никогда не были исправлены. Почти все перечисленные сервисы пострадали 14 января 2022 от бага, опубликованного еще в мае 2021года. Но за этот постинг парни из МЦТ не нашли ничего лучше, как натравить армию ботов на страницы Шона и Киберальянса в ФБ. Потому что это паранойя.
Я пролистала страницу Шона вверх, к самому последнему постингу, как будто это что-то изменит. Он остался тем же самым. "Надеюсь, в будущем не придется объяснять, что данные не только нужно защищить, а лучше не собирать". И я надеюсь, что когда-нибудь люди поймут истинную цену персональных данных, даже если законодательство за этим не поспевает.
ЗЫ Это, наверное, неуместная фраза, но я очень рада, что и Артём, и Андрей/Шон в данной непростой и трагичной ситуации остаются, прежде всего, профессионалами и продолжают давать объективную оценку ситуации в меру своей компетенции. Я благодарна за возможность хотя бы заочного знакомства с такими людьми, благодаря которым я тоже не теряю надежду, что когда-нибудь безопасник перестанет в глазах общественности быть синонимом параноика и тормозом "цифровой трансформации". И, конечно, я всегда рада, когда паранойя остается всего лишь паранойей, и выясняется, что реально нападать никто не собирался.
По дороге в ванную комнату через общий коридор я успела узнать персональные данные всех постояльцев.
Я попросила владельца удалить мои данные с общего обозрения, на что получила отказ и сообщение о том, что он имеет полное право вести учет гостей так, как считает нужным. Следующие два вечера я провела за изучением законодительства США и Калифорнии в частности, чтобы понять, есть ли какие-то положения и нормативные акты, которые я могу использовать в качестве основания для своей просьбы.
Я прошерстила и CCPA/CPRA, и свод всех, самых мелких актов на оф. сайте oag.ca.gov/privacy/privacy-laws. Я нашла такие перлы, как закон, обязующий владельца съемной квартиры менять ключ от почтового ящика при заезде нового арендатора, или закон, запрещающий просить номер водителтского удостоверения при оформлений карты лояльности в супермаркетах. Законы о запросе кредитной истории и законы об обеспечении приватности на платных хайвеях. Закон о запрете установки средств слежения за арендованными авто. Закон о запрете насильной установки следящих имплантов в тело. И даже закон о защите истории книг, взятых в публичной библиотеке. Но ни слова про гостиницы и гестхаузы. Выходит, владелец был прав, послав меня нафиг? Я ограничилась тем, что вымарала свои ПДн на листочке черным маркером, а потом описала свои злоключения в мордокнижке и была, как обычно, высмеяна за паранойю.
Затем я зашла на страничку Артёма Кобрина, уважаемого мной эксперта в области privacy и защиты ПДн, создателя ТГ-канала Privacy_HUB. Давно к нему не заглядывала, так как знала, что специализируется он на GDPR и вряд ли сможет мне помочь.
Самым верхним постом была ссылка на постинг главы украинского киберальянса Андрея Барановича (более известного как Шон Таунсенд \ Sean Brian Townsend). Он еще в январе писал обзор утечки персональных данных украинцев из единого реестра Дія (т.н. "атака 14 января") и позже, в подкрепление своей позиции, ссылался на такие источники как Foreign Policy, RUSI.org и BBC, которые сходились во мнении, что (в случае вторжения) похищенная в ходе атак информация может быть использована для быстрого обнаружения "неугодных лиц".
Между тем, Министерство цифровой трансформации (МЦТ) Украины факт утечки отрицало, утверждая, что выложенные в даркнете данные скомпилированы из источников, как минимум, 2х-летней давности. А Шона многие комментаторы называли параноиком.
Я пролистала страницу Шона на несколько месяцев вниз. Бесплатная проверка безопасности сервиса Дiя и других проектов МЦТ на протяжении прошедших 3х лет. Выявление и репортинг багов и уязвимостей, которые никогда не были исправлены. Почти все перечисленные сервисы пострадали 14 января 2022 от бага, опубликованного еще в мае 2021года. Но за этот постинг парни из МЦТ не нашли ничего лучше, как натравить армию ботов на страницы Шона и Киберальянса в ФБ. Потому что это паранойя.
Я пролистала страницу Шона вверх, к самому последнему постингу, как будто это что-то изменит. Он остался тем же самым. "Надеюсь, в будущем не придется объяснять, что данные не только нужно защищить, а лучше не собирать". И я надеюсь, что когда-нибудь люди поймут истинную цену персональных данных, даже если законодательство за этим не поспевает.
ЗЫ Это, наверное, неуместная фраза, но я очень рада, что и Артём, и Андрей/Шон в данной непростой и трагичной ситуации остаются, прежде всего, профессионалами и продолжают давать объективную оценку ситуации в меру своей компетенции. Я благодарна за возможность хотя бы заочного знакомства с такими людьми, благодаря которым я тоже не теряю надежду, что когда-нибудь безопасник перестанет в глазах общественности быть синонимом параноика и тормозом "цифровой трансформации". И, конечно, я всегда рада, когда паранойя остается всего лишь паранойей, и выясняется, что реально нападать никто не собирался.