»

Tretjina mladih Otočanov že našla obvoz mimo preverjanja starosti

Slo-Tech - Čeprav so na Otoku na internetu uvedli preverjanje starosti, ki za uporabo družbenih omrežij trenutno postavlja mejo na 13 let, za dostop do pornografskih vsebin pa na 18 let, številnih mladih to ne ovira. Raziskava Digital Wellbeing Index je med drugim pokazala, da Online Safety Act ni huda ovira. Še več, kar eden izmed šestih staršev je svojim otrokom pomagal obiti preverjanje starosti, vsak tretji otrok pa to stori sam.

Na vzorcu tisoč otrok so ugotovili, da jih 46 odstotkov meni, da je preverjanje starosti neučinkovito in ga je možno enostavno pretentati, 32 odstotkov pa je to že storilo. Polovica otrok je na internetu že srečala škodljive vsebine.

Najenostavnejši način za obvod je vnos lažnega datuma rojstva, sledijo pa uporaba profila, ki pripada nekomu drugemu, uporaba naprave nekoga drugega, zasebna navidezna omrežja (VPN), uporaba tujih osebnih dokumetov in celo uporaba predrugačenih slik. V nekaterih primerih je bilo dovolj, da je otrok na svojo sliko narisal brke, pa...

21 komentarjev

Evropska komisija stopila korak nazaj: aplikacija za preverjanje starosti še ni nared

Slo-Tech - Ni trajalo dolgo, da je morala Evropska komisija po smeli napovedi, da je aplikacija za preverjanje in dokazovanje starosti na internetu nared, stopiti korak nazaj. Različni izvedenci so v aplikaciji prepoznali številne luknje in pomanjkljivosti. Zlomiti naj bi jo bilo mogoče v nekaj minutah.

Izvorna koda je dostopna na Githubu, zato ni bilo težko pogledati, kaj se skriva pod pokrovom. Hitro se je izkazalo, da bi aplikacija na telefon shranjevala občutljive osebne podatke na nezaščiten način, vdor vanjo pa naj bi trajal vsega dve minuti. V aplikaciji se je možno izogniti vnosu PIN-a ali biometrični prepoznavi. To v praksi pomeni, da lahko z njo polnoletnost prikaže tudi kdo drug, ne le lastnik telefona.

Tiskovni predstavnik Evropske komisije Thomas Regnier je neprepričljivo dejal, da ko govorijo o končni verziji, gre še vedno le za demo verzijo. Kodo naj bi sproti popravljali in izboljševali, uporabnikom pa še ni na voljo v produkcijski obliki. A kritikov aplikacije ne manjka,...

13 komentarjev

Evropska komisija predstavila aplikacijo za preverjanje starosti

Slo-Tech - Predsednica Evropske komisije Ursula von der Leyen je v Bruslju predstavila novo aplikacijo, ki bo omogočala dokazovanje in preverjanje starosti uporabnikov na internetu. Z njo bo v Evropski uniji možno omejiti dostop do neprimernih vsebin za mlade, kamor sodijo tudi družbena omrežja, ki jih čedalje več držav najmlajšim prepoveduje. Nova aplikacija bo delovala na pametnih telefonih, tablicah in računalnikih.

Ursula von der Leyen je dejala, da aplikacija zadostuje vsem ključnim pogojem: deluje na vseh napravah, je odprtokodna, enostavna za uporabo in upošteva najvišje standarde zasebnosti. Za uporabo bo treba poskenirati svoj osebni dokument, denimo potni list ali osebno izkaznico, s katero bo uporabnik potrdil svojo starost. Sprva so želeli z aplikacijo mladim prepovedati dostop do pornografije in škodljivih vsebin, čedalje več držav s Francijo in Grčijo na čelu pa razmišlja o prepovedi uporabe družbenih omrežij za mlajše od 15 ali 16 let. Evropski parlament želi podobno ureditev...

70 komentarjev

FBI z iPhona obnovil izbrisana sporočila v Signalu

Slo-Tech - FBI je na iPhonu nekega osumljenca, ki je za komunikacijo uporabljal aplikacijo za varno in šifriranje sporočanje Signal, obnovil izbrisana sporočila. Šlo je za razvpiti primer iz minulega leta, ko je enajst posameznikov poškodovalo center za pridržanje migrantov v Teksasu in težje poškodovalo enega uslužbenca. Na sodišču je država kot dokaze predložila tudi izbrisana sporočila.

Obnovili so jih z naprave, do katere so imeli forenziki fizični dostop. Z uporabo posebne programske opreme so sporočila našli med potisnimi obvestili, ki jih telefon izpiše ob prejemu sporočila prek Signala. Zlomili torej niso aplikacije, temveč so izkoristili ustroj sistema in delovanje obvestil. Če v Signalu vključimo možnost prikaza obvestil na zaklenjenem telefonu, bo iOS v interno shrambo shranil njihovo vsebino.

Ranljivost ne tiči v Signalu. To je še vedno aplikacija za šifriranje in varen prenos sporočil med dvema telefonoma. Kaj pa se s sporočili zgodi na telefonu, kjer se morajo odšifrirati in...

22 komentarjev

Začasni nadzor sporočil v EU ni več dovoljen, podjetja ga še vedno izvajajo

Slo-Tech - Včeraj je v EU prenehal veljati začasen odstop od direktive o zasebnosti in elektronskih komunikacijah (ePrivacy), ki je dovoljeval pregledovanje elektronskih sporočil. Ponudniki infrastrukture in storitev, denimo Meta, Google ali Apple, so lahko sproti množično kontrolirali komunikacijo med uporabniki z namenom boja proti terorizmu in zlorabi otrok. Evropski parlament 26. marca na ponovljenem glasovanju ni potrdil podaljšanja ureditve, ki sta ga želela Evropska komisija in Svet.

Začasni odstop od ePrivacy od podjetij pregledovanja sporočil ni zahteval, temveč jim je to dovoljeval. Večina ponudnikov je prostovoljni nadzor (Voluntary Chat Control) vpeljala. Kljub trditvam o boju proti zlorabam otrok ukrep ni bil zelo uspešen, saj ga ni bilo težko pretentati. Analize so kazale, da kazniva dejanja večinoma ne izvirajo iz zasebnih sporočil, temveč javnih objav. Glavni pomislek se je nanašal na sorazmernost ukrepa, saj nadzor nad komunikacijo ni mogoč v primeru polnega šifriranja...

9 komentarjev

Evropski parlament zavrnil Chat Control

Slo-Tech - Poslanci Evropskega parlamenta so na včerajšnjem plenarnem zasedanju s 311 glasovi proti, 228 za in 92 vzdržanimi zavrnili podaljšanje odstopa od direktive o zasebnosti in elektronskih komunikacijah (ePrivacy), ki je začasno omogočal pregledovanje elektronskih sporočil (Chat Control). Trenutno podaljšanje se izteče 3. aprila, nato pa ponudniki storitev (Meta, Google itd.) ne bodo smeli več pregledovati komunikacije uporabnikov. To bodo lahko počeli le organi pregona s sodnimi odredbami, medtem ko bo množično analiziranje sporočil nezakonito.

Evropska komisija je že leta 2022 predstavila predlog, ki bi od vseh ponudnikov platform terjal pregledovanje vseh sporočil med uporabniki, da bi se tako borili proti terorizmu in zlorabi otrok. Tehnološki velikani, številni pravniki in zagovorniki zasebnosti so opozarjali, da je takšna rešitev izjemno tvegana in bi imela neslutene posledice za kibernetsko varnost, saj prestrezanje polno šifrirane komunikacije (end-to-end) ni mogoče brez...

13 komentarjev

Kod plove francoska letalonosilka? Poglejte na Stravo

Slo-Tech - Niso redki incidenti, ko nepazljivi uporabniki Strave na spletu s svojimi javnimi profili razkrijejo več, kot bi želeli ali smeli. Minuli teden je nespametni francoski mornar celotnemu svetu pokazal, kod plove francoska letalonosilka Charles-de-Gaulle. Seveda smo vedeli, da je v Sredozemlju, a ko je 13. marca na krovu s Stravo odtekel sedem kilometrov, je postalo znano, kje severozahodno od Cipra je bila letalonosilka. Kasneje je svoj profil sicer zaklenil.

To sploh ni bil prvi incident. Isti vojak je februarja razkril lokacijo letalonosilke v Rokavskem prelivu, kasneje pa še v bližini danske prestolnice. Sedaj je pokazal, kako plove po Sredozemlju, kar so hitro potrdile tudi satelitske slike. Poveljstvo je kasneje dejalo, da tovrstno ravnanje ni v skladu s pravili o uporabi digitalne tehnologije, zato bodo sprejeli ukrepe, da se ne ponovi. Ali je mornar ogrožal varnost letalonosilke, je seveda drugo vprašanje, na katero je odgovor bržkone ne. Da bo vplula v Sredozemlje, je...

32 komentarjev

Instagram ukinja šifriranje zasebnih sporočil

Slo-Tech - Meta bo 8. maja ukinila možnost šifriranja zasebnih sporočil v Instagramu, so sporočili iz podjetja. Šifriranje od pošiljatelja do prejemnika (end-to-end encryption), ki nikomur, niti Meti, ne omogoča vpogleda v vsebino sporočil, so uvedli leta 2023. Tiskovna predstavnica Dina El-Kassaby Luce pojasnjuje, da funkcije ni uporabljalo veliko ljudi. Kdor tovrstno komunikacijo želi še naprej, lahko uporabo platformo WhatsApp, dodaja.

V praksi to pomeni, da bo treba šifrirane pogovore prenesti in shraniti, sicer do njih ne bomo mogli več. Uporabniki starejših različic aplikacije jo bodo morali verjetno posodobiti, preden bodo lahko to storili.

Uradnega razloga za spremembo Meta ni ponudila, razen da funkcija ni popularna. A odločitev je treba razumeti tudi v kontekstu spremenjenih razmer v svetu, kjer so države čedalje bolj sumničave do polnega šifriranja, češ da to otežuje boj proti zlorabam otrok in širjenju nezakonitih vsebin. V Veliki Britaniji so skušali šifriranje v celoti...

14 komentarjev

Proton Mail oblastem predal informacije o imetniku računa

Slo-Tech - Švicarsko podjetje Proton AG svoje izdelke oglašuje kot varne za uporabnike, ki da jim nudi zasebnosti, a v praksi tega vedno ne morejo spoštovati. Vsebine elektronskega predala Proton Mail resda ne vidijo, a za naročnike imajo vsaj podatke o plačilu, ki pa jih lahko predajo oblastem. To se je zgodilo lastniku predala defendtheatlantaforest@protonmail.com, ki je povezan s protestnim gibanjem Defend the Atlanta Forest (DTAF) v ZDA, poznanim tudi pod imenom Stop Cop City.

Ameriške oblasti gibanje, ki nasprotuje novemu vadbenemu centru (Atlanta Public Safety Training Center), obtožujejo več kaznivih dejanj, med drugim požiga, vandalizma in razkrivanja osebnih informacij (doxxing). Na profilu skupina na Facebooku je omenjeni elektronski naslov naveden kot kontakt, zato je FBI zelo zanimalo, komu pripada. Za pomoč so se obrnili na Švicarje.

Prek mehanizma za sodelovanje MLAT (Mutual Legal Assistance Treaty) so za pomoč zaprosili švicarske organe pregona, ki so potem od Protona...

21 komentarjev

Discord zanima, koliko ste stari

Slo-Tech - Prihodnji mesec bo Discord začel preverjati starost uporabnikov po celem svetu, kar je že sprožilo burne odzive. To bodo storili tako, da bodo sprva vsi računi obravnavani, kot da so njihovi uporabniki mladoletni, nato pa bo Discordov model iz vzorca uporabe skušal določiti starost uporabnika. Večini uporabnikov ne bo treba storiti nič, za kogar pa Discord ne bo prepričan, da je polnoleten - in to bo veljalo zlasti za nove uporabnike - bo moral svojo starost dokazati z osebnim dokumentom.

Kdor bo imel omejeni račun, se ne bo mogel pridružiti strežnikom in kanalom, ki bodo označeni za neprimerne za mladoletne. Tudi v vseh ostalih kanalih bodo vključeni filtri za vsebine, ki jih Discord označi kot eksplicitno ali občutljivo. Prav tako se ne bo mogel oglasiti v kanalih z neposrednim prenosom (stage), zasebna sporočila neznancev pa bodo odfiltrirana v posebno mapo.

Discord pojasnjuje, da bo druga možnost za odklep tudi videoidentifikacija, kjer bo sistem iz podobe posameznika...

40 komentarjev

Profesor, ki si je v ChatGPT izbrisal vso zgodovino

Slo-Tech - Marcel Bucher, ki na kölnski univerzi poučuje botaniko, je v kolumni za Nature potožil, da mu je ChatGPT pobrisal dve leti zgodovine pogovorov. Resda je bil za spodrsljaj kriv sam, a ob tem opozarja, da sistem nima nobenih varovalk niti jasnih opozoril, kaj izbira posamezne možnosti spremeni. Uporabniki na družbenih omrežjih niso zelo prizanesljivi do profesorjevih tegob.

Bucher pojasnjuje, da je v zadnjih dveh letih plačljivi ChatGPT uporabljal kot vsakodnevnega asistenta, ki mu je pomagal pisati elektronska sporočila, pripravljati projektne prijave, zasnovati učne programe, sestavljati učni material, recenzirati članke itd. V tem času ga je ukrojil po svojih potrebah, nato pa je avgusta lani v nastavitvah onemogočil soglasje za deljenje podatkov (data consent). Zanimalo ga je, kaj se bo zgodilo, in rezultat je bil zares zelo zanimiv. ChatGPT je nemudoma pobrisal vso njegovo zgodovino pogovorov in nastavitev. Tudi ko je funkcijo vnovič aktiviral, se podatki niso vrnili. Na...

31 komentarjev

Za WhatsApp bodo v EU veljala strožja pravila

Slo-Tech - Tiskovni predstavnik Evropske komisije je napovedal, da bodo za WhatsApp v prihodnosti veljala strožja pravila. Platforma doslej ni bila opredeljena kot zelo velika spletna platforma (VLOP) po aktu o digitalnih storitvah, lani pa je potrebne pogoje dosegla. Eden izmed pogojev je 45 milijonov uporabnikov v EU, kar je WhatsApp dosegel v prvem polletju minulega leta. Po lastnih navedbah je imel 51,7 milijona evropskih uporabnikov.

Ko platforma postane dovolj velika (VLOP), jo doleti strožja regulativa. Med drugim mora obvladovati tveganja, ki so povezana z deljenjem nezakonitih vsebin, skrbeti za njihovo pravočasno odstranjevanje in podobno. WhatsApp je sicer orodje za medsebojno komunikacijo, ima pa tudi funkcionalnost Channels, ki omogoča deljenje vsebin z vsemi in sodi med družbena omrežja. Komisija bo za VLOP verjetno razglasila del Channels. Tiskovni predstavnik Komisije Thomas Regnier je dejal, da bodo natančno preučili, kateri del WhatsAppa sodi pod DSA in kateri ne.

Po...

10 komentarjev

Nove preiskave zoper X v EU, Veliki Britaniji in Indiji

Slo-Tech - Regulatorji v Evropski uniji, Veliki Britaniji, Indiji in Maleziji se pripravljajo za začetek preiskav zoper X, potem ko je bilo na platformi več tednov možno ustvarjati seksualne fotografije resničnih oseb, med drugim tudi otrok. V ZDA je Nacionalni center proti spolnim zlorabam (NCOSE) od pravosodnega ministrstva in Zvezne komisije za trgovino prav tako zahteval preiskavo.

Novo funkcionalnost je X pridobil konec decembra, v začetku leta pa je izbruhnila afera. Vgrajeni asistent umetne inteligence Grok je uporabnikom omogočal manipulacije katerihkoli fotografij, kar so seveda takoj pograbili za izdelavo opolzkih podob resničnih oseb. Ker so se med tarčami znašli tudi otroci, so regulatorji takoj pozvali Grok, naj to prepreči.

Predstavniki ameriškega ministrstva za pravosodje so dejali, da jemljejo generirane podobe spolne zlorabe otrok izjemno resno in da bodo preganjali kogarkoli, ki bo to proizvajal ali posedoval. Evropska komisija je dejala, da podrobno spremljajo situacijo...

17 komentarjev

Grok slači ljudi, tudi mladoletnice - in to je velik problem

Slo-Tech - Grok je v preteklosti že poskrbel za nekaj pretresov, denimo s poveličevanjem nacizma, se je spet znašel v viharju polemik. Konec minulega leta so na platformi X uporabnikom omogočili uporabo Groka za spreminjanje katerihkoli slik, ne le svojih, pri tem pa prvotni avtor fotografije ne dobi nobenega obvestila o manipulaciji. Pravilo 34 je močno, zato ni presenetljivo, da so uporabniki z Grokom kmalu začeli slačiti zlasti ženske. Le kaj bi lahko šlo narobe?

Začelo se je nedolžno, ko so nekatere pornografske igralke Grok prosile, naj jih sleče. Nadaljevalo se je v predvidljivem slogu, ko so se v zahtevah začele pojavljati številne druge javne osebnosti, ki s tem niso soglašale, a je bilo Groku vseeno. Morda se zdi Elonu Musku zabavno, da ga Grok v bikiniju vstavi v sicer znano fotografijo Ben Afflecka ali da v bikini obleče severnokorejskega predsednika. A milijonom žensk niso tovrstne manipulacije prav nič smešne.

Meja med šalami in neprimernostjo je sila tanka. Grok ni imel...

75 komentarjev

Danska bo prva evropska država s strogimi omejitvami družbenih omrežij za mlade

Slo-Tech - Potem ko je Avstralija uvedla najstrožje ukrepe za omejitev uporabe družbenih omrežij med mladimi, ki mlajšim od 16 let prepovedujejo njihovo uporabo, v Evropi štafetno palico prevzema Danska. Že minuli mesec so napovedali omejitve za mlajše od 15 let, kar bi starši lahko znižali na 13 let. Vlada nadaljuje prizadevanja za sprejetje tega ukrepa.

Avstralski zakon omejuje uporabo družbenih omrežij acebook, Instagram, Kick, Reddit, Snapchat, Threads, TikTok, X in YouTube za mlajše od 16 let, pri čemer odgovornost prelaga na ponudnike storitev. Ti morajo zagotoviti ustrezne ukrepe za preprečitev nepooblaščene uporabe, sicer jim grozi do 50 milijonov avstralskih dolarjev globe (30 milijonov evrov). Na Danskem želijo mejo postaviti na 15 let, kar bi bil še vedno najstrožji ukrep v EU.

Da bi prepoved začela veljati, morajo sprejeti ustrezno zakonodajo, kar napovedujejo za sredino prihodnje leta. Vprašanje ali, se bo v praksi kaj bistvenega spremenilo, ker številna družbena omrežja že...

45 komentarjev

V Južni Koreji ušli osebni podatki dveh tretjin prebivalstva

Slo-Tech - Največji južnokorejski spletni trgovec Coupang, ki v državi velja za lokalni Amazon, se je znašel v hudih težavah. Neznani napadalci so junija vdrli v njihove strežnike v tujini, podjetje pa je za to izvedelo šele novembra in začelo ukrepati šele prejšnji teden. Izvršni direktor Park Dae-jun je ta teden odstopil, a odpravljanje posledic bo trajalo dolgo. Ustanovitelj in predsednik Bom Kim se še ni odzval.

Coupang je potrdil, da so napadalci pridobili dostop do osebnih podatkov 33 milijonov sedanjih in nekdanjih strank. Odnesli so polna imena, domače naslove, telefonske številke in elektronske naslove, kar je po ugotovitvah južnokorejske policije največji vdor v zgodovini države. Bančnih podatkov in gesel niso odtujili. Park Dae-jun je na zaslišanju v parlamentu dejal, da je napad izvedel nekdanji razvijalec. Storilec, kitajski državljan, je za podjetje delal do lanskega decembra. Ker mu dostopa do vseh stopenj v sistemu niso ukinili, je tudi po prekinitvi sodelovanja še vedno...

12 komentarjev

Indija stopila korak nazaj, obvezne aplikacije (še) ne bo

Slo-Tech - Po silovitem pritisku javnosti in javno napovedani Applovi nepokorščini je indijska vlada sporočila, da namestitev državne aplikacije Sanchar Saathi ne bo obvezna. Za zdaj. Konec novembra sprejeta odredba je proizvajalcem in prodajalcem pametnih telefonov nalagala, da v 90 dneh poskrbijo, da bodo imele vse nove enote privzeto nameščeno aplikacijo, ki je ne bi smelo biti možno odstraniti. Uradni razlog za njeno uporabo je preverjanje avtentičnosti telefonov v boju proti tatvinam in nepooblaščeni rabi.

Doslej je aplikacijo preneslo že 14 milijonov uporabnikov, ki so dnevno prijavljali 2000 primerov prevar. Aplikacija je bila v resnici velik uspeh in številni uporabniki so jo nameščali prostovoljno, a zahteva po obvezni neodstranljivi namestitvi je bila korak predaleč. Apple in Samsung je skrbel predvsem vpliv na zasebnost uporabnikov, kar je njuna glavna prodajna prednost. Indijski minister za telekomunikacije Jyotiraditya Scindia je sicer zatrjeval, da aplikacija ne bo imela...

0 komentarjev

Evropski parlament predlaga prepoved uporabe družbenih omrežij pred 16. letom

Evropski parlament - Evropski poslanci so izrazili zaskrbljenost zaradi tveganj za duševno in fizično zdravje mladostnikov, ki jih predstavljajo pametni telefoni in družbena omrežja. Zato izvršno vejo oblasti pozivajo k oblikovanju ukrepov za zaščito, med katerimi je tudi prepoved uporabe družbenih omrežij za mlajše od 16 let. V starosti med 13. in 16. letom bi uporabo dovolili s soglasjem skrbnikov. Evropski parlament je na plenarnem zasedanju v Strasbourgu danes s 483 glasovi za in 92 proti sprejel poročilo, ki izraža veliko zaskrbljenost. Za so glasovali vsi slovenski poslanci razen Branka Grimsa, ki je bil proti.

Parlament poziva k prepovedi najbolj škodljivih zasvojljivih praks, kamor sodijo zlasti funkcije, kot so neskončni trak vsebine (infinite scrolling), samodejno predvajanje, osveževanje s podrsanjem (pull to refresh), nagradne zanke (reward loops) in spreminjanje škodljivih vsebin v igralne (gamification). Spletne strani, ki ne spoštujejo evropskih pravil, bi morali blokirati, predlagajo....

46 komentarjev

Evropski zakonodajni sveženj bi pohabil GDPR, AI Act in druge zaščite

Slo-Tech - Evropska komisija je objavila predlog nove uredbe, ki bi posegla v številne obstoječe uredbe in direktive, nekaj pa bi jih tudi razveljavila. Vplivala bi tudi na GDPR, AI Act, NIS 2 in ostale pomembne akte, ki predstavljajo zakonodajni okvir za zaščito pravic in zasebnosti evropskih državljanov. Predlog odpravlja nekaj zaščit, kar bo najbolj razveselilo ameriške tehnološke velikane, Komisija pa želi zlasti pozitivne učinke na evropsko gospodarstvo.

Nekaj ukrepov bo očitnih na prvi pogled, denimo ukinitev obveznega soglasja za uporabo piškotkov, ki je poskrbelo za nadležna pojavna okna pri brskanju po spletu. Bolj v prihodnost usmerjen ukrep je sproščanje varovalk za uporabo umetne inteligence, ki se bo po novem lahko urila na večji množici (tudi) osebnih podatkov, če bo to utemeljeno in legitimno. Prehodno obdobje do stroge regulacije uporabe, ki ima huda tveganja za zdravje, varnost in osnovne svoboščine, se podaljšuje. GDPR se spreminja tako, da bodo podjetja lažje delila...

25 komentarjev

Z WhatsAppa je bilo moč sneti vseh 3,5 milijard telefonskih številk

Slo-Tech - Kljub opozorilom izpred osmih let Meta ni zakrpala varnostne ranljivosti v WhatsAppu, ki je še do nedavnega napadalcem omogočala sestaviti bazo telefonskih številk vseh uporabnikov, njihovih prikaznih slik in pozdravnega besedila v profilu. Avstrijski raziskovalci so iz storitve izluščili 3,5 milijarde telefonskih številk uporabnikov, kar jim sploh ni vzelo veliko časa.

Ranljivost je tičala v funkciji prepoznavanja stikov. Če v telefonski imenik dodamo novo telefonsko številko, bomo osebo v WhatsAppu zagledali skupaj z njeno fotografijo kot nov stik. WhatsApp ni omejeval števila preverjanj telefonskih številk v časovni enoti, zato je bilo možno hitro preveriti milijarde številk. Raziskovalci so pokazali še, da ima 57 odstotkov uporabnikov tudi fotografijo, 29 odstotkov pa še pozdravno besedilo. Meta je luknjo dokončno zakrpala šele letos oktobra, ko so jo na njo vnovič opozorili. Ustvarjeno podatkovno zbirko so raziskovalci nato izbrisali. Iz Mete so sporočili, da nimajo dokazov,...

2 komentarja

Danska želi prepovedati uporabo družbenih omrežij za mlajše od 15 let

Slo-Tech - Danska vlada je včeraj sporočila, da nameravajo prepovedati dostop do družbenih omrežij za mlajše od 15 let, kar naj bi bilo potrebno za zaščito otrok. Danska ministrica za digitalne zadeve Caroline Stage je pojasnila, da ima trenutno 94 odstotkov 13-letnikov profil na vsaj enem družbenem omrežju ter celo polovica 10-letnikov. Na spletu preživijo veliko časa, izpostavljeni pa so škodljivim in komercialnim vsebinam, kar predstavlja tveganje za njihovo zdravje in razvoj. Okrcala je tudi tehnološke velikane, ki so po njenem mnenju največja podjetja s skoraj neomejenimi sredstvi, ki niso pripravljena v varnost otrok in vseh drugih uporabnikov svojih storitev.

Ustrezno zakonodajo bodo pripravili postopoma, v postopku bodo sodelovale vse stranke. Zagotoviti želijo, da je zakonodaja kakovostna in brez lukenj. Pri tem se bodo lahko zgledovali tudi po Avstraliji, ki je takšno prepoved prva na svetu uvedla za mlajše od 16 let. Kako bodo na Danskem zagotovili spoštovanje zakonodaje, še ni...

85 komentarjev

Danska za zdaj umika Chat Control

Slo-Tech - Danska, ki do konca leta predseduje Svetu Evropske unije, umika podporo kontroverznemu predlogo evropske zakonodaje, ki bi uzakonila pregledovanje in prestrezanj telekomunikacij na zalogo pod pretvezo boja proti terorizmu in zlorabam otrok. Chat control, kot so v medijih poimenovali grozečo uredbo, je močno razdelil evropske države, medtem ko je bila stroka enotna, da gre za zelo slabo in nepremišljeno potezo. Danska sedaj sporoča, da si ne bo več prizadevala za sprejem te zakonodaje med svojim predsedstvom.

Prestrezanje telekomunikacij in vgradnja stranskih vrat v šifrirano komunikacijo je slaba ideja, ker je matematično ni moč izvesti varno. Če šifriranje pohabimo, tako da vanj vgradimo šibkost oziroma stranska vrata, do katerih imajo dostop le upravičeni deležniki (npr. organi pregona), bodo dostop sčasoma pridobili tudi vsi zlonamerni akterji. Šifriranje je namreč bodisi varno bodisi ni, srednje poti pa ni.

Boj proti zlorabam otrok (CSAM) je seveda plemenit cilj, ki pa se...

18 komentarjev

LinkedIn bo umetno inteligenco učil na vaših podatkih

Slo-Tech - Bliža se 3. november, ko bo LinkedIn začel svoje modele umetne inteligence učiti na podatkih svojih uporabnikov, ki za to seveda ne bodo nikakor nagrajeni. Podjetje sploh ne bo vprašalo za dovoljenje, temveč ga bo kar predpostavilo, lahko pa se bomo izrecno izvzeli iz nabiranja podatkov (opt out). Ko pa umetna inteligenca podatke enkrat posesa v svoje modele, nad njimi v resnici nima več nadzora nihče.

Blokiranje zbiranja podatkov ni težko. To lahko storimo z izbiro možnosti Settings and Privacy v desnem zgornjem kotu, zavihka Data privacy in nato nastavitve Data for Generative AI Improvement. Za zdaj ni videti, da bi LinkedIn v zameno za privolitev obdelave podatkov uporabnikom nudil kakršnekoli ugodnosti.

12 komentarjev

Bo Teams vohunil za vašo lokacijo?

Slo-Tech - V Microsoft 365 Roadmapu se je znašel na prvi pogled benigen stavek, ki je poskrbel za pravi vihar na spletu. Zapisali so, bo Teams ob povezavi uporabnika v Wi-Fi organizacije avtomatično nastavil vidno lokacijo, tako da bo prikazovala točno stavbo, v kateri so. Privzeto bo funkcija izključena, a bodo lahko skrbniki (tenant admin) omogočili ali celo zahtevali njen vklop.

Takoj so se razširile bojazni, da bo Microsoft šefom omogočil vohljanje za lokacijo zaposlenih oziroma da bo takoj jasno, od kod delajo in ali so dejansko v pisarni. A ne gre zato. Strahovi gredo v obe smeri, torej tudi da bo vsem udeležencem sestankov jasno, kdo je dejansko v pisarni in ga bodo lahko zasuli s fizičnimi obiski. Prepoznavanje, od kod se zaposleni prijavljajo v sistemske storitve, v resnici ni nič težkega ali neobičajnega, a ti podatki niso dostopni vsakomur. Novost pa bo ta podatke javno priobčila čisto vsem sodelujočim prek Teams. Teams to omogoča že sedaj, a ne avtomatično, temveč ob izrecni...

38 komentarjev

EU začenja preiskavo zaščite mladoletnikov na platformah Snapchat, YouTube, Apple App Store in Google Play

Slo-Tech - Evropska komisija je danes začela preiskavo platform Snapchat, YouTube, Apple App Store in Google Play, v kateri bodo preverjali spoštovanje smernic o zaščiti mladoletnih uporabnikov, ki jih predpisuje akt o digitalnih storitvah (DSA). Komisija bo v prvi fazi preiskave od podjetij zahtevala informacije o delovanju njihovih sistemov za preverjanje starosti uporabnikov. Zanimalo jo bo tudi, kako platforme preprečujejo dostop do nezakonitih izdelkov, kamor sodijo tudi droge in škodljive vsebine.

Komisija si prizadeva zagotoviti fizično in duševno varnost otrok in mladostnikov pri uporabi spleta. Ključna vstopna točka v splet so digitalne platforme, ki imajo zakonsko obveznost zagotoviti varnost zanje v svojih storitvah. Zato na primer od Snapchata zahtevajo informacije, kako preprečujejo uporabo mlajšim od 13 let, kar imajo zapisano v svojih pogojih uporabe. YouTube bo moral razkriti delovanje svojega sistem za preverjanje starosti in podrobnosti o algoritmih za priporočanje...

4 komentarji

Uredbe o nadzoru telekomunikacij Slovenija ne podpira

Slo-Tech - Z notranjega ministrstva so včeraj sporočili, da bo Slovenija na Svetu EU glasovala proti predlogu uredbe za boj proti spolnim zlorabam otrok (CSAR), ko je trenutno zapisana. Predlog predvideva obširen nadzor nad telekomunikacijami v Evropski uniji, kar po mnenju številnih institucij, organizacij in varuhov zasebnosti predstavlja nesorazmeren in nesprejemljiv poseg v pravico do zasebnosti. Načelno se Slovenija strinja s potrebo po regulaciji v boju proti zlorabam otrok, a na ministrstvu opozarjajo na tehtanje med zaščito otrok in obširnimi posegi v zasebnost vseh prebivalcev.

Svet EU, ki ga sestavljajo predstavniki izvršne veje oblasti držav članic, bo o CSAR glasoval 14. oktobra. Komisija je sicer prvo verzijo uredbe predlagala že leta 2022, nato pa jo je Evropski parlament minimalno omilil in leta 2023 načelno sprejel. To po mnenju Slovenije in nekaterih držav ne zadostuje, zato predloga ne bodo podprle. Tudi če bo kdaj blizu sprejeta, morata identično besedilo potrditi Svet in...

27 komentarjev

Britanci spet zahtevajo vpogled v Applovo šifriranje

Slo-Tech - Britanska vlada je ponovno izdala ukaz, s katerim od Appla zahteva dostop do podatkov v oblaku iCloud. Ko so to storili v začetku leta, je Apple izklopil šifriranje za britanske uporabnike iClouda, ker je bila to manj slaba rešitev od pohabljenja šifriranja in vgradnje stranskih vrat, ki bi jih slej ali prej našli tudi nepridipravi. Sprva se je upiral le Apple, ki se je pritožil na ukaz, nato so se vmešale še uradne ZDA, ki so s pritiskom domnevno dosegle razveljavitev te prakse. Velika Britanija poskuša vnovič.

Britansko notranje ministrstvo je Applu ponovno odredilo, da mora zagotoviti dostop do kopij podatkov, ki jih imajo uporabniki v iCloudu. Novi ukaz, ki se formalno imenuje obvestilo o tehničnih zmožnostih (technical capability notice) se to pot omejuje na britanske prebivalce in ne celi svet. Dodajajo, da se bodo še naprej zavzemali za varnost britanskih državljanov, kamor očitno sodi tudi vohljanje po njihovih podatkih.

Apple se na najnovejšo konfrontacijo še ni odzval....

14 komentarjev

Evropska komisija predlaga spremembe zakonodaje o piškotkih, ki je onečedila splet

Slo-Tech - Novela evropske direktive o zasebnosti elektronskih komunikacij (e-Privacy Directive) je pred dobrimi petnajstimi leti korenito spremenila internet. Nemalo ljudi meni, da na slabše, saj je uvedla obvezno soglasje za shranjevanje piškotkov, zaradi česar nas danes skoraj vsaka stran bombardira z obvestili o piškotkih. Navadili smo se, da soglasja podeljujemo brez branja. Evropska komisija je končno začela razmišljati o spremembi.

Politico poroča, da delovna skupina pripravlja predloge sprememb zakonodaje, ki bi uvedli več izjem in uporabnikom omogočili, da soglasje podajo enkrat, denimo v brskalniku, pa bi potem veljalo za vse strani. Podobne zamisli so v preteklosti motrile tudi nekatere države članice, Danska pa na primer predlaga, da bi za osnovne piškotke za tehnično nujne funkcionalnosti in enostavno statistiko preprosto ukinili potrebo po soglasjih. Ti piškotki naj bi bili neškodljivi, trdijo.

Z odpiranjem zakonodaje, ki ureja piškotke, se začenja vnovičen krog intenzivnega...

15 komentarjev

Proton Mail začasno blokiral predala dveh novinarjev

Slo-Tech - Za veliko razburjenja je v minulih tednih poskrbela odločitev švicarskega ponudnika elektronske pošte (in drugih storitev) Proton Mail, ki je po lastnih trditvah nevtralni in varni pristan za osebne podatke in branik svobode. Avgusta je Proton Mail blokiral dostop do elektronskih predalov dvema južnokorejskima novinarjema, ki sta preiskovala ravnanje korejskih oblasti, o čemer sta pisala za Phrack. Po več tednih je nato Proton Mail predala ponovno vzpostavil.

Proton Mail marsikdo uporablja ravno zato, ker se tovrstni incidenti naj ne bi dogajali. Proton Mail bi moral biti precej varnejši od Gmaila in konkurence, a tovrstni zapleti postavljajo te trditve pod vprašaj. Novinarja sta preiskovala hekersko operacijo, ki je prizadela tudi omrežje južnokorejske vojske in vlade. Pri svojem delu sta sledila dobrim praksa, kar vključuje tudi obveščanje prizadetih tarč o obstoju ranljivostih v njihovih sistemih pred javno objavo informacije. Za svoje delo sta uporabljala Proton Mail, s...

37 komentarjev

Google mora plačati 425 milijonov dolarjev, ker je sledil uporabnikom

Slo-Tech - Medtem ko je bila razsodba v ameriški prestolnici za Google izjemno pomembna in pozitivna, saj bo lahko ostal eno podjetje, ga je v San Franciscu doletel manjši glavobol. Sodišče je določilo, da mora Google plačati 425 milijonov dolarjev odškodnine tožnikom v kolektivni tožbi, ki so dokazali, da je Google nezakonito zbiral njihove podatke.

Gre za kolektivno tožbo iz leta 2020, v kateri so tožniki zatrjevali, da je Google od julija 2016 (pa vse do septembra 2024) nezakonito zbiral podatke o aktivnosti uporabnikov. Kolektivna tožba je zastopala 98 milijonov uporabnikov s 174 milijoni naprav, zahtevala pa je 31 milijard dolarjev odškodnine. Dobili bodo precej manj, Google pa se bo še pritožil.

Srčika problema tiči v nastavitvah profila v Web & App Activity. Te je možno sledenje izključiti, a je Google še vedno zbiral nekaj podatkov o uporabnikih. Podjetje trdi, da so vsi podatki anonimizirani, torej da uporabniki niso nikakor oškodovani ali razkriti. Porota je ugotovila, da je...

7 komentarjev

Platforme na Otoku na različne načine preverjajo starost uporabnikov

Slo-Tech - Platforme so se v Veliki Britaniji lotile preverjanja starosti svojih uporabnikov, kot to od njih zahteva Online Safety Act. Steam se je odločil, da bo za dostop do vsebin, ki za mladoletne niso primerne, potrebna veljavna številka kreditne kartice. V Veliki Britaniji lahko kartice dobijo le polnoletni, s čimer je Valve elegantno preverjanje polnoletnosti preložil na bančni sistem, ki to že počne. Nekateri uporabniki so se nad tem tudi pritoževali, a prednosti za Valve so očitne. Pojasnili so, da se z vpisom številke kreditne kartice v platformo precej zmanjša deljenje uporabniških profilov, saj malokdo deli profil, v katerem je aktivno plačilno sredstvo.

Večina drugih platform se je odločila za manj rigorozne načine, denimo preverjanje starosti s fotografijo uporabnika. Tako so storili Reddit, Bluesky in Discord, ki so se potem čudili, kako je možno sistem prelisičiti s fotografijo iz videoigre. Ko so to luknjo zakrpali, so se ljudje preprosto zatekli k VPN-jem, da so se...

22 komentarjev

ZDA naj bi na Otoku s pritiskom dosegle vrnitev šifriranja v iCloudu

Reuters - Obveščevalna direktorica v ameriški vladi Tulsi Gabbard je dejala, da so z Veliko Britanijo dosegli soglasje o umiku zahteve, da mora imeti Applovo šifriranje vgrajena stranska vrata. V začetku leta je Apple dobil ukaz ameriške vlade, da mora v skladu z zakonodajo (Investigatory Powers Act) organom pregona po potrebi omogočiti dostop do šifriranih vsebin v iCloudu. Ker bi to pomenilo, da mora Apple v šifriranje od enega do drugega konca (end-to-end) vgraditi stranska vrata, so šifriranje za britanske uporabnike raje v celoti ukinili. To je močno razjezilo ZDA, ki so začele na Veliko Britanijo pritiskati, naj ukaz odpravi, medtem ko so v Veliki Britaniji Apple in druga podjetja sprožili sodne spore.

Po trditvah ameriške administracije so pogajanja obrodila sadove, zato bo Velika Britanija opustila zahteve po šibitvi šifriranja. Dogovor so, tako kaže, sklenili ob robu obiska evropskih voditeljev v ZDA pri reševanju ukrajinskega vprašanja. Tiskovni predstavnik britanske vlade navedb...

10 komentarjev

Na internetu bomo morali razkriti starost

Slo-Tech - Velika Britanija je postala prva zahodna država, ki je vsaj formalno onemogočila dostop do spornih spletnih vsebin za mladoletne. Od minulega konca tedna morajo spletne strani, ki strežejo tovrstno vsebino, obvezno uporabljati preverjanje starosti. Ne gre le za pornografske strani, kot bi morda čistunsko pomislili, temveč celo Reddit, Discord, X, Bluesky in podobno. Alternativna je klavrna, saj lahko strani v nasprotnem primeru le še zapustijo Otok.

In tako so strani množično uvedle preverjanje starosti, Britanci pa so z Googlove tržnice tolikokrat prenesli aplikacije za VPN, da je ProtonVPN postal bolj priljubljen od siceršnjega rekorderja ChatGPT. Ponudnikov preverjanja starosti je več: Bluesky uporablja Epic Gamesov Kids Web Services, Reddit Persono in Discord k-ID. Le zaupajo jim lahko, da bodo z osebnimi podatki ravnali odgovorno. Lani je AU10TIX več mesecev pustil osebne podatke in fotografije z vozniških dovoljenj dostopne na spletu.

Podobno je tudi v ZDA, kjer je vrhovno...

116 komentarjev

Na Otoku iščejo način, da v iCloud vrnejo šifriranje

Slo-Tech - Kot kaže, bodo Britanci poiskali častni umik od bizarne zahteve, naj Apple v svoje šifriranje v iCloudu zvrta luknjo. Financial Times poroča, da Home Office išče elegantno pot, kako odstopiti od te zahteve. K temu je največ pripomogel ameriški pritisk, saj je podpredsednik Vance zagrozil, da ZDA ne bodo podpisale tehnološkega sporazuma. Prav tako naj bi Velik Britanija kršila dogovor Cloud Act med državama.

ZDA vztrajajo, da gre za vprašanje svobode govora, ki ga britanska zakonodaja omejuje. Spomnimo, da je bil Apple na Otoku prisiljen ukiniti šifriranje v iCloudu, ko je prejel ukaz v skladu z zakonodajo (Investigatory Powers Act). V številnih drugih državah je ADP (Advanced Data Protection), kakor Apple imenuje šifriranje, normalno dostopen. Aprila letos je Apple dosegel prvo zmago, ko mu je sodišče dovolilo na glas govoriti o primeru, sedaj pa poteka postopek, v katerem Apple izpodbija ukaz. V bran so mu stopili številni tehnološki velikani, celo Meta.

2 komentarja

V EU bodo v petih državah preizkušali aplikacijo za preverjanje polnoletnosti

Slo-Tech - V petih evropskih državah bodo začeli preizkušati novo aplikacijo za preverjanje starosti uporabnikov interneta, s katero želijo zaščiti mladoletne pred škodljivimi vsebinami. Evropska komisija je v ponedeljek sporočila, da bodo v pilotnem projektu sodelovale Danska, Francija, Grčija, Italija in Španija. V prihodnjih mesecih bo vsaka izmed teh držav zagnala nacionalno verzijo aplikacije za preverjanje starosti, s katero bodo obiskovalci dokazali svojo polnoletnost.

Danska, ki je julija prevzela predsedovanje Uniji, je to problematiko uvrstila med svoje prioritete. Danska ministrica za digitalizacijo Caroline Stage Olsen je dejala, da si ni moč zamisliti sveta, kjer bi otroci lahko v trgovinah kupovali alkohol ali vstopali v nočne klube preprosto tako, da bi zgolj sami rekli, da so polnoletni. V resničnem življenju obstajajo vratarji, ki preverjajo starost, zato želijo enako uvesti na internetu. Dolgoročni cilj je, da bi vsaka država razvila svojo aplikacijo, ki bi bila prilagojena...

18 komentarjev

Tuji študentje bodo morali za študij v ZDA pokazati profile na družbenih omrežjih

politico.com - V ZDA bodo po prekinitvi sredi maja spet začeli izdajati študentske vizume, a bodo morali prosilci zanje uradnikom na veleposlaništvih pokazati svoje objave na družbenih omrežjih. Če so ta zasebne, se bodo morali prijaviti v profile in jih pokazati. Osebje na veleposlaništvih je prejelo navodila ministrstva zunanje zadeve, da morajo strogo preveriti, da v profilih ni zaznati sovražnosti do državljanov, kulture, vlade, institucij ali temeljnih principov ZDA.

Novost velja za vizume F, ki se podeljujejo študentom, vizume J, ki so namenjeni izmenjava, in vizumom M, ki so namenjeni usposabljanju. Kdor profilov na družbenih omrežjih ne bo želel pokazati, bo obravnava, kot da nekaj prikriva. Podobno bo veljalo za tiste, ki teroristom v tujini pomagajo, jih podpirajo ali zanje agitirajo. Kot primer ministrstvo navaja Hamas, s čimer enačijo vse propalestinske proteste.

Pri izdajanju vizumov bodo imeli prednost študentje, ki vse vpisujejo na univerze z manj kot 15 odstotkih tujih...

29 komentarjev

OpenAI bo zaradi sodne odredbe shranjeval vse pogovore s ChatGPT

Slo-Tech - OpenAI je sporočil, da bo moral zaradi začasne sodne odredbe v tožbi, ki so jo zoper podjetje vložili The New York Times in nekaj drugih založnikov, hraniti vso zgodovino pogovorov z uporabniki, četudi bodo ti v spletnem vmesniku "izbrisali" pogovor. V tožbi zoper OpenAI založniki trdijo, da so bile z razvojem orodja ChatGPT in različnih modelov, ki ga poganjajo, kršene avtorske pravice. To bi lahko dokazali z daljšimi izseki avtorsko zaščitenih vsebin, ki jih domnevno ChatGPT izpiše ob določenih pozivih. Brisanje zgodovine pogovorov bi bilo uničevanje dokazov, meni sodišče, zato je treba zgodovino hraniti.

Ukrep bo prizadel uporabnike različic ChatGPT Free, Plus, Pro in dostopa prek API, ne nanaša pa se na ChatGPT Enterprise ali ChatGPT Edu. Prav tako ne velja za uporabnike, ki imajo izrecno sklenjene dogovore o neshranjevanju podatkov (Zero Data Retention). OpenAI se je sicer pritožil na odredbo, a dokler velja, se bodo pogovori shranjevali.

To predstavlja zanimiv trk s splošno...

6 komentarjev

Brazilci bodo lahko prodali svoje osebne podatke

Slo-Tech - Osebni podatki posameznikov so na internetu precej vredni, številna podjetja so iz tega naredile dobičkonosne poslovne modele. Trg osebnih podatkov je vreden okrog štiri milijarde dolarjev, v prihodnjem desetletju pa se bo podeseteril, ocenjuje PWC. V Braziliji pa želi država to urediti sistemsko, da bi dobili tudi lastniki teh osebnih podatkov nekaj v zameno. Državno podjetje Dataprev bo v sodelovanju s kalifornijskim DrumWave posameznikov omogočilo, da za deljenje osebnih podatkov prejmejo nekaj denarja, saj jih bodo lahko prodali.

Ustvarili bodo digitalno denarnico dWallet, v katero se bodo nalagali osebni podatki, ki jih uporabniki s svojo uporabo interneta in digitalnih storitev ustvarjajo. Lastnik podatkov bo nato lahko sprejel ponudbo in svoje podatke prodal, v denarnico pa bo prejel kupnino. Predsednik Datapreva Rodrigo Assumpção je dejal, da želijo s to iniciativo postaviti nove temelje za nov model lastništva osebnih podatkov, ki je finančno vključujoč in digitalno...

25 komentarjev

Meta sme uporabljati javne objave na Facebooku za trening umetne inteligence

Slo-Tech - Irski informacijski pooblaščenec (DPC), ki ga ameriški tehnološki velikani morajo upoštevati, če imajo evropski sedež na Irskem, je načeloma dovolil Meti, da za trening umetne inteligence uporablja javne objave evropskih uporabnikov na omrežju Facebook.

Kot so pojasnili v DPC, je Meta lanskega marca sporočila, da želi uriti svoje jezikovne modele z javnimi objavami na Facebooku v EU. DPC je v prvotnem načrtu odkril več neskladnosti z evropsko zakonodajo, zato je Meti predlagal spremembe. Meta je junija sporočila, da začasno umikajo predlog, DPC pa je za mnenje zaprosil še evropskega regulatorja EDPB (European Data Protection Board). Decembra so prejeli mnenje, ki niza splošne pogoje, ki jih morajo posamezni informacijski pooblaščenci zahtevati in preverjati pri presoji skladnosti z GDPR.

Meta si je s tem dokumentom pomagala sestaviti boljši načrt, ki ga je po nekaj iteracijah DPC sedaj odobril. Med drugim bo uporabnikom jasno predstavljeno, za kaj se uporabljajo njihove objave,...

19 komentarjev

Rusija bo od tujih obiskovalcev Moskve zahtevala namestitev sledilne aplikacije

Slo-Tech - Ruski parlament obravnava zakon, ki bo od tujcev na območju prestolnice na telefon zahteval namestitev aplikacije za sledenje. Poleg sledenja lokacije predlog predvideva tudi obvezno oddajo prstnih odtisov, registracijo bivališča in fotografiranje. Slednje so v številnih državah, denimo v ZDA, že običajni pogoji za vstop v državo. Manj običajna pa je zahteva, da bodo morali tujci v treh dneh ministrstvo za notranje zadeve obvestiti o spremembi bivališča.

Namestitev mobilne aplikacije za sledenje, ki bo obvezna od 1. septembra letos, pa je precej invaziven poseg v zasebnost. Edine izjeme bodo diplomati ter vsi državljani Belorusije. Opozicija in aktivisti za državljanske pravice sicer zatrjujejo, da gre za hudo kršitev 23. in 24. člena ruske ustave, ki zagotavljata pravico do zasebnosti. Do zakona so kritični tudi v nekaterih ruskih zaveznicah, denimo v Uzbekistanu.

Za zdaj ni jasno, kaj bi se zgodilo, če bodo tujci telefon izključili, izgubili ali preprosto pustili v hotelu. To...

239 komentarjev

Francija zavrnila zakon, ki bi naluknjal šifriranje v WhatsAppu in Signalu

Slo-Tech - V Franciji niso šli po britanskih stopinjah, čeprav ni manjkalo zelo veliko. V četrtek zvečer so v parlamentu zavrnili zakonski predlog notranjega ministrstva, ki bi od ponudnikov platform za komuniciranje terjal vgradnjo stranskih vrat. Notranji minister Bruno Retailleau je želel od Signala, WhatsAppa, Messengerja in sorodnih platform zmožnost, da lahko odklenejo šifrirane komunikacije med uporabniki za obveščevalne službe. V praksi bi s tem zrušili šifriranje od pošiljatelja do prejemnika (end-to-end encryption), obveščevalne službe pa bi se lahko neopazno pridružile vsem pogovorom.

Zamisel je bila deležna hudih kritik varuhov zasebnosti in več strokovnjakov za varnost komunikacij. Ti so poudarjali, da je vsaka namerno vstavljena ranljivost v šifriranja priložnost za zlonamerne akterje. Signal je zato že pred glasovanjem zagrozil, da bo prenehal nuditi svojo platformo v Franciji, če bo zakon sprejet. Ironično je glasovanje zapletel prav izpad informacijskega sistema, ki so...

6 komentarjev

Amazon nam bo začel prisluškovati

Slo-Tech - Amazon je svoje uporabnike obvestil, da od 28. marca lokalna obdelava glasovnih ukazov, ki jih posredujejo pomočnici Alexi v pametnih zvočnikih Echo, ne bo več mogoča. Funkcija Do Not Send Voice Recordings bo izginila, so sporočili vsem uporabnikom, ki jo imajo trenutno vključeno. To pomeni, da se bodo vsi ukazi, ki jih bodo slišali pametni zvočniki in zaslonu, avtomatično prenesli k Amazonu.

To spremembo so kot za zasebnost nebistveno utemeljevali z napredkom na področju umetne inteligence in šifriranja. Amazon pravi, da imajo sedaj toliko računske moči za uporabo umetne inteligence na vsebinah iz varnega oblaka, da lokalna obdelava ni več smiselna. Alexa+ je nedavno dobila funkcijo Alexa Voice ID, ki prepozna govorca po glasu. To pa ne gre več lokalno, temveč je treba uporabiti umetno inteligenco v oblaku. A lokalno obdelavo bodo izgubili tudi uporabniki, ki te nove funkcije sploh ne uporabljajo.

Amazon je zatrdil, da bodo privzeto takoj po obdelavi izbrisali posnetkov...

25 komentarjev

Cellebrite prekrižal Srbijo

vir: Amnesty International
Slo-Tech - Podjetje Cellebrite se je odzvalo na decembrska poročila, da naj bi srbski organi pregona in obveščevalci na telefone novinarjev in aktivistov nameščali vohunsko programsko opremo. Uporabljali naj bi orodja podjetij Cellebrite in NSO Group. Cellebrite razvija orodja, s katerimi je moč vdreti v telefone, četudi so ti zaklenjeni.

Iz podjetja so sedaj sporočili, da Srbiji ne bodo več ponujali svoje programske opreme. V konkretnem primeru je šlo za program Novispy, katerega uporabo je dokazal Amnesty International na telefonih vsaj dveh posameznikov, in sicer novinarja in aktivista. Cellebrite je izrecno zapisal, da so odločitev sprejeli zaradi omenjenega poročila Amnesty International, niso pa izrecno omenili Srbije.

Cellebrite ni pojasnil, ali je prekinitev začasna ali stalna. V Amnestry International so odločitev pozdravili, a opozorili, da gre za prvi korak. Pričakujejo še interno preiskavo v Srbiji.

6 komentarjev

Največje pornografske platforme poročajo o manjšem izmerjenem številu obiskovalcev iz EU

Slo-Tech - Konec leta 2023 so pornografske strani Pornhub, XVideos in Stripchat postale velike spletne platforme (VLOP) po evropskem aktu o digitalnih storitvah (DSA), saj so presegle mejo 45 milijonov uporabnikov v EU na mesec. Lanskega julija se jim je pridružila še stran XNXX. Opredelitev kot VLOP prinaša strožji nadzor in več obveznega poročanja, med katerim so tudi poročila o transparentnosti. Ta vsebujejo podatke o moderiranju na teh platformah in zaščiti uporabnikov.

Če število uporabnikov pade pod 45 milijonov mesečno, lahko platforme status VLOP tudi izgubijo. To se je sedaj tudi zgodilo, pri čemer sploh ni jasno, ali je število uporabnikov res tako opazno upadlo. Vse štiri strani pa sedaj poročajo o precej nižjem številu uporabnikov, zaradi česar le še XNXX ostaja VLOP. A razlika je bržkone zgolj administrativna, saj se navade Evropejcev niso tako drastično spremenile.

Upravljavci strani pojasnjujejo, da je bilo do minulega leta nemogoče natančno izmeriti število uporabnikov, ker...

13 komentarjev

Južna Koreja umaknila aplikacijo DeepSeek

Slo-Tech - V Južni Koreji je informacijski pooblaščenec odločil, da morajo zaustaviti prenašanje aplikacije za kitajsko umetno inteligenco DeepSeek. Omejitev velja le za nove prenose, torej so aplikacijo odstranili s spletnih tržnic, obstoječi uporabniki pa lahko nadaljujejo uporabo. Proizvajalec je priznal, da morda niso spoštovali vseh pravil, ki jih zapoveduje južnokorejska zakonodaja o varovanju zasebnosti.

V Južni Koreji je zasebnost izjemno strogo varovana. DeepSeek ne opredeljuje ustrezno podrobnosti o posredovanju podatkov tretjim strankam in zbiranju osebnih informacij. Dokler teh podrobnosti ne razčistijo, bo aplikacija v državi ostala zamrznjena. Kitajci so v Južno Korejo že poslali predstavnike podjetja, ki bodo skušali zgladiti spor.

Na Zahodu DeepSeek ostaja dostopen, dasiravno je skepse veliko, varnostne službe pa so tudi zaskrbljene. DeepSeek je na primer prepovedan na službenih napravah državnih uradnikov v Avstraliji, Južni Koreji in Tajvanu. V Italiji je DeepSeek začasno...

12 komentarjev

Ciljano prisluškovanje uporabnikom WhatsAppa v več kot dvajsetih državah

vir: Reuters
Reuters - WhatsApp ugotavlja, da so napadalci z orodji izraelskega proizvajalca Paragon prisluškovali vsaj 90 uporabnikov v več kot dvajsetih državah. Med žrtvami so bili tudi novinarji in predstavniki civilne družbe, zato je WhatsApp poslal uradno zahtevo o prenehanju (cease and desist) ameriški pisarni podjetja Paragona. Iz Paragona uradnega odziva ni.

Kdo stoji za napadi, v WhatsAppu ne želijo špekulirati. Med strankami Paragona je več državnih služb in agencij s celega sveta, tudi ameriške (denimo zloglasna ICE). Po neuradnih podatkih s Paragonom sodeluje vsaj 35 držav, tudi nekatere evropske, denimo Grčija, Poljska in Madžarska. Programska oprema Paragon Graphite je po funkcionalnosti podobnap precej bolj razvpiti NSO Group Pegasus.

V konkretnem primeru so uporabili načine napadov, ki ne zahtevajo sodelovanja žrtve (zero-click attack). Napadi so trajali več mesecev, WhatsApp pa jih je zaznal in preprečil decembra lani. Ko uporabnik telefona stakne Graphite, ima napadalec popoln nadzor...

6 komentarjev

DeepSeek je na internetu pozabil javno dostopno bazo svojih podatkov

Slo-Tech - DeepSeek je morda res zatresel svet, a pri tem so bili površni in nepazljivi. Na internetu se je znašla baza podatkov, v kateri so tudi vsebine pogovorov, ki so jih imeli z DeepSeekom različni uporabniki. Gre za bazo Clickhouse, ki ima več milijonov vrstic dnevnika pogovorov. Poleg tega je v njej moč najti tudi ključe, podrobnosti delovanja in druge občutljive informacije.

Ranljivost je že zakrpana, saj so jo v podjetju Wiz Research po odkritju takoj odgovorno prijavili DeepSeeku, ki je hitro ukrepal. Baza je bila dostopna na naslovih oauth2callback.deepseek.com:9000 in dev.deepseek.com:9000, uporabljala pa ni niti najosnovnejših zaščit. Brez kakršnekoli avtentikacije je bilo možno izvajati operacije nad bazo. Odkrili so jo med rutinskim pregledovanjem, katere domene ima DeepSeek javno dostopne, in to ne le prek vrat 80 ali 443. Nekaj domen so tako našli, ki so odgovarjale na vratih 8123 in 9000.

Ami Luttwak iz Wiz Research dodaja, da se napake seveda dogajajo, a je šlo v tem...

46 komentarjev

Telegram vendarle sodeluje z oblastmi

Slo-Tech - Eden izmed razlogov za aretacijo Telegramovega ustanovitelja je bilo tudi vztrajno ignoriranje oblasti, saj platforma ni želela posredovati nobenih informacij o svojih uporabnikih. To se je začelo spreminjati šele septembra lani, ko je podjetje spremenilo svojo politiko zasebnosti in zapisalo, da bodo spoštovali sodne odredbe in razkrivali uporabnikova naslov IP ter telefonsko številko. Uvedli so tudi nekaj sprememb, da bi preprečili zlorabo platforme.

Sedaj so v poročilu o transparentnosti razkrili, da so lani ugodili več kot 900 pozivom ameriških oblasti in posredovali informacije o 2253 uporabnikih. Od začetka leta do septembra je bilo takih primerov le štirinajst; večina se je torej zgodila po spremembi politike. Tudi v drugih državah so sodelovali z organi pregona. V Veliki Britaniji so prejeli in izpolnili 142 zahtevkov, v Nemčiji 945, v Španiji pa 213.

Medtem ni novih informacij iz Francije, kjer so zoper ustanovitelja Pavla Durova vložili zajetno obtožnico. Bremenijo ga...

13 komentarjev

Volkswagen javno razkril osebne podatke in lokacijo 800.000 lastnikov električnih avtomobilov

Slo-Tech - Volkswagnu se je primerila huda površnost, saj so imeli na internetu javno dostopne podatke o zgodovini lokacij za 800.000 električnih vozil, ki so jih prodali v Evropi. Lastniki, ki so uporabljali aplikacijo Volkswagen App, so namreč s proizvajalcem delili svojo lokacijo. Ne gre za nečimrnost, saj je aplikacija potrebna za dostop do nekaterih funkcij avtomobila, denimo ogrevanje pred zagonom ali preverjanje stanja baterije na daljavo. Prizadete so tudi sestrske znamke Audi, Seat in Škoda.

Proizvajalec je zbiral informacije o vseh postankih avtomobilov in kdaj so jih lastniki zagnali. Ta dva podatka lahko v daljšem časovnem obdobju razkrijeta veliko o življenju posameznika in sta hudo invazivna. Podatke je formalno zbirala podružnica Cariad, ki jih je odlagala na strežniku v Amazonovem oblaku. Med podatki so bili tudi elektronski naslovi, telefonske številke in v nekaterih primerih celo domači naslovi. Za vsaj 460.000 vozil so bili znani zelo podrobni lokacijski podatki.

Najbolj...

30 komentarjev

Mnogo ljudi ne bi znalo pobrisati osebnih podatkov z elektronskih naprav

Slo-Tech - Za razliko od velike večine drugih naprav je smiselno računalnike, pametne telefone, tablice in podobno pred zavrženjem očistiti osebnih podatkov, da ne bi ti pristali v nepravih rokah. Pred leti smo večkrat poročali o statistikah, da rabljeni diski, ki so na prodaj na spletnih tržnicah, vse prepogosto vsebujejo podatke prejšnjih lastnikov. Leta pozneje ni nič bolje, ugotavljajo v Veliki Britaniji.

Tamkajšnji informacijski pooblaščenec je preveril, ali ljudje sploh znajo pobrisati osebne podatke z rabljenih naprav. Ugotovili so, da skoraj tretjina (29 odstotkov) odraslih Britancev tega ne zna storiti. Čeprav tri četrtine ljudi meni, da je to pomembno, marsikdo tega ne zna.

Zanimivo je, da so mladi sicer bolj vešči uporabe tehnologije, a so bolj brezbrižni. Kar 21 odstotkov mladih je ravnodušnih do tega, ali bi bilo treba pobrisati osebne podatke z naprav in kaj se z njimi lahko zgodi. V starejših starostnih skupinah je ta delež nižji. Obe dejstvi - torej zavedanje o pomembnosti...

65 komentarjev

Izraelski NSO Group nezakonito vdrl v WhatsApp

Slo-Tech - Hudo ranljivost, ki so jo pred leti odkrili v WhatsAppu, je izkoriščalo podjetje NSO Group. Ranljivost so izkoristili za prikrito namestitev svojega programa Pegasus, ki je nato omogočal vohunjenje. Pegasus je izdelek, ki so ga od Izraelcev kupovale številne vlade in obveščevalne službe.

Meta je kot lastnik WhatsAppa hitro vložila tožbo. V njej so podjetju očitali nepooblaščeno vdiranje v WhatsApp. Sodišče je te dni prikimalo in ugotovilo, da je NSO Group kršil kalifornijsko in zvezno zakonodajo, hkrati pa tudi pogoje uporabe WhatsAppa. Sodnica Phyllis J. Hamilton je razsodila, da je NSO Group vdrl v vsaj 1400 telefonov, ki so pripadali novinarjem, oporečnikom in drugim, ki so jih ciljale različne vlade. NSO pa je odgovarjal, da je šlo za pomoč organom pregona in obveščevalnim službam, ki zagotavljajo nacionalno varnost. NSO je želel pridobiti imuniteto po Foreign Sovereign Immunities Actu, ki pa je sodišče ni priznalo.

V postopku NSO ni sodeloval in ni priskrbel informacij, ki...

7 komentarjev

Meta v EU spet visoko oglobljena

Slo-Tech - Irski informacijski pooblaščenec (DPC) je danes izrekel novo globo za podjetje Meta, ki znaša 251 milijonov evrov. Globa je rezultat dveh preiskav, ki jih je DPC vodil zoper podjetje, potem ko je septembra 2018 izvedel za nepooblaščene dostope do osebnih podatkov zaradi hekerskih vdorov.

Prizadetih je bilo 29 milijonov profilov na Facebooku, med katerimi je bilo tudi tri milijone Evropejcev. Izpostavljeni so bili občutljivi osebni podatki, med njimi imena, elektronski naslovi, telefonske številke, lokacije, rojstni podatki, objave itd. Dasirano je Meta hitro ukrepala in omejila dostop, je bila škoda storjena. Zato mora sedaj odgovarjati.

Globa se torej razčleni takole: enajst milijonov evrov za kršitev 33. člena GDPR in 240 milijonov za kršitev 25. člena GDPR. Nižji del globe se nanaša na pomanjkljivo obveščanje, višji pa na pomanjkljivo varnost. Globo je izrekel irski DPC, ker ima Meta sedež za poslovanje v Evropi na Irskem.

Vdor se je zgodil z zlorabo prijavnih žetonov...

4 komentarji

PayPal bo prodajal vaše osebne podatke

Slo-Tech - PayPal je uvedel spremembe politike zasebnosti, ki bodo začele veljati 27. novembra. Po novem bodo osebne podatke uporabnikov, denimo njihovo zgodovino nakupov, delili z oglaševalci, ki bodo lahko stregli personalizirane ciljane oglase. Od tega se je sicer možno odjaviti, a je treba to aktivno izbrati (opt out).

Personalizirano oglaševanje ni nič posebej novega, so pa podjetja čedalje bolj domiselna pri iskanju načinov za pridobivanje potrebnih podatkov. Najenostavnejši način je seveda njihov nakup, kar jim bo sedaj nudil PayPal. Ponudniki finančnih storitev imajo namreč precej edinstven vpogled v navade posameznikov. V ZDA že četrtina bank vsaj nekaj osebnih podatkov deli s tretjimi podjetji, po navadi oglaševalci. Še posebej radi to počnejo fintechi.

PayPal ima okrog 390 milijonov aktivnih uporabnikov. Pošteno je treba priznati, da je bil PayPal pri razkritju nove politike gostobesednejši, kot bi moral biti strogo po črki zakona. Zakon v ZDA dovoljuje deljenje skoraj vseh...

52 komentarjev

EU: TikTok, YouTube in Snapchat morajo razkriti več o algoritmih

Slo-Tech - Algoritmi, ki jih uporabljajo moderna družbena omrežja, denimo YouTube ali TikTok, so zaviti v tančico ali kar plašč skrivnosti. Do neke mere je to razumljivo, ker s tem upravljavci preprečujejo zlorabe in neavtentično vedenje, a po drugi strani to pomeni, da nimamo ne uporabniki ne države nobenega nadzora nad delovanjem. Evropska komisija je zato v skladu z aktom o digitalnih storitvah (DSA) od TikToka, Snapchata in YouTuba zahtevala več informacij o algoritmih, ki jih uporabljajo.

Po DSA morajo platforme zagotoviti, da so ocenile in obvladujejo tveganja, ki nastajajo ob njihovi uporabi. Algoritmi predstavljajo tveganje za duševno zdravje, saj lahko posameznike potegnejo v začaran krog spremljanja novih in novih vsebin. Zato Komisija od Snapchata in YouTuba terja, da predložita podrobne informacije o parametrih, ki jih algoritmi uporabljajo za priporočila. Prav tako morajo pokazati, kako varujejo zdravje uporabnikov, zlasti ukrepe za mladoletne. TikTok pa mora razkriti še, kako...

16 komentarjev

Telegram bo minimalno sodeloval z organi pregona

Slo-Tech - Telegram se je doslej izogibal sodelovanju z organi pregona v več državah, običajno z izgovorom, da so podatki in ključi za dešifriranje razpršeni po strežnikih v več državah, zato s sodno odredbo ene države do podatke ne morejo. Pritisk na ustanovitelja, aretacija v Francija in preiskave so podjetje vendarle prisilili, da je nekoliko spremenilo svojo politiko.

Spremenili so svojo politiko zasebnosti, kjer je (šele sedaj!) jasno zapisano, da bodo ob prejemu sodnih zahtevkov izvedli ustrezne postopke in razkrili uporabnikova naslov IP ter telefonsko število organom pregona. Agregirane statistike o razkrivanju osebnih podatkov bodo razkrivali v rednih poročilih o transparentnosti, ki jih morajo platforme po evropski zakonodaji redno objavljati.

V izjavi za javnost je Telegram dejal, da so spremembe uvedli, da bi kriminalce odvrnili od uporabe platforme. Uradno želijo s tem preprečiti, da bi kriminalci načeli integriteto platforme, kar je sicer plemenit cilj, a precej oddaljen od...

34 komentarjev

Proton predstavil storitev Docs

Slo-Tech - Švicarsko podjetje Proton, ki je leta 2014 uvedlo varne in anonimne elektronske predale in odtlej razširilo svoj asortiment storitev, je predstavilo konkurenco Google Docs oziroma Office 365. Gre za storitev, ki omogoča skupinsko delo na dokumentih, ki so šifrirano shranjeni v njihovi spletni shrambi. Dokumenti so zategadelj dostopni le avtorju in sodelavcem, ki jim je odobril dostop. Niti Proton nima vpogleda v vsebino.

Proton Drive je dobil storitev Docs, ker želi Proton s tem ponuditi zasebnostno konkurenco Microsoftu in Googlu, ki prav rada vohljata za našimi podatki. Za zdaj Proton Docs razume le besedilne datoteke, ki so lahko v različnih formatih, ne le .docx. Ni še jasno, ali bodo v prihodnosti podprli tudi preglednice in podobno. Osnovna, torej brezplačna verzija Proton Drive omogoča osnovno urejanje in komentiranje dokumentov, zato nakup plačljive ni nujen.

Proton nudi že vrsto storitev, ne le elektronskih predalov: koledar, VPN in celo upravljalnik gesel. Novi Proton...

31 komentarjev

Meta bo v Evropi počakala z zbiranjem naših osebnih podatkov za namene UI

vir: Meta
Meta - Iz Mete so razočarano sporočili, da 26. junija še ne bodo pričeli s povečanim rudarjenjem osebnih podatkov evropskih uporabnikov Facebooka ter Instagrama, ker so jih tukajšnji regulatorji opomnili, da takšna dejavnost ni v sozvočju z evropsko zakonodajo.

Kot v vseh tehnoloških velikanih, si tudi pri Meti trenutno prizadevajo na vse kriplje lansirati lastne storitve na osnovi strojno učenih algoritmov; poleg pogovornih botov vseh sort imajo v mislih tudi nekatere zanimive rešitve, kot so personalizirani smeški in animacije. Za to morajo o uporabnikov vedeti še več kot doslej (!?) in v ZDA se v ta namen njihovi osebni podatki že pridno zbirajo. V Evropi pa je drugače, saj smo v Uniji v zadnjih letih na noge postavili spodobno zaščitno zakonodajo, v prvi vrsti GDPR. Sprva so v Meti nameravali režim novega zbiranja podatkov za UI algoritme lansirati 26. junija, pri čemer so se pravno sklicevali na GDPRjev vzvod legitimnega interesa, saj da brez takšnega procesa nove storitve ne bodo...

18 komentarjev

Vestager: Meta in Apple kršita DMA

Slo-Tech - Evropska komisarka za konkurenco Margrethe Vestager je opozorila Apple in Meto, da so nove pristojbine in provizije, ki jih zaračunavata ponudnikom aplikacij na platformah, problematične in potencialno nezakonite. Provizije delujejo v nasprotju z namenom direktive o digitalnih trgih (DMA).

Posebej problematična je Applova nova pristojbina v višini 0,5 dolarja (core technology fee), ki jo zaračunavajo za vsako namestitev aplikacije nad prvim milijonom, če aplikacije ne bodo uporabljale Applovega plačilnega sistema. Margrethe Vestager trdi, da nova pristojbina podjetja odvrača od uporabe drugih plačilnih sistemov, torej deluje ravno v nasprotju od smisla DMA.

Tudi Meta zaračunava nove provizije, ki predstavljajo ovire. Čeprav je podjetje znižalo mesečno naročnino na Facebook in Instagram z 10 evrov na 6 evrov. Gre za naročnino, ki odklopi reklame in s tem omogoča tudi več zasebnosti. Uvedba naročnin za verzije brez oglasov pomeni, da strinjanje uporabnikov za uporabo osebnih...

7 komentarjev

Evropski parlament potrdil AI Act

Slo-Tech - Evropski parlament je danes s prepričljivo večino poslancev potrdil uredbo o umetni inteligenci (AI Act), ki je nastajala od leta 2020 in je bila v končni obliki predstavljena decembra lani. Gre za prvo obsežno regulativo umetne inteligence na svetu, ki bo po besedah poročevalca z odbora za notranji trg zmanjšala tveganja, ustvarila nove priložnosti, zmanjšala diskriminacijo in poskrbela za transparentnost. Nekatere nedopustne prakse uporabne umetne inteligence bodo v EU odslej prepovedane.

Za uredbo je glasovalo 523 poslancev, proti jih je bilo 46, 49 pa se jih je vzdržalo. Vsi slovenski poslanci so uredbo podprli. Uredba, ki je začela nastajati še pred razmahom generativne umetne inteligence, umetno inteligenco razvršča v skupine glede na tveganje: neznatno, omejeno, visoko, nesprejemljivo. Uporaba v primerih, ki predstavljajo nesprejemljivo tveganje, ne bo dovoljena. Sem sodi na primer biometrično prepoznavanje ljudi, dasiravno je to v zelo omejenih primerih za organe pregona...

18 komentarjev

Gostitelji na Airbnb morajo odstraniti kamere

Slo-Tech - Najbolj priljubljena platforma za kratkoročni najem bivalnih nepremičnin je včeraj spremenila pogoje oddajanja, ki odslej izrecno prepovedujejo kakršnokoli nameščanje kamer. Doslej so najemodajalci lahko skupne prostore nadzorovali s kamerami, veže, denimo hodnike, dnevne sobe, vhodna vrata in terase, če so kamere jasno označili. Prepovedano je bilo snemanje v prostorih, kjer se pričakuje zasebnost, denimo v kopalnici in spalnici. Odslej so prepovedane vse vrste kamer v notranjosti.

K spremembi so Airbnb vzpodbudili primeri, ko so gostje kljub jasnim pravilom našli skrite kamere v prostorih. Še vedno bo dovoljena uporaba kamer izven objekta, denimo na terasi, a bodo morali gostitelji to zapisati že v oglas in kamere tudi jasno označiti. Prav tako s temi kamerami ne bo dovoljeno nadzorovati notranjih prostorov.

Gostitelji se s kamerami borijo proti organiziranju zabav v najetih nepremičninah, kar je sicer po pravilih Airbnb prepovedano. Še vedno se bodo lastniki proti temu borili...

34 komentarjev

Evropska komisija je z uporabo Microsoft 365 kršila uredbo o osebnih podatkih

Slo-Tech - Evropski nadzornik za varstvo podatkov (EDPS) je sklenil preiskavo, ki jo je začel maja 2021. V njej je ugotovil, da je Evropska komisija z uporabo rešitve v oblaku Microsoft 365 kršila evropsko zakonodajo o varstvu podatkov. Evropska komisija je kršila uredbo 2018/1725 (o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov), zlasti vzpostavitev ustreznih mehanizmov za zaščito pri prenosu izven EU. Prav tako Komisija v pogodbi z Microsoftom ni ustrezno določila, katere osebne podatke bo zbirala in s katerim namenom. Komisija je nezakonito prenašala in obdelovala osebne podatke.

Evropski nadzornik Wojciech Wiewiórowski je dejal, "da imajo vse evropske inštitucije, pisarne, agencije in druga telesa odgovornost, da zagotovijo varno obdelovanje osebnih podatkov na območju Unije in v tujini, za kar morajo vzpostaviti ustrezne varovalke in uvesti ukrepe. To je ključno za zagotavljanje zaščite osebni...

11 komentarjev

FTC oglobil Avast zaradi prodaje podatkov

FTC - Po dobrih štirih letih smo vendarle dobili epilog razkritja, da je antivirusno podjetje Avast prodajalo osebne podatke svojih uporabnikov: ameriški urad FTC ga je oglobil za 16,5 milijona dolarjev.

V začetku leta 2020 je udarila skupna preiskava medijev Vice in PCMag, v kateri so novinarji razkrili, da je češko varnostno podjetje Avast, ki je skrbelo za nekoč zelo priljubljen istoimenski protivirusnik, med letoma 2014 in 2020 na skrivaj prodajalo osebne podatke, ki so jih skozi svoje programje zbrali o svojih uporabnikih. Metodo so razvili po prevzemu konkurenčnega podjetja Jumpshot leta 2014, ki so ga zatem preobrazili v analitsko podružnico. Skoznjo so več kot 100 partnerjem, kot so bili Google, Microsoft in Pepsi, prodajali podatke o spletnih navadah svojih uporabnikov, torej obiskovanju spletnih strani. In to čeprav so jim programje, ki je te podatke beležilo, oglaševali ravno kot sredstvo za zaščito zasebnosti, oziroma boj proti sledilnim piškotkom. Čehi so takoj po razkritju...

12 komentarjev

Signal bo končno omogočil skrivanje številke

Slo-Tech - Signal velja za eno najbolj varnih aplikacij za šifrirano in anonimno komunikacijo, a ima opazno luknjo zaradi dizajna. Za komunikacijo moramo deliti svojo telefonsko številko, kar je lahko prepreka za popolno anonimnost. Preprosta rešitev obstaja, a jo je Signal uvedel šele sedaj. Dobil je uporabniška imena oziroma vzdevke. Rešitev je trenutno na voljo le v najnovejši verziji beta, sčasoma pa bo pricurljala do redne različice.

Vsakdo si bo sedaj lahko namesto telefonske številke izbral uporabniško ime, ki ga bo delil s stiki, s katerimi bi želel komunicirati. Aplikacija bo resnično telefonsko številko prikazala le, če bo sogovornik stik že imel v svojem adresarju. V vseh ostalih primerih pa bo vzdevek ostal vzdevek, bo pa seveda lahko sogovornik v svojem prikazu popravil imena ostalih sodelujočih v pogovorih. V Signalu bo možno nastaviti, da bo naša telefonska številka privzeto skrita, zato nas ne bo mogel najti nihče, tudi kdor bo že imel našo telefonsko številko, če ne bo...

44 komentarjev

DSA začel veljati za vse platforme

Evropska komisija - Evropski akt o digitalnih storitvah (DSA) je včeraj začel veljati za vse spletne platforme v EU, ne le za velikane. Primera sta eBay in Onlyfans, ki doslej nista bila zavezanca po DSA, sedaj pa sta postala. DSA pokriva spletne platforme, tržnice in druge posrednike, ki končnim uporabnikom omogočajo dostop do vsebin, storitev ali izdelkov. Izjeme so le male platforme, ki imajo manj kot 50 zaposlenih in manj kot 10 milijonov evrov letnih prihodkov.

Po DSA morajo spletišča uvesti vrsto ukrepov. Sem sodijo sistemi, da lahko uporabniki prijavijo prikaz nezakonitih vsebin, izdelkov in storitev. Potrebna je posebna zaščita mladoletnih. Pri oglaševanju se zahteva več preglednosti, prepovedano pa je oglaševanje na podlagi varovanih osebnih podatkov, denimo verskega prepričanja. Uporabniki, katerih vsebine bodo prizadete zaradi moderacije, bodo morali dobiti pojasnilo in možnost pritožbe. Vsaj enkrat letno bodo izdajali tudi poročila o spoštovanju DSA in moderiranju vsebin. Medtem ko bo

0 komentarjev

ESČP: države ne smejo zahtevati stranskih vrat v aplikacijah za šifrirano telekomunikacijo

Slo-Tech - Evropsko sodišče za človekove pravice (ESČP) v Strasbourgu je v pomembnem primeru Podčasov proti Rusiji razsodilo, da vgradnja stranskih vrat v aplikacije za šifrirano komunikacijo oziroma prisilno razkrivanje šifrirnih ključev predstavlja kršitev pravice do zasebnosti. V 27 strani dolgi razsodbi je zapisalo, da ruska zakonodaja, ki od ponudnikov aplikacije za šifrirano komunikacijo Telegram zahteva šestmesečno shranjevanje zgodovine sporočil uporabnikov, enoletno shranjevanje prometnih podatkov in izročitev šifrirnih ključev organom pregona na njihovo zahtevo, krši 8. člen evropske konvencije o človekovih pravicah. Pritožnik je upravičen tudi do 10.000 evrov odškodnine, ki pa je Rusija verjetno ne bo plačala. Po kontroverzni zakonodaji iz leta 2015 sicer lahko rusko ustavno sodišče odpravi sodbe ESČP.

Osmi člen konvencije zagotavlja pravico do varovanja zasebnega in družinskega življenja. Čeprav člen dovoljuje vmešavanje javne oblasti v to pravico, kadar je to nujno, pavšalna...

18 komentarjev

ChatGPT razkriva vnose

Slo-Tech - Pravzaprav novica ne bi smela nikogar presenetiti, saj tudi sami proizvajalci na to opozarjajo in jasno svetujejo, naj v generativne modele umetne inteligence ne vnašamo občutljivih informacij. Vemo, da si ti lahko zapomnijo vse, vseeno pa preseneča, da to kdaj ravnodušno delijo z drugimi uporabniki. Raziskovalci so sicer že večkrat pokazali, da ni posebej težko oblikovati pozivov, ki umetno inteligenco pretentajo v razkrivanje osebnih podatkov.

Eden izmed bralcev Ars Technice pa je osebne podatke dobil celo, ne da bi za njih kakorkoli prosil. ChatGPT 4 mu je, ko je bilo pogovora že konec, a je imel okno še odprto, preprosto začel izpisovati vnose drugih uporabnikov. Med njimi so bila tudi uporabniška imena in gesla za prijavo v informacijski sistem neke lekarne. Očitno je nekdo izmed zaposlenih s ChatGPT poizkusil ugotoviti, zakaj mu prijava ne deluje, pri tem pa je vnašal tudi osebne podatke. Drugi podatki, ki jih je ChatGPT delil, so tudi neobjavljeni raziskovalni projekti,...

6 komentarjev

Microsoft bo uporabniške podatke Evropejcev hranil v EU

Slo-Tech - V skladu s Splošno uredbo (GDPR) je Microsoft sporočil, da bo podatke evropskih strank hranil znotraj meja Evropske unije. Že od lani so v EU podatki, ki jih imajo shranjeni uporabniki storitev v oblaku, kot so Microsoft 365, Azure, Power Platform in Dynamics 365. Odslej pa bodo znotraj EU hranili tudi osebne podatke vseh evropskih uporabnikov.

Microsoft ureditev imenuje EU Data Boundary. S tem ko so v EU shranjeni vsi podatki, kar vključuje tudi avtomatične dnevniške datoteke (automated system logs) in druge psevdoanonimne podatke, je Microsoft prvi veliki ponudnik storitev v oblaku, ki hrani vse v EU. Da podatki ne bodo zapuščali EU, so vzpostavili infrastrukturo navideznih namizij, ki omogoča nadzor sistemov. V naslednjih mesecih bodo v EU shranjevali tudi podporne podatke (support data), dostop do podatkov izven EU pa bo omejen in zaščiten z VDI (Virtual Desktop Infrastructure).

Ostali tehnološki giganti poizkušajo podatke večinoma iznašati v ZDA, za kar pa je treba dokazati...

8 komentarjev

Še tri velika spletišča po DSA so pornografske strani

Slo-Tech - Evropska komisija je razširila seznam velikih spletišč (VLOP), za katere po Aktu o digitalnih storitvah (DSA) veljajo posebna, strožja pravila. Prvotnim 19 spletiščem so dodali še Pornhub, Stripchat in XVideos. Komisija je s pregledom ugotovila, da imajo omenjene strani več kot 45 milijonov mesečnih obiskovalcev iz EU, s čimer izpolnjujejo ključni pogoj za uvrstitev med VLOP.

Za velike spletne platforme bo DSA začel veljati 17. februarja prihodnje leto, ko bodo morale poskrbeti za kup varovalk. Med drugim bodo morale vzpostaviti mehanizme za prijavo nezakonitih vsebin, jasno označevati oglase, ponuditi razumljiv povzetek pogojev uporabe v vseh uradnih jezikih Evropske unije, zaščiti mladoletne, varovati pravico do zasebnost itd. Poleg teh osnovnih ukrepov bodo morali VLOP poskrbeti za večjo transparentnost, nuditi javno dostopne podatke raziskovalcem, objaviti repozitorije vseh oglasov, ki jih prikazujejo, oceniti morebitne škodljive vplive ter uvesti moderacijo.

Vse to bo...

9 komentarjev

V EU sprejet okvirni dogovor o AI Actu

Evropski svet - Korak bliže smo evropski zakonodaji o uporabi umetne inteligence, potem ko sta svet EU in Evropski parlament včeraj dosegla okvirni dogovor o aktu o umetni inteligenci (AI Act). Ta določa pravila za uporabo umetne inteligence in predstavlja prvo zakonodajo na tem področju na svetu.

Ker evropsko zakonodajo na koncu z glasovanjem potrjujejo tudi v Parlamentu, kjer so predstavniki ljudstva, kakor na Svetu, ki zastopa interese držav, je uskladitev zakonskih predlogov med obema institucijama ključna. Njuni pogajalci so včeraj zvečer dosegli dogovor, ki ga označujejo kot zgodovinskega. Intenzivna pogajanja so trajala tri dni, njihov rezultat pa je bolj ali manj končna verzija zakonodaje, ki jo je Evropska komisija prvikrat predlagala leta 2021. V nadaljevanju so do sprejema možni manjši redakcijski popravki, večjih sprememb pa ne bo. V glavnem bo šlo za tehnične, pravne in jezikovne izboljšave, medtem ko je vsebinski del sedaj zaprt. Končno verzijo bodo nato dobili na Odbor stalnih...

24 komentarjev

Zasebnost stane 50 milijonov dolarjev letno

Slo-Tech - Staro krilatico, da brezplačne storitve plačujemo z osebnimi podatki oziroma da smo v takih primeri izdelek uporabniki, poznamo. Ilustracijo, koliko to zares stane, je ponudila vodja platforme za anonimno komuniciranje Signal. V objavi na svojem blogu je Meredith Whittaker razkrila, da Signal že sedaj stane okrog 40 milijonov dolarjev letno, leta 2025 pa bo ta znesek bliže 50 milijonom dolarjev. Toliko stane neodvisnost od tehnoloških gigantov, ki zbrane podatke uporabljajo za oglaševanje in podobno.

Signal je konkurent Facebook Messengerju, WhatsAppu, Viberju in podobnim storitvam. Uporablja algoritem (Signal Protocol), ki omogoča šifriranje od pošiljatelja do prejemnika (end to end), ki so ga kasneje posvojili tudi števili drugi ponudniki, denimo WhatsApp. Hkrati se Signal ukvarja tudi z razvojem, denimo odpornosti v algoritmih na prihajajoče kvantne računalnike. Čeprav mora Signal kot neprofitna ustanova razkrivati nekatere poslovne podatke, so to pot povedali bistveno več, kot...

16 komentarjev

Prvi sveženj poročil o transparentnosti po DSA je tu

Število uporabnikov TikToka

Slo-Tech - Po novem evropski uredbi o digitalnih storitvah (DSA) morajo velika spletišča dvakrat letno izdati poročila o moderiranju vsebin v EU. Prvo obdobje se je izteklo, zato je pred nami prvi sveženj poročil. Iz njih lahko razberemo precejšnje razlike med podjetji.

X (Twitter) v svojem poročilu izčrpno prikazuje, kaj so razlogi za ukinjanje računov, od kod izvirajo in kako deluje ekipa moderatorjev. Za angleški jezik imajo zaposlenih 2294 ljudi, za francoščino 52, nemščino 81, portugalščino 41, španščino 20 in arabščino 12. Za slovenščino podatka sploh ni, za vse ostale jezik pa manj kot deset. Večina ljudi ima manj kot tri leta izkušenj na tem položaju.

TikTok v svojem poročilu sicer nima razčlembe po državah, ima pa bistveno več moderatorjev kakor X. V EU ima sicer 136 milijonov uporabnikov. Snapchat jih ima 102 milijona, od tega 444.000 v Sloveniji. To so mesečno aktivni uporabniki (AMAR) oziroma ljudi, ki vsaj enkrat mesečno odprejo aplikacijo. Njegova skupina za moderacijo je...

2 komentarja

YouTube začel preganjati blokado oglasov, na Irskem že pritožbe

Slo-Tech - Google je v YouTubu začel aktivno preprečevati delovanje orodij za blokiranje oglasov. Uporabniki širom Evrope so začeli dobivati opozorila, da naj se bodisi vpišejo v plačljivi YouTube Premium bodisi izklopijo blokiranje oglasov, sicer si videoposnetkov ne bodo mogli več ogledovati. Gre za eno večjih sprememb, saj je bil YouTube doslej kljub številnim oglasom do blokiranja prizanesljiv.

Nato je Google 16. oktobra posodobil pogoje uporabe, v katere so izrecno zapisali, da blokiranje oglasov predstavlja kršitev teh pogojev. Mehanizme za preverjanje, ali uporabniki blokirajo oglasi, YouTube v omejenem obsegu preizkuša že od maja. To YouTube stori s skripto, ki se spremeni vsaj dvakrat dnevno, in preveri nastavitve v uporabnikovem brskalniku. To pa bi utegnilo biti v nasprotju z evropsko zakonodajo.

Borec za pravico do zasebnosti Alexander Hanff je pri irskem informacijskem pooblaščencu vložil prijavo zoper Google. Trdi, da YouTube uporablja kodo v JavaScriptu, za poganjanje katere...

107 komentarjev

Na internetu na prodaj podatki uporabnikov genetske storitve 23andMe

Slo-Tech - Kot v slabi distopiji se bere včerajšnje priznanje ponudnikov storitve za genetsko testiranje 23andMe, da na nezakonitih internetnih forumih krožijo osebni podatki njihovih uporabnikov. Po trditvah anonimnih hekerjev, ki jih ponujajo na forumih, gre za podatke več milijonov uporabnikov (ocene segajo od sedem do 20 milijonov). Podatki vključujejo oceno izvora, fenotip, zdravstvene podatke, fotografije, identifikacijske podatke in drugo. Gre za informacije, ki jih 23andMe pridobi z analizo DNK iz vzorcev sline, ki jih posredujejo uporabniki.

Vesti o odtujitvi podatkov so na splet curljale že v torek, 23andMe pa jih je potrdil šele včeraj. Trdijo, da ni šlo za hekerski vdor, temveč za postrganje. Neznani napadalci naj bi na drugih storitvah nekako pridobili prijavne podatke posameznih uporabnikov, ki so bili enaki kot za 23andMe. Praksa recikliranja gesel je dokazano nevarna, o čemer smo že večkrat pisali. Nato naj bi napadalci izkoristili prijavo in s 23andMe pretočili te podatke....

19 komentarjev

Za velika spletišča že velja DSA, slovenska zakonodaja v javni obravnavi

Slo-Tech - Danes se je začel uporabljati evropski akt o digitalnih storitvah (DSA), ki med drugim postavlja strožje pogoje obratovanja za 19 velikih spletišč. Formalno so razdeljeni v zelo velike spletne platforme (VLOP) in zelo velike spletne iskalnike (VLOSE). Na tem seznamu je več spletišč podjetja Alphabet (Google) in tudi dve Metini (Facebook in Instagram).

DSA platformam nalaga obveze glede varovanja uporabnikov pred nezakonitimi vsebinami, dezinformacijami in drugimi tveganimi vsebinami. Za velika spletišča pa so pogoji še strožji, denimo uporabniki imajo možnost enostavne odjave od ciljanega oglaševanja, mladoletnim pa ga sploh ne bodo smeli več nuditi. Danes je bil tudi rok za oddajo ocene tveganja, ki jo bodo morala spletišča pripravljati in oddajati periodično. Platforme bodo morale poskrbeti tudi za moderiranje in omogočiti prijavo vsebin. Spletna mesta so se že pripravila na novosti. Facebook tako že nekaj tednov sprašuje uporabnike, ali želijo ciljano oglaševanje ali ne. Tudi...

4 komentarji

Najpopularnejša kitajska aplikacija za tipkovnico vestno pošilja vnose na strežnike

Citizen Lab - Najpopularnejša kitajska aplikacija za prilagojeno oziroma produktivno tipkovnico na pametnih telefonih Sogou Keyboard ima več kot 450 milijonov uporabnikov in predstavlja glavni način vnašanja besedila. Poleg tega pa ima še funkcijo, s katero vsi ti milijoni niso seznanjeni, čeprav morda ne bo presenetila. Sogou Keyboard beleži vse vnose oziroma pritiske tipk in jih vestno pošilja kitajskemu tehnološkemu gigantu Tencent, ki ima prek podružnice Sogou aplikacijo v lasti.

To so javnosti razkrili raziskovalci iz Citizen Laba. Glavno odkritje je bil v resnici nezaščiteni prenos podatkov to Tencenta, zato so vnosom lahko prisluškovali še drugi akterji. Tencent so o tem obvestili konec maja letos. Ta je tri tedne pozneje odgovoril, da varnostne luknje ni, le dan pozneje pa so se popravili in priznali ranljivost. Tencent je ob tem prosil, da ranljivosti ne razkrijejo javnosti. V Citizen Labu so odgovorili, da bodo ranljivost javnosti razkrili konec julija, kar predstavlja odgovoren način...

17 komentarjev

TikTok bo v EU omogočal pobeg od algoritma

Slo-Tech - TikTok je potrdil, da bodo lahko njegovi evropski uporabniki izklopili zloglasni algoritem, ki prikazuje posnetke glede na predhodno zgodovino brskanja uporabnika. Poteza je neposredna posledica akta o digitalnih storitvah (DSA), ki ga je sprejela Evropska unija ter daje uporabnikom veliko pravic na področju upravljanja osebnih podatkov in varovanja zasebnosti. Podobno je za oglase na omrežju Facebook obljubila tudi Meta.

DSA od velikih spletišč zahteva, da imajo uporabniki možnost izpisa (opt out) iz prejemanja personaliziranih vsebin. To so vsebine, ki jih algoritmi podjetij prikazujejo glede na informacije o preteklih interakcijah uporabnikov in njihovih osebnih podatkih. Poenostavljeno: kdor si je ogledal veliko videoposnetkov mačk, mu jih TikTokov algoritem kaže še več. TikTok sporoča, da bodo zahteve spoštovali tako, da bodo uporabniki lahko izbrali nepersonalizirani pogled. V njem bodo vsebine ustvarjalcev, ki jim sledimo (Following), oziroma prijateljev (Friends) prikazane...

28 komentarjev

Evropska komisija sprejela še tretji sklep o varnem pretoku podatkov EU-ZDA

Evropska komisija - V tretje gre morda rado, zato je Evropska komisija danes sprejela sklep o ustreznosti za varen in zaupanja vreden pretok podatkov med EU in ZDA. S tem je formalno ugotovila, da ZDA za osebne podatke zagotavljajo ustrezno varstvo, ki je primerljivo z evropskim. To podjetjem dovoljuje, da osebne podatke posredujejo ameriškim podjetjem oziroma jih tam skladiščijo, ne da bi morali posebej dokazovati varstvo ali uvajati dodatne zaščitne ukrepe.

To je že tretji tovrstni dogovor, saj sta prva dva na sodišču padla. Leta 2015 je Sodišče EU razveljavilo dogovor o varnem pristanu med EU in ZDA, ker je Komisija prekoračila pooblastila, ko v dogovor ni vnesla ustreznih varovalk. Leta 2020 se je zgodba ponovila, saj je sodišče tudi naslednji dogovor razveljavilo. Seveda so se kmalu začela pogajanja o novem sporazumu, saj njegova odsotnost bistveno otežuje poslovanje podjetij, ki želijo podatke shranjevati v ZDA: to so večinoma ameriška podjetja. Meta (Facebook) je bil na primer maja letos...

30 komentarjev

Nova kitajska zamisel o nadzoru interneta: omejiti Bluetooth, Airdrop

Slo-Tech - Na Kitajskem je internet močno nadzorovan, tako da nekatere zahodne storitve sploh niso dostopne, pa tudi vsebine se preverjajo. Ena izmed razpok, ki jo nasprotniki izkoriščajo, je deljenje datotek in podatkov na lokalnem nivoju, denimo z uporabo AirDropa ali Bluetootha na sploh. Tako se izognejo centralnemu omrežju in nadzoru, kar kitajske oblasti močno jezi. Zato so se odločile temu narediti konec.

V javno razpravo so poslali predlog zakonodaje, ki bo močno omejil uporabo teh storitev. En mesec bo potekala razprava o storitvah v bližnji zaprtih omrežjih (close-range mesh network services), kamor na primer sodi AirDrop. Nova zakonodaja predvideva, da bodo morali ponudniki storitev preprečiti prenos nezakonitih ali neprimernih vsebin prek teh storitev. Prav tako bodo morali sodelovati z oblastmi, uporabniki pa se bodo morali registrirati s polnim imenom, če jih bodo želeli uporabljati.

Storitve že sedaj niso popolnoma svobodne. AirDrop na Kitajskem je na primer omejen na 10...

55 komentarjev

Twitter odstopil od evropskega kodeksa za boj proti dezinformacijam

Slo-Tech - Evropski komisar za notranji trg Thierry Breton je v petek sporočil (ironično, prek Twitterja), da je Twitter odstopil od Kodeksa ravnanja na področju dezinformacij. Gre za prostovoljni sporazum v Evropski uniji, ki povezuje vse večje digitalne platforme za deljenje vsebin. Ob tem je dodal, da bo moral Twitter v prihodnosti vseeno spoštovati evropska pravila na tem področju, ker bodo prostovoljni akt nadgradili v pravno obvezujoč dokument. Digital Services Act že določa, da morajo platforme storiti več in se aktivno boriti proti širjenju dezinformacij. Uporabljati se bo začel 25. avgusta.

Kodeks ravnanja je bil sprejet leta 2018, veljati pa je začel lanskega junija. Ima tri ducate podpisnikov, med katerimi so tudi Google, Facebook (Meta), Twitter, Microsoft in celo TikTok. Drugi partnerji v kodeksu so organizacije, ki se ukvarjajo s preverjanjem dejstev, oglaševalci in civilnodružbene organizacije. Kodeks želi povečati transparentnost, omejiti uporabo botov in lažnih računov za...

52 komentarjev

Google neupravičeno hranil osebne podatke kandidatov za zaposlitev

Žvižgač

Slo-Tech - Splošna uredba (GDPR) je zelo jasna v določbah, da podjetja ne smejo osebnih podatkov ljudi dlje, kot je to nujno potrebno. Zato se Googlu obeta preiskava, saj je žvižgač Mohamed Maslouh ugotovil, da je podjetj več kot desetletje hranilo osebne podatke kandidatov za delovna mesta, četudi jih kasneje niso zaposlili.

Maslouh je delal kot pogodbeni podizvajalec, ko je pri prijavi v Googlov interni kadrovski sistem gHire ugotovil, da so v njem dostopni osebni podatki več tisoč ljudi iz EU in Velike Britanije. Šlo je za imena, telefonske številke, osebne elektronske naslove, življenjepise in podobno. To je v nasprotju z GDPR, zato je početje prijavil britanskemu (ICO) in irskemu (DPC) informacijskemu pooblaščencu. Ta bosta sedaj verjetno preiskala - uradne potrditve še ni -, kaj se je dogajalo.

Google je v odzivu povedal, da so lani zagnali orodje, ki je globalno v celem gHire prečistilo vnose in poskrbelo za zasebnost kandidatov. Trdijo, da je Maslouh podatke videl pred tem. To morda...

1 komentar

Množično evropsko preverjanje komunikacij bi bilo verjetno nezakonito

Slo-Tech - Lani si je Evropska komisija zamislila nov načrt za proti zlorabam otrok na internetu, ki bi dal evropskim sodiščem pooblastila, da pridobijo dostop, ponudnikom platform za komuniciranje pa obveznost, da spremljajo komunikacijo uporabnikov. Zagovorniki zasebnosti in drugi nasprotniki predlagane ureditve so hitro posvarili, da gre za uzakonitev prisluškovanja po internetu, ki bi onemogočila šifriranje. Ponudniki, kot je WhatsApp, bi tako lahko le zapustili evropski trg, če bi želeli ohraniti šifriranje od pošiljatelja do prejemnika (end-to-end).

A kot kaže, se to ne bo zgodilo tako enostavno. Pravna služba pri Svetu EU je namreč v internem dokumentu predstavnike držav posvarila, da bi bila takšna ureditev zelo verjetno protizakonita. Zapisala je, da takšna ureditev resno ogroža pravico do zasebnosti in da jo bodo evropska sodišča zelo verjetno spoznala za nezakonito. Zahtevala bi namreč množično pregledovanje komunikacije, ki bi se izvajalo za vse uporabnike storitve, ne da bi bili...

47 komentarjev

Apple in Google pripravljata rešitev v boju proti zasledovanju z Bluetoothom

Slo-Tech - Pripomočki, kot so AirTag in različne androidne alternative, imajo plemenite namene, a odpirajo tudi možnosti za zlorabe. Namenjeni so iskanju izgubljenih naprav, za kar uporabljajo komunikacijo prek Bluetootha, a to je možno izkoristiti za zasledovanje, nadlegovanje in tatvine. Apple in Google sta zato združila moči v vzpostavljanju standarda, ki bo to skušal preprečiti. Zanimanje za sodelovanje v pobudi so najavili tudi drugi proizvajalci, med njimi Samsung, Tile, Chipolo, eufy Security in Pebblebee.

Razvijajo namreč standard, ki bo napravam za sledenje prek Bluetootha omogočal zaznavanje nepooblaščenega sledenja, kar bo tako na platformi Android kakor iOS ne glede na napravo. Sistem za zaznavanje zasledovanja bo uporabnika obvestil, kadar bo z njim potoval sledilnik (npr. AirTag), ki ni njegov. Ponudil mu bo tudi napotke, kako sledilnik fizično najti in kako ga onesposobiti.

V organizaciji National Network to End Domestic Violence pozdravljajo novost. Ob tem dodajajo, da je...

9 komentarjev

DSA izpostavlja 19 velikih spletišč

Evropska komisija - Lani sprejeta uredba o enotnem trgu digitalnih storitev (akt o digitalnih storitvah oziroma DSA) prinaša vrsto varovalk in zaščit za uporabnike spletnih storitev, ki so še posebej stroge za velike platforme in ponudnike. Čeprav smo lahko slutili, kdo bo to, je Evropska komisija sedaj izdala seznam 19 spletišč, ki so zelo velike spletne platforme (VLOP) in zelo veliki spletni iskalniki (VLOSE). Povejmo, da gre za spletišča, ki imajo lahko tudi istega lastnika. Tak primer je Google, ki ima na seznamu kar pet spletnih mest, in Meta, ki ima dve.

Med iskalniki sta po pričakovanjih na seznamu Google in Bing. Spletne platforme pa so Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube in Zalando. Na seznam so se uvrstile, če imajo več kot 45 milijonov obiskovalcev mesečno. Sedaj bodo zanje veljali strožji pogoji, izpolnjevati pa jih bodo morala...

10 komentarjev

Edge toži Microsoftu

Slo-Tech - Microsoftov brskalnik Edge, na katerega nas redmondski velikan res želi navaditi, tako da je celo Bing Chat omejil nanj, ni nič kaj diskreten. Uporabniki so ugotovili, da ob brskanju po spletu Edge pošlje zahtevek na bingapis.com za vsako spletno mesto, ki ga obiščemo. Microsoft je dejal, da navedbe preiskujejo.

Opozorila, da je Edge preveč radoveden, so se najprej pojavila na Redditu. Zakaj se to dogaja, ni natančno znano, verjetno pa gre za slabo implementacijo funkcionalnosti. Rafael Rivera je dejal, da ima Edge funkcijo, ki Bingu sporoča, ko uporabnik obišče določene strani, kamor sodijo YouTube, Reddit in podobno. A očitno je napisana tako slabo, da Bingu pošilja kar vse spletne strani, na katere oddeskamo. Funkcija se imenuje Creator follow in uporabnikom omogoča, da sledijo priljubljenim ustvarjalcem vsebine na YouTubu in drugod po spletu (obstaja seznam). Izklop te funkcije onesposobi tudi komunikacijo z bingapis.com. Dokler Microsoft ne pojasni več in ne popravi...

3 komentarji

Googlovi Pixli v posnetkih zaslona puščajo več podatkov

Slo-Tech - V Googlovih telefonih Pixel v verzijah od 3 do 7 Pro, ki od leta 2018 uporabljajo urejevalnik posnetkov zaslona Markup, tiči zahrbten hrošč. Raziskovalci so odkrili, da četudi zasloni posnetek (screenshot) po zajemu obrežemo (crop), te še vedno vsebuje dele odstranjenega posnetka. Pripravili so preprosto orodje, ki iz na tak načni nastalih posnetkov obnovi izbrisano.

Hrošč tiči v implementaciji Markupa, medtem ko so druga orodja za urejanje in obrezovanje slik (denimo Google Photos) varna. Markup pa pri obrezovanju slike ne poskrbi, da bi se slika shranila povsem znova, temveč zgolj prepiše del slike, kolikor je nov posnetek velik. Če je bila prvotna slika večja, kar je pri obrezovanju pravilo, bo imela obrezana slika na koncu smeti oziroma ostanek stare slike. To je možno obnoviti in čeprav rezultati niso vedno popolni, se večji del slike zlahka obnovi. To predstavlja resno zasebnostno tveganje, saj so ljudje te slike delili vse naokoli.

Simon Aarons, ki je ranljivost z oznako...

15 komentarjev

Težave za TikTok se kopičijo

Reuters - Čedalje več držav svari pred uporabo TikToka, ponekod pa ga že prepovedujejo in grozijo z ultimati. V ZDA je predsednik Joe Biden zagrozil s prepovedjo delovanja TikToka v državi, če ne bodo kitajski lastniki podjetja izstopili iz lastniške strukture. To je najresnejše opozorilo izmed mnogo, ki so jih ZDA izrekle TikToku. Najbliže so bile sicer grožnje minule administracije, ki je leta 2020 takisto rožljala s prepovedjo, kar pa so tedaj preprečila sodišča.

ByteDance, ki ima v lasti TikTok, ima 60 odstotkov mednarodnih delničarjev, 20 odstotkov zaposlenih in 20 odstotkov ustanoviteljev. Odbor za tuje investicije v ZDA (CFIUS) je že leta 2020 svetoval, da se kitajski lastniki umaknejo iz podjetja. Sodišča so kasneje presodila, da je bila zahteva neutemeljena, sledili pa sta dve leti pogajanj. TikTok je tedaj obljubil uvedbo vrste varovalk, med drugim shranjevanje podatkov v ZDA, Oraclov nadzor nad algoritmi in ustanovitev odbora za varnost.

TikTok je na najnovejše zahteve, da se...

53 komentarjev

Signal bo zapustil Veliko Britanijo, če zakonsko pohabijo šifriranje

BBC - V Veliki Britaniji še vedno potekajo debate o predlaganem zakonu o varnostni na spletu (Online Safety Bill), ki je tik pred sprejetjem. Ena izmed najbolj kontroverznih določb zakona je oslabitev šifriranja sporočil od pošiljatelja do prejemnika (end-to-end encryption, E2EE). Medtem ko predlagatelji vztrajajo, da zakon tega ne prepoveduje, kritiki opozarjajo, da bi zakon lahko od ponudnikov storitev zahteval sprotni pregled sporočil v aplikacijah za šifrirano komuniciranje, kar bi de facto terjalo vgradnjo stranskih vrat. Ključna prednost E2EE je prav tehnološka nezmožnost prisluškovanja.

WhatsApp, ki ima v svoji aplikaciji implementiran E2EE, je v preteklosti že dejal, da ne namerava nikakor pokvečiti šifriranja v svojih aplikacijah. Sedaj se je zelo jasno oglasil še Signal, ki je napovedal odhod z britanskega trga, če bo zakon sprejet v obliki, ki bo terjala kompromise pri šifriranju. Vlada poudarja, da zakon uvaja ukrepe za boj proti zlorabam otrok, kar vključuje tudi...

26 komentarjev

Nemško ustavno sodišče zelo omejilo uporabo Palantirjeve programske opreme

Slo-Tech - Nemško ustavno sodišče je včeraj razveljavilo dele zakonov, ki so ju sprejele lokalne oblasti v Hamburgu in Hessnu. Ugotovilo je, da so nekatere določbe zakonov, ki omogočajo široko uporabo orodij za zbiranje podatkov o ljudeh, ki niso kriminalci, a so povezani z njimi, denimo kot odvetniki, očividci in podobno, protiustavne. Razsodba sicer ne prepoveduje uporabo programske opreme Gotham kontroverznega podjetja Palantir, jo pa zelo omejuje.

Platforma Gotham policiji omogoča, da izriše omrežja povezav ljudi, ki so imeli kakšne stike z osumljenci kaznivih dejanj, ne da bi bili ti česarkoli osumljeni in ne da bi ti to sploh vedeli. V Hamburgu so ustrezno zakonodajo sprejeli že leta 2019, zato je nevladna organizacija GFF (Gesellschaft für Freiheitsrechte) vložila ustavno pritožbo. Podoben zakon so bili sprejeli tudi v Hessnu. Policija je v postopku zatrjevala, da je nova programska oprema zelo učinkovita pri odkrivanju storilcev kaznivih dejanj, denimo v decembrskem razbitju skupine,...

5 komentarjev

Izbris osebnih podatkov s Twitterja praktično nemogoč

Slo-Tech - Ena izmed prednosti Splošne uredbe (GDPR) je možnost, da uporabniki zahtevajo izbris lastnih podatkov pri njihovih upravljavcih, pri čemer ne gre le za navidezni izbris iz uporabniškega vmesnika, temveč tudi iz vseh baz in varnostnih kopij. Primer je Twitter, kjer si lahko pošiljamo zasebna sporočila, ki ne potujejo v šifrirani obliki in so načelno dostopna tudi zaposlenim pri Twitterju z ustreznimi pravicami ter ob morebitnem vdoru tudi hekerjem.

Informacijski pooblaščenec na Irskem, kjer ima Twitter evropski sedež, je prejel več prijav uporabnikov, ki jim Twitter ni želel pobrisati sporočil. Michael Veale z UCL (University College London) se je odločil, da primer pripelje do konca, zato je od Twitterja uradno zahteval izbris lastnih podatkov. To je resda možno storiti v aplikaciji ali na spletni strani, a kaj se zgodi v zalednih sistemih, je drugo vprašanje. V aplikaciji je možno izbrisati posamezna sporočila ali celotne niti pogovorov, a v vseh primerih ostanejo vidni drugim...

37 komentarjev

Evropska komisija okrepila nadzor nad spoštovanjem GDPR

Slo-Tech - Čeprav Splošna uredba (GDPR) velja že od leta 2018, preverjanje njenega spoštovanja nekaj odmevnim primerom navzlic ni bilo posebej strogo. Pregon so morale prevzeti posamezne države članice, kjer so imeli zavezanci poslovne enote. Kako aktivne so bile članice, jim je bilo skoraj v celoti prepuščeno. Najaktivnejša je morala biti Irska, kjer ima večina internetnih multinacionalk evropske sedeže, a je zaradi zelo liberalne interpretacije GDPR in počasnosti postopkov često ujezila Komisijo in druge članice. Celo evropsko sodišče je irskega regulatorja označilo za vztrajno administrativno inercijo.

Evropska komisija je sedaj pripravila nova pravila, s katerimi želi pregon okrepiti. Vsaka država bo morala po novem šestkrat letno poročati o vseh preiskavah v zvezi z domnevnimi kršitvami GDPR, o povsem postopkovnih korakih in drugih preiskovalnih ukrepih. Poročati bodo morali tako vsebinsko kakor časovno. Novost bo najbolj vplivala na Irsko, Nizozemsko, Luksemburg in Francijo, kjer je...

6 komentarjev

ZVOP-2 po skoraj petih letih zamude ugledal luč sveta

Slo-Tech - Splošna uredba o varstvu podatkov (GDPR) je stopila v veljavo že leta 2016, dve leti kasneje se je začela izvajati v praksi. Predvidevala je, da posamezne članice EU sprejmejo nacionalne zakone, ki naj bi podrobneje uredili nekatere vidike varstva osebnih podatkov. Pisarna Informacijske pooblaščenke in Ministrstvo za pravosodje sta družno zagrizla v kislo jabolko. Tako smo imeli v zadnjih nekaj letih kar nekaj osnutkov zakona. Nekateri so celo doživeli svoj dan v državnem zboru. S četrtim predlogom nam je vendarle uspelo, decembra 2022 je parlament z večino glasov potrdil nov zakon. Po skoraj petih letih zamude je ZVOP-2 naposled ugledal luč sveta in se danes pričel uporabljati. V tem ne ravno kratkem obdobju nam je zaradi doslednega upoštevanja pravice do lastnega tempa uspelo razdražiti Evropsko komisijo, celo do te mere, da nam je kot zadnji državi članici EU, ki zakona še ni sprejela, zagrozila z globami. A naposled je porod, čeravno z nemalo zapleti, uspel.

Kaj novega torej...

15 komentarjev

Meta na Irskem oglobljena s 390 milijoni evrov zaradi kršitev GDPR

Slo-Tech - Irski informacijski pooblaščenec je Meti izrekel 390 milijonov evrov težko globo zaradi kršitev GDPR. Od tega je 210 milijonov evrov odpadlo na kršitve s platformo Facebook, preostanek pa na kršitve Instagrama. Ker ima Meta sedež evropske podružnice na Irskem, so tamkajšnje globe najvišje in zadevajo dogajanje v celotni EU. Kršitvi se sicer nanašata na prijavo iz maja 2018, ko je GDPR začel veljati.

Pritožnika sta zatrjevala, da je Meta uporabnike v soglasje za obdelavo podatkov domala prisilila, saj sicer storitev sploh ne bi mogli uporabljati. Meta je pogoje uporabe spremenila pravočasno, torej pred 25. majem 2018, ko je GDPR začel veljati. V novih pogojih uporabe je navedla tudi zakonsko dovoljeno podlago, zakaj se bodo podatki zbirali in obdelovali. Uporabniki so imeli na voljo le strinjanje z novimi pogoji uporabe, sicer storitve niso mogli uporabljati. Meta je to tolmačila kot sklenitev pogodbe med uporabnikom in podjetjem. Pritožnika sta zatrjevala, da bi Meta še vedno...

1 komentar

Zaposleni v TikToku zaradi vohunjenja odpuščeni

Slo-Tech - V ZDA še vedno potekajo žgoče debate o prihodnosti TikToka, ki ga zvezne in lokalne oblasti že precej omejujejo, grozi pa mu celo prepoved delovanja. Podjetje ByteDance, ki TikTok upravlja, je danes sporočilo, da so nekateri zaposleni letos poleti nepooblaščeno dostopali do osebnih in lokacijskih podatkov uporabnikov, tudi dveh ameriških novinarjev (Emily Baker-White iz Forbesa in Cristina Criddle iz Financial Times). Storilci niso več zaposleni v podjetju.

Kot so pojasnili, so omenjeni zaposleni preiskovali odtekanje podatkov iz podjetja, še posebej so jih zanimale povezave med dvema novinarjema in zaposlenimi. Zaradi tega so spremljali dva novinarje in nekaj drugih uporabnikov, ki bi lahko bili z njima povezani. Skušali so ugotoviti, ali so bili v stiku z zaposlenimi v ByteDanceu, kar bi lahko pojasnilo odtekanje podatkov. Forbes je že pred dvema mesecema poročal, da je podjetje uporabljalo svojo storitev za sledenje lokaciji uporabnikov, kar je sprožilo tudi interno preiskavo,...

0 komentarjev

Epic Games bo zaradi nepravilnosti v Fortnitu ameriškim regulatorjem plačal več kot pol milijarde dolarjev

vir: Epic Games
Slo-Tech - Ameriška zvezna agencija za trgovino je Epic Games v dveh postopkih oglobila s skupno 520 milijoni dolarjev. Podjetje je v Fortnitu kršilo zasebnost in varnost otrok ter skušalo uporabnike namerno zavesti v neželeno plačevanje.

Da otroci v novodobnih free-to-play igrah dostikrat po neumnosti spraznijo kreditne kartice svojih staršev, je danes že ponarodel štos. Nova globa, s katero je ameriška Zvezna agencija za trgovino (FTC) danes udarila igričarskega velikana Epic Games, pa da takšnim anekdotam nekaj prepotrebne konkretnosti in konteksta. Natančneje, ameriški regulatorji so se Epica lotili v dveh glavnih postavkah, oziroma ločenih procesih, ki se tičeta razvpite igre Fortnite. V prvi je podjetje kršilo pravilnik COPPA (Children's Online Privacy Protection Rule), po katerem je potrebno mlajšim od 13 let na internetnih platformah zagotoviti posebne režime zasebnosti; v primeru iger to denimo pomeni, da morajo imeti njihovi starši nadzor nad komunikacijo z neznanci. FTC Epicu med...

36 komentarjev

Elon Musk blokiral profil, ki je objavljal lokacijo njegovega letala

Slo-Tech - Elon Musk se vse od prevzema Twittera razglaša za absolutista svobode govora, kar v njegovem besednjaku pomeni, da bo dovoljeno vse, kar ni zakonsko prepovedano. A precej manj navdušen nad neomejenim izražanjem postane, ko to zadeva njega. Odločil se je, da blokira račun, ki je objavljal javno dostopne podatke o potovanju Muskovega zasebnega letala. Prav tako je blokiral osebni račun upravljavca kanala Jacka Sweeneyja.

Hkrati je spremenil tudi pravila na Twitterju, ki zdaj nenadoma prepovedujejo deljenje lokacije v živo v skoraj vseh primerih. Musk je ob tem dejal, da bo proti Sweeneyju sprožil pravne postopke. Sodu je izbil dno incident, ko naj bi neznanec zasledoval Muskov avto, v katerem je bil Muskov sin. Zato se je odločil, da bo prepovedal deljenje lokacije kogarkoli v realnem času, ker da to predstavlja varnostno tveganje.

Sweeney je na Twitterju upravljal več deset računov, ki so bili vsi po vrsti blokirani. Z njimi je objavljal informacije o gibanju drugih letal, denimo...

157 komentarjev

Evropska komisija poizkuša s ponovnim dogovorom z ZDA o iznosu osebnih podatkov

Slo-Tech - Pred sedmimi leti je Sodišče EU prvikrat razveljavilo dogovor med Evropsko komisijo in ZDA o varnem pristanu na področju izvoza osebnih podatkov, ki je evropskim podjetjem omogočal poenostavljeno hranjenje podatkov evropskih državljanov na ameriških strežnikih. Krovni dogovor je namreč to omogočal, ne da bi vsako podjetje posebej dokazovalo, da se s podatki v ZDA ravna v skladu z evropsko zakonodajo. Ko je dogovor na sodišču padel, sta Komisija in ZDA sprejela novega, ki je bil pred dvema letoma na sodišču ponovno razveljavljen. Zato sedaj potekajo pogajanja za sklenitev tretjega dogovora.

Evropska komisija je včeraj objavila osnutek novega dogovora z ZDA, ki bi ponovno omogoča iznos podatkov iz EU na ameriške strežnike. Ta prinaša nekaj dodatnih varovalk, ki so po mnenju Komisije ustrezne in skladne z zakonodajo. Med drugim naj bi ZDA uvedle varovalke, ki bodo preprečevale nepooblaščen dostop obveščevalnih služb do podatkov. To naj bi bilo možno le v obsegu, ki je nujno potreben...

23 komentarjev

Sodišče EU: Google mora izbrisati povezave do neresničnih navedb o posameznikih v EU

vir: ECJ
ECJ - Sodišče Evropske unije je v četrtek razsodilo, da lahko posamezniki od Googla zahtevajo izbris zadetkov iz iskalnih poizvedb, če so ti neresnični. Gre za posledico evropske doktrine Pravica do pozabe (Right to be forgotten), ki jo uvaja Splošna uredba o varstvu podatkov (GDPR).

Tožbo proti Googlu sta vložila dva investicijska bankirja, ki sta od Googla zahtevala, da se članki, v katerih sta identificirana, odstranijo iz zadetkov iskanja, opravljenega na podlagi njunih imen, in da se fotografije, na katerih sta, prikazana v obliki predoglednih sličic ("thumbnails"), odstranijo iz zadetkov slikovnega iskanja. Google je v odgovoru na tožbo trdil, da se ne more do resničnosti navedb v zadetkih iskanja, zato jih ne bo odstranil. Šlo je za članke, ki so bili kritični do naložbenega modela sklada, za katerega sta tožnika delala na izvršilnih funkcijah in tudi kot (so)lastnika. Na spletnih straneh, kjer so bili objavljeni ti članki, so v zameno za odstranitev navedb zahtevali plačilo, kar...

14 komentarjev

Telegram omogoča nakup virtualne telefonske številke za rabo omrežja

vir: Telegram
Telegram - Pri Telegramu so lansirali verzijo 9.2, ki med drugim prinaša prilagodljivejše samouničevanje sporočil in prenovo orodja Topics; predvsem pa uporabnikom omogoča nakup specifične telefonske številke za rabo platforme, če podjetju ne želijo posredovati dejanske številke svoje kartice SIM.

Moderne komunikacijske aplikacije s poudarkom na zasebnosti in varnosti, kot so Signal, WhatsApp in Telegram, postajajo z rastočo zavestjo o pomembnosti osebnih podatkov vse bolj priljubljene. Vse pa imajo še vedno nerodno zahtevo, da pri vpisu predložimo številko svojega telefona (torej, kartice SIM), ker skoznjo izpeljejo verifikacijo uporabnika. Sicer se vsa podjetja zavezujejo, da te številke nikoli ne posredujejo naprej brez privolitve uporabnika, toda zahteva kljub vsemu ni najbolj v skladu z deklarirano zavezanostjo zasebnosti, obenem pa lahko številke ob kakšnih neljubih dogodkih tudi pobegnejo, kar se je denimo zgodilo pri nedavnem vdoru v Twilio. Zato se tisti bolj vešči (in paranoični)...

8 komentarjev

Apple opustil zamisel o skeniranju naprav v lovu za otroško pornografijo

vir: Apple
Apple - Pri Applu so danes predstavili kopico novih varnostnih funkcij v svojem ekosistemu; med drugim so močno razširili kategorije, ki jih pokriva obojestransko šifriranje oblaka iCloud. Verjetno pa bo največ pozornosti požela odločitev, da se odrekajo kontroverzni zamisli o pregledovanju naprav v lovu za otroško pornografijo.

V Cupertinu so lansko poletje razburili z najavo orodja NeuralHash, s katerim so se želeli spoprijeti s problematiko hranjenja šifriranih vsebin s spolnimi zlorabami otrok na iphonih. Po tej zamisli bi se iz slik napravilo zgoščene vrednosti (hashe) in se nato te primerjalo z bazami podatkov poznanih vsebin CSAM (child sexual abuse material). Toda analitiki so hitro ugotovili, da je predstavljena Applova rešitev pomanjkljiva in proizvaja lažne alarme, pomenila pa je tudi splošno nevarnost za zasebnost uporabnikov, zato je bilo lansiranje prestavljeno na nedoločen kasnejši datum. Sedaj je jasno, da je podjetje upanje na izpopolnitev tega orodja opustilo. Namesto...

19 komentarjev

Dobre prakse s področja procesne zakonodaje in varstva osebnih podatkov

Slo-Tech - Ker, kot pišemo že dve leti, pisarna informacijske pooblaščenke rešuje nove ugotovitve s področja varstva osebnih podatkov od primera do primera in nikoli ne pogleda milimetra levo ali desno, je ponovno čas za nov pregled dobrih praks s področja spoštovanja relevantne procesne zakonodaje (ZDavP, ZUP in GDPR v vsakokratnem agregatnem stanju).

Tokrat si za začetek oglejmo novo dognanje FURS, kjer so napredovali iz običajnega objavljanja davčnih številk in rojstnih datumov v kvalitetno zbirko vseh mogočih podatkov.


Da četrti odstavek 85. člena ZDavP določa: "Če je potrebno opraviti vročitev tako, da se dokument objavi na oglasni deski organa in na enotnem državnem portalu e-uprava, v skladu z zakonom, ki ureja splošni upravni postopek, se v primeru, če dokument vsebuje podatke, ki se štejejo za davčno tajnost, na oglasni deski organa in na enotnem državnem portalu e-uprava, namesto dokumenta objavi zgolj obvestilo o dokumentu, ki vsebuje osnovne podatke iz dokumenta, brez podatkov,...

9 komentarjev

Irska zaradi kršitev GDPR oglobila Facebook z 265 milijoni evrov

Slo-Tech - Irski informacijski pooblaščenec je danes izrekel Meti (Facebook) izrekel visoko globo zaradi kršitev Splošne uredbe (GDPR). V preiskavi, ki se je začela lanskega aprila, so ugotovili, da podjetje ni uvedlo ustreznih varovalk in mehanizmov, ki zaščiti osebne podatke evropskih uporabnikov. Zato so podjetju izrekli 265 milijonov evrov globe in zahtevali spoštovanje zakonodaje.

Preiskavo je irski informacijski pooblaščenec, saj ima Meta tam evropski sedež, začel, ko si lani na internet pricurljali osebni podatki 533 milijonov uporabnikov Facebooka. Ti so vključevali tudi njihove elektronske naslove in telefonske številke, izvirali pa naj bi iz zlorabe ranljivosti v letih 2018-2019, ki jo je Facebook odtlej že zakrpal. Šlo je za zlorabo orodij Facebook Search, Facebook Messenger Contact Importer in Instagram Contact Importer, s čimer so bili podatki postrgani (scraping). Facebook je že dejal, da je tovrstno strganje podatkov nesprejemljivo in incident preiskuje tudi sam.

A irski...

5 komentarjev

Facebook dobiva podatke z davčnih napovedi Američanov

Slo-Tech - Večina ameriških storitev za oddajo davčnih napovedi, kamor sodijo H&R Block, TaxAct in TaxSlayer, je finančne podatke strank breze njihove vednosti posredovala Facebooku, razkriva The Markup. Uporabljale so kodo Meta Pixel, ki Facebooku ne pošilja le osebnih podatkov (imena in elektronski naslovi), temveč celo podatke o prihodkih, plačanih davkih, vzdrževanih družinskih članih ipd. S temi podatki Facebook polni svoje algoritme in baze, da še natančneje profilira uporabnike, sumijo.

V ZDA se davčne napovedi lahko oddajajo elektronsko in približno 150 milijonov zavezancev to tudi stori, za kar uporabljajo komercialne storitve. Oddaja davčne napovedi je namreč v ZDA bistveno kompleksnejše opravilo kakor v Sloveniji. Prav tako se ni mogoče izogniti privatnim podjetjem, ki omogočajo elektronsko oddajo napovedi, kar je postal ogromen posel. Letno je vreden več kot 11 milijard dolarjev. Te storitve omogočajo izračun davčnih podatkov, a ker na svojih straneh uporabljajo kodo Meta Pixel,...

13 komentarjev

V EU več preiskav TikToka zaradi osebnih podatkov

Slo-Tech - Predsednica Evropske komisije Ursula von der Leyden je potrdila, da trenutno poteka več preiskav zoper kitajsko podjetje TikTok, ki upravlja družbeno omrežje za deljenje videoposnetkov. TikTok preiskuje tudi irski informacijski pooblaščenec, na Nizozemskem pa poteka več sodnih postopkov. V postopkih preverjajo sploštovanje Splošne uredbe (GDPR) pri čezmejnih prenosnih osebnih podatkov. GDPR namreč dovoljuje iznos osebnih podatkov izven EU le, če podjetje dokaže, da bodo tu tam varovani enako močno. TikTok podatke prenaša na Kitajsko. Drugi pomisleki se nanašajo na ciljano oglaševanje na mladoletne, ki v EU ni dovoljeno.

TikTok je imel tudi v ZDA pestro zgodovino, saj ga je prejšnja administracija skoraj prepovedala. Naposled je TikTok lahko obstal, a bo moral podatke hraniti v ZDA, spoštovanje nad varovanjem osebnih podatkov pa bo nadziral tudi Oracle. Skrbi je vzbujala domnevna povezava TikToka s kitajskimi oblastmi, kar podjetje še vedno zanika. Tudi evropski poslanci zato...

1 komentar

Google se je poravnal v kolektivni tožbi zaradi zavajanja o zasebnosti lokacijskih podatkov

Google - Google se je poravnal s 40 ameriškimi zveznimi državami v tožbi, ki so jo te proti njemu sprožile zaradi zavajajočih informacij in nastavitev zasebnosti pri beleženju lokacijskih podatkov (Location History). Sporna dejanja segajo v obdobje 2014-2020, v javnost pa so se izstrelila sredi leta 2018. Tedaj je Associated Press poročal, da izklop nastavitve Location History ne zadostuje, ker obstaja še dodatna nastavitev, ki je večina uporabnikov ne pozna in ne izključi. Začele so se tožbe.

Google je lani izgubil v Avstraliji, v ZDA se je nedavno poravnal z Arizono, sedaj pa je uredil še največjo težavo v ZDA. Poravnava v tožbi 40 zveznih držav je težka 391 milijonov dolarjev. Google je ob tem poudaril, da gre za stare grehe, saj so funkcionalnost spremenili že pred leti. To drži, a tudi stare dolgove je treba odplačati.

Poleg odškodnine bo Google v naslednjih mesecih spremenil tudi nekaj nastavitev glede zasebnosti. Navedel bo več podatkov, poenostavil bo zahtevke za izbris in...

3 komentarji

Dobre prakse slovenskega kazenskega sistema

Slo-Tech - Medtem, ko je pisarna Informacijske pooblaščenke ravno uspela počistiti sledi dobrih praks upravnih enot iz prejšnjega prispevka, pa preostanek državnega aparata seveda dela nadure.

Tokrat je Ministrstvo za pravosodje presodilo, da je za splošno dobro vseh nas pomembno, da smo seznanjeni, da se družbeno koristno delo nekega precej določenega obsojenca opravlja v Kopru in ne v Ljubljani.

Kot je razvidno iz dokumenta samega je junak današnje zgodbe dejansko obvestil naslovni organ o svoji spremembi bivališča (ki je tudi razlog za objavljeni postopek). Vendar tovrstne malenkosti ne ovirajo organa, da ne bi za odločbo opravljal nadomestne vročitve po oglasni deski.

ZUP v svojem 96. členu precej določno našteva podatke, ki se jih lahko objavi v tovrstnih primerih (številke EMŠO očitno na seznamu ni), vendar kot je bilo že večkrat ugotovljeno, Quod licet Iovi, non licet bovi.

Do popolnosti tej praksi manjka samo še mug shot.

39 komentarjev

Dobre prakse razumevanja ZUP

Ti. kavč oz. pisarniška inšpekcija (simbolična fotografija)

vir: RTV Slovenija
Slo-Tech - Medtem, ko se pisarna Informacijske pooblaščenke že skoraj štirinajst dni trudi ugotoviti, kako točno bi morali na Slo-Techu predstaviti njihovo večletno inšpekcijsko prakso (glej sliko desno), pa slovenski državni aparat seveda ne spi (topla jesen preprečuje zimsko spanje) in zato navdušeno proizvaja nove primere, ki jih lahko analiziramo.


Tako so sedaj upravne enote ugotovile, da je za skladnost s slovensko zakonodajo s področja varovanja osebnih podatkov dovolj, da se na pravno podlago sklicuješ (branje ni potrebno).

Zakon o splošnem upravnem postopku namreč v svojem 96.a členu pravi, da v kolikor so izpolnjeni določeni pogoji, se objavijo nekateri podatki iz tretjega odstavka 96. člena ZUP. Ker branje seveda škodi in ker gre za pomembne podatke z razvoja prakse uporabe GDPR (ki bo v Sloveniji skorajda že dobila zobe -- morda celo letos) si poglejmo nekaj najboljših primerov:



Datum rojstva je v javni objavi seveda pomemben, ker kup podatkov iz 96. člena ZUP ne...

22 komentarjev

Primeri dobrih praks z oglasne deske oktober 2022

Slo-Tech - Na Slo-Techu smo v letu 2021 odkrili kvaliteten vir dobrih praks s področja varstva osebnih podatkov v obliki oglasne deske državne uprave. Ker smo štiri leta in pol po uveljavitvi Splošne uredbe o varstvu podatkov (GDPR) spet tik pred tem, da bomo v Sloveniji končno sprejeli potrebno zakonsko ureditev tega področja, ki bo prinesla nezanemarljive globe, je ponovno čas, da si pogledamo, kako je z uporabo predpisa v praksi (kar najbolj natančno kaže na politiko dela nadzornega / prekrškovnega organa).

Naš obstoječi Zakon o varstvu osebnih podatkov (pa tudi trenutni predlog popravka) je malce poseben, še posebej, če ga beremo skupaj z Ustavo (kot jo trenutno na primeru COVIDnih predpisov razlaga Ustavno sodišče). Oba akta zahtevata, da so obdelave osebnih podatkov določene v zakonu. In objava podatkov na spletni oglasni deski vsekakor je obdelava, prav takšna, ki mora biti določena v zakonu. Če beremo ZVOP, hitro ugotovimo, da mora biti določeno kateri podatki se obdelujejo, za...

7 komentarjev

Japonski Yahoo bo zahteval identifikacijo za komentiranje

Slo-Tech - Yahoo bo na Japonskem od uporabnikov zahteval identifikacijo, če bodo želeli objavljati komentarje pod novicami. Ukrep bo stopil v veljavo sredi prihodnjega meseca, z njim pa želijo dvigniti raven komentarjev, zatreti neprimerne komentarje in ustvariti prijetnejši prostor za obiskovalce. Identifikacija bo možna s telefonskimi številkami, ki ne smejo biti anonimne.

Yahoo News ima na Japonskem že sedaj moderatorje, ki 24 ur na dan odstranjujejo komentarje, ki kršijo pravila uporabe. Uporabniki, ki kršitve ponavljajo, izgubijo pravico do komentiranja. Ta ukrep velja od leta 2018, a ne zadostuje v boju proti razraščanju neprimernih komentarjev, saj so uporabniki preprosto ustvarili nov račun. Od leta 2020 so morali vnesti telefonsko številko, ki pa ni bila nujno registrirana. Sedaj bo nujna uporaba registrirane telefonske številke za vezavo računa, na katero bo uporabnik prejel sms.

O problematiki spletnega trpinčenja, nadlegovanja in žaljenja na Japonskem smo letos že pisali. Za...

24 komentarjev

Retencija prometnih podatkov še vedno bolj ne

Slo-Tech - Sodišče EU je, kot že nekajkrat, spet presojalo ureditev splošne in neselektivne hrambe prometnih podatkov. Od kar je sodišče v letu 2014 presodilo, da je Direktiva o obvezni hrambi prometnih podatkov neskladna s pravnim redom EU, si države članice bolj ali manj neuspešno prizadevajo, da bi takšno hrambo podatkov ponovno vzpostavile.

Prometni podatki omogočajo, da organi, ki imajo do njih dostop, iz njih zelo natančno sklepajo na številne vidike zasebnega življenja posameznikov, na katere se podatki nanašajo. Hramba prometnih podatkov torej predstavlja resen poseg v zasebnost. Pri posameznikih lahko verjetno povzroči, da so njihova življenja pod stalnim nadzorom. Posledično je tak poseg upravičen le v primerih resnih kaznivih dejanj.

Kako pomembni so metapodatki kaže izjava nekdanjega šefa NSA, ki je ob neki priložnosti dejal, da »ubijamo ljudi na podlagi metapodatkov«.

Pred nami sta dve sodbi, ena proti Franciji in druga proti Nemčiji.

Francija

Tokrat je sodišče odločalo o...

12 komentarjev

Padec foruma Kiwi Farms

Slo-Tech - Zloglasna spletna skupnost zalezovalcev Kiwi Farms je obsojena na podtalno životarjenje, po tem ko ji je v preteklem tednu hrbet obrnila večina ponudnikov gostovanja in drugih internetnih storitev.

Pred slabim desetletjem je eden od administratorjev foruma 8chan, Joshua Moon, ustanovil forum CWCki Forums, namenjen organiziranju nadlegovanja spletne umetnice Christine Weston Chandler. Leto zatem se je forum preimenoval v Kiwi Farms in si pričel izbirati nove žrtve - povečini transspolne in istospolne osebe, feministke, razne spletne umetnike, novinarje, politike in aktiviste. Skozi leta je postal razvpit kot ena najbolj sovražnih in zahrbtnih spletnih skupnosti v obstoju, ki je povezana s samomori najmanj treh oseb. Njegovi uporabniki so bili dovolj vešči, da so znali o svojih tarčah skozi prosto dostopne ali shekane vsebine pridobiti veliko količino osebnih podatkov. Nato je sledilo doxxanje, ustrahovanje, swattanje in nameščanje lažnih dokazov za očrnitev, zaradi katerih so bile...

84 komentarjev

Google Američana prijavil policiji zaradi fotografije sina, namenjene zdravniškemu pregledu

The New York Times - The New York Times je razkril zgodbo Američana (plačljiv vir, alternativa), kateremu je Google trajno izklopil račun z vsemi podatki po tem, ko je v oblak naložil fotografijo genitalij svojega sina, ki jo je od njega želel pediater zaradi zdravljenja infekcije.

Lansko poletje so za nekaj razburjenja poskrbeli pri Applu, ko so najavili protokol Child Safety, po katerem bi v iskanju spolnih zlorab mladoletnikov pregledovali fotografije kar na iphonih uporabnikov. Sistem bi iz podob napravil zgoščene zapise (hashe) in te primerjal s tistimi v bazah podatkov potrjenih primerov otroške pornografije. V Cupertinu so bili kmalu prisiljeni načrte dati na hladno zaradi množičnega nasprotovanja, saj so strokovnjaki za zasebnost ocenili, da bi bilo nevarnosti za zlorabo takšnega sistema preveč. Strojna inteligenca je danes še daleč od tega, da bi bila sposobna sama zanesljivo preudariti obravnavani material in ločiti dejanske zlorabe od napačno ujetih, zato bi ji morali na pomoč priskočiti...

82 komentarjev

Meta na Messengerju testira privzeto šifriranje

vir: Meta
Meta - V Meti so pričeli s preizkušanjem privzeto vklopljenega šifriranja v Messengerju. Dogodek sicer sovpada z rastočo problematiko pregona splava v ZDA s pomočjo podatkov, zbranih na digitalnih platformah, toda v podjetju zanikajo, da je ukrep neposredna posledica.

Medtem ko je komunikacija v WhatsAppu privzeto šifrirana na podoben način kot v Signalu, pa se v drugo Metino pogovorno orodje, Messenger, tovrstna funkcionalnost prebija mnogo počasneje. Polno oziroma end-to-end šifriranje (E2EE) so v storitvi pričeli preizkušati leta 2016, šele letošnjega januarja pa so zmogljivost po svetu lansirali v polni obliki - toda uporabniki jo moramo vklopiti. Večina ljudi zanjo bržkone sploh ne ve ali pa se ji s tem ne ljubi ukvarjati, zato je tudi po lansiranju ostala omejena na tiste, ki se ukvarjajo z problematiko zasebnosti na internetu ali jo potrebujejo profesionalno. Nato pa se je situacija v Združenih državah spremenila, kajti junija je padla temeljna sodna odločitev Roe v. Wade, s tem...

7 komentarjev

Amazon je posnetke kameric Ring predajal policiji tudi brez sodnega naloga

politico.com - V Amazonu so po letih ugibanj vendarle priznali, da so posnetke kameric Ring organom pregona v določenih primerih predajali tudi brez sodnega naloga ali dovoljenja imetnika kamere.

Vse odkar je Amazon pred štirimi leti kupil firmo domačih varnostnih kameric Ring, divjajo polemike okoli neprijetno tesnega prijateljevanja podružnice z ameriškimi organi pregona. Poleg aktivnega iskanja strank kar skozi lokalne policijske organizacije že dolgo buri duhove praksa, po kateri lahko policija dostopa do posnetkov kamer. Ne le, da ameriški zvezni zakoni ne prepovedujejo eksplicitno deljenja teh posnetkov z možmi v modrem brez sodnega naloga, ampak tudi v samih pogojih storitve ni določila, ki bi kaj takega opredeljevalo. V Amazonu so na pomisleke doslej odgovarjali, da skušajo v vseh primerih "doseči sodno pot ali soglasje uporabnika", natančnejšim pojasnilom pa so se vztrajno izmikali.

Sedaj vemo, da v nekaterih primerih posnetki najdejo pot do policistov brez kakršnegakoli formalnega...

5 komentarjev

Na internetu se ponuja največja ukradena baza osebnih podatkov

Slo-Tech - Na temnem delu spleta se je pojavila 22 TB velika baza, ki po besedah preprodajalca z vzdevkom ChinaDan vsebuje podatke o približno milijardi kitajskih državljanov. Prodaja se za 10 bitcoinov, kar je trenutno vredno 190.000 evrov. Podatki so pobegnili šanghajski policiji, vključujejo pa imena, naslove, nacionalne identifikacijske številke, kontaktne podatke, mobilno številko in policijske kartoteke. ChinaDan je javno delil 750.000 zapisov, s čimer lahko potencialni kupci preverijo avtentičnost baze.

Kitajske oblasti se na navedbe, da podatki izvirajo iz šanghajske policije, še niso odzvale. Yi Fu-Xian z Univerze Wisconsin-Madison je dejal, da je prenesel in analiziral vzorec in potrdil pristnost. V vzorci so podatki o prebivalcih iz vseh delov Kitajske, tudi oddaljenih tibetanskih vasi. O arhivu se govori tudi na kitajskih družbenih omrežjih, kjer so termin "Shanghai data leak" v nedeljo blokirali. Za zdaj sicer še ni neizpodbitnega dokaza, da baza resnično vsebuje milijardo...

16 komentarjev

Japonski uslužbenec izgubil USB-ključ z osebnimi podatki prebivalcev

Slo-Tech - Večkrat smo že pisali o izgubljenih ali odtujenih prenosnih računalnikih, na katerih so bili osebni podatki ljudi ali kakšno drugo zaupno gradivo. To pot gre za izgubljen USB-ključek, ki ga je v mestu Amagasaki na zahodu Japonske izgubil neimenovani uslužbenec pogodbenega partnerja mestne uprave, ki je skrbel za izplačila socialne pomoči zaradi epidemije covida. Podatke je želel prenesti do klicnega centra, zato jih je prekopiral na USB-ključek, ki ga je po večernem popivanju v restavraciji izgubil.

Na pogonu je imel osebne podatke vseh 460.000 prebivalcev Amagasakija, med njimi imena, naslove, rojstne podatke, davčne podatke in bančne podatke. Vsi podatki so bili šifrirani in zaščiteni z geslom, zato ni pričakovati, da bodo kmalu priplavali na trg osebnih podatkov. Kljub temu so se oblasti opravičile prebivalcem. Vseeno pa je prenos občutljivih podatkov na USB-ključku neprimeren in zastarel, a na Japonskem to ni tako zelo nenavadno. Zastarele tehnologije, ki delujejo, se tam...

21 komentarjev

Mega tako luknjičasta, da njeno šifriranje ni dosti vredno

Slo-Tech - Spletna shramba Mega se ne ponaša le z nizko ceno, temveč uporabnikom zatrjuje, da so njihovi podatki šifrirani in da do njih ne more nihče, niti upravljavec (end-to-end encryption). V zadnjih letih je tako Mega zbrala več kot 250 milijonov uporabnikov, ki imajo shranjeni več kot 1000 PB podatkov. A zadnja razkritja raziskovalne skupine z ETH Zürich, ki jo sestavljajo Matilda Backendal, Miro Haller in Kenneth G. Paterson, kažejo, da trditve o neprebojnosti šifriranja ne držijo. Zaradi slabe implementacije je v resnici sorazmerno preprosto na silo obnoviti šifrirne ključe uporabnikov. Mega je obstoj ranljivosti priznala.

Raziskovalci ugotavljajo, da ima storitev Mega več ranljivosti, zaradi česar je občutljiva na pet različnih napadov, ki omogočajo nepooblaščen dostop do uporabniških datotek. Ključna sestavina varnosti je geslo, ki si ga izbere vsak uporabnik, in predstavlja osrednjo dostopno točko. Iz gesla lokalni odjemalec izračuna dva ključa: enega za preverjanje pristnosti...

5 komentarjev

Ameriški TikTok na Oraclovih strežnikih, a z novo afero

Slo-Tech - Iz TikToka so sporočili, da so naposled pričeli ves promet ameriških uporabnikov usmerjati skozi Oraclove strežnike. Toda objava je prišla na isti dan kot BuzzFeedovo poročilo, da naj bi Kitajci doslej v resnici imeli dostop do vseh ameriških podatkov.

TikTok je bil poleg Huaweija eno bistvenih podjetij, ki so se pod Trumpovo administracijo zapletla v gospodarski spopad med ZDA in Kitajsko. Nekdanji ameriški predsednik je sprva začrtal širokopotezen prisilni prevzem ameriškega dela podjetja, kjer bi imel sicer vidno vlogo Oracle, kot "zaupanja vreden tehnološki partner". Na koncu iz tega ni bilo nič, razvlečena epopeja pa se je končala lanskega junija, ko je aktualni predsednik Biden odstranil Trumpove ukrepe zoper podjetje. Toda kontroverzno dogajanje se s tem ni zaključilo, kajti Trumpovi očitki o odtekanju podatkov ameriških uporabnikov na Kitajsko niso bili iz trte zviti: na lansko poletje so med drugim pri CNBC po intervjujih z nekdanjimi zaposlenimi zaključili, da lastnik in...

21 komentarjev

Na Japonskem uzakonili stroge kazni za spletne žalitve

Slo-Tech - Zaradi porasta trpinčenja na spletu (cyberbullying) so na Japonskem zaostrili kazni za žaljenje na internetu, ki segajo do 300.000 jenov (2000 evorv) in enega leta zapora. Po novem kaznivo dejanje zastara po treh letih in ne enem letu. Povod za spremembo zakonodaje je bil samomor 22-letne Hane Kimura zaradi spletnega nadlegovanja.

Dosedanje kazni so bile mile, do 10.000 jenov in 30 dni pripora. Dva izmed množice spletnih komentatorjev, ki so trpinčili Hano Kimura, sta bila lani oglobljena z 9000 jeni, kar je za japonske standarde simbolična vsota. Porast nadlegovanja na spletu, ki ni omejen le na Japonsko, je zategadelj terjal strožji pristop. Novi zakon velja tudi za nespletne žalitve, a bodo te mileje sankcionirane, ker dosežejo manj ljudi.

Nova zakonodaja ima tudi nemalo kritikov, ki opozarjajo na nevarno omejitev svobode govora in na negativen vpliv ali samocenzuro (chilling effect) spletnih medijev in kritikov javnih osebnosti. Opozarjajo, da v zakonodaji ni jasno...

54 komentarjev

Telegram razvija tudi plačljivo storitev

Slo-Tech - Razvijalci priljubljene storitve za varno mobilno komuniciranje Telegram so potrdili mesec dni stare govorice, da se pripravlja plačljiva verzija. Ustanovitelj Telegrama Pavel Durov pojasnjuje, da bo trenutna funkcionalnost aplikacija ostala brezplačna, medtem ko bo prihajajoči Telegram Premium omogočil dodatne. Na voljo bo v mesecu dni.

Kaj točno bo na voljo v plačljivi verziji, še ni znano. Neuradno se govori o možnosti pošiljanja 4 GB velikih datotek, podpori za več simbolov, hitrejši prenos podatkov (pomembno za velike datoteke), boljše upravljanje pogovorov, več nalepk (stickers) itd. Uporabniki na brezplačni verziji bodo imeli pasivno podporo za novosti, torej jih bodo lahko videli in sneli, kadar jih bodo uporabili pošiljatelji s plačljivo verzijo, sami pa jih ne bodo mogli pošiljati. Durov pojasnjuje, da so se za spremembo odločili, ker v brezplačni verziji ne bi mogli ponuditi datotek brez omejitev, višjih hitrosti in podobno, ker ustrezna infrastruktura pač stane.

Ob...

37 komentarjev

Države se zoperstavljajo Clearview AI

vir: Technology Review
Slo-Tech - Velika Britanija je razvpito firmo za razvoj orodij za prepoznavo obraza Clearview AI oglobila za 7,5 milijonov funtov in ji zapovedala izbris vseh podatkov Britancev. Omejili so tudi njeno delovanje v ZDA, kjer bo lahko sodelovala zgolj z državnimi akterji.

Na že tako kočljivem področju prepoznave obraza je eno podjetje še posebno kontroverzno: Clearview AI, ki je svojo bazo podatkov oblikovalo na približno 20 milijardah obrazov, postrganih z javnih internetnih prostorov, predvsem družbenih omrežij. Zatem na tej podlagi razvija orodja za hitro prepoznavo, ki jih zadnje čase trži predvsem pri policijskih uradih in državah, kot je Ukrajina. Ker podjetje za soglasje seveda ni povprašalo nobene od oseb, katere obraz je pridobilo, proti njemu že nekaj časa na različnih koncih sveta potekajo preiskave. Da Clearview AI krši GDPR, je lani odločila Francija, dočim ga je Italija letošnjega marca za to še oglobila za 20 milijonov evrov. Ta mesec se je dogajanje v tej smeri nadaljevalo z več...

35 komentarjev

Twitter bo plačal 150 milijonov dolarjev zaradi zlorabe osebnih podatkov uporabnikov

vir: Reuters
Reuters - Twitter bo plačal 150 milijonov dolarjev, ker je v letih 2013-2019 kršil ameriško zakonodajo ter nezakonito obdeloval in posredoval podatke uporabnikov. Prekršil je zaveze iz leta 2011, med katerimi je bilo izrecno navedeno, da v komercialne namene ne bodo uporabljali osebnih podatkov, ki so jih zbrali za tehnično zagotavljanje varnosti storitev, denimo telefonskih števil in elektronskih naslovov za obnovitev dostopa v storitev. Twitter je te podatke, za katere je uporabnikom zagotavljal, da ne bodo uporabljeni v drugačne namene, izkoriščal tudi za ciljano prikazovane oglasov. Oglaševalci so do leta 2019 imeli dostop do teh podatkov, kar je tudi v nasprotju z zakonodajo.

Zvezna komisija za trgovino (FTC) je dejala, da je to primer zlorabe podatkov. Uporabnikom so dejali, da telefonske številke in elektronske naslove potrebujejo za zagotavljanje pristnosti in varovanje računa, nato pa so jih prodajali dalje. Oškodovanih je več kot 140 milijonov uporabnikov, ki so oddali te podatke...

5 komentarjev

Teksaški zakon o urejanju družbenih omrežij neustaven

vir: The New York Times
Slo-Tech - Zvezno prizivno sodišče v ZDA je zaustavilo kontroverzni zakon, ki so ga na Floridi sprejeli pred letom dni in ki je spletnim platformam omejeval odločanje o tem, kako bodo regulirale vsebine na lastnih storitvah. Med drugim je zakon uzakonjal prepoved blokade računov politikom, kar se je na primer zgodilo nekdanjemu ameriškemu predsedniku na Twitterju, ter za več kot 14 dni blokirati profile vsem kandidatom za politične funkcije na ravni zvezne države. Nasprotniki zakona so opozarjali, da krši prvi amandma, kar je sedaj potrdilo tudi sodišče.

Tričlanski senat na sodišču v Atlanti (U.S. Circuit Court of Appeals) je soglasno razsodil, da je teksaška vlada prekoračila svoje pristojnosti in z reguliranjem, kako naj družbena omrežja ravnajo in regulirajo govor na svojih platformah, kršila prvi amandma ameriške ustave. Kot je pojasnil sodnik Kevin Newsom, ki je bil sicer nastavljen pod prejšnjo republikansko administracijo, država posameznikom in podjetjem ne sme odrejati, kaj in kako...

8 komentarjev

Ko tipkate, si strani zapomnijo

Slo-Tech - Malokdo se zaveda, da spletne strani lahko beležijo vnose v polja, še preden kliknemo gumb Pošlji. To sicer ni nobena skrivnost in marsikod je to uporabno, saj lahko stran shrani vnos in ga ponovno prikaže, če se vmes prekine internetna povezava, še preden bi besedilo poslali. Raziskovalci z univerz v Leuvnu, Lausanni in Radbound v Nijmegenu pa so sistematično preverili, kako razširjena je tovrstna praksa. Rezultati so pokazale, da precej bolj, kot bi pričakovali. Članek bodo predstavili na konferenci Usenix avgusta letos.

Analizirali so 100.000 najpopularnejših spletnih strani in preverjali, kako se obnašajo, če jih obiščemo iz EU ali iz ZDA. Ugotovili so, da je 1844 spletnih strani zbirali evropske elektronske naslove brez soglasja, ameriške pa 2950 spletnih strani. Tega pogosto ne počno same strani, temveč imajo vgrajene dele kode za oglaševanje in analitiko, ki to počne. V nekaterih primerih so spletne strani celo vpisala gesla posredovale dalje, spet zaradi vtičnikov in...

10 komentarjev

Neustavno preverjanje PCT

Slo-Tech - Ustavno sodišče je razveljavilo Covid ukrepe. Po tem, ko ukrepi že lep čas ne veljajo več, jih je sedaj uspelo razveljaviti tudi Ustavno sodišče. Gre za postopek, ki se je začel na pobudo Informacijskega pooblaščenca, ki je izpodbijal Odlok o načinu ugotavljanja izpolnjevanja pogojev prebolevnosti, cepljenosti in testiranja v zvezi z nalezljivo boleznijo COVID-19, ter del Odloka o začasnih ukrepih za preprečevanje in obvladovanje okužb z nalezljivo boleznijo COVID-19, ki se nanaša na obdelave osebnih podatkov.

Izpodbijani odloki se nanašajo na način preverjanja način ugotavljanja izpolnjevanja pogoja PCT. Gre za aplikacijo za preverjanje Covid potrdil s čitalcem QR kode. IP je menil, da izpodbijana ureditev predvideva obdelavo posebne vrste osebnih podatkov, in sicer podatkov o zdravju, ki so po Splošni uredbi o varstvu podatkov (GDPR) posebej varovani. Covid potrdila je uvedla Uredba o okviru za izdajanje, preverjanje in priznavanje interoperabilnih potrdil o cepljenju, testu in...

249 komentarjev

ECJ ponovno: prometnih podatkov ne smete hraniti na zalogo

Slo-Tech - Sodišče Evropske unije je včeraj razsodilo, da nacionalni organi pregona ne morejo v nedogled hraniti podatkov mobilnih operaterjev vseh uporabnikov. Dopustno je hranjenje za omejen čas, če gre za boj proti najtežjemu kriminalu, ki predstavlja grožnjo nacionalni varnosti, ne pa za pregon morebiten vsakršnih kaznivih dejanj. Konkretno je sodišče razsojalo o irski praksi in ugotovilo, da krši evropsko zakonodajo.

Obsojeni morilec iz Irske se je pritožil, češ da irska sodišča ne bi bila smela uporabiti prometnih podatkov z njegovega telefona med sojenjem. Graham Dwyer je bil namreč leta 2015 obsojen za umor Elaine O'Hara leta 2012, kjer so ključno vlogo odigrali prometni podatki mobilnega operaterja. Brez teh bi bil najverjetneje oproščen, saj ni bilo nobenega očividca in nobenih fizičnih dokazov. Zato se je Dwyer pritožil na irsko vrhovno sodišče, ki je za mnenje povprašalo evropsko sodišče. Odločitev slednjega sicer ni nepričakovana, saj sledi obstoječi sodni praksi, zlasti...

12 komentarjev

Apple, Facebook in drugi osebne podatke posredovali hekerjem

vir: Bloomberg
Bloomberg - Po neuradnih informacijah sta Apple in Facebook (Meta) v nekaterih primerih izročila osebne podatke uporabnikov kar hekerjem, ki so se pretvarjali, da so organi pregona. Šlo je za osnovne osebne podatke, ki so vsebovali osebna imena, telefonske številke in naslove IP. Hekerji so izkoristili koncept izrednih zahtevkov EDR (emergency data requests).

Medtem ko so za izročitev podatkov običajno potrebne sodne odredbe, je EDR namenjen izrednim situacijam, ko za to ni časa, denimo ob ugrabitvah otrok. Da so EDR problematični, so varuhi zasebnosti ponavljali že dlje časa, a je bila bojazen uperjena proti zlorabam, ki bi jih zagrešile preveč radovedne države. To pot pa se je prvikrat zgodilo, da so EDR-je poslali kar hekerji. Nekateri so bili celo člani zloglasne skupine Lapsus$.

Čeprav Apple in Facebook uradno nista priznala, da se je incident zgodil, pa je to potrdil Discord. Vsa podjetja pa so potrdila, da imajo specializirane sisteme za izpolnjevanje EDR, kamor se sider pride po...

6 komentarjev

EU in ZDA blizu novega dogovora o iznosu osebnih podatkov

Slo-Tech - Evropska unija in ZDA sta danes sporočili, da sta dosegli načelen dogovor, ki bo ponovno vzpostavil tok osebnih podatkov Evropejcev čez Lužo. To je že tretji poizkus, potem ko je prva dva sodišče razveljavilo, ker nista nudila zadostnih garancij za varno in namensko obdelavo podatkov v tujini. Leta 2015 je Sodišče Evropske unije razveljavilo dogovor o varnem pristanu med ZDA in Evropo, saj je Komisija z njegovo sklenitvijo brez varovalk prekoračila pooblastila. Pet let pozneje je sodišče za nov dogovor odločilo enako. Glavna težava je, da imajo v ZDA vsem zagotovilom podjetij navkljub dostop do podatkov tudi tajne in obveščevalne službe, ki ne potrebujejo sodnih odredb.

Zamisel dogovora je preprosta. V Evropski uniji osebne podatke varuje stroga zakonodaja, zato jih podjetja ne smejo iznašati v tujino, kjer bi jih lahko obdelovala po milejši zakonodaji. Zato je treba pred vsakim iznosom dokazati, da bodo podatki varovani enako kot v EU. Ker je za vsak iznos posebej to zamudno in...

12 komentarjev

Ukrajina v vojni uporablja Clearview AI

vir: Pixabay

vir: TechCrunch
Reuters - Ukrajinsko obrambno ministrstvo je v soboto začelo uporabljati programsko opremo Clearview AI za prepoznavanje obrazov in avtomatično identifikacijo ljudi, je za Reuters potrdil izvršni direktor podjetja. S programom želijo odkrivati ruske vohune, se boriti proti dezinformacijam in identificirati umrle. S programom na primer preverjajo mimoidoče na kontrolnih točkah. Dostop do Clearview AI je Ukrajina dobila brezplačno, so še povedali v podjetju.

Clearview je podjetje, ki ima za svojo aplikacijo megalomanski cilj. Sposobni želijo biti prepoznati vsakega človeka, česar so se lotili z ustvarjanjem ogromne baze podatkov. V bazi imajo že več kot 10 milijard posnetkov ljudi, kar omogoča prepoznavanje večine ljudi iz razvitega sveta. Zaradi tega proti podjetju tečejo številni sodni postopki, tako v ZDA kakor v Evropi. Francija je na primer že jasno povedala, da je uporaba Clearview AI nezakonita. Tudi nezakonita uporaba v Evropi ni nič nenavadnega.

Sedaj pa je jasno, da je aplikacija...

23 komentarjev

Windows 10 in 11 ne pobrišeta uporabnikovih datotek

Slo-Tech - Nizozemski strokovnjak Rudy Ooms je ugotovil, zadnje verzije Windows 10 in Windows 11 vsebujejo hrošča, zaradi katerega se ob ponastavitvi računalnika osebni podatki uporabnikov ne pobrišejo. Windows vsebuje funkcijo Wipe, ki omogoča preprost izbris vseh uporabnikov podatkov in ponastavitev sistema, da je nared za novega uporabnika oziroma odprodajo. A izkazalo se je, da kljub uporabi te funkcije (Reset PC Remove Everything) v mapi Windows.old ostanejo stare uporabniške datoteke. Težava se pojavi tako pri lokalnem kakor pri oddaljenem brisanje.

Še bolj bizarno je dejstvo, da ne pomaga niti orodje za šifriranje diska Bitlocker. Četudi je imel uporabnik osebne datoteke šifrirane, po brisanju in ponovnem zagonu Bitlockerja ni več, uporabniške datoteke pa so še vedno v mapi Windows.old. Podobno velja tudi za datoteke v OneDrive, ki se sinhronizirajo iz oblaka. Ooms je sicer pripravil skripto za PowerShell, ki težavo odpravi, a hkrati Microsoft pozval, naj hrošča odpravi in zagotovi...

12 komentarjev

Lahko bežimo, a se ne moremo skriti

vir: Pixabay

vir: TechCrunch
Slo-Tech - Kontroverzno podjetje Clearview, ki ustvarja največjo bazo fotografij ljudi na svetu, se približuje končnemu cilju. Podjetje trdi, da so na dobri poti do cilja, imajo v bazi že več kot 100 milijard posnetkov, kar zadostuje za sposobnost identifikacije skorajda kogarkoli na tem svetu. Najava je bržkone malce pompozna, saj jo je podjetje izreklo na predstavitvi finančnih rezultatov za investitorje, a trend je gotov. Baza eksponentno raste, trenutno imajo že več kot 10 milijard posnetkov. Do cilja 100 milijard posnetkov jim manjka še kakšnih 50 milijonov dolarjev, kar je za zainteresirane igralce - drobiž. Razporeditev je zagotovo nagnjena proti razvitim državam, a to ne spremeni dejstva - če ste bili kdajkoli identificirani na kakšni fotografiji, ki je objavljena na svetu, vas lahko Clearview identificira. To pa pomeni vsi njegovi naročniki, med katerimi sta na primer tudi ameriška in švedska policija.

Proti Clearviewu najodločneje protestirajo evropske organizacije za varstvo...

52 komentarjev

Belgijski informacijski pooblaščenec razsodil: Velik del evropskega internetnega oglaševanja krši GDPR

Slo-Tech - Belgijski informacijskih pooblaščenec je po pričakovanjih odločil, da IAB Europe krši Splošno uredbo (GDPR) in izrekel 250.000 evrov globe. Manj zaradi zneska, bolj zaradi udeležencev gre za eno najpomembnejših odločitev, ki bo močno vplivala na oglaševanje v celotni Evropski uniji. Transparency and Consent Framework (TCF), ki ga ponuja IAB Europe in ga uporabljajo številni založniki in oglaševalci v EU, je namreč v neskladju z GDPR. IAB Europe je že obljubil spremembe. Irish Council for Civil Liberties, ki je bil med pritožniki, je odločitev pozdravil kot pomembno zmago za varovanje osebnih podatkov Evropejcev.

TCF uporablja večina evropskih strani, saj je veljalo, da zagotavlja skladnost z GDPR. A nova odločitev kaže, da krši več členov GDPR. TCF ne zagotavlja varnega hranjenja osebnih podatkov, ne pridobiva soglasja na ustrezen način, ne razkriva transparentno, kaj se dogaja z zbranimi podatki, ne zagotavlja ukrepov za zakonito obdelovalo osebnih podatkov in ni ustrezno...

17 komentarjev

Lepi fonti so nezakoniti samo v Nemčiji

Slo-Tech - Pred dobrim tednom je Deželno sodišče v Muenchnu ugotovilo, da so Google Fonti problem.

Kot se izkaže, Splošna uredba o varstvu podatkov (GDPR) zelo posega na področje delovanja spleta. Bolj kot večina navadnih uporabnikov razume in bolj kot si je večina strokovnjakov pripravljena priznati.

Splošna uredba ureja obdelave osebnih podatkov. Ob upoštevanju, da je IP naslov osebni podatek, je pravzaprav vse, kar internet dela, ena velika obdelava osebnih podatkov. Imetniki spletnih strežnikov so z vidika Splošne uredbe upravljavci osebnih podatkov. In za upravljavce veljajo pravila!

Eno od pravil je, da je treba imeti za vsako obdelavo ustrezno pravno podlago. In ker je uporaba česarkoli na internetu obdelava osebnih poatkov, je treba res paziti na to, kako izdelate vašo spletno stran. Ustrezne pravne podlage so na primer soglasje (a bi kdo piškotke?) ali pa legitimni interes. Ostale podlage (npr. pogodba) bodo prišle v poštev redkeje.

Spletna stran v konkretnem nemškem primeru je...

54 komentarjev

Elsevier v PDF-je člankov podtika enolične identifikatorje

Slo-Tech - Elsevier je potrdil ugotovitve Johnnyja Saundersa , da nekateri založniki v PDF-je člankov ob vsakem prenosu dodajo enolični identifikator, s katerim lahko določijo vir datoteke ob nadaljnjem deljenju. Elsevier priznava taktiko, a zatrjuje, da gre za boj proti izsiljevalski programski opremi (ransomware) in ne za sledenje dokumentom.

Njihov tiskovni predstavnik je dejal, da enolični identifikator v PDF-jih preprečuje kibernetska tveganja na lastnih sistemih in na sistemih uporabnikov. Poudarja, da v dokumentih ni metapodatkov, ki bi omogočali identifikacijo uporabnika ali bralca. Gre za način, kako zaznajo vire napadov in o tem obvestijo uporabnike. Konkretno niso razložili, katere kibernetske napade imajo v mislih ali pred katerimi se morajo braniti. Ni pa jasno, kako si Elsevier hkrati predstavlja trditvi, da dokumenti nimajo podatkov za identifikacijo in da lahko pomagajo odkriti, kateri odjemalec je bil žrtev vdora.

Saunders, doktorski študent nevroznanosti na Univerzi v...

2 komentarja

Evropska komisija od WhatsAppa terja pojasnila o varovanju podatkov

vir: The Verge
Evropska komisija - Evropska komisija je danes poslala uradno pismo WhatsAppu, v katerem terja pojasnila, kako se novi pogoji uporabe in politika zasebnosti, sprejeti lani, skladajo z evropsko zakonodajo o zaščiti potrošnikov. Evropski komisar za pravosodje Didier Reynders je ob tem dejal, da mora WhatsApp zagotoviti, da uporabniki razumejo, s čim soglašajo ob uporabi in kako se bodo njihovi osebni podatki obdelovali. WhatsApp se mora odzvati do konca februarja.

Zgodba se je začela zapletati pred letom dni, ko je WhatsApp razburil z novimi pogoji uporabe. V njih je zapisal, da bo s Facebookom (v njegovi lasti je) delil več podatkov svojih uporabnikov. Kdor se s tem ne bi strinjal, bi pač lahko prenehal uporabljati WhatsApp. In res sta Telegram in Signal dobila toliko novih uporabnikov, da je WhatsApp stopil korak nazaj. Sprva so trdili, da novosti veljajo le za poslovne uporabnike, potem pa so njihovo uvedbo zamaknili za tri mesece. A potem je julija sledila še tožba, ki so jo pri Evropski komisiji...

6 komentarjev

Google opušča FLoC, predstavlja Topics

princip Topics

vir: Google
Google - Pri Googlu so naznanili, da so naposled obupali nad izvedbo načina sledenja uporabniku v Chromu, ki bi uporabljal kohortni sistem FLoC. Toda reformi sledenja za ciljano oglaševanje se ne nameravajo odpovedati in so predstavili tehnologijo Topics - ki pa med kritiki prav tako ni vzbudila navdušenja.

V začetku leta 2020 so v Googlu napovedali, da nameravajo v roku dveh let iz brskalnika Chrome odstraniti sledilne piškotke tretjih strank, ki se običajno uporabljajo za ciljano oglaševanje. Ker štiri petine Googlovih prihodkov predstavljajo oglasi, so seveda nameravali namesto tega uvesti nov sistem za zbiranje podatkov o uporabnikih, ki bi bil vezan na brskalnike in bi skušal otežiti identifikacijo posameznikov skozi piškotke. Princip FLoC ali Federated Learning of Cohorts bi uporabljal način, po katerem bi uporabnike popredalčkal v večje skupine (cohorts) in ko bi oseba obiskala spletno stran z oglasi, bi oglaševalci prejeli zgolj značilnosti njene skupine, ne pa posameznika. A tudi...

12 komentarjev

Dobre prakse oglasne deske živijo naprej

Slo-Tech - V prejšnjem letu smo dokaj redno spremljali razvoj dobrih praks pri slovenskih državnih organih, ki svoje odločbe državljanom in drugim prebivalcem vročajo prek oglasne deske državne uprave. Po tem, ko smo jih pregledovali več tednov, nam je novih primerov zmanjkalo. Zato smo po skoraj letu dni ponovno pogledali, kaj se dogaja na tem področju.

Hiter pregled je odkril nekaj zanimivih primerov, ki kažejo, da praksa objave osebnih podatkov posameznikov na oglasni deski nikakor ni zamrla.

Kaj smo našli?

Našli smo tri zanimive objave. Gre za sporočila o vročanju z javnim naznanilom, s katerimi Zavod za pokojninsko in invalidsko zavarovanje Slovenije posameznike, ki jih ni uspela doseči s pošto, obvešča, da jim bi radi vročili nek dokument in da bodo šteli dokument za vročen, tudi če ti posamezniki ne pridejo ponj.

Naš Zakon o varstvu osebnih podatkov je malce poseben, še posebej, če ga beremo skupaj z Ustavo. Oba akta zahtevata, da so obdelave osebnih podatkov določene v zakonu. In...

25 komentarjev

Nemški BSI: Telefoni Xiaomi ne cenzurirajo

Slo-Tech - Jeseni je center za nacionalno kibervarnost pri litovskem ministrstvu za obrambo preveril tri nove kitajske telefone, ki so priljubljeni na litovskem trgu, in zaključil, da vsebujejo orodja za cenzuriranje in prisluškovanje. Telefoni naj bi imeli celo lokalno shranjen seznam besed (npr. svoboda za Tibet ali demokratično gibanje), ki jih potem cenzurirajo. Enako je ta mesec odkril Tajvan, in sicer da Xiaomi 10T 5G cenzurira 2000 do Kitajske kritičnih besednih zvez.

Nemški Zvezni urad za informacijski varnost (BSI) pa sedaj pravi, da na Xiaomijevih telefonih niso odkrili dokazov za cenzuriranje vsebin. BSI je preiskavo začel po objavi litovskega centra lanskega septembra. Tudi Xiaomi je tedaj najel zunanje strokovnjake, ki naj bi preverili litovske obtožbe. Tržni delež njihovih telefonov v Evropi namreč raste in je že 2. največji proizvajalec telefonov (23-odstotni tržni delež), tovrstne obtožbe pa lahko to ogrozijo. Xiaomi je seveda pozdravil nemške ugotovitve in dejal, da...

11 komentarjev

Avstrijski informacijski pooblaščenec: Google Analytics ni v skladu z GDPR

Slo-Tech - Avstrijski informacijski pooblaščenec (DSB) je ugotovil (odločba v izvirniku), da uporaba Google Analytics krši Splošno uredbo (GDPR). Konkretno gre za kršitev 44. člena, ki ureja splošna načela za prenose v tretje države ali mednarodne organizacije ter jih dovoljuje le, če tudi tam obdelovalec spoštuje GDPR.

Geneza primera sega v julij 2020, ko je Sodišče EU razveljavilo dogovor med Evropsko komisijo in ZDA o varnem pristanu za izvoz osebnih podatkov v ZDA ter trditve Komisije, da je stopnja zaščite osebnih podatkov v ZDA primerljiva z evropsko. Ker je sodišče ugotovilo da, splošnih odpustkov ni in bi to moral posebej dokazovati vsak upravljavec osebnih podatkov za svoj primer. Razveljavitev Privacy Shielda, podobno kot razveljavitev Safe Harborja iz leta 2015, pa ima posledice na vse, ki se ukvarjajo z osebnimi podatki izven meja ZDA. A velikani, kot je Google, so nadaljevali dotedanje prakse, saj so v svoje pogoje uporabe in pogodbe dodali le nekaj vrstic besedila in s tem...

8 komentarjev

Švicarska vojska prepoveduje WhatsApp, Signal in ostala tuja orodja

AP News - Švicarska vojska je svojim pripadnikom prepovedala uporabo tujih aplikacij za hipno sporočanje, kamor sodijo WhatsApp, Messenger in tudi Telegram ali Signal. Razlog je varnostne narave, saj se bojijo prisluškovanja in prestrezanja vsebin, ki bi ga lahko izvajale ameriške oblasti. Gre za posledice ameriškega zakona US CLOUD Act, ki ponudnike storitev, za katere velja ameriška zakonodaje, obvezuje izročiti zahtevane podatke, četudi so ti fizično shranjeni izven ZDA. Švicarji zato priporočajo uporabo storitve Threema, ki je švicarske izdelave.

Threema je namreč švicarsko podjetje, ki nima nobene infrastrukture v ZDA, zato zanjo ne veljajo ameriški zakoni. Sprva so uporabo te aplikacije zahtevali, kot je pisalo v decembrskem pismu vojakom, kasneje pa so to spremenili v priporočilo. Spremembe veljajo od začetka tega leta. Ker aplikacija ni brezplačna, bo švicarska vojska svojim pripadnikom povrnila štiri franke pristojbine. Threema za razliko od podobnih storitev ne zahteva telefonske...

114 komentarjev

Naroči me na upravno enoto

Slo-Tech - Koronska kriza nas je vse prisilila v več spletnega poslovanja. Zdaj traja že skoraj dve leti, tako da smo se že dodobra naučili in navadili delati od doma, nakupovati prek interneta, sodelovanja prek video klicev, poslušanja koncertov prek interneta in vse ostale moderne načine dela in življenja.

Ta hiter preskok iz analognega v digitalno življenje je seveda, poleg prilagajanja življenjskih navad posameznikov, zahteval investicije v novo opremo in storitve.

Vse aktivnosti pa kljub vsemu ne potekajo v celoti prek interneta. Predvsem storitve so takšno področje, kjer stranka obišče ponudnika, da pri njem opravi, ker ima opraviti. Med te spadajo tudi upravne enote, ki danes nastopajo v vlogi glavnega junaka zgodbe.

Upravne enote so lokalne izpostave izvršilne veje oblasti. Osebni dokumenti, gradbena dovoljenja, registracije društev, dovoljenja za bivanje, vozniške, prometne, kmetijske zadeve, poroke, ločitve, overitve ... vse se dobi na upravni enoti.

Zaradi korone je bilo treba...

195 komentarjev

Japonska policija izgubila disketi z osebnimi podatki

Slo-Tech - Japonski policiji so ušli osebni podatki 38 ljudi, ki so se prijavili za bivanje v neprofitnih stanovanjih v okrožju Meguro. Med pobeglimi osebnimi podatki so imena, rojstni podatki in spol. Gre za podatke iz običajne preveritve, ki jo v sodelovanju z lokalnimi oblastmi izvajajo od leta 2012, da prijavitelji ne bi bili člani kriminalnih organizacij (background check). Neobičajno pa je dejstvo, da so izgubili podatke tako malo ljudi, in predvsem medij, na katerem so bili shranjeni. Japonci so izgubili -- dve disketi. Ni jasno, ali so jih le pomotoma vrgli proč ali pa ju je kdo dejansko odtujil. Pred tem sta bili disketi, ena iz decembra 2019 in druga iz februarja letos, shranjeni v omarici na policijski postaji. Za zdaj niso zaznali zlorabe teh podatkov.

Kadar v modernem času beremo o pobeglih osebnih podatkih, gre skorajda brez izjeme za vdore v podatkovne baze, zato je tudi odtujenih podatkov precej več. Bili so tudi že primeri, ko so se izgubljali kakšni prenosni računalniki,...

48 komentarjev

Facebook blokiral sedem podjetij, ki so vohunila za posamezniki

Slo-Tech - Facebook je ena največjih javno dostopnih baz osebnih podatkov posameznikov, tako uporabnikov kakor tudi neuporabnikov (saj njihove podatke priobčujejo njihovi prijatelji, znanci, organizacije ipd.), zato jo različna podjetja rada uporabljajo ali zlorabljajo. Clearview je na primer prav iz Facebooka nezakonito napolnil svoje baze za trening algoritmov za prepoznavanje obrazov. Meta, torej upravljavec omrežja, je že dlje časa tarča očitkov, da za zaščito svojih uporabnikov stori premalo. Ta teden so zato javno naznanili, da so blokirali sedem podjetij, ki so po Facebooku vohljala za uporabniki.

Blokiranih podjetij niso imenovali, so jih pa označili za vohljanje po naročilu (surveillance-for-hire). Upravljala so približno 1500 računov na omrežjih Facebook in Instagram, s katerih so nabirala podatke o uporabnikih. S temi lažnimi računi so skušala postati prijatelji s tarčami, jih pretentati v deljenje osebnih podatkov in namestitev spywara. Prek WhatsAppa so skušala na njihove...

19 komentarjev

Francija: Clearview krši GDPR

Slo-Tech - Tudi Francija je uradno ugotovila, da kontroverzno podjetje Clearview AI krši splošno uredbo o varstvu podatkov (GDPR). Clearview AI je z uporabo javno dostopnih fotografij posameznikov z interneta, ki so jih postrgali v svojo podatkovno bazo za trening lastnega orodja za prepoznavanje obrazov, kršil GDPR. Podjetje mora nemudoma prenehati obdelovati te podatke in jih v dveh mesecih tudi izbrisati.

Francoski informacijski pooblaščenec (CNIL) je preiskavo uradno začel lanskega maja, potem ko je dobil več pritožb in vprašanj. Med preiskavo so preverili situacijo tudi v drugih evropskih državah. Vsak informacijski pooblaščenec je bil odgovoren za kršitve na svojem ozemlju, ker Clearview AI nima pravne osebe v EU. V preiskavi je CNIL ugotovil, da je Clearview AI kršil šesti člen GDPR, ker je zbiral in obdeloval biometrične podatke (sem sodi tudi fotografija obraza) brez zakonske podlage, in še 12., 15. in 17. člen, ker posamezniki niso imeli ustreznih mehanizmov za dostop do lastnih...

10 komentarjev

Novi Zakon o varstvu osebnih podatkov korak bliže

Vir: Ministrstvo za pravosodje

Slo-Tech - Po javni razpravi, ki je potekala maja (svoje pripombe je podal tudi Informacijski pooblaščenec), in sledečem medresorskem usklajevanju je novi Zakon o varstvu osebnih podatkov (ZVOP-2) naposled priromal na vlado.

Gre za izjemno pomemben zakon, ki bo zamenjal že precej zastareli ZVOP-1 in na sistemski ravni uredil določbe Splošne uredbe o varstvu podatkov (GDPR), ki je bila sprejeta že leta 2016 in se polno uporablja že tri leta. Čeprav imajo uredbe avtomatično veljavnost v državah članicah, je prenos v nacionalni pravni red vseeno pomemben, saj ureja določbe, ki jih uredba ne. Tak primer so na primer pogoji za videonadzor in biometriko, kar GDPR izrecno prepušča državam članicam, drugi pa kazenski del, saj je brez predpisanih glob GDPR v Sloveniji trenutno brezzobi tiger. Predlog zakona ureja postopek pred zavezanci, pritožbeni postopek pri Informacijskem pooblaščencu, njegovo nadzorstveno funkcijo, opredeljuje prekrške, ki niso že v sami GDPR, in določa globe za kršenje GDPR in...

3 komentarji

Aplikacije prodajajo lokacijske podatke tretjim podjetjem

Slo-Tech - Aplikacija Life360, ki jo zlasti čez Lužo starši radi uporabljajo za sledenje svojim otrokom in ima že 33 milijonov uporabnikov, zbrane geolokacijske podatke množično prodaja, piše The Markup. Industrija zbiranja, preprodaje in obdelovanja agregiranih osebnih podatkov, ki jih zbirajo različne aplikacije, je močno razvita in vključuje na desetine podjetij. To ni nezakonito, ker uporabniki z uporabo aplikacij dajejo soglasje za to početje, česar mnogokrat sploh ne vedo.

Life360 je eden izmed vodilnih virov podatkov, ki se tako zbirajo. Izvršni direktor in ustanovitelj Chris Hulls pravi, da tega ne more potrditi, priznava pa, da so podatki pomemben del poslovnega modela. Velik obseg teh podatkov pa potrjujejo nekdanji zaposleni v Life360 in inženirji iz X-Moda, ki je eno izmed podjetij za zbiranje teh podatkov. Eden izmed inženirjev iz Cuebiqa, ki prav tako zbira in prodaja podatke, je dodal, da brez Life360 sploh ne bi mogli obstajati. Life360 sicer podatke prodaja še več drugim...

12 komentarjev

Twitter prepovedal objavo fotografij posameznikov brez njihovega dovoljenja

Slo-Tech - Twitter je danes posodobil pravile uporabe in po novem prepoveduje objavljanje fotografij ali videoposnetkov oseb brez njihovega dovoljenja. Že doslej je bilo prepovedano razkrivanje osebnih podatkov, denimo naslova, zdravstvenih, finančnih in drugih informacij. Sedaj pa so prepovedane vsakršne grafične objave, na katerih je osebo možno identificirati. Seveda s podčrtnimi opombami.

S Twitterja seveda ne bodo čez noč izginile fotografije ljudi niti ne bo fizično onemogočeno nalaganje. Daje pa sprememba posamezniku možnost, da po objavi posnetka zahteva in doseže njegov umik, če se z objavo ne strinja. To velja za običajne ljudi, ki upravičeno pričakujejo visoko raven zasebnosti. Ta seveda ni absolutna, tako da objava fotografij množice z nogometne tekme, s protestov ali drugih javnih dogodkov ni problematična, ker tam posamezniki pač ne morejo pričakovati zasebnosti.

Javne osebnosti, denimo politiki, pa morajo trpeti hujše posege v zasebnost in bodo iz omejitev izvzeti. Enako...

6 komentarjev

Facebook policistom prepoveduje lažne profile

BBC - Facebook je ugotovil, da se policisti iz losangeleške policijske uprave prijavljajo na Facebook z lažnimi profili, da bi spremljali objave uporabnikov. Ker Facebookova pravila uporabe izrecno prepovedujejo ustvarjanje lažnih profilov, so policijski upravi (LAPD) sporočili, da naj preneha to početi. Roy Austin, ki je v Facebooku pomočnik glavnega pravnika za državljanske pravice, je v pismu zapisal, da to početje predpisujejo celo interni dokumenti v LAPD za "spletne preiskovalne dejavnosti".

Facebookova pravila uporabe res prepovedujejo uporabo lažnih imen, neresničnega rojstnega datum, uporabo več profilov, deljenje računov med več osebami, pretvarjanje in podobno. Drugo vprašanje pa seveda je, kako dobro Facebook te dejavnosti nadzoruje in blokira profile, ki smernice kršijo. V pismu so policiji zagrozili, da bodo onemogočili vse lažne račune, ki jih bodo našli, kar seveda ni nič drugače od obravnave ostalih akterjev.

Zgodba je seveda kompleksnejša. Neprofitna organizacija...

8 komentarjev

Meta ugaša prepoznavo obrazov na Facebooku

vir: Facebook
Facebook - Iz podjetja, ki-se-je-še-pred-tedni-imenovalo-Facebook, so sporočili, da se odrekajo funkciji prepoznave obraza pri označevanju oseb na fotografijah na največjem svetovnem družbenem omrežju. Toda odločitev glede tehnologije, ki je velikana pahnila v kar nekaj sodnih procesov, skriva še dosti nejasnosti.

Na začetku preteklega desetletja so pri Facebooku na svojem družbenem omrežju lansirali funkcijo, ki je skozi strojno prepoznavo obraza omogočala preprostejše označevanje (tag) oseb na fotografijah. Uporabnikom je samodejno predlagala, koga označiti, toda še zanimivejše so bile nekatere dodatne zmogljivosti; na primer opozarjanje, ko je kdo na omrežje naložil naše fotografije brez naše vednosti in pa označevanje oseb z namenom boljšega podajanja vsebin fotografij slepim in slabovidnim uporabnikom. Kdor se zdaj praska po glavi, da se takšne funkcije ne spomni, ni pozabljiv, kajti v Evropi je imela precej omejeno rabo. Že leta 2011 so v Nemčiji proti Facebooku sprožili postopek za...

11 komentarjev

Ukradli osebne podatke vseh Argentincev

Slo-Tech - V vdoru, ki se je minuli mesec primeril argentinski državni upravi, so neznani storilci ukradli osebne podatke vseh prebivalcev države. Podatkovna baza se na temnem spletu (darknet) že prodaja.

Hekerji so septembra vdrli v RENAPER (Registro Nacional de las Personas), torej v centralni register prebivalstva. RENAPER je del ministrstva za notranje zadeve in med drugim skrbi za izdajo osebnih izkaznic, hkrati pa v digitalni obliki hrani osebne podatke vseh prebivalcev, da lahko do njih dostopijo tudi druge državne agencije. Argentina ima 45 milijonov prebivalcev in sedaj so razgaljeni vsi.

Da je nekaj hudo narobe, je postalo jasno v začetku meseca, ko je na Twitterju novi uporabnik @AnibalLeaks objavil posnetke osebnih izkaznic in osebne podatke 44 znanih Argentincev, med njimi predsednika, Lionela Messija in Sergia Aguera. Dan pozneje se je na temnem spletu znašel oglas, ki je prodajal osebne podatke kateregakoli Argentinca. Tri dni pozneje so oblasti potrdile, da se je vdor res...

11 komentarjev

Moskovska podzemna železnica uvedla plačevanje s prepoznavanjem obraza

Slo-Tech - Na moskovski podzemni železnici so zagnali sistem Face Pay, ki omogoča točno to, na kar nakazuje ime. Face Pay je sistem za plačevanje javnega prevoza, ki kot identifikacijo uporablja prepoznavanje obraza. Sistem, ki so ga v petek zagnali na več kot 240 postajah, je po besedah upravljavca prvi tovrstni javni sistem na svetu. V Moskvi so imeli že pred tem enega največjih videonadzornih sistemov na svetu.

Uporaba sistema Face Pay je prostovoljna. Ostali načini plačila ostajajo v veljavi. Kdor pa želi uporabljati Face Pay, mora prek aplikacije Moscow Metro naložiti svojo fotografijo in jo povezati s svojim profilom, ki vsebuje podatke o naročnini na javni prevoz in bančne podatke. Potem je plačevanje preprosto - na vrtljivem križu za vstop na podzemno železnice zgolj pogleda v kamero, pa ga bo sistem prepoznal. Medtem ko upravljavec sistem trdi, da so podatki zavarovani in šifrirani, so skupine za zaščito zasebnosti zaskrbljene, da bo sistem spodkopaval zasebnost in človekove pravice.

28 komentarjev

Deepfake se v glavnem zlorablja v pornografiji

Eden izmed prvih deepfakov, kjer so v prizore iz filmov vstavili Nicholasa Cagea

Slo-Tech - Odkar je pred nekaj leti tehnologija deepfake, ki omogoča vstavljanje obrazov v videoposnetke, napredovala dovolj, da je primerna za slehernika, se je zgolj potrdilo pravilo 34. Resda obstajajo aplikacije, ki nas vstavijo v znamenite prizore iz slavnih filmov - tak primer je na primer Zao - a po ocenah Sensity AI se v 90-95 odstotkih primerov deepfake uporablja za izdelavo nesporazumnih pornografskih posnetkov. Z drugimi besedami, obraz žrtve z večjo ali manjšo natančnostjo in prepričljivostjo vstavijo v pornografske videe. Posledice so lahko zelo resne.

Tehnologija je napredovala do stopnje, ko je postala uporaba podobno preprosta kot pri pralnem stroju. Kot piše MIT Technology Review, so pred kratkim odkrili spletno storitev, ki deluje na klik. Zadostuje, da naložimo fotografijo poljubne osebe, pa storitev sama izvede vse potrebno in osebo prepričljivo umesti v predpripravljene pornografske posnetke. Storitev, katere imena ne razkrivajo, ima za zdaj še zelo malo uporabnikov, a...

148 komentarjev

Losangeleška policija zbira podatke o profilih na družbenih omrežjih o vsakem, ki je v postopku

Slo-Tech - Losangeleška policija je v standardni postopek, ki ga izvede pri razgovorih z državljani (field interview), ne le pridržanih ali osumljenih kaznivih dejanj, dodala poizvedovanje o računih na družbenih omrežjih. Brennan Center for Justice pri pravni fakulteti newyorške univerze je pridobil obrazce (field interview cards), ki jih v tem primeru izpolni policist. Tam je po novem tudi polje, kamor policist vpiše podatke o vzdevkih oziroma imenih na družbenih omrežjih. Na to je direktor policije v Los Angelesu Michel Moore v okrožnici še posebej opozoril policiste in poudaril, da bodo preverjali, ali so izpolnjeni obrazci popolni. Druge policijske uprave tega še ne počnejo, so ugotovili v Brennan Centru.

Novost v Los Angelesu velja že od leta 2015, ko so na obrazec prvikrat dodali polje za družbena omrežja. Tedaj novost ni dvignila veliko prahu, ker jo je malokdo opazil. A policija se je že tedaj zavedala, da so ti podatki zelo koristni tudi pri spletnem nadzoru nad posamezniki, kjer...

9 komentarjev

WhatsApp resda šifrira sporočila, toda ...

Slo-Tech - WhatsApp, ki je v lasti Facebooka, se rad pohvali, da uporablja šifriranje sporočil od pošiljatelja do prejemnika (end-to-end encryption), kar da preprečuje prestrezanje sporočil in tudi podjetju onemogoča prisluškovanje ali izročanje podatkov. To je postala tržna prednost, ki jo Facebook rad poudarja. A resnica je nekoliko bolj zapletena. Šifriranje obstaja in je korektno izpeljano, a obstojijo tudi drugi načini in razlogi, zakaj vse poslano ni nujno anonimno. Vsaka komunikacija pač vključuje najmanj dve osebi.

Za Facebook dela več kot 1000 ljudi, večinoma pogodbenih sodelavcev, ki preverjajo sumljiva sporočila. WhatsApp nima moderacije vsebine v klasičnem smislu, temveč imajo nadzorniki tri funkcije: blokada računa, označitev računa kot vrednega nadzora in ignoriranje sporočila. Od kod tem ljudem vsebina sporočil prek WhatsAppa, na podlagi katerih sprejemajo te odločitve?

Vsak uporabnika WhatsApp lahko vsako sporočilo označi kot potencialno neprimerno. V takem primeru se...

33 komentarjev

ProtonMail lahko deli vaš IP s švicarskimi oblastmi

Slo-Tech - Znani ponudnik elektronske pošte ProtonMail se predstavlja kot izrazito k zasebnosti usmerjeno podjetje, ki storitve nudi ljudem, ki želijo prikriti svojo identiteto. ProtonMail uporabljajo tudi številni oporečniki, aktivisti, novinarji in drugi, ki želijo in potrebujejo anonimno komunikacijo za svoje delo ali celo varnost. A ProtonMail je storitev podjetja Proton Technologies AG, ki deluje v Švici pod švicarskimi zakoni - ki so v resnici zelo radodarni, ko gre za prisluškovanje (stran 23). Najnovejša zgodba kaže, kako je Francija brez večjih težav prišla do IP-naslova uporabnika ProtonMailovega elektronskega predala, saj ji je na pomoč priskočila Švica.

Francoske oblasti so želele izvedeti podatke o uporabniku ProtonMaila, ki je deloval kot aktivist v boju zoper gentrifikacijo Pariza. Aktivisti so med drugim zasedli prostore, ki jih je najela restavracija Le Petit Cambodge in pod tem elektronskim naslovom objavljali članke. Francoska policija je želela odkriti identiteto, a so iz...

170 komentarjev

Irska oglobila WhatsApp za 225 milijonov evrov

vir: Ars Technica
Slo-Tech - Irski regulator DPC je WhatsAppu naložil globo v višini 225 milijonov evrov zaradi kršenja določil evropske uredbe GDPR. Podjetje se bo na ukrep pritožilo.

Kakor hitro je maja leta 2018 v veljavo stopila splošna uredba EU o varstvu osebnih podatkov (GDPR), se je začel vršiti odločnejši pritisk na tehnološke velikane glede tega, kako upravljajo z osebnimi podatki evropskih državljanov. Pred dvema letoma je irska agencija za zaščito podatkov DPC (Data Protection Comission) pričela na tej podlagi preiskovati, koliko podatkov s svojim krovnim podjetjem Facebook deli podružnica WhatsApp. Ni skrivnost, da skuša korporacija iz povezovanja informacij svojih osrednjih treh aplikacij - Facebooka, Instagrama in WhatsAppa - po ovinkih izstisniti čimveč uporabnega, kar bi bilo mogoče dalje prodati oglaševalcem ali uporabiti kot vzvod v poslih.

Irci so se hitro zedinili, da jim ni všeč, kako nedoločno WhatsApp pošilja podatke lastnikom - to se pravi, da v pogojih uporabe ne razloži dovolj,...

0 komentarjev

Bo Apple res skeniral iPhone za otroško pornografijo?

Financial Times -
Apple naj bi v naslednjih dneh na pametne telefone ameriških uporabnikov namestil posebno orodje neuralMatch, ki bo s pomočjo nevralne primerjave pregledalo uporabnikove fotografije in poiskale tiste, povezane z otroško pornografijo. Novico je objavil Financial Times (vir je plačljiv, alternativa) in se pri tem skliceval na izjavi dveh znanstvenikov, ki jim je Apple projekt predstavil pred dnevi. Iz podjetja informacije doslej še niso potrdili.

Orodje naj bi se pri iskanju zanašalo na zgoščeni zapis fotografij CSAM, ki jih bo primerjalo s spornimi fotografijami v Applovih arhivih in o morebitnih spornih najdbah obvestilo človeške nadzornike. Kolikor je trenutno znanega o zadevi, pa naj bi primerjanje potekalo le po nešifriranih fotografijah, ki jih uporabniki shranijo v iCloud, vse druge naj bi vsaj v začetni fazi pustili pri miru.

Novico je prvi objavil Matthew Green, profesor pri John Hopkins Information Security Institute, ki sicer profesionalno spremlja Applove pristope do...

233 komentarjev

Francoski obveščevalci potrdili obstoj Pegasusa na telefonih novinarjev

vir: ZDNet
Slo-Tech - Slab mesec po izbruhu afere Pegasus, ko je mednarodni konzorcij preiskovalnih novinarjev razkril, da je izraelsko podjetje NSO Group prodajalo orodje za prisluškovanje prek pametnih telefonov več državam, med njimi tudi Madžarski, ki so ga potem uporabljale proti novinarjem, oporečnikom, aktivistom, akademikom in drugim kritičnim posameznikov, smo dobili neodvisno potrditev navedb.

Francoski obveščevalci so potrdili, da so programsko opremo Pegasus odkrili na telefonih treh novinarjev, med njimi tudi višjega predstavnika televizijske postaje France 24. Prav tako je bil okužen telefon Lénaïg Bredoux, ki dela za Mediapart, in direktorja strani Edwya Plenela. V prvotnem razkritju je bil seznam 50.000 številk, ki naj bi jim prek Pegasusa prisluškovali po celotnem svetu, med katerimi je po besedah Forbidden Stories, ki so zgodbo razkrili, vsaj 180 novinarjev.

Agencija za informacijsko varnost (Anssi) je po odkritju dokazov za obstoj Pegasusa na telefonih informacije in dokaze predala...

59 komentarjev

EU z rekordno kaznijo nad Amazon zaradi kršitev GDPR

vir: Maxpixel

vir: Reuters
Reuters - Luksemburški informacijski regulator National Commission for Data Protection (CNPD) je Amazonu izrekel kazen v višini 746 milijonov evrov zaradi kršitev pri upravljanju osebnih podatkov in kršitev splošne uredbe EU o varstvu osebnih podatkov (GDPR). Luksemburg je sicer primarno pristojen za postopke zoper Amazon, saj ima podjetje tam svoj evropski sedež. Iz Amazona pa so že sporočili, da se bodo na odločbo pritožili, saj po njihovem mnenju ne temelji na dejstvih. Poudarili so, da je vzdrževanje zasebnosti podatkov njihovih uporabnikov njihova najvišja prioriteta.

CNPD je kazen izrekel že 16 julija, vendar je Amazon to razkril šele minuli petek v poročilu SEC, ameriškemu regulatorju za trg vrednostnih papirjev. Kaj natanko je podjetje napravilo narobe ni znano, njihovi predstavniki so zatrdili, da ni prišlo do nobenega odtekanja podatkov, niti ti niso bili posredovani nobeni tretji osebi. Jim je pa CNPD v odločbi naložil revizijo določenih, a neimenovanih poslovnih procesov.

CNPD...

15 komentarjev

Več držav z izraelskimi orodji vohunilo za novinarji in aktivisti

Madžarska novinarja Szabolcs Panyi in Andras Szabo

Slo-Tech - Več kot 80 preiskovalnih novinarjev iz 17 držav, ki jih je koordiniral Forbidden Stories, je danes razkrilo izsledke obsežne preiskave, v kateri so odkrili dokaze o vohunjenju več držav zoper lastne državljane, ki so jih označile kot nevarne: novinarje in aktiviste. Uporabljali so orodje izraelskega podjetja NSO Group, ki ga podjetje oglašuje za uporabo v boju zoper kriminalce. Toda več kot deset držav, med njimi tudi članica Evropske unije, ga je usmerilo zoper nezaželene faktorje, kot so novinarji, akademiki, verski voditelji, zagovorniki človekovih pravic in aktivisti. Možno je, da so orodje, ki se imenuje Pegasus, uporabljali tudi zoper tuje diplomate, uradnike in vodje držav, kar predstavlja mednarodno vohunjenje.

Preiskovalni novinarji so pridobili seznam 50.000 telefonskih številk, ki so bile domnevno zanimive za vlade in so jim prisluškovali. Amnesty International je analizirala 67 telefonov, ki so pripadali telefonskih številkam s seznama, in ugotovili, da jih je bilo 23...

17 komentarjev

Z novim letom dobimo biometrične osebne izkaznice

vir: Pxfuel

Slo-Tech - Ministra za notranje zadeve in javno upravo, Aleš Hojs in Boštjan Koritnik ter generalna direktorica Zavoda za zdravstveno zavarovanje Slovenije (ZZZS) Tatjana Mlakar so podpisali sporazum o sodelovanju na področju naročanja, izdelave in personalizacije osebnih izkaznic, ki bodo obenem tudi identifikacijsko sredstvo v sistemu našega zdravstvenega zavarovanja.

Povedano drugače, dobili bomo eno samo kartico, ki bo poslej imela tudi čip. Na njem bodo shranjeni naši biometrični podatki, torej slika in dva prstna odtisa, ki jih bodo državljanom vzeli po 12. letu in bodo namenjeni zgolj prehajanju državnih meja. Biometrični podatki bodo shranjeni samo na kartici, iz drugih evidenc se bodo izbrisali po vročitvi oziroma 90 dni od datuma izdaje osebne izkaznice. Na čipu bosta tudi dve stopnji elektronske identifikacije, visoka, na ravni digitalnega potrdila, ki bo kartico povzdignila tudi v nacionalni dokument za čezmejno elektronsko poslovanje in nizka, kot jo že poznamo pri uporabi...

255 komentarjev

Na Kitajskem bodo s prepoznavanjem obrazov mladoletnim omejevali igranje iger ponoči

Slo-Tech - Zaradi težav z zasvojenostjo kitajskih mladostnikov z računalniškimi igrami in igrami na telefonu, je kitajski gigant Tencent zagnal sistem Midnight Patrol, ki na kontroverzen način mladoletnim onemogoča igranje iger med 22. in 8. uro. Tudi podnevi je igranje omejeno na 90 minut dnevno, za praznike pa tri ure dnevno. Že sedaj je obvezna prijava z resničnim imenom, kar preverjajo ponudniki dostopa do interneta, ki brez tega internetnega dostopa ne smejo dodeliti. Formalno te prepovedi obstajajo že od leta 2019, a jih je bilo težko v praksi izvajati, zato bodo sedaj poizkusili biometrično. Midnight Petrol bo prepoznaval obraze in to reševal, obljubljajo.

Mladostniki so se namreč doslej znašli tako, da so uporabili prijavne podatke svojih skrbnikov ali drugih polnoletnih oseb, s čimer so se izognili vsem omejitvam. Odslej bo to težje, saj bo novi sistem deloval s prepoznavanjem obraza uporabnikov, kar bo teže pretentati kot gesla. Tencent tehnologijo preizkuša od aprila in je na...

90 komentarjev

Audacity se je potihem prelevil v spyware

vir: Flickr

vir: AppleInsider
AppleInsider - Audacity, eden najbolj priljubljenih odprtokodnih programov za ustvarjanje glasbe, se je očitno podal na čudna pota. Potem ko ga je v mesecu maju prevzela družba Muse Group, so se 2. julija spremenile njihove določbe o politiki zasebnosti in to v smeri ekscesnega zbiranja podatkov o uporabnikih. Multinacionalka Muse Group ruskih korenin sicer upravlja tudi z drugimi znanimi glasbenimi aplikacijami, kot so Ultimate Guitar, MuseScore in Tonebridge.

Audacity je program, ki ga je treba namestiti v sistem, torej sam po sebi nima potrebe po nenehnem pošiljanju podatkov v bazo in nazaj, kljub temu pa so se novi lastniki odločili drugače. Program tako sedaj zbira podatke o operacijskem sistemu in njegovi različici, vrsti procesorja, državi uporabnika glede na IP številko ter podatke o napakah in zrušitvah. Pravilnik govori tudi o zbiranju podatkov za potrebe organov pregona, a ob tem ne pove, za katere podatke konkretno gre. IP številke uporabnikov hranijo najprej en dan v obliki,...

33 komentarjev

Google prestavil lansiranje FLoC

sistem FLoC

vir: Google
Google - Googlov poskus korenite reforme načina sledenja uporabniku v Chromu zavoljo oglaševanja, s katero bi uvedel lastno različico sledenja - FLoC, se je zamaknil za leto in pol, v sredino leta 2023. Odziv na zamisel je bil pretežno negativen, zato morajo proces uvedbe skrbneje preučiti in izpeljati, pravijo.

Januarja lani so pri Googlu napovedali, da nameravajo v roku dveh let iz brskalnika Chrome odstraniti vse sledilne piškotke tretjih strank. Ideja sicer v načelu sledi splošnemu gibanju na področju spletnih brskalnikov, ki v zadnjem času množično obračajo hrbet oglaševalskim piškotkom, oziroma uporabnikom omogočajo natančnejši nadzor nad njimi. Toda ker je Google vendarle eden največjih oglaševalcev na svetu, je ob novici marsikdo zastrigel z ušesi. Seveda se v velikanu niso odločili na mah zavreči največjega dela svoje denarne pogače, temveč želijo "tuje" piškotke nadomestiti z novo platformo, imenovano Privacy Sandbox in zasnovano na sistemu, imenovanem Federated Learning of...

6 komentarjev

Kdo je uporabnikom v Massachusettsu namestil aplikacijo za sledenje stikom?

vir: Flickr

Slo-Tech - Ameriška zvezna država Massachusetts je pred natanko tednom dni splovila lastno aplikacijo MassNotify za sledenje stikom in preprečevanje okužb s COVID-19. Razen, da so se projekta lotili nekoliko pozno, to ne bi bilo nič čudnega, če se ne bi v naslednjih dneh pojavile številne pritožbe uporabnikov, da je bila aplikacija na njihove naprave naložena samodejno, na daljavo.

MassNotify uporablja že znani sistem Exposure Notifications Express, ki sta ga razvila Google in Apple in ki prek vmesnika Bluetooth nadzira naše stike ter nas opozori, če smo bili v bližini okužene osebe. Gre za API vmesnik, nekakšen programski template, ki državam omogoča preprost razvoj lastnih aplikacij za te potrebe. Upravni organ države, običajno zdravstveno ministrstvo, obema podjetjema posreduje konfiguracijsko datoteko, v kateri je opredeljen želen način proženja opozoril in kaj se zgodi po njih, pa tudi vse logotipe in potrebna besedila, v zameno pa dobijo svojo aplikacijo. Na platformi Android se taka...

19 komentarjev

Zdravstvene in fitnes aplikacije s Play Stora trgujejo s podatki

vir: Flickr

vir: BMJ
BMJ - Študija, ki so izvedli na avstralski Macquarie University in objavili v British Medical Journalu je ugotovila, da skoraj devet od desetih mobilnih aplikacij, ki se v širšem smislu ukvarjajo z zdravjem, tako ali drugače zbira podatke o uporabnikih. Pri tem so preizkusili 23.000 aplikacij Googlovega Play Stora, med katerimi so bili števci korakov in kalorij, menstrualni koledarčki, fitnes aplikacije ter tiste za preverjanje simptomov in podobne.
88 odstotkov aplikacij je uporabljalo neko vrsto programske kode, ki je omogočala identifikacijo in spremljanje uporabnika, nekatere so to izvajale tudi prek več platform. Približno dve tretjini se je v ta namen posluževalo piškotkov, tretjina jih je poznala uporabnikov email naslov, četrtina pa je prek povezav na bazne postaje zbirala lokacijske podatke o gibanju uporabnika. 23 odstotkov aplikacij o zbiranju podatkov ni vnaprej obvestilo uporabnikov, kar je v nasprotju s splošnimi pravili Play Stora.

Štiri odstotke aplikacij je zbrane...

33 komentarjev

Sodišče EU: države članice smejo same preganjati kršitve GDPR

vir: Flickr

vir: Reuters
Reuters - Sodišče Evropske unije je v današnji razsodbi odločilo, da lahko nacionalni varuhi osebnih podatkov ukrepajo proti velikim spletnim podjetjem, čeprav to doslej ni bilo v njihovi neposredni pristojnosti, pač pa v pristojnosti regulatorja, v čigar državi je sporno podjetje imelo svoj evropski sedež. Za Google, Facebook in Apple in Twitter je to denimo irska, tamkajšnji pooblaščenec pa je do grla zaseden s preiskavami, povezanimi s Splošno uredbo o varstvu osebnih podatkov (GDPR). Uredba je sicer predvidela ta "one-stop-shop" mehanizem, da bi podjetjem, ki poslujejo v večih članicah, omogočila reševanje konkretnega spora z enim samim regulatorjem.

Tožbo na Sodišču EU je sprožila Belgija, tamkajšnji varuh osebnih podatkov je namreč zaman terjal, da Facebook preneha spremljati njihove državljane, tudi tiste, ki niso uporabniki njihovega omrežja, prek sledilnika Pixel in piškotkov v njihovih vtičnikih, zato je prek sodišča skušal dobiti aktivno legitimacijo za pregon, kar je utemeljeval...

11 komentarjev

Novi podatki o Googlovem vztrajnem špijoniranju

vir: Flickr

Slo-Tech - Nekaj novih detajlov o Googlovem vztrajnem pritiskanju na zavoro, ko gre za našo zasebnost, je pricurljalo iz dokumentov (rezervni vir),pridobljenih med obravnavo tožbe ameriške zvezne države Arizone zoper Google. V slednji tamkajšnji tožilec podjetju očita, da je nezakonito spremljalo lokacijo uporabnikov platforme Android brez njihovega dovoljenja, tudi ko so bile funkcije za spremljanje lokacije v nastavitvah ročno izklopljene. Tožilec zatrjuje, da je Google v ozadju še vedno poganjal spremljanje lokacije, denimo za spremljanje vremena in za potrebe drugih aplikacij, vse to pa se je dogajalo kljub temu, da uporabnik na nivoju aplikacij take privolitve ni dal. Šele po bolj poglobljenem brskanju po nastavitvah Androida in izklapljanju takega spremljanja v sistemskih nastavitvah, je Google prenehal črpati lokacijske podatke. A zgolj po tej poti, kot bomo videli v nadaljevanju.

Iz dokumentov v prvi vrsti izhaja, kako si je vodstvo Googla in del inženirjev prizadevalo uporabnikom...

92 komentarjev

Amazon čez slabih deset dni požene storitev Sidewalk

vir: Amazon
Ars Technica - 8. junij je datum, ko bodo pri Amazonu v ZDA prižgali Sidewalk: sistem, ki bo del uporabnikove brezžične pasovne širine izkoristil za pomoč sosedom pri povezovanju njihovih naprav na omrežje. Pomenljivo je, da morajo uporabniki ročno izstopiti (opt-out), če tega ne želijo.

Ko so v Amazonu pred dvema letoma najavili lasten brezžični komunikacijski protokol Sidewalk, je bil še videti kot le eden od vzporednih podatkovnih kanalov za njihove informacijsko pogoltne naprave. Toda razvil se je v po eni plati zanimivo in po drugi strašljivo storitev: zamisel je, da uporabniki majhen del svoje brezžične pasovne širine nevidno in avtomatsko delijo s svojo okolico, z namenom krpati luknje v dosegu brezžičnih naprav. To se pravi: če pride v našem omrežju do motenj ali nam pes s pametno ovratnico zatava predaleč od hiše, se lahko zvočniki Echo, kamerice Ring in obeski Tile zasilno povežejo na katerokoli Amazonovo brezžično napravo, ki je del omrežja Sidewalk. Projekt je bil doslej v ZDA v...

22 komentarjev

Zaradi uporabe brezplačnih aplikacij vojaki razkrili jedrske skrivnosti

Slo-Tech - Vojaki, ki so si morali zapomniti protokole za rokovanje z jedrskim orožjem, so uporabljali aplikacije za izdelavo virtualnih učnih kartic (flashcard apps), ki so javno razkrile tajne informacije o jedrskem orožju. Preiskovalni portal Bellingcat je ugotovil, da so bile številne učne kartice, ki so si jih izdelali vojaki, javno dostopne. Na njih so bile dostopne informacije o protokolih za jedrsko orožje in nekatere lokacije v Evropi. Šest lokacij neuradno že poznamo, uradno pa jih niti ZDA niti nobena izmed gostiteljskih držav ne potrdi.

Na učnih karticah so tudi informacije, kateri bunkerji vsebujejo pripravljeno orožje (hot) in koliko jih je. Razkrili so tudi podatke o lokaciji nadzornih kamer, patruljiranju, identifikacijske podatke za vstop v baze, protokole za komuniciranje ogroženosti vojakov itd. Odkrili so kartice, ki so jih pripravili vojaki iz vseh šestih lokacij jedrskega orožja v Evropi (Kleine Grogel v Belgiji, Aviano in Ghedi v Italiji, Büchel v Nemčiji, Volkel na...

6 komentarjev

Evropske organizacije za varstvo zasebnosti s pritožbami zoper Clearview

vir: Pixabay

vir: TechCrunch
Slo-Tech - Več evropskih organizacij za zaščito zasebnosti in človekovih pravic na čelu s Privacy International je vložilo pritožbo zoper podjetje Clearview, ki je znano po razvoju sistema za prepoznavanje obrazov, ki zmore identificirati skoraj vsakogar. Njihova baza po lastnih navedbah obsega več kot tri milijarde fotografij oseb. Aplikacijo rade uporabljajo policije več držav, četudi nimajo ustrezne zakonske podlage. V pritožbi Informacijskemu pooblaščencu, ki je vložena v Avstriji, Franciji, Grčiji, Italiji in Veliki Britaniji, trdijo, da Clearview krši evropsko zakonodajo o varovanju zasebnosti.

Clearview uporablja orodja, ki prečesavajo javno dostopne fotografije in na njih iščejo obraze, s katerimi gradijo lastno podatkovno bazo. Orodje, ki jo izkorišča, potem prodajajo organom pregona po vsem svetu. Ali je to legalno početje, preiskuje več informacijskih pooblaščencev. Avstralija in Velika Britanija sta preiskavo začeli že lani, letos pa je Kanada ugotovila, da je tovrstno zbiranje...

11 komentarjev

ECHR: Velika Britanija kršila človekove pravice s širokim prestrezanjem telekomunikacij

vir: Sodbe ECHR
Sodbe ECHR - Evropsko sodišče za človekove pravice (ECHR) je danes v velikem senatu razsodilo, da je britanska tajna služba GCHQ s širokim prestrezanjem telekomunikacij kršila človekove pravice. Množično zbiranje podatkov je bilo nezakonito in v nasprotju s pravico do zasebnosti. Deljenje relevantnih zbranih podatkov s tujimi agencijami pa ni bilo nezakonito, so še odločili.

Odločitev pred velikim senatom je bila sklepna faza postopka, ki so ga leta 2013 začeli v neprofitni organizaciji Big Brother Watch. Skupaj s somišljeniki so po Snowdnovem odkritju o množičnem prisluškovanju vložili tožbo zoper državo. ECHR je večidel potrdilo odločitev na prvi stopnji iz leta 2018, s katero pa tožniki niso bili zadovoljni, zato se je primer preselil pred veliki senat.

Prestrezanje podatkov je bilo problematično zaradi treh napak. Prvič, odobrila ga je vlada in ne od izvršne oblasti neodvisno telo. Drugič, vnaprej ni bilo jasno določeno, katere ključne besede bodo odločilne za prestrezanje oziroma kako se...

10 komentarjev

OstaniZdrav - neposodobljena slovenska aplikacija za sledenje stikom (VI)

Minister za javno upravo Boštjan Koritnik.

Slo-Tech - Saga s počasnim posodabljanjem vladne aplikacije za sledenje stikov #OstaniZdrav se kot kaže nadaljuje. Medtem ko je nemški izvirnik (Corona-Warn-App oz. CWA) prilezel že do verzija 2 (različica 2.3 je tik pred izidom), naš prevod ostaja pri različici 1.10 iz meseca januarja. Zaostanka je torej že za skoraj 10 različic (1.11, 1.12, 1.13, 1.14, 1.15, 2.0, 2.1, 2.2, 2.3).

Nadgradnja bi sicer bila še kako dobrodošla, saj zadnje verzije vključujejo številne novosti. Ena glavnih je vsekakor možnost uporabe aplikacije za prikaz dokazila o testiranju oziroma cepljenju, kar pri nas npr. pogoj posedanje v notranjosti gostinskih lokalov, pri čemer pa nihče ne ve čisto, kako naj to na hiter, enostaven in zanesljiv način preverja. Prav tako je tu opcija organizacije sledenja stikov na javnih dogodkih oz. krajih po check-in modelu, s skeniranjem QR kod. Vsekakor zelo korisnto ob ponovnem dovoljevanju javnih dogodkov.

Pri vsem tem ni povsem jasno, zakaj se MJU tako zelo obira. Kot pravijo, naj...

88 komentarjev

Irski informacijski pooblaščenec bo odločil o Facebookovem iznosu podatkov iz EU v ZDA

vir: Pixabay

vir: New York Times
Slo-Tech - Irsko višje sodišče je zavrnilo vse Facebookove pritožbe zoper preliminarno odločitev irskega informacijskega pooblaščenca iz lanskega septembra. V njej je irski informacijski pooblaščenec nakazal, da utegne Facebooku prepovedati iznos osebnih podatkov iz EU v ZDA, kar bi drastično vplivalo na poslovni model in obratovanje podjetja. Facebook se je zato odzval s pritožbo, s katero je skušal doseči sodno odredbo o ustavitvi postopka.

Facebookove težave izvirajo iz razsodbe Sodišča EU, s katero je bila lani poleti odpravljena odločitev Evropske komisije, da je zaščita osebnih podatkov v ZDA primerljiva z evropsko. Že leta 2015 je sodišče razveljavilo dogovor o varnem pristanu med EU in ZDA, kar je potem Komisija rešila s sprejemom mnenja, da je v ZDA zaščita osebnih podatkov ustrezna. Ker sedaj to ne velja več, morajo podjetja sama dokazovati, da res odgovorno ravnajo s podatki. Facebook je to počel s standardnimi pogodbenimi pogoji (Standard Contractual Clauses), ki pa po mnenju...

4 komentarji

Nemčija: Facebook ne sme več obdelovati osebnih podatkov iz WhatsAppa

Slo-Tech - Nemški informacijski pooblaščenec Johannes Caspar je Facebooku odredil, da mora prenehati obdelovati podatke nemških uporabnikov svoje aplikacije WhatsApp. Privolitev k novim pogojem uporabe, ki jo od uporabnikov zahteva, ni v skladu z zakonom. Novi pogoji uporabe so namreč nepregledni, nekonsistentni in preveč široki, ko gre za zbiranje osebnih podatkov. Caspar je predlagal ukrepanje tudi ostalim informacijskim pooblaščencem v EU. Do rešitve problema pa je uporabil možnost iz GDPR in prepovedal obdelavo osebnih podatkov.

Novi pogoji uporabe bi morali začeti veljati 15. maja. Facebook je od uporabnik zahteval pristanek nanje, sicer ne bi mogli več pošiljati sporočil (lahko pa bi jih sprejemali). To se sedaj ne bo zgodilo. Novi pogoji uporabe širijo obseg podatkov, ki jih Facebook zbira in obdeluje tudi na lokacijske podatke, prenos komunikacijskih podatkov na tretja podjetja in navzkrižno preverjanje računa s podatki iz ostalih storitev pri Facebooku. Informacijski pooblaščenec...

4 komentarji

zVem marsikaj, vendar ničesar o 14. členu GDPR

Slo-Tech - Velike obdelave podatkov so zanimiva tema, saj se vedno znova postavlja vprašanje, ali jih znamo izvesti skladno z zahtevami Splošne uredbe o varstvu podatkov. Kot že nekajkrat, smo tokrat pod drobnogled spet vzeli obdelavo podatkov, katere namen je obvladovanje širjenja nalezljive bolezni COVID-19. V preteklih mesecih smo se bolj podrobno ukvarjali z aplikacijo, namenjeno sledenju tveganih stikov, danes bomo pa svojo pozornost usmerili v aplikacijo za naročilo na cepljenje.

Splošna uredba o varstvu podatkov velja že od maja 2018, torej slaba tri leta. Do danes smo jo že dobro spoznali, vzpostavljene je tudi že precej nadzorne prakse, saj je IP v svoji zbirki odločb objavil že več kot 2400 dokumentov.

Pa poglejmo, kako se svojih obveznosti po Splošni uredbi loteva NIJZ.

Javno zdravje je primarni namen, ki ga zasleduje NIJZ. V okoliščinah, v katerih smo se znašli v zadnjem času zaradi COVID-19, je odigral pomembno vlogo. V teh dneh, ko so po letu dni trajanja pandemije na voljo...

43 komentarjev

Avstralsko sodišče: Google je delno zavajal glede lokacijskih podatkov

vir: Pixabay

vir: theguardian.com
theguardian.com - Avstralsko zvezno sodišče je razsodilo, da je Google med januarjem 2017 in decembrom 2018 delno zavajal uporabnike glede zbiranja njihovih lokacijskih podatkov. V postopku, ki ga je sprožil tamkajšnji regulator za konkurenco in varstvo potrošnikov (Australian Competition and Consumer Commission), je sodišče ugotovilo, da je Google nadaljeval z zbiranjem takih podatkov, čeprav uporabniki v nastavitvah pod "Location History" s tem niso soglašali. V resnici bi morali zbiranje lokacijskih podatkov ugasniti še pod nastavitvijo "Web&App Activity", o čemer pa niso bili pravilno obveščeni.

Sodnik je kot rečeno ugotovil, da je šlo za delno zavajanje in kršenje potrošniške zakonodaje. Predstavniki ACCC so sodbo pozdravili, saj gre po njihovih besedah za prvo razsodbo na svetu, ki se tiče zbiranja lokacijskih podatkov in velikih spletnih podjetij. Prav tako gre za pomembno sporočilo digitalnim platformam, da so dolžne uporabnikom transparentno predstaviti, kaj se počne z njihovimi osebnimi...

8 komentarjev

EU predlaga ostre kazni za zlorabe umetne inteligence

vir: Pixabay

Bloomberg - Evropska komisija naj bi prihodnji teden predstavila zakonodajni paket, ki ureja uporabo umetne inteligence v uniji. Vsebino predloga so danes že objavili nekateri mediji in ta se nekoliko razlikuje od osnovnih smernic, predstavljenih v začetku leta. Tedaj je bila v ospredju uporaba AI na tveganih področjih, kot je denimo v energetskem in zdravstvenem sektorju. Ta pristop se je zdaj nekoliko spremenil, saj predlog omejitev ne veže več na določena področja, pač pa na splošno govori o tveganih načinih uporabe AI kjerkoli. Ti tvegani načini naj bi bili tisti, ki lahko povzročijo smrt ali poškodbe, poškodujejo premoženje, imajo sistematičen vpliv na družbo kot celoto, lahko vplivajo na delovanje nujnih storitev ali pa vplivajo na gmotne, izobrazbene in poklicne možnosti posameznikov ter končno, če negativno vplivajo na uveljavljanje temeljnih pravic in svoboščin, ki veljajo na ozemlju EU.

Še vedno pa bo omejitev prosta uporaba pri vojaških in oborožitvenih projektih.

Bo pa po...

15 komentarjev

Apple in Google blokirala posodobitev angleške proticovidne aplikacije za sledenje stikov

Škotska rešitev ni problematična

BBC - Zaradi neprimerne posodobitve angleške aplikacije za sledenje stikom sta Google in Apple onemogočila namestitev posodobitve, saj krši pravila uporabe. Aplikacija zbira in posreduje preveč podatkov, kar sta Google in Apple v pogojih uporabe že od samega začetka jasno prepovedala.

Aplikacije za sledenje stikom uporabljajo Bluetooth, ki pa je načeloma lahko aktiven le, dokler je v ospredju tista aplikacija, ki ga potrebuje. Da lahko aplikacije za sledenje stikov delujejo, uporabljajo poseben API, ki jim omogoča dostop do Bluetootha v ozadju - in samo odobrene aplikacije imajo to možnost. S tem pa seveda pristajajo na pravila igre, kot sta jih postavila Google in Apple.

Aplikacijo NHS Covid-19 uporabljajo v Angliji in Walesu. Z novo posodobitvijo bi uporabniki dobili možnost, da upravljavcu posredujejo podatke, kje so se nahajali, tik preden so imeli potrjeno okužbo z virusom. Gre za črtne kode, ki so nameščene na različnih lokacijah, ki jih uporabniki lahko poskenirajo. Če bi bili...

7 komentarjev

Schrems Googlu očita nezakonito sledenje uporabnikom

Slo-Tech - Aktivist Max Schrems, ki ga poznamo kot ustanovitelja skupine europe-v-facebook.org in ostrega kritika Facebookove politike glede uporabe osebnih podatkov, proti kateremu je vložil že več tožb, je v Franciji vložil pritožbo zoper Google. V njej trdi, da Google nezakonito sledi uporabnikom androidnih telefonov.

Ključna težava so unikatne oglaševalske kode, ki se generirajo za vsak telefon posebej in omogočajo Googlu spremljanje brskalnih navad uporabnikov, da lažje streže personalizirane oglase. Schremsova skupina Noyb trdi, da Google s tem, ko te kode ustvari brez soglasja uporabnika ter jih hrani, krši evropsko zakonodajo. Nujno bi bilo uporabnikovo privoljenje, trdijo. Zato od francoskega informacijskega pooblaščenca (CNIL) pričakujejo, da bo začel preiskavo Googlovih sledilnih praks. Pritožbo so vložili v Franciji zato, ker je CNIL dobro usposobljen za tovrstne postopke, ki vključujejo sklicevanje na direktivo ePrivacy.

Google se na pritožbo še ni uradno odzval. Pričakovati pa...

5 komentarjev

Signal pripravlja anonimne transakcije

Slo-Tech - Aplikacija za varno komuniciranje s klici in kratkimi sporočili Signal bo dobila novo funkcijo, ki se od dosedanjih precej razlikuje. Uvesti nameravajo varna plačila med uporabniki, ki jih nihče drug ne bi mogel spremljati. V ta namen bodo uporabili kriptovaluto MobileCoin, ki je precej tesno povezana z razvijalci Signala. Izvršni direktor Signala Moxie Marlinspike je namreč izdatno sodeloval pri izdaji MobileCoina leta 2017, saj je opravljal funkcijo tehničnega svetovalca - tule je njegova bela knjiga.

Medtem ko je anonimno komuniciranje sorazmerno dobro rešen problem, je s premetavanjem denarja drugače. Četudi namreč implementirajo popolnoma anonimni sistem in pri tem ne zagrešijo nobene napake, še vedno ostaja problem izhodnih točk. Kdor ne želi obtičati z valuto MobileCoin, ki je še vedno precej eksperimentalna in nestanovitna po vrednosti, jo mora nekako pretvoriti v dolarje ali evre.

Sama tehnologija za MobileCoinom je sicer videti trdna. Uporablja protokol CryptoNote in...

11 komentarjev

Irski informacijski pooblaščenec preverja (stari) vdor v Facebook

vir: BBC
BBC - V pobeglih podatkih Facebookovih uporabnikov, ki so jih hekerji minuli teden ponovno priobčili na spletu, je tudi okrog 110.000 telefonskih številk iz Slovenije. Facebook trdi, da gre za star vdor iz leta 2019, katerega vzrok so že odpravili. Tudi SI-CERT je s pregledom podatkov ugotovil, da so starejšega datuma. Vseeno pa je irski informacijski pooblaščenec začel preiskavo, v kateri želijo potrditi, da gre res za stari vdor.

Ker ima Facebook evropski sedež na Irskem, je prav tamkajšnji informacijski pooblaščenec ključen za nadzor nad tem velikanom. Tudi zaradi tega so še posebej previdni in bodo tudi to pot ponovno preverili, kaj se je zgodilo. Časovnica je pomembna tudi zato, ker se je stari vdor zgodil pred uveljavitvijo GDPR, morebitni novi pa bi imel bistveno resnejše posledice za podjetje.

Kljub temu pa velja poudariti, da je večina pobeglih podatkov sorazmerno nespremenljivih. Ime in priimek sta skupaj z rojstnimi podatki zagotovo takšna, tudi prebivališče, telefonske...

1 komentar

(Ponovno) objavljeni podatki o dobre pol milijarde uporabnikih Facebooka

vir: Flickr

vir: Business Insider
Business Insider - Gre za vnovično, tokrat brezplačno objavo baze Facebookovih uporabnikov, ki je bila ukradena že pred časom. Vsekakor primeren opomnik, kakšne količine podatkov o nas hranijo družbena omrežja in kako varnostno ranljivi so ti v njihovih bazah. Objavljene so podrobnosti o kar 533 milijonih uporabnikov, med katerimi so telefonske številke, uporabniška in prava imena in priimki, datumi rojstva, podatki o lokaciji, v določenih primerih pa tudi e-poštni naslovi. Skratka, kompleti primerni za zlorabe, kot je kraja identitete.

Predstavniki Facebooka so že potrdili, da gre za podatke, ki so bili zlorabljeni zaradi napake na njihovih strežnikih, ki se je primerila avgusta 2019. Napaka je botom dovoljevala zbiranje telefonskih številk uporabnikov in je bila kmalu zatem odpravljena. A podatki so ušli in zdaj nenadzorovano živijo lastno spletno življenje.

Zamaknjena objava je najverjetneje posledica dejstva, da so nepridipravi vse skupaj v vmesnem času skušali denarno unovčiti, zdaj pa so...

26 komentarjev

Google, vneti sesalnik naših osebnih podatkov

vir: Wikipedia
The Hacker News - To, da Google ve praktično vse o nas, smo se praktično vsi zavedali že ves čas. Te dni se je iztekel trimesečni prehodni rok, v katerem morajo ponudniki aplikacij na Applovi tržnici App Store objaviti tabelo s podrobnostmi o tem, katere podatke zbirajo o svojih uporabnikih in kako so ti podatki v nadaljevanju uporabljeni. Apple se, kot vemo, zadnje čase želi pozicionirati kot podjetje, ki stavi na varnost in zasebnost svojih uporabnikov, za razliko od večkratnih "kompromitirancev" tipa Google in Facebook.

Google je s svojimi podatki za tabele na App Storu čakal vse do zadnjega dne, zaradi česar njihove aplikacije ves ta čas niso doživele nobene nadgradnje. Takoj po objavi, pa so jih na Twitterju izzvali predstavniki DuckDuckGo, spletnega brskalnika, ki se orientira na zasebnost, češ, da je zdaj jasno, zakaj Google te podatke skriva in na koncu še zbodli: "Vohunjenja za uporabniki pač nima nič skupnega z razvojem vrhunskega brskalnika ali iskalnika."

Chrome tako zbira celo množico...

181 komentarjev

Švedska policija zalotena pri nezakoniti uporabi Clearview AI

vir: Pixabay

vir: TechCrunch
TechCrunch - Švedski pooblaščenec za varstvo osebnih podatkov je z 250.000 evri globe kaznoval domačo policijo, potem ko je v nasprotju z zakonodajo, ki ureja uporabo podatkov v kazenskem postopku, uporabljala zloglasno aplikacijo za prepoznavo obrazov Clearview. Del izrečene odločbe predstavlja tudi obvezno izobraževanje zaposlenih, s čimer bi se izognili podobnim incidentom v bodoče. Prav tako mora policija obvestiti vse posameznike, katerih podatki so bili posredovani ameriškemu podjetju, morebitne preostale podatke pa uničiti in poskrbeti, da bodo to storili tudi pri Clearviewju.

V preiskavi se je izkazalo, da so se policisti pri opravljanju svojih nalog pogosto poslužili te bližnjice, Clearview je namreč uporabljalo večje število oseb, brez da bi kaj takega kdo odobril. Kot je še zapisano v odločbi, je policija s tem nezakonito procesirala biometrične podatke za prepoznavo obrazov, ne da bi pred tem izdelala oceno vpliva na zaščito osebnih podatkov, kot to zahteva zakon. Izrečena kazen je...

17 komentarjev

Podatkovni nadzornik EU želi še strožje varovanje naših osebnih podatkov

vir: Reuters
Reuters - Urad Evropskega nadzornika za varstvo podatkov (EDPS) je v svojem mnenju podprl osnutka obeh novih uredb, popularno imenovanih DSA in DMA (Digital Services Act in Digital Markets Act). Ob tem pa celo svetoval, da unija vzpostavi še dodatne varnostne mehanizme, ki bi uporabnikom v bodoče zagotavljali še več zasebnosti. Slednje bi lahko pomenilo zeleno luč poslancem, da tekom zakonodajnega postopka še dodatno zaostrijo posamezne načrtovane varovalke.

Urad, ki ga vodi Wojciech Wiewiórowski, je glede DMA zapisal, da gre za predpis, ki bo zagotavljal pošten in odprt digitalni trg ter prav tako upravljanje uporabniških podatkov. Spletna podjetja pa bi morala najti preprost in dostopen način, s katerim bi uporabniki lahko izrazili svoje strinjanje oz. nestrinjanje z uporabo njihovih osebnih podatkov. Prav tako bi morali biti na voljo preizkusi, ki bi v praksi pokazali dejansko anonimnost takih podatkov. Ko gre za DSA, pa EDPS precej ostro meni, da bi moralo biti profiliranje uporabnikov...

15 komentarjev

Vlada hoče vedeti, kdo nosi hlače v vaši družini

Osebni dokument je relikt socializma in komunizma

vir: Državni zbor RS
Slo-Tech - Vladna koalicija se je očitno odločila, da je čas, da malo bolje spozna prebivalce te naše lepe države. V ta namen predlaga, da se ponovno uvede zbiranje podatkov o našem državljanstvu, narodnosti, zakonskem stanu ter gospodinjstvu, dodatno pa še podatka o našem maternem jeziku in veroizpovedi. Če bo njihov predlog sprejet, kar se utegne zgoditi zelo hitro, bodo namreč vsi ti podatki postali sestavina obrazca za prijavo spremembe stalnega oziroma začasnega prebivališča. Očitno vlada ugotavlja, da se prebivalstvo zaradi koronavirua trenutno množično seli in bi radi te selitve izkoristili še za zaplembo nekaj občultjivih osebnih podatkov.

Obveznost predložitve teh podatkov so seveda predlagali povsem potihoma ("inkognito"), med obravnavo sicer rutinske novele Zakona o prijavi prebivališča pred Odborom za notranje zadeve Državnega zbora. Izkoristili so dejstvo, da se novela, katere edini namen naj bi bil olajšati odkrivanje in sankcioniranje "fiktivnih prijav prebivališča" (povsem...

238 komentarjev

Facebook bo izbrisal neresnične navedbe o cepivih

Slo-Tech - Facebook je sporočil, da bo še zaostril svojo politiko zoper škodljive objave na platformi, ki je bila še pred enim letom izjemno medla. Brisati nameravajo objave, ki vsebujejo neresnične trditve o cepivih, denimo o večkrat ovrženi teoriji, da cepiva povzročajo avtizem, in da je varneje dobiti covid kakor se cepiti proti njemu.

Izvršni direktor Mark Zuckerberg je kot velik zagovornik svobode govora dolgo vztrajal, da na Facebooku razen zakonsko prepovedanih objav in objav, ki vodijo do neposredne nevarnosti za telo, omejitev skorajda ne bo. A v letu 2020 je Facebook začel intenzivneje patruljirati po platformi. Oktobra so onemogočili nakup oglasov, ki so promovirali neresnice in zavajanja o cepivih. Decembra so dodali, da bodo odstranili objave s trditvami, ki so v nasprotju s podatki Svetovne zdravstvene organizacije (WHO) ali pristojnih državnih agencij. Po januarskem napadu na kapitol, je tedanjega ameriškega predsednika odstranil s platforme.

Z novo politiko bodo prizadete...

176 komentarjev

Amazon: v zadnjem polletju devetkrat več zahtevkov za izročitev osebnih podatkov

Slo-Tech - Amazon je izdal polletno poročilo o zahtevkih za dostop do informacij o uporabnikih, ki jih je prejel v minulem polletju. Podatke načeloma razkrivajo le, ko organi v ZDA ali drugih državah predstavijo zakonito sodno odredbo ali nalog (search warrant), medtem ko na pozive (subpoena) ne izdajajo vsebinskih podatkov, temveč osebne in prometne. V minulem polletju so 42 odstotkov vseh zahtevkov vložile nemške oblasti, sledijo pa španske (19 odstotkov), italijanske in ameriške (oboje po 11 odstotkov), britanske (4 odstotke) in francoske (tri odstotke), če ne upoštevamo AWS. Pri tej storitvi pa je kar 75 odstotkov zahtevkov izviralo iz ZDA.

Amazon deli zahtevke na vsebinske in nevsebinske. V prvem primeru se razkriva vsebina, ki jo ima uporabnik shranjeno na Amazonovih strežnikih, medtem ko v drugem primeru Amazon posreduje le prometne in identifikacijske podatke (imena, naslovi, datumi, zgodovina uporabe, nakupi). Kar 99,8 odstotka zahtevkov je bilo po nevsebinskih podatkih (oziroma 97...

5 komentarjev

Ali GDPR velja za begunce?

Datumi rojstva na internetih niso problem, dokler gre za begunce.

Slo-Tech - Vse dosedaj smo mislili, da so določila GDPR "all inclusive" - da pravica do varstva osebnih podatkov pripada vsakemu posamezniku, ne glede na njegovo državljanstvo (ali pomanjkanje tega). Tak vtis vsaj daje branje uvodnih stavkov uredbe, kjer denimo piše, da bi »načela in pravila o varstvu posameznikov pri obdelavi njihovih osebnih podatkov morala ne glede na njihovo državljanstvo ali prebivališče zagotavljati spoštovanje temeljnih pravic in svoboščin posameznikov« in da naj bi se »varstvo, zagotovljeno s to uredbo, moralo uporabiti za obdelavo osebnih podatkov posameznikov, ne glede na njihovo državljanstvo ali prebivališče«.

Zato smo bili toliko bolj presenečeni nad praksami nekaterih državnih organov, ki očitno mislijo, da beguncem ta pravica ne pripada, tako da lahko nadaljujejo z masovnim objavljanjem njihovih osebnih podatkov na oglasni deski e-uprave.

Spomnimo: v nedavnem nizu člankov smo večkrat opozorili na zanimive prakse nekaterih državnih organov, ki so se v primeru...

118 komentarjev

Grindr z navišjo globo po GDPR

The New York Times - Norveški informacijski pooblaščenec je izrekel eno najvišjih glob za zlorabo osebnih podatkov. Upravljavec aplikacije Grindr je bil oglobljen v višini 10 odstotkov letnega prometa na svetovni ravni, ker je nezakonito delil osebne podatke uporabnikov z oglaševalci. Globa v višini 100 milijonov norveških kron (9,6 milijona evrov) je najvišja možna po GDPR, ker je posredoval posebno občutljive osebne podatke.

Grindr je aplikacija za zmenkarije, ki jo uporabljajo geji. To pomeni, da se pri vsakem posredovanju katerikoli osebnih podatkov avtomatično pozna tudi spolna usmerjenost uporabnika, ker je eden izmed tako imenovanih občutljivih osebnih podatkov, ki morajo biti še posebej varovani. Upravljavec aplikacije se je zagovarjal, da to ne drži, saj da so nekateri uporabniki tudi heteroseksualno usmerjeni. Informacijski pooblaščenec je argument zavrnil z utemeljitvijo, da se aplikacija oglašuje kot namenjena ekskluzivno gejevski in biseksualni skupnosti. Ker je v nekaterih državah...

11 komentarjev

Pri WhatsAppu bodo s sporno posodobitvijo tri mesece počakali

vir: The Verge
The Verge - Po tem, ko so pri WhatsAppu ljudi v začetku tega meseca razburili z novimi pogoji uporabe, po katerih naj bi s Facebookom delili več osebnih podatkov kot doslej, so se v podjetju odločili, da sporno posodobitev zamaknejo na sredino maja, vmes pa bolje razložijo, za kaj v resnici gre.

V prvih januarskih dneh je uporabnike ene od najbolj razširjenih aplikacij za sporočanje na svetu, WhatsAppa, pričakalo neprijetno sporočilo. Podružnica Facebooka je namreč stranke obvestila, da z 8. februarjem nastopijo novi pogoji uporabe, ki da na novo določajo deljenje njihovih osebnih podatkov s Facebookom; če se uporabniki s postavkami ne strinjajo, naj aplikacijo odstranijo in gredo drugam. Med ljudmi je seveda završalo in kmalu zatem sta konkurenčna sporočilna programa Telegram in Signal zabeležila precejšen skok uporabnikov. To je dovolj zmotilo WhatsApp, da so tam pohiteli z razlago, da gre zgolj za nerodno sporočilo z njihove strani in da se v resnici ne bo dosti spremenilo: aplikacijo da...

17 komentarjev

Po GDPR izrečenih za več kot 150 milijonov evrov glob

Slo-Tech - V mednarodni odvetniški družbi DLA Piper so pripravili poročilo o zabeleženih kršitvah zasebnostne uredbe GDPR in izrečenih globah v minulih treh letih, ki kaže na povečevanje števila prijavljenih kršitev in obsegom izrečenih glob. V letu 2020 se je število prijav povečalo za 19 odstotkov, in sicer na 331 dnevno v celotni EU. Od maja 2018, ko je začela direktiva veljati, pa so skupno zabeležili 281.000 kršitev. Skupno je bilo izrečenih za več kot 150 milijonov evrov glob.

Številke med državami so zelo različne, saj niso odvisne le od velikosti države, temveč tudi kulturnega in pravnega okolja. V Nemčiji so na primer preiskovali 77.747 kršitev, v Italiji pa zgolj 3460. V Sloveniji je bilo prijavljenih 3528 kršitev. Merjeno na število prebivalcev je Slovenija z 80 prijavami na 100.000 prebivalcev na visokem četrtem mestu, takoj za Dansko, Nizozemsko in Irsko. Tega ne gre interpretirati, kot da je v teh državah največ kršitev, temveč da so tudi najbolj aktivne in osveščene pri...

14 komentarjev

Nemško podjetje oglobljeno z 10 milijoni evrov zaradi videonadzora zaposlenih

Slo-Tech - Nemški informacijski pooblaščenec v Spodnji Saški je podjetje notebooksbilliger.de oglobil z 10,4 milijoni evrov kazni, ker je zadnji dve leti brez zakonske podlage snemalo svoje zaposlene. Kamere so namestili v pisarne, prodajalne, skladišča in prostore za odmore. Videonadzor je potekal 24 ur na dan, posnetki pa so se hranili 60 dni. Gre za eno najvišjih glob, ki so bile izrečene na podlagi GDPR, ki velja od leta 2018.

Podjetje je zatrjevalo, da je bil videonadzor namenjen preprečevanju tatvin in sledenju gibanja blaga. Informacijski pooblaščenec je ugotovil, da je bila vzpostavitev videonadzora prekomeren in nezakonit vdor v zasebnost zaposlenih. Informacijska pooblaščenka Barbara Thiel je povedala, da tako obsežen videonadzor krši pravico zaposlenih do zasebnosti in da četudi sumijo, da bi lahko zaposleni v prihodnosti storili kaznivo dejanje, to ne dovoljuje nadzora, saj bi v to podjetjem omogočilo neomejeno širjenje nadzora. Nedopustno je videonadzor uporabljati kot...

38 komentarjev

IBM lansiral storitev za preizkus polnega homomorfnega šifriranja

vir: IEEE Spectrum
ZDNet - Konec prejšnjega leta so v IBMu strankam naposled lahko ponudili javen preizkus njihove metode polne homomorfne enkripcije - načina šifriranja, pri katerem je mogoče nad šifriranimi podatki izvajati operacije, ne da bi jih dešifrirali. Po desetletju razvoja tako prihajamo do stopnje, ko pristop postaja praktično uporaben.

Razmah storitev v oblaku je močno izpostavil eno temeljnih tegob ravnanja s šifriranimi podatki: pred uporabo jih je potrebno dešifrirati, kar seveda pomeni zelo ranljiv člen v procesu rokovanja s posameznikovo zasebnostjo, ko lahko njegova data odteče v neželene smeri. Že v sedemdesetih letih prejšnjega stoletja so se pričeli strokovnjaki ukvarjati z idejo, da bi bilo morda mogoče vsaj nekatere detajle iz podatkov izvleči, ne da bi jih dešifrirali, toda šele leta 2009 je kriptolog Craig Gentry dejansko pokazal, da je to sploh zares mogoče. Prijem imenujemo homomorfna enkripcija, kar izvira iz matematične ekvivalence med dvema algebraičnima operacijama nad dvema...

28 komentarjev

Tudi Facebook bo britanske uporabnike premestil pod ameriško mater

Slo-Tech - Ko bo Velika Britanija konec leta dokončno izstopila iz EU, bodo prenehali veljati številni evropski zakoni, če se v sporazumu z EU ne bodo dogovorili drugače. Facebook se je odločil, da bo to izkoristil in uporabnike iz Velike Britanije premestil na ameriško podružnico, medtem ko so imeli doslej razmerje z irsko podružnico. Google je enako napovedal že februarja letos. Razlog je kakopak manj stroga zakonodaja o varovanju osebnih podatkov izven EU.

Facebook je potrdil, da bo pravne obveznosti do uporabnikov iz Velike Britanije s Facebooka Irska prenesel na Facebook Inc. Ob tem ne bo prišlo do sprememb pri zasebnosti ali storitvah, ki so uporabnikom na voljo, so še dejali. Ob tem zagotavljajo, da bodo uporabniki še vedno zaščiteni z britansko zakonodajo, ki je trenutno v skladu z GDPR, a to se lahko spremeni. Predvsem pa GDPR daje uporabnikom fino kontrolo, katere podatke želijo deliti in kako, ne pa vsepovprek.

Prav tako želi Velika Britanija skleniti nov trgovinski dogovor z...

7 komentarjev

Francija zaradi piškotkov kaznovala Google in Amazon

vir: Pixabay

vir: BBC
BBC - Francoski informacijski pooblaščenec (CNIL) je zaradi kršitev njihovega zakona o varstvu osebnih podatkov Googlu izrekel kazen v višini 100 milijonov evrov. Od tega 60 milijonov matični družbi v ZDA in 40 njihovi evropski izpostavi Google Ireland. Zaradi podobne kršitve so s 35 milijoni evrov kaznovali tudi Amazon oziroma njihovo izpostavo v Luksemburgu.

Preiskovalci CNIL so namreč že marca ugotovili, da v primeru Googla uporabniki po prihodu na google.fr prejmejo oglaševalske piškotke, brez da bi se s tem strinjali. Na dnu strani je sicer pasica “Zasebnostno opozorilo Googla”, z dvema gumboma “Opomni me pozneje” in “Vstopi zdaj”. A pasica po mnenju francoskega regulatorja uporabnikom ne pove ničesar o piškotkih, ki so v tem trenutku že bili nameščeni v njihov sistem. To pa po mnenju posebej zato ustanovljene komisije ni dovolj, da bi bili francoski uporabniki vnaprej in jasno seznanjeni z Googlovimi namerami.

CNIL je v odločbi obema podjetjema še naložil, da morata v treh...

27 komentarjev

EU želi pospešiti deljenje podatkov v raziskovalne in poslovne namene

vir: Pixabay

vir: Evropska komisija
Evropska komisija - Podrobnosti predloga, imenovanega Data Governance Act, ki naj bi evropskim podjetjem zagotovil večjo konkurenčnost prek dostopa do ustreznih podatkov za poslovne in raziskovalne namene, sta včeraj predstavila Thierry Breton, evropski komisar za notranji trg in komisarka za konkurenco Margrethe Vestager.

EU namreč upa, da bo to prineslo pozitivne posledice na številnih področjih, kot je denimo personalizirano zdravljenje, boj proti klimatskim spremembam in razvijanje sodobnih kmetijskih tehnologij. V ozadju je širša strategija podatkovnega sodelovanja evropskih industrijskih panog, s katero naj bi nadoknadili zaostanek za Silicijevo dolino na eni in državno sponzoriranimi kitajskimi tehnološkimi giganti na drugi strani. EU se zaostanka trenutno najbolj zaveda na področju družbenih omrežij, spletnega nakupovanja in tehnologije pametih telefonov.

Model enotnega podatkovnega trga EU, ki ga predlaga Evropska komisija naj bi tako zagotavljal preglednost, nevtralnost in zaupanje...

28 komentarjev

Google, Facebook in Twitter grozijo z umikom iz Pakistana

Slo-Tech - Internetni giganti pod vodstvom Googla, Facebooka in Twitterja so družno zagrozili, da bodo prenehali ponujati svoje storitve v Pakistanu. V začetku tedna je tamkajšnja agencija za telekomunikacije dobila nova pooblastila in obveznost odstranjevati in blokirati digitalne vsebine, ki oblastem škodujejo, grozijo ali vzpodbujajo nezadovoljstvo oziroma so kako drugače škodljive za varnost, obrambo in stabilnost države. Pakistanski premier Imran Khan je izdal nova pravila (Removal and Blocking of Unlawful Online Content (Procedure, Oversight and Safeguards) Rules 2020) v skladu z zakonodajo PECA izpred štirih let (Prevention of Electronic Crimes Act 2016).

Tehnološki giganti imajo po zakonodaji 24 ur časa, da vsebine, na katere so opozorjeni, tudi odstranijo, sicer jim grozi kazen do 2,6 milijona evrov (pol milijarde pakistanskih rupij). To ni prvi poizkus. Podobno so želeli uvesti že v začetku leta, a so se Google, Facebook in Twitter takisto srdito odzvali. Tudi tedaj so prek Asia...

12 komentarjev

Max Schrems ponovno v boj, tokrat z Applom

vir: Pikrepo

vir: Reuters
Reuters - Aktivisti, zbrani v skupini Noyb, ki jo vodi znani Max Shrems, so pri španskem in nemškem pooblaščencu za varstvo osebnih podatkov vložili tožbo zoper Apple, konkretno zoper njihovo sledilno orodje IDFA oz. Identifier for Advertisers. Z njim Apple po mnenju tožnikov krši zasebnost uporabnikovih osebnih podatkov brez njegovega soglasja, kot to predvideva evropska zakonodaja. Gre za sledilno kodo, ki se generira ob zagonu novega iPhona, nato pa Applu in tretjim osebam omogoča spremljanje uporabnikovih preferenc, zaradi česar mu nato lahko posredujejo ciljane oglase.

Apple orodje brani z argumentom, da omogoča višjo raven varnosti za uporabnika, so pa že napovedali določene spremembe v njegovem delovanju, ki naj bi se zgodile že z jesenskim izidom iOS 14, a so nato vse skupaj preložili na začetek novega leta. Spremembe naj bi se nanašale predvsem na to, da Apple podatkov ne bo več delil s tretjimi osebami, sam pa bi lahko še vedno upravljal z njimi. Kar pa še vedno ne zadosti...

15 komentarjev

Resolucija Sveta EU: konec E2E šifriranja?

Na Twitterju se je že odzval tudi Max Schrems

Slo-Tech - Novinarji ORF so pridobili interno besedilo osnutka resolucije Sveta EU, ki so jo domnevno že obravnavali pristojni ministri držav članic in ki naj bi jo v bliskovitem postopki dokončno sprejeli v začetku decembra. Resolucija govori o zaskrbljenosti glede terorizma in o nujnosti vpeljave določenih ukrepov, ki bi kriminalcem odvzela dostop do najsodobnejših varnostnih tehnologij pri komunikacijah. Avstrijski mediji so iz tega izpeljali hipotezo, da gre za skorajšnjo prepoved celostnega oz. end-to-end šifriranja, ki ga poznajo tudi številne popularne aplikacije za neposredno sporočanje.

Razlog je seveda nedavni teroristični napad na Dunaju, ki pa so ga po skoraj enotnem mnenju analitikov in medijev zakrivile velike napake pri delovanju avstrijske notranje tajne službe BVT in ne manjko prisluškovanja. Idejo o prepovedi oz. nujnosti vpeljave stranskih vrat pri šifriranju E2E pa tudi po stari celini že več let vztrajno širijo tajne službe držav članic Pakta petih oči.

Natančnejša...

54 komentarjev

Bi zaupali policiji pogled skozi svojo varnostno kamero?

vir: Pikrepo

vir: EFF
EFF - Policija v Jacksonu, prestolnici ameriške zvezne države Mississippi, bo izvajala 45-dnevni pilotski program, v katerem bodo zasebne varnostne kamere prebivalcev v živo povezali z njihovim Real Time Crime centrom. Prebivalci bodo v programu sodelovali prostovoljno, a kljub temu vse skupaj predstavlja precejšnjo grožnjo zasebnosti tamkajšnje skupnosti. Tudi če s svojo kamero ne želite sodelovati, je namreč zelo verjetno, da prag vaše hiše zajema kader kamer katerega od sosedov. Ker ljudje v imenu varnosti radi počnemo neumnosti, ni zanemarljiva nevarnost, da se bi taki pilotni projekti v bodoče razmahnili povsod po svetu.

Mimogrede, Jackson je še kar ozaveščeno mesto, ko gre za zasebnost, saj so kot prvo mesto na jugu ZDA policiji prepovedali uporabo samodejne prepoznave obrazov.

Omrežene kamere zadnja leta postajajo precejšen zasebnostni problem v ZDA, ki se je še posebej razmahnil potem, ko je Amazon s svojo popularno kamero Ring začel sklepati partnerstva z lokalnimi...

18 komentarjev

V Nemčiji se obeta blokada največjih pornografskih strani

Tobias Schmid

Slo-Tech - Medtem ko so morali v Veliki Britaniji popustiti in velikega filtra za pornografijo niso uspeli uvesti, ker je tehnično selektivno zgolj mladoletnim onemogočiti dostop do internetne pornografije izvedljivo, se je zelo podoben boj začel v Nemčiji. Nemška zakonodaja že dlje časa prepoveduje prikazovanje pornografskih prizorov mladoletnim, a se na internetu ta prepoved ni izvajala. To se ima spremeniti.

Vojno napoved spletni pornografiji je podpisal Tobias Schmid, ki je v zvezni deželi Severno Porenje - Vestfalija direktor komisije za medije. Lani je začel lobirati, da bi se moral omenjeni zakon striktno izvajati. Ker v praksi takšne starostne omejitve ni možno vodotesno izvajati, so pornografske strani v neskladju z zakonom in so lahko blokirane. To se bo leto pozneje zgodilo na zvezni ravni.

V Veliki Britaniji so načrtovali omejitve, ki bi prizadele vse pornografske strani, in sicer bi morale uvesti način za preverjanje polnoletnosti. V Nemčiji bo drugače, saj bodo blokirali...

256 komentarjev

OstaniZdrav - slovenska aplikacija za sledenje stikom (III)

Minister za javno upravo Boštjan Koritnik.

Mladina - Mobilna aplikacija za sledenje stikov #OstraniZdrav je kot kaže vendarle uspela najti pot na nekoliko večje število mobilnih telefonov. Dnevno število javljenih okuženih dnevnih ključev (TEK-ov) se je namreč v primerjavi s septembrom, ko jih je bilo kvečjemu nekaj na dan, konkretno povečalo. V soboto jih je bilo npr. že čez 900, iz česar je mogoče sklepati, da je na ta dan okužbo javilo verjetno nekje med 100 in 200 pozitivnih uporabnikov, s čimer so na možnost opozorilo še kakšnih nekaj 1000 drugih uporabnikov aplikacije, s katerimi so bili v zadnjih 14 dneh v stiku (vsak uporabnik, ki javi okužbo, namreč sporoči po en dnevni ključ za vsakega od zadnjih 14 dni, ko je uporabljal aplikacijo). Opisani obseg obveščanja sicer še zdaleč ne pokrije vseh okužb (v petek skoraj 900), je pa vseeno izjemno dobrodošel, sploh odkar je državna epidemiološka služba v četrtek zavoljo preobremenjenosti prenehala z ročnim iskanjem stikov, s čimer je aplikacija #OstraniZdrav ostala edini mehanizem,...

109 komentarjev

Freedom House: Koronakriza krči svobodo na internetu

Slo-Tech - Neprofitna organizacija Freedom House, ki vsako leto izda tudi poročilo o svobodi na internetu Freedom on the Net, ugotavlja, da je koronakriza pospešila fragmentacijo interneta, uvajanje preprek in krčenje svobode. V letošnjem poročilu so zapisali, da gre za dramatičen padec svobode na internetu, sicer pa je to že 10. leto, ko se svoboda na internetu zmanjšuje. Situacija je sicer v različnih državah precej različna.

Soavtor poročila Adrian Shahbaz dodaja, da bomo v retrospektivi na koronakrizo gledali kakor podobno prelomnico kot 11. september 2001, ki so jo oblasti izkoristile za uvedbo novih sredstev nadzora državljanov. V svojem poročilu so se osredotočili na tri področja: nadzor, cenzuro in fragmentacijo (razpad globalnega interneta na slabo povezane nacionalne koščke).

Na področju nadzora so posebej kritični do razširjenosti aplikacij za boj proti koronavirusu, ki so marsikod po svetu zlorabljene za nadzor. V Indiji je na primer na voljo aplikacija, ki na vladne strežnike...

26 komentarjev

Zoom dobiva šifrirane klice

Slo-Tech - Štiri mesece po prvi napovedi Zoom naposled le prinaša šifriranje klicev od pošiljatelja do prejemnika (end-to-end encryption, E2EE). Funkcionalnost bodo zagnali prihodnji teden, prvi mesec pa bo na voljo kot tehnični predogled. Na voljo bo vsem uporabnikom, tako plačljive kakor brezplačne različice, v klicih, ki imajo največ 200 udeležencev.

Kot pojasnjujejo, so vsi pogovori šifrirani že sedaj. Razlika bo v tem, kdo ima ključe. Trenutno ključe ustvarijo Zoomovi strežniki in jih razdelijo udeležencem, zato so komunikacije varne pred prisluškovanjem tretjih oseb, Zoom pa bi teoretično lahko poslušal. Sedaj bo protokol šifriranja ostal enak, le da bo ključe ustvaril gostitelj. Zoom bo tako le platforma za prenos šifriranih podatkov, (smiselneg) vpogleda vanje pa ne bo imel. Za zdaj bo treba E2EE izrecno omogočiti. S tem se onemogočijo določene funkcionalnosti, denimo streaming, transkripcija itd. Šifriranje uporablja algoritem AES 256-bitni GCM.

23 komentarjev

Google ameriški policiji zopet omogočil razpršeno poizvedbo glede gesla v iskalniku

vir: CNet
CNet - Sodni spisi so razkrili, da je letošnje poletje ameriške preiskovalce do aretacije osumljenca pripeljala splošna poizvedba glede iskanja določenega pojma v Googlovem iskalniku, kar bi lahko bilo protiustavno.

Ko ameriški preiskovalni organi s sodnim nalogom potrkajo na Googlova vrata, gre običajno za željo po informacijah o lokaciji točno določenega osumljenca ali njegovi dejavnost v širšem Googlovem oblaku. V letošnjem poletju pa so policisti glede na odprte sodne dokumente za iskalnik uporabili obratno metodo. Avgusta so aretirali Michaela Williamsa, prijatelja priprtega pevca R. Kellyja, ki je obtožen mnogoterih spolnih zlorab; Williams naj bi namreč z namenom zastraševanja zažgal avto ene od prič v procesu. Do njega so se dokopali na podlagi zahtevka o IP-naslovih oseb, ki so v Googlov iskalnik vnesle naslov žrtve. Enega od tako pridobljenih IP-naslovov so preiskovalci uspeli povezati z Williamsovim telefonom, nakar je sledila nova poizvedba, osrediščena okoli njegovih...

31 komentarjev

Amazon lansiral plačevanje z odčitavanjem dlani

vir: Amazon
Amazon - Amazon je v dveh svojih seattlskih trgovinah brez prodajalcev v preteklem tednu pričel s preizkušanjem biometričnega sistema plačevanja Amazon One s skeniranjem dlani. Podjetje tehnologije ne namerava uporabljati zgolj v svojih izpostavah, temveč jo želi prodajati tudi konkurenci.

Pri Amazonu so v preteklih dveh letih pričeli odločno uvajati fizične trgovine brez prodajalcev in to tehnologijo tržijo tudi drugod. Tokrat pa skušajo področje razburkati še na drugačen način: z biometričnim načinom plačevanja z dlanjo Amazon One, ki je primeren tudi za "primitivnejše" nabavljanje s človeškimi prodajalci, a strankam omogoči plačevanje brez dodatnih predmetov, ki jih drugače lahko pozabijo doma. Vsaj tako gre oglaševalski pamflet. Že od lani smo vedeli, da podjetje snuje takšno rešitev in lanskega decembra smo zapazili tudi vložitev patenta. Seveda Amazon ni prva firma, ki se je spomnila odčitavanja dlani, toda njegova velikost in sposobnost inženirjev bi kaj lahko pomenili jeziček na...

11 komentarjev

Ni anonimnosti na internetu: kako je zaposleni v NIH blatil svojega šefa Faucija

Slo-Tech - Internet se zdi anonimen, a v resnici je marsikoga možno identificirati, le dovolj časa, vztrajnosti in opreme potrebujemo. To dokazuje precej bizarna zgodba urednika konzervativnega portala RedState, ki je pod psevdonimom streiff omalovaževal prizadevanja ameriškega Nacionalnega inštituta za alergije in nalezljive bolezni (NIAID) v boju proti virusu SARS-CoV-2. Širil je neresnice v zvezi z virusom, javno blatil direktorja NIAID Anthonyja Faucija in prispeval k širjenju teorij zarot. Med drugim so na portalu pisali, da virusa sploh ni in da so otroci imuni; tovrstne dezinformacije je Fauci javno ovrgel in pojasnjeval, poplavo dezinformacijo pa je kot ključni problem prepoznala tudi Svetovna zdravstvena organizacija (WHO).

Ta teden so streiffa razkrinkali. Izkazalo se je, da gre za zaposlenega v NIAID, ki je tam opravljal funkcijo predstavnika za stike z javnostjo. Medtem ko je moral v službi komunicirati z javnostmi, je na internetu (tudi med delovnim časom) blatil svojega...

32 komentarjev

Ko je nekdanji avstralski premier objavil letalski kupon, hekerji takoj do osebnih podatkov

Slo-Tech - Svoj čas je na internetu obstajala skupina, kjer so zbirali fotografije kreditnih kartic, ki so jih nepremišljeni (novi) lastniki trosili naokoli po družbenih omrežjih. Do zlorabe je le še korak. Objavljanje osebnih podatkov na internetu je nespametno tudi zato, ker s tem hekerjem olajšamo krajo identitete. Praktični primer je nekdanji avstralski premier Tony Abbott, ki je na internetu 21. marca objavil fotografijo vstopnega kupona za letalo. Brez naprednega vdiranja, le s socialnim inženiringom je to zadostovalo za pridobitev kopice osebnih podatkov, kjer je del krivde tudi pri letalskem prevozniku.

Šifra leta in priimek sta običajno dovolj, da naredimo prijavo na leto in uredimo še kakšno drugo malenkost, denimo dokupimo prtljago. Pri Qantasu pa je bilo ob takšni prijavi možno s spletne strani izluščiti še več osebnih podatkov: serijsko številko potnega lista, telefonsko številko in nekaj manj pomembnih podatkov. Celo dopisovanje Qantasovih uradnikov je bilo dostopno.

Izkazalo...

2 komentarja

Zmeda okoli GDPR

Peter Pavlin med predstavitvijo "zadnje" verzije ZVOP-2 leta 2018

vir: Informacijski pooblaščenec
Informacijski pooblaščenec - Dobri dve leti po začetku uporabe Splošne uredbe o varstvu osebnih podatkov (GDPR) je slovenski sodni sistem prišel do spoznanja, da Informacijska pooblaščenka ni pooblaščena, da bi sankcionirala njene kršitve, saj še ni bil sprejet zakon, ki bi ji takšno pooblastilo tudi dal.

Kaj se je zgodilo?

Afera Hrvaška parkirišča. Kot smo na veliko slišali v zadnjih tednih, na Hrvaškem vsako leto letuje veliko Slovencev. Ti tudi veliko parkirajo, včasih očitno tudi brez plačila parkirnine. Nekateri lastniki parkirišč so se odločili izterjati neplačano parkirnino. Da pa bi identificirali prekrškarje, so najeli slovenske odvetnike, ki so za njih pridobil podatke o imetnikih registrskih tablic, nakar so jim potem na dom pošiljali opomine. To seveda ni bilo povšeči prekrškarjem, ki so nadnje poslali pisarno Informacijske pooblaščenke. Ta je menila, da je bila celotna shema pridobivanja in izmenjave osebnih podatkov nezakonita, zato je eni taki odvetniški pisarni izrekla globo v višini 12.510...

27 komentarjev

Facebook se ne strinja z grozečo prepovedjo iznosa osebnih podatkov v ZDA

vir: Pixabay

vir: New York Times
Slo-Tech - Po pričakovanjih se Facebook ne bo kar sprijaznil z odločitvijo, ki jo je nakazal irski informacijski pooblaščenec glede iznosa osebnih podatkov uporabnikov iz EU v ZDA. V četrtek je irski informacijski pooblaščenec začel uradno preiskavo hrambe osebnih podatkov, ki jo je vzpodbudila julijska odločitev Sodišča EU, da je zaščita osebnih podatkov v ZDA neprimerljiva kot v EU. To pomeni, da ZDA niso več varni pristan, kamor bi podjetja lahko preselila osebne podatke uporabnikov, temveč bodo morala za vsako potezo sama dokazovati, da se bo s podatki v ZDA resnično ravnalo enako varno kakor v EU. To pa je glede na razkritja o vohljanju obveščevalnih služb praktično nemogoče.

Irski informacijski pooblaščenec, ki je zaradi Facebookovega evropskega sedeža na Irskem pristojen za ravnanje s podatki evropskih uporabnikov, bo do konca leta izdal končno odločitev (zoper katero lahko seveda Facebook sproži sodni spor). Facebook je bitko začel že sedaj. V izjavi za javnost so sporočili, da so...

73 komentarjev

OstaniZdrav - slovenska aplikacija za sledenje stikom (II)

Minister za javno upravo Boštjan Koritnik.

Slo-Tech - Objavili smo že prve vtise o MJU-jevem prevodu nemške aplikacije za sledenje stikov Corona Warn App. Zdaj je čas, da aplikacijo #OstaniZdrav v roke vzamemo malo bolj resno. Pogledali smo v njeno drobovje in preverili kako deluje.

O aplikaciji

Kot pravi Ministrstvo za javno upravo (MJU), je #OstaniZdrav "pripomoček, ki vam sporoči, ali ste bili v stiku z okuženo osebo. Z njeno uporabo in upoštevanjem priporočil vsak izmed nas pripomore k obvladovanju širjenja virusa ter varovanju zdravja nas samih, naših bližnjih in celotne družbe".

Aplikacijo je mogoče na telefone z operacijskim sistemom Android namestiti iz spletne trgovine Google Play. Trenutna verzija je 1.1.1, zadnji popravki zadevajo zlasti napake v prevodih. Njena povprečna ocena je 4,1/5 od skupaj nekaj manj kot 500 ocen. Po novem je aplikacija na voljo tudi v App Store za Applove naprave (različica 1.2.2), za zdaj pa ima le pet ocen s skupno oceno 3,6/5.

Kaj aplikacija počne?

Cilj aplikacije je opozoriti uporabnika, da...

364 komentarjev

V Portlandu prepovedali prepoznavanje obraza tudi zasebnikom

vir: CNet
CNet - Ameriško mesto Portland je sprejelo bržkone najbolj omejevalno uredbo glede rabe tehnologije za računalniško prepoznavo obraza v ZDA in svetu, saj jo je kategorično prepovedalo ne le policiji in drugim javnim službam, temveč tudi privatnim podjetjem.

Po ZDA se od lanske pomladi, ko je San Francisco zaoral ledino, širijo prepovedi izrabe avtomatskega prepoznavanja obraza na ravni mest. Posredi je vedno več očitnih pokazateljev, da so tovrstni algoritmi še zelo nezanesljivi v primerih, ko analizirajo pripadnike etničnih manjšin, temnopolte, starejše in ženske. Januarja je bil na takšni osnovi na primer po krivem aretiran temnopolti prebivalec Detroita, nakar je poleti tamkajšnja policija priznala, da se njihov algoritem v bistvu zmoti v večini primerov. San Franciscu so tako sledili še Boston, Oakland in nekatera druga mesta, a povsod so se omejitve dotikale prvenstveno javnih agencij, še posebej varnostnih.

V Portlandu pa se je mestni svet opogumil in soglasno sprejel prepoved ne...

4 komentarji

Skorajšen konec selitve naših osebnih podatkov v ZDA?

vir: Pixabay

vir: New York Times
New York Times - Irski pooblaščenec za varstvo osebnih podatkov je pričel preiskavo o tem, kako Facebook seli podatke evropskih uporabnikov v ZDA. Preiskava je posledica poletne odločitve Sodišča EU (ECJ), ki je je razveljavilo odločitev Evropske komisije (EK), s katero je ta ugotovila, da je zaščita osebnih podatkov v ZDA primerljiva evropski. Prav ta odločitev EK je Ameriškim spletnim podjetjem za nekaj let podaljšala možnost izvoza osebnih podatkov, potem, ko je ECJ s še starejšo odločbo iz leta 2015 razveljavilo dogovor EK in ZDA o t. i. varnem pristanu. Za tak razplet sta posredno zaslužna spletni aktivist Max Schrems, ki se je spustil v sodne spore s Facebookom in irskim pooblaščencem, pa seveda Edward Snowden, ki je priskrbel podatke o tem, kako so podatki Facebookovih uporabnikov vsak trenutek dostopni uslužbencem ameriške Agencije za nacionalno varnost (NSA).

Irski pooblaščenec sicer bdi nad Facebookovimi praksami glede osebnih podatkov uporabnikov iz držav članic EU, v primeru kršitev...

18 komentarjev

Facebook bo sodelujočim v raziskavi plačal, če bodo deaktivirali svoj račun

Slo-Tech - Z bližajočimi ameriškimi predsedniškimi volitvami se veliko ukvarja tudi Facebook, ki je dokončno spoznal, da ni le obrobni igralec, temveč za številne uporabnike (in s tem volivce) ključni vir informacij, zaradi česar ima velik vpliv na končni rezultat. Omejitvam novega oglaševanja v zadnjem tednu in možnosti izklopa vseh političnih oglasov se pridružuje nova raziskava: Facebook bo 200.000-400.000 uporabnikov plačal 120 dolarjev, če bodo šest tednov pred volitvami deaktivirali svoj profil. In počeli še marsikaj drugega, saj je izklop le ena izmed možnosti.

Raziskavo so napovedali že pred dobrim tednom, a ni pritegnila veliko zanimanja, dokler niso prvi ljudje začeli dobivati ponudbe za sodelovanje. V raziskavi, ki jo bodo izvajali neodvisni znanstveniki, bodo preverjali, ali ima Facebook kakšen vpliv na volilne izbire. Kdor se bo pripravljen začasno odpovedati svojemu profilu na Facebooku, bo prejel 20 dolarjev za vsak teden deaktivacije. Sodelovali bodo lahko tudi uporabniki...

3 komentarji

Prizivno sodišče: NSA-jevo množično prestrezanje prometnih podatkov telefonskih klicev nezakonito

Slo-Tech - Prizivno zvezno sodišče v Kaliforniji je danes na drugi stopnji odločilo, da je bil program Nacionalne varnostne agencije (NSA), s katerim so množično prestrezali telefonske klice, nezakonit in morda protiustaven. Množično zbiranje (bulk collection) prometnih podatkov je kršilo Foreign Intelligence Surveillance Act. Sodišče se je v utemeljitvi razsodbe večkrat sklicevalo na razkritja Edwarda Snowdna, kar kaže na ključni pomen žvižgačev.

Sodišče je o tem prisluškovanju odločalo v okviru procesa zoper štiri somalijske imigrante, ki so bili obtoženi financiranja terorističnih organizacij. Četverica je zbrani denar poslala v Somalijo skupini Al Šabab, ki je na seznamu terorističnih organizacij. Prvoobtoženi Basaaly Moalin je bil aretiran leta 2010 in leta 2013 tudi obsojen na 18 let zaporne kazni, ostali trije pa na 13, 10 in 6 let. Teroristični skupini so poslali manj kot 10.000 dolarjev. Del dokazov je bil zbran tudi s spornim programom NSA za prestrezanje klicev, zaradi česar so se...

14 komentarjev

Trump bo razmislil o oprostitvi Edwarda Snowdna

Edward Snowden

vir: Wikipedia
Reuters - Ameriški predsednik Donald Trump je minuli konec tedna od daleč namignil, da bo resno razmislil o oprostitvi Edwarda Snowdna, žvižgača, ki je leta 2013 osupnil svet (in domače obveščevalce), s tem, ko je razkril obseg ameriške obveščevalno-prisluškovalne dejavnosti doma in po svetu. Zaradi vsega tega si je v ZDA prislužil kazensko obtožnico za vohunjenje, država pa se je zaradi njegove knjige Permanent record nadenj spravila tudi civilno, z odškodninsko tožbo. S slednjo mu očitajo kršenje pogodbe o varovanju zaupnih informacij (bolj znane kot non-disclosure agreement oz. NDA) ter mu želijo odvzeti morebitne premoženjske koristi, ki bi jo prejel s prodajo knjig.

Trump je opazko izrekel nekaj dni po intervjuju za New York Post, v katerem je glede Snowdna dejal, da prenekateri državljan meni, da mu ameriški organi pregona delajo krivico. Gre za precejšen premik v predsednikovemu razmišljanju, saj je Trump v preteklosti Snowdna pogosto označil za izdajalca in celo "za vohuna, ki bi...

59 komentarjev

Instagram hranil tudi izbrisane fotografije

Slo-Tech - Pravzaprav ni presenetljivo niti kakšna večja novica, da je Instagram hranil fotografije uporabnikov še več kot leto dni potem, ko so jih ti izbrisali. Zanimivo pa je, da so to označili kot hrošča in celo izplačali nagrado (bug bounty) raziskovalcu, ki je to odkril. Saugat Pokharel je od Instagram zahteval vse osebne podatke, ki jih hranijo o njemu, kar je možno storiti po evropski zakonodaji. Instagram mu je ustregel in jih poslal, med katerimi so bile tudi že izbrisane datoteke.

Samo po sebi to ni nujno nenavadno, saj ob brisanju traja nekaj časa, da se spremembe sprovede na vseh strežnikih in v podatkovnih centrih. Toda po več kot letu dni, to ni več sprejemljivo. Še bolj nenavadno pa je (in pošteno, pravzaprav), da je Instagram te fotografije tudi poslal uporabniku. Pokharel je zato oktobra 2019 Instagramu prijavil hrošča, zaradi katerega podatki ostanejo tudi po izbrisu, le skriti. Ta mesec je prejel 6000 dolarjev nagrade in obvestilo Instagrama, da so težavo odpravili. Ali...

18 komentarjev

Britansko sodišče policiji prepovedalo samovoljno uporabljanje avtomatičnega prepoznavanja obrazov

Slo-Tech - V državi, ki je po številu nadzornih kamer na število prebivalcev na tretjem mestu na svetu, je sodišče razsodilo, da je policijska uporaba tehnologije za prepoznavanje obrazov v trenutni obliki kršitev več zakonov in človekovih pravic. Glavni problem je nedoločenost ureditev in premalo varovalk, ki dajejo policiji široke možnosti interpretacije, kdaj in kako uporabljati avtomatično prepoznavanje obrazov (AFR).

Prva je tehnologija v Veliki Britaniji začela uporabljati policija v južnem Walesu pred tremi leti. Na večjih dogodkih, kot so na primer nogometne tekme, so s prepoznavanje obrazom iskali osebe, ki so jih že pred tem želeli iskali. Rezultati so bili katastrofalni, saj je bilo od 2500 zadetkov kar 92 odstotkov lažno pozitivnih. A tehnologije niso nehali uporabljati, temveč so jo nadgrajevali. Prebivalec Cardiffa je zato policijo leta 2019 tožil, češ da so mu z optičnim prepoznavanjem obraza v letih 2017 in 2018 kršili pravice. Čeprav je na prvi stopnji izgubil, je sedaj...

10 komentarjev

Zaradi vdora v GEDMatch tri ure odprt poldrugi milijon profilov DNK

vir: Buzzfeednews
Buzzfeednews - Uporabniki priljubljene spletne strani za iskanje sorodnikov in gradnjo družinskega drevesa GEDMatch prek vzorcev DNK so ta teden prejeli neprijetno sporočilo, da je bilo več kot milijon naloženih profilov DNK dostopnih vsem (tudi policiji, čeprav so predhodno to možnost izrecno izključevali). Dva dni pozneje je sledil ribarski (phishing) attack na podobno stran MyHeritage, kjer so napadalci ciljali uporabnike z elektronskimi naslovi, ki so jih spoznali v prvem vdoru.

V podjetju Verogen, ki je lani decembra kupilo GEDMatch (GEDMatch je sicer pot začel kot odprtokodna baza), so v izjavi za javnost pojasnili, da se je 19. julija zgodil vdor v njihov strežnik. Napadalci so po vdoru ponastavili varnostne nastavitve vseh profilov, ki so jih nastavili na globalno vidne. To pomeni, da so bili približno tri ure profili vidni vsem uporabnikom. Tudi uporabniki, ki so izrecno označili, da njihovi profili ne smejo biti dostopni organom pregona (ki jih uporabljajo na primer iskanju storilcev...

2 komentarja

ECJ razveljavil odločitev Komisije o primernosti varovanja osebnih podatkov v ZDA

ECJ - Ko smo pred petimi leti poročali o odločitvi sodišča EU, ki je takrat razveljavilo dogovor med Komisijo in ZDA o varnem pristanu na področju izvoza osebnih podatkov, si nihče ni predstavljal, da bo sodišče čez pet let moralo ponoviti odločitev.

Danes je sodišče objavilo sodbo, s katero razveljavlja odločitev Komisije, s katero je ta ugotovila, da je zaščita osebnih podatkov v ZDA primerljiva evropski. Primer seveda zadeva ponudnika družbenega omrežja Facebook in njihovo benevolentno sodelovanje z ameriškimi obveščevalnimi službami. Poglejmo.

Facebook ima trenutno poldrugo milijardo aktivnih uporabnikov (ki še kar prihajajo), vendar se njihov pravni oddelek trenutno ukvarja predvsem z enim posameznikom, ki njihove storitve pravzaprav ne želi več uporabljati.

O delu avstrijskega pravnika in aktivista Maxa Schremsa smo že pisali. Njegova zgodba se je začela pred dobrimi devetimi leti, ko je tekom študijske izmenjave v ZDA poslušal predavanja Facebookevega prvega pravnika za...

21 komentarjev

Kitajska baza dednih podatkov ima velike razsežnosti

Slo-Tech - Na avstralskem inštitutu ASPI so predstavili rezultate raziskave kitajskega vsedržavnega zbiranja dednega materiala moške populacije, v kateri so prišli do sklepa, da skuša oblast zbrati DNK približno desetine vse moške populacije, s čimer bi teoretično pridobila možnost izslediti kateregakoli moškega posameznika v državi.

Pred tremi leti so se kitajski državni mediji prvič pohvalili, da tamkajšnji varnostni organi gradijo gigantsko banko dednih podatkov svojih državljanov, s katero si želijo pomagati pri lovljenju težjih zločincev. K temu naj bi jih spodbudili uspehi v rabi DNK pri iskanju morilcev v nekaterih odmevnejših primerih v Notranji Mongoliji v preteklih dvajsetih letih. Obširna raziskava ustanove Australian Strategic Policy Institute (ASPI) v Canberri pa sedaj odstira tančico s tega očitno precej širokopoteznega projekta. Raziskovalci so analizirali pot opreme za jemanje, analizo in shranjevanje vzorcev DNK v kitajskih ustanovah; akcije policije, predvsem na kitajskem...

34 komentarjev

ZDA želijo blokirati TikTok

Slo-Tech - Kitajska aplikacija TikTok, ki je namenjena deljenju videoposnetkov med znanci, je tarča kritik, češ da jo kitajske oblasti uporabljajo za množično prisluškovanje. Ne glede na resničnost teh trditev ni presenetljivo, da ameriške oblasti resno razmišljajo o prepovedi uporabe te aplikacije. Zunanji minister Mike Pompeo je včeraj dejal, da resno razmišljajo o blokadi te aplikacije. Poleg ZDA so do aplikacije sumničavi tudi v drugih državah.

Indija jo je v paketu z 58 drugimi aplikacijami prepovedala minuli teden. Skupna točka vseh blokiranih aplikacij je kitajsko poreklo, saj se bojijo, da bi aplikacije predstavljale grožnjo državni varnosti in obrambi, kar je lahko kršitev indijske suverenosti in celovitosti. Seveda to ni edini razlog, saj je dva tedna pred tem izbruhnil omejen spopad na indijsko-kitajski meji, v katerem je življenje izgubilo 20 indijskih vojakov in neznano število kitajskih. Blokada kitajskih aplikacij je eden izmed protiukrepov, piše BBC.

TikTok medtem poudarja,...

45 komentarjev

WhatsApp začasno prenehal sodelovati z oblastmi v Hongkongu

Protesti v Hong Kongu, vir: Flickr

vir: Reuters
Reuters - Iz podjetja v lasti Facebooka so sporočili, da so začasno nehali odgovarjati na poizvedbe hongkonških oblasti po uporabniških podatkih. Razlog je seveda zakon o nacionalni varnosti, ki so ga sprejeli v Pekingu in kriminalizira vsako dejanje odcepitve, subverzije, terorizma ali dogovarjanja s tujimi silami. Nasploh pa uvaja nekoliko bolj avtoritaren sistem, kot so ga otočani doslej poznali. Pri WhatsAppu so zato napovedali, da se bodo pred nadaljevanjem sodelovanja posvetovali s strokovnjaki s področja varovanja človekovih pravic ter nasploh preučili celosten vpliv spornega zakona.

Hongkong je pred 23 leti kot nekdanja britanska kolonija prešel pod Kitajsko, v vmesnem času pa je imel nekoliko hibriden položaj; za razliko od celinske Kitajske so prebivalci Hongkonga imeli neoviran dostop do spleta in spletnih storitev, tudi do zahodnih, kot so Google, Facebook in Twitter, ki so sicer na celini blokirani.

Nekateri Hongkonžani so povedali, da so temeljito pregledali svoje pretekle...

5 komentarjev

BlueLeaks: največja objava dokumentov ameriške policije doslej?

Krebs On Security -
Spletna stran DDOSecrets (Distributed Denial of Secrets) je objavila milijone dokumentov, povezanih z ameriškimi organi pregona in njihovim delom. Do objave 270 GB težkega paketa je simbolično prišlo prejšnji petek, torej na praznik Juneteenth, ko se Američani spominjajo osvoboditve sužnjev na svojem ozemlju. Dokumenti obsegajo obdobje zadnjih desetih let, najmlajši med njimi pa so stari komaj tri tedne.

Med dokumenti so tudi občutljivi podatki, denimo fotografije osumljencev, bančni računi in podatki FBI. Predstavniki DDOSecrets so sicer v izjavi za javnost zatrdili, da so podatke pred objavo pregledali in umaknili za 50 GB spornih listin, ki so se nanašale na otroke, žrtve kaznivih dejanj, podjetja in druge podobne zasebne subjekte.

Kot domnevajo pri varnostnem podjetju KrebsOnSecurity, kjer so objavo zaznali med prvimi, ukradeni podatki izvirajo iz vdora v teksaško podjetje Netsential, katerega stranke so številne državne agencije in organi pregona. Dostop do dokumentov je še...

8 komentarjev

Zoom bo vendarle ponudil šifriranje end-to-end za vse

Slo-Tech - Zoom je sprva oglaševal, da so videokonferenčni klici šifrirani v celoti brez možnosti prisluškovanja (end-to-end), a je kmalu postalo jasno, da to ne drži. Zato so v začetku meseca sporočili, da bodo uvedli pravo šifriranje, ki pa bo spričo varnostnih pomislekov na voljo le uporabnikom plačljive različice. Sedaj so si premislili in ga bodo ponudili vsem.

Šifriranje end-to-end prihaja v Zoom z naslednjo beta verzijo, ki bo izšla julija letos. Še vedno se bo uporabljal algoritem AES 256 GCM. Na voljo bo vsem uporabnikom, tako plačljive kakor brezplačne verzije, bodo pa morali administratorji pogovorov to vključiti v pogovoru. Razlog je združljivost, saj šifriranje izključi možnost sodelovanja starejših odjemalcev ali klicev pred navadnih telefonskih linij. Izvršni direktor Eric Yuan je v začetku meseca pojasnjeval, da je lahko šifriranje na voljo le uporabnikom, ki izkažejo svojo identiteto, saj se tako izognejo zlorabam. To je bil tudi eden izmed razlogov, zakaj ga v brezplačni...

14 komentarjev

Facebook za FBI financiral hekanje svojega uporabnika

vir: Piqsels

vir: Vice
Vice - Kalifornijec Buster Hernandez je že leta dolgo prek Facebooka nadlegoval in izsiljeval mlada dekleta, med drugim jim je grozil z umorom in posilstvom, če mu ne pošljejo svojih golih fotografij. Zlikovca so že pred časom uspešno identificirali in v priporu čaka na sojenje, medtem pa je prišlo na plano, da so za njegovo prijetje najbolj zaslužni prav pri Facebooku.

Podjetje je namreč najelo zasebno varnostno družbo, ki so ji plačali šestmestno številko v ameriških dolarjih, da so zanje razvili posebno orodje, s katerim so se uspešno infiltrirali v operacijski sistem Tails. Gre za Debianovo distribucijo Linuxa, orientirano predvsem na področje zasebnosti, saj vse vhodne in izhodne povezave usmerja prek omrežja Tor. Uporabljajo ga številni disidenti, novinarji in vladni uradniki, uporabljal in priporočal ga je tudi Edward Snowden.

Facebookovo novo razvito orodje je izkoriščalo varnostno luknjo v video predvajalniku v Tails, s čimer se je bilo mogoče dokopati do IP naslova človeka,...

9 komentarjev

Nemško Ustavno sodišče: Vsesplošno vohunjenje na mednarodnih vodih neustavno

Spiegel Online - V začetku leta 2018 je skupina novinarjev in aktivistov za človekove pravice vložila pritožbo na nemško ustavno sodišče, s katero je želela spodbiti veljavnost zakonskega določila, ki je nemški tajni službi BND (Bundesnachrichtendienst) omogočala prisluškovanje tujim novinarjem. Zakon o BND je namreč nemški tajni službi dovoljeval ne samo prestrezanje telekomunikacij znotraj Nemčije in pri povezavah med Nemčijo in tujino, pač pa tudi prisluškovanje tujcem na tujem ozemlju. Za slednje primere pa po mnenju BND ustavne pravice, ki jih imajo nemški državljani niso veljale, zato so obveščevalci elektronsko pošto, tekstovna sporočila in telefonske klice lahko začeli nadzorovati brez utemeljenega suma ter tudi brez sodne odredbe.

Tožniki so v tožbi trdili, da bi to ogrozilo obstoj mednarodnega preiskovalnega novinarstva, saj bi onemogočilo zaupanje med novinarji in njihovimi viri, ter okrnilo uredniško integriteto. Pritožniki so tudi izpostavili, da bi v primeru mednarodnega sodelovanja...

9 komentarjev

Googlove sanje o pametnem Torontu so potonile

soseska Quayside

Slo-Tech - Iz Googlove podružnice Sidewalk Labs so sporočili, da se odrekajo projektu "pametne" mestne četrti v Torontu, ki je bil bržkone najbolj razvpit poskus načrtovanja digitaliziranega urbanega področja.

Pred petimi leti so v Googlu ustanovili sestrsko firmo Sidewalk Labs, skozi katero so se lotili napredne rabe tehnologije v urbanih središčih - po domače rečeno, pametnih mest. Za prvi veliki projekt so si izbrali obmorsko območje Quayside v Torontu, kjer so želeli na slabih petih hektarih površin zgraditi pilotsko pametno četrt, pri čemer bi sami vložili petdeset milijonov ameriških dolarjev. To bi pomenilo med drugim ogrevane pločnike in samovozeč transport, robotski odvoz smeti skozi podzemne jaške ter stavbe iz lesa, predvsem pa močno informacijsko gnano delovanje, podprto z množico senzorjev. Ker bi imel velikan s tem dostop do gromozanske količine osebnih podatkov, vključivši denimo popolno beleženje posameznikovega gibanja po javnih območjih, je to precej razburilo tako lokalno...

7 komentarjev

Google in Apple ne bosta dovolila beleženja lokacije v sistemu za sledenje stikom pri covidu-19

Slo-Tech - Google in Apple sta potrdila, da bosta na svojih platformah v aplikacijah, ki so namenjene beleženju stikov ljudi v boju zoper covid-19, onemogočila zbiranje lokacijskih podatkov. Giganta namreč razvijata sistem, ki bo omogočil preprosto gradnjo takšnih aplikacij, ki bodo uporabnika obvestile, če je bil v bližini ljudi, ki so (bili) okuženi z novim koronavirusom. Te aplikacije bodo uporabljale Bluetooth, ki je od konvencionalne tehnologije edini dovolj natančen, da lahko beleži stike. GPS je na primer premalo natančen.

Toda - za beleženje stikov ni treba vedeti, kje so se stiki zgodili, pomembno je le, da so se. Zaradi tega sta giganta sporočila, da ta sistem za beleženje stikov ne bo imel dostopa do lokacijskih podatkov z GPS. To seveda ne pomeni, da bo to nemogoče v vseh primerih. Treba je razumeti, kdo in kakšne aplikacije bo razvijal. Sistem deluje tako, da vsak telefon oddaja svojo anonimizirano unikatno kodo, ki se izmenja ob stikih. Enkrat dnevno potem telefon iz centralne...

61 komentarjev

Google in Apple za nekatere države preveč spoštujeta zasebnost

vir: Pixabay

Slo-Tech - Programska oprema, za spremljanje okuženih s COVID-19, ki jo bosta sredi maja skupaj izdala Google in Apple, za nekatere države ponuja preveč zasebnosti. Aplikacija naj bi delovala tako, da bi svojo okužbo posameznik v njej prostovoljno označil, sistem pa bi nato prek vmesnika Bluetooth spremljal vse naprave, ki so se znašle v bližini, podatek pa šifriran posredoval Googlu in Applu. Ko bo okužbo posameznika potrdil še zdravstveni organ, bo sistem vsem, ki so se znašli v bližini okuženega, razposlal ustrezna opozorila. Sama programska oprema je zastavljena tako, da bodo vsi podatki anonimizirani, baza srečanj z drugimi napravami pa bo decentralizirana, shranjena na napravah samih.

Francija je zdaj prva javno pozvala obe podjetji, naj njihovim zdravstvenim organom omogočita dostop do več podrobnosti o posamezniku. Kot je v intervjuju za Bloomberg povedal francoski minister za digitalno družbo, Cédric O, želijo, da podjetji sprostita tehnološke prepreke in državam dovolita, da...

20 komentarjev

COVID-19: Vseh "50 odtenkov sivine" izmenjave podatkov med policijo in NIJZ

Slo-Tech - Smo sredi pandemije, ki je zajela ves svet. Epidemijo je razglasila tudi Slovenija in s tem je vlada dobila nekatera dodatna pooblastila, ki ji v takih primerih pritečejo po Zakonu o nalezljivih boleznih. Zdaj dela vse in še več, da bi zajezila izbruh koronavirusa, ki ogroža prebivalstvo. Tako je ustavila javno življenje, javni potniški promet, druženje in zbiranje, omejila je gibanje na občino prebivališča, zaprla šole, trgovine in ustavila večino drugih dejavnosti, ki niso neposredno povezane z napori za zajezitev bolezni.

Z vsemi ukrepi je vlada močno posegla v človekove pravice in svoboščine. Pravica do svobode gibanja, zbiranja, združevanja, svobode dela, šolanja in še kaj. Razumljivo, z namenom ustaviti širitev bolezni, ki se prenaša s stiki med ljudmi, je treba preprečiti čim večji delež socialnih kontaktov. Ustava RS dovoljuje začasno razveljavitev in omejitev posameznih pravic. Načeloma se način uresničevanja pravic, torej tudi omejitve, predpisujejo z zakonom. Vendar pa...

55 komentarjev

Twitter ne sme razkriti obsega ameriškega prisluškovanja uporabnikom

vir: Pxhere

vir: Reuters
Reuters - Okrajno sodišče Severne Kalifornije je v sporu med Twitterjem in ameriškim pravosodnim ministrstvom odločilo, da družbeno omrežje ne sme razkrivati števila zahtev po nadzoru, ki jih prejme s strani ameriške vlade. Po mnenju sodišča bi to lahko ogrozilo državno varnost. Spor je trajal kar šest let in se raztezal čez mandate štirih ameriških generalnih državnih tožilcev.

Spor korenini v časih po razkritjih Edwarda Snowdna, ko so si družbena omrežja in druga velika tehnološka podjetja na različne načine prizadevala oprati svoje obraze glede sodelovanja z organi pregona in tajnimi službami. Twiter je tako tožbo vložil leta 2014, ko mu niso dovolili objaviti s tem povezanega letnega poročila v katerem je navajal številke zahtevkov za različne načine varnostnega spremljanja ter zahtevke FBI za dostop do uporabniških podatkov. Njegovi predstavniki so pred sodiščem zatrjevali, da gre za kršitev pravice do svobodnega govora ter da so tovrstni podatki po pomoti uvrščeni med zaupne.

No,...

23 komentarjev

Covid-19 spodbudil sodelovanje Appla in Googla

vir: Pixabay

Slo-Tech - Tehnološka rivala, ki drug o drugem redko izjavita kaj pozitivnega, sta napovedala zgodovinsko sodelovanje, spodbujeno z epidemijo koronavirusa. Pobuda je hvalevredna, a jo vendarle velja sprejeti z dvignjeno obrvjo, saj je na drugi strani tehtnice naša zasebnost. Gre namreč za skupen razvoj programske opreme, ki bo, podobno kot že nekaj dosedanjih, uporabnika opozarjala, če je bil v bližini kakega okuženega posameznika. Pomembna razlika pa bo ta, da bo novo orodje vgrajeno v operacijski sistem in bi lahko delovalo samostojno, bo pa na voljo tudi zunanjim razvijalcem. Za razliko od dosedanjih aplikacij, ki v določenih trenutkih, denimo ob varčevanju z baterijo, prenehajo z delovanjem, bosta Google in Apple poskrbela, da bo orodje dovolj varčno, da bo lahko vedno delovalo v ozadju.

Po zagotovilih vodstev obeh družb, naj bi orodje vsebovalo vse potrebne ukrepe za varovanje osebnih podatkov. Okuženi posameznik bi svoje stanje prostovoljno označil v aplikaciji, ki bo nato prek...

86 komentarjev

Končno enotna aplikacija za spremljanje koronavirusa v EU?

vir: Pixabay

vir: Reuters
Reuters - Wojciech Wiewiorowski, evropski nadzornik za varstvo podatkov, je članice EU pozval k razvoju enotne mobilne aplikacije za spremljanje širjenja koronavirusa. Enotna aplikacija naj bi nadomestila trenutno stihijsko uvajanje digitalnega nadzora nad državljani, ki se ga loteva vsaka članica zase, pri čemer bolj ali manj uspešno upoštevajo pravila zasebnosti.

Uvajanje mobilnih aplikacij je sicer sprožilo številna ugibanja ali ne gre za postopno uvajanje nadzora nad državljani, ki bo med nami ostalo tudi po koncu epidemije, spet drugi pa dvomijo v učinkovitost takih aplikacij, ki bo seveda okrnjena, če jih ne bo uporabljala večina prebivalcev.

Evropski nadzornik želi k projektu pritegniti tudi Svetovno zdravstveno organizacijo, po vsem sodeč pa je najbolj navdušen nad aplikacijo, ki naj bi jo te dni zagnali v okviru pobude PEPP-PT (Pan-European Privacy Preserving Proximity Tracing). Ta deluje na podlagi Bluetooth vmesnika in na način, ki je skladen z GDPR. Aplikacija beleži stike z...

22 komentarjev

Facebook in Twitter odstranjujeta neresnične izjave politikov o koronavirusu

Slo-Tech - Pandemija koronavirusa je povzročila tektonske spremembe na Facebooku, ki doslej z redkimi izjemami (npr. neresnice ali zavajanja glede izvedbe volitev) ni vodil uredniške politike in ni posegal v objave na svoji platformi. Spričo izbruha koronavirusa pa so se temeljiteje lotili preverjati resničnosti trditev, ki jih izrekajo visoki politiki. Doslej se je na primer Twitter po lastnih besedah raje motil v smeri, da neresnic ni brisal, kakor da bi izbrisal karkoli preveč.

Tako je Facebook odstranil videoposnetek, na katerem je brazilski predsednik hodil po ulicah in ljudem razlagal, da je hidroksiklorokin učinkovito zdravilo za zdravljenje te bolezni. Posnetek je izbrisal tudi Instagram, ki je prav tako v Facebookovi lasti. Facebook je za The Verge izrecno potrdil, da je bila razlog za izbris trditev o hidroksiklorokinu. Za TechCrunch pa so v Facebooku povedali, da odstranjujejo objave, ki bi lahko povzročile telesno škodo. Hidroklorokin je zdravilo, podobno klorokinu, ki sta v...

46 komentarjev

Med ukrepi vlade tudi sledenje posameznikov brez odredbe sodišča

vir: Pxfuel

Slo-Tech - Predlog zakonskega svežnja ukrepov v času epidemije novega koronavirusa, ki naj bi ga Državni zbor predvidoma obravnaval v sredo, vsebuje tudi nekatera nova pooblastila policije. Med njimi v 104. členu tudi možnost, da bi lahko policisti brez odredbe sodišča od operaterjev mobilnih omrežij pridobivali podatke o lokaciji komunikacijskega sredstva posameznika, za katerega je odrejena karantena ali osamitev, pod pogojem, da se ta s tem strinja. Zakon pa v nadaljevanju govori tudi o možnosti vpeljave takega ukrepa brez posameznikovega soglasja, kot je razumeti drugi odstavek 104. člena, bi lahko o tem odločil pristojni organ po odločbi ali drugem aktu iz zakona, ki določa nalezljive bolezni. V tem primeru bi to najverjetneje bila zdravstvena inšpekcija.

Tisti, zoper katere bi bil uveden tak ukrep, bi morali imeti komunikacijsko sredstvo pri sebi ves čas trajanja ukrepa, sredstvo bi moralo biti ves čas v delujočem stanju, z vključeno možnostjo dostopa do lokacije naprave. Prav tako bi...

66 komentarjev

Švedska oglobila Google zaradi kršitve GDPR

Slo-Tech - Švedski informacijski pooblaščenec (Datainspektionen) je Googlu izrekel 75 milijonov švedskih kron (sedem milijonov evrov) težko globo, ker ni ravnal v skladu z evropsko uredbo o varovanju osebnih podatkov (GDPR). Problematično je izvajanje pravice do pozabe, ki državljanom omogoča zahtevati izbris povezav do člankov z zastarelimi, nerelevantnimi ali neresničnimi osebnimi podatki.

Datainspektionen je leta 2018 začel preiskavo zaradi suma, da Google ni v celoti spoštoval prejšnjih odločb švedskega regulatorja. Zaradi tega so izvedli podroben pregled in ugotovili, da je podjetje kršilo GDPR. Konkretno je šlo za dve pritožbi uporabnikov iz leta 2017 o odstranitvi iskalnih zadetkov. V enem primeru je Google preozko interpretiral, katere spletne naslove je treba odstraniti iz seznamov iskalnih rezultatov. V drugem primeru pa je Google predolgo odločal o odstranitvi.

Drugi problem je, da Google upravljavca spletne strani obvesti o rešeni pritožbi, torej da bo njegov naslov odstranjen...

6 komentarjev

Clearview je svojo pot začel kot igračka bogatašev

vir: Pixabay

vir: The New York Times
The New York Times - New York Times je objavil zgodbo, ki sega v oktober leta 2018. John Catsimatidis, ameriški milijarder, je večerjal v eni od Manhattanskih restavracij, ko je vanjo z neznanim spremljevalcem vstopila njegova hčerka. Catsimatidis je enega od natakarjev zaprosil, naj neznanca fotografira, posnetek pa je naložil v tedaj še neznano aplikacijo in že čez nekaj trenutkov je vedel, da njegova potomka večerja z vlagateljem iz San Francisca, njegov življenjepis ji je tudi poslal v SMS sporočilu. Mladenka je bila upravičeno presenečena, njen oče je namreč uporabljal aplikacijo Clearview AI, še preden je bila ponujena na trgu.

Običajno smrtniki smo zanjo prvič izvedeli v začetku letošnjega leta, ko se je z njeno uporabo pohvalila ameriška policija, pozneje pa je postalo jasno, da orodje že s pridom uporabljajo številni organi pregona po vsem svetu. Clearview, ki bazo fotografij črpa iz malone vseh znanih družbenih omrežij in spletnih iskalnikov, je nato od podjetij, kot sta Google in Facebook...

79 komentarjev

Prepoved end-to-end šifriranja v ZDA?

Reuters - Kot so iz dveh virov izvedeli pri Reutersu, bosta republikanski senator Lindsey Graham in njegov demokratski kolega Richard Blumenthal čez nekaj tednov predstavila zakon, ki naj bi omejil širjenje otroške pornografije na spletu. Zakon cilja na spletne platforme kot sta Facebook in Google, katerih upravljavci po sedanji zakonodaji večinoma sploh niso odgovorni za vsebine, ki jih objavijo uporabniki.

Novi zakon bi to imuniteto izničil, razen, če se bodo podjetja držala nabora najboljših praks, ki ga bo sestavila 15-članska komisija pod vodstvom generalnega tožilca. Kot pravijo dobro obveščeni, se bo ena od zahtevanih praks nanašala tudi na opustitev celostnega oz. end-to-end šifriranja, ki omogoča zaupnost vsebine sporočil med pošiljateljem in prejemnikom. Ni znano, na kak način naj bi to dosegli, a prvi odzivi analitikov kažejo, da bo najverjetneje šlo za obvezno puščanje odprtih stranskih vrat. Gre za zasebnostno in varnostno precej invaziven ukrep, po skorajda složnem mnenju...

32 komentarjev

Facebook Dating ne sme v Evropo

Slo-Tech - Facebook v Evropi ne bo mogel zagnati svoje storitve Facebook Dating, ki jo je pred poldrugim letom preizkusno pokazal v Kolumbiji. Danes je storitev na voljo že v več državah, tudi v ZDA. Gre za storitev, ki bi uporabnikom omogočala iskati partnerje, na voljo pa bi bila le za tiste, ki bi izrecno potrdili, da to želijo. Partnerje bi uporabnikom predlagal izven kroga prijateljev.

Toda v Evropi ne bo šlo. Irski informacijski pooblaščenec je sporočil, da jih je Facebook prvikrat glede te storitve kontaktiral 3. februarja letos. Načrtovani datum izida je bil 13. februar, kar je informacijskega pooblaščenca negativno presenetilo zaradi časovne bližine. Ker Facebook ni predložil nobene dokumentacije o naravi storitve, so pri Facebooku izvedli inšpekcijski nadzor in zasegli ustrezno dokumentacijo. Facebook se je na podlagi teh dogodkov odločil, da izid Facebook Datinga v Evropi odložijo za nedoločen čas.

Facebook se je odzval z izjavo, da zelo pazijo, da bodo novo storitev uvedli na...

40 komentarjev

WhatsApp ima dve milijardi uporabnikov

[dodaj]

Slo-Tech - Po Facebooku je druga aplikacija, ki je presegla mejo dveh milijard uporabnikov, postal WhatsApp. Lahko bi dejali, da je to spet uspelo Facebooku, saj je WhatsApp od leta 2014 v Facebookovi lasti. Za podjetje je odštel 22 milijard dolarjev. Po eni strani je aplikacija priljubljena zaradi brezplačnosti in odsotnosti reklam, naročnine ali drugih motečih elementov. Realisti pa bodo ob tem seveda jadrno dodali, da je to možno, ker je njen lastnik Facebook, ki služi debele milijarde z oglasi in osebnimi podatki, ki mu jih ljudje prostovoljno zaupajo.

Ena izmed pomembnih tem, ko govorimo o aplikacijah za hipno sporočanje, je varnost komunikacije. WhatsApp že dlje časa poudarja, da uporablja šifriranje od pošiljatelja do prejemnika (end-to-end encryption), ki onemogoča prisluškovanje katerikoli tretji stranki (vključi s Facebookom). Facebook vztraja, da se ne bo uklonil pritiskom nekaterih držav - ZDA, Indije, Avstralije, Velike Britanije in drugih - naj vgradi stranska vrata ali vsaj...

26 komentarjev

Izraelska vladajoča stranka objavila podatke vseh volivcev v državi

vir: Thehackernews

vir: The Hacker News
The Hacker News - Spletna aplikacija, ki jo uporablja izraelska vladajoča stranka Likud, je tri tedne pred parlametnarnimi volitvami v državi po malomarnosti razkrila osebne podatke vseh 6,5 milijona izraelskih volilnih upravičencev. Aplikacijo Elektor je razvilo podjetje Feed-b, stranka pa ga je uporabljala za predvolilno obveščanje volivcev. V Izraelu namreč vse stranke pred volitvami v ta namen prejmejo podatke o vseh volivcih, teh pa ne smejo posredovati tretjim osebam in so obenem zadolžene za njihovo varovanje, po volitvah pa so jih dolžne izbrisati.

Kot rečeno je Feed-b podatke naložil v svojo aplikacijo, problem pa je tičal v povsem nezaščiteni kodi za API klic na končno točko; če je uporabnik prišel na spletno stran aplikacije in izbral opcijo "ogled vira strani", so se mu med sicer javno izvorno kodo pokazala tudi administratorska uporabniška imena in gesla. Če jih je nato vnesel, je dobil poln dostop do registra volivcev, ki si ga je lahko po želji tudi prenesel. Spletna stran ob tem ni...

37 komentarjev

Clearview širi svojo aplikacijo po svetu. Tudi v Slovenijo?

vir: Pixabay

vir: Buzzfeednews
Buzzfeednews - Poročali smo že o aplikaciji za samodejno prepoznavo obrazov Clearview, ki jo menda uspešno preizkuša policija v ZDA. Aplikacija ni sporna le z vidika zasebnosti, pač pa tudi zaradi načina pridobivanja svoje baze fotografij. Te namreč spraska s spleta, z vseh pomembnejših družabnih omrežij, kot so Instagram, Twitter, YouTube in Facebook, zaradi česar naj bi ta baza po njihovih besedah obsegala že spoštljive tri milijarde posnetkov.

Takoj po objavi so v pri Clearview od vseh večjih spletnih podjetij prejeli sodne zahteve po prenehanju t. i. scrapinga, med zadnjimi se je prejšnjo sredo odzval še Facebook, ki pa je nanje podobno, a zgolj neformalno zahtevo naslovil tudi glede Instagrama. Pri tem je zanimivo, da je Peter Thiel, član uprave Facebooka, obenem tudi vlagatelj v Clearviewu, svojega, precej kričečega konflikta interesov pa za medije do sedaj še ni želel komentirati.

Medijskemu trušču navkljub pa se Clearview skuša prodati čimveč državam sveta. Pri Buzzfeed so tako...

14 komentarjev

Nizozemsko sodišče: uporaba strojnih algoritmov za tarčno iskanje osumljencev zlorab socialne pomoči nedopustno

Slo-Tech - Nizozemsko sodišče v Haagu je odločilo, da je uporaba algoritma na podlagi strojnega učenja, ki ga je nizozemska država uporabljala za lovljenje izkoriščevalcev socialnih prejemkov, nezakonita. Program Systeem Risico Indicatie (SysRI) je orodje iz strojnega učenja, ki je pregledalo kršitelje zakonodaje s področja socialnega varstva v preteklosti in na podlagi zbranih korelacij preverilo trenutne prejemnike in ocenilo, kdo je najverjetnejši kršitelj. Te so potem inšpektorji tarčno preverjali.

Glavni problem je bilo zbiranje podatkov iz različnih baz, do katerih je imel SysRI potem celovit dostop. Program je bil usmerjen pretežno na prebivalce iz revnih sosesk in manjšine, je dejal poročevalec za revščino in človekove pravice v Združenih narodih Philip Alston. Avtomatizirani sistem je nedolžne ljudi označil kot osumljence na podlagi algoritmov, ki niso bili poznani (black box), zaradi česar je bil sistem tarča številnih kritik.

Humans Right Watch je odločitev označila kot pomembno...

21 komentarjev

Evropski parlament zaloten pri tihem uvajanju prepoznave obrazov?

vir: Wikipedia
theguardian.com - Slab mesec potem, ko je v javnost prišla namera Evropske komisije, da začasno prepove uporabo samodejne prepoznave obrazov na javnih mestih, je v javnost prišla še povsem nasprotna namera evropskega parlamenta (EP). Na eni od strani njihovega intraneta so namreč novinarji Guardiana in zaposleni odkrili zabeležko razprave, v kateri so razpravljali prav o tem, kako bi vpeljava take tehnologije pomagala pri večji varnosti in boljšem nudenju storitev poslancem.

Zapis, ki je nato bliskovito izginil, je nosil naslov "Umetna inteligenca za boljše storitve," in je poleg prepoznave obrazov govoril tudi o prevajanju s pomočjo umetne inteligence ter nasploh o koristnih posledicah pri delovnih procesih, kategoriziranju zaposlenih in najemanju storitev.

Zapis je bil izbrisan potem, ko se je o njem s pismom najvišjim uradnikom predstavniškega telesa, pozanimala nizozemska liberalna poslanka Sophia In’t Veld. V pismu je vodstvo neposredno vprašala o koristih vpeljave take tehnologije, njeni...

24 komentarjev

Google videoposnetke uporabnikov pomotoma poslal neznancem

Slo-Tech - Google je začel obveščati uporabnike, ki so uporabili storitev Takeout, da so njihove videoposnetke morda posredovali naključnim uporabnikom. Incident se je zgodil lani med 21. in 25. novembrom, a uporabnike obveščajo šele sedaj. Prizadetih naj bi bilo 0,01 odstotka uporabnikov Takeouta, medtem ko druge storitve niso imele težav. Napaka je bila omejena le na videoposnetke in ni prizadela fotografij ali drugih vsebin.

Takeout je storitev, ki omogoča izvoz vseh osebnih podatkov in vsebin, ki jih imamo pri Googlu, da naredimo varnostno kopijo ali jih uvozimo kam drugam. Iz javnosti neznanih razlogov pa se je novembra v teh arhivih, ki jih prenesemo z Googlovih strežnikov, znašel tudi kakšen videoposnetek neznancev (in obratno, kakšen je tudi manjkal, ker so ga namesto lastnika dobili neznanci). Google je težav odkril in odpravil, so še zapisali.

Tovrstni spodrsljaji, dasiravno redki, so lahko zelo problematični. Prav tako je bil Google pri razkritju težave zelo redkobeseden,...

7 komentarjev

Anonimizirani podatki niso zelo anonimizirani

Kian Attari in Dasha Metropolitansky

Slo-Tech - Ob vsakem odkritju, da različna podjetja prodajajo ali kako drugače naprej posredujejo podatke svojih strank (zadnji primer je Avast), ta jamejo poudarjati, da gre za anonimizirane agregirane podatke, iz katerih ni možno prepoznati posameznikov. A resnica je nekoliko drugačna. Študenta na Harvardu sta pokazala, da anonimizacija ni enosmerna. V veliko primerih je sorazmerno enostavno iz drobcev informacij identificirati njihovega lastnika.

Kian Attari in Dasha Metropolitansky sta to demonstrirala tudi v praksi. Izdelala sta orodje, ki se prekoplje skozi večje količine uporabniških podatkov. Za začetek je treba poznati drobec osebnih podatkov, denimo uporabniško ime ali elektronski naslov, nato pa orodje prečeše internet in vse pobegle kopice podatkov. Teh ne manjka, saj so napadalci v preteklosti uspešno napadli že številne strani. Čeprav je veliko teh podatkov anonimiziranih, v njih ni težko prepoznati resničnih ljudi. Ključ je v kombinaciji več pobeglih baz podatkov, saj se tako...

15 komentarjev

Facebook plačal pol milijarde dolarjev zaradi prepoznavanje obrazov

Slo-Tech - Facebook se je poravnal v tožbi iz leta 2015 zaradi uporabe tehnologije za prepoznavanje obrazov v Illinoisu. Gre za storitev Tag Suggestions, ki na fotografijah oseb predlaga, koga lahko na njih označimo. Da ta funkcija deluje, mora imeti Facebook tehnologijo za prepoznavanje obrazov in shranjene in obdelane fotografije obrazov svojih uporabnikov. V tožbi so podjetju očitali, da privolitve za tako obdelavo podatkov od uporabnikov ni nikoli dobil.

Čeprav je Facebook ves čas zanikal kakršnokoli nezakonito ravnanje, se je sedaj poravnal. Plačal bo 550 milijonov dolarjev, s čimer bodo pokrili sodne stroške in odškodnine prizadetim uporabnikom. Glede na Facebookove prihodke, ki so v minulem četrtletju presegli 21 milijard dolarjev, dobiček pa 7,3 milijarde dolarjev, je izpogajana poravnava za podjetje skoraj nepomembna. Facebook je poravnavo komentiral z besedami, da je bilo v interesu podjetje in delničarjev, da spor čim prej končajo. Odvetniki nasprotne strani so dejali, da rezultat...

7 komentarjev

Newyorška policija ima laboratorij za odklepanje iPhonov

vir: Pixabay

vir: FOX News
FOX News - NYPD si je za 10 milijonov ameriških dolarjev na spodnjem Manhattnu opremil laboratorij, v katerem za potrebe pregona poskušajo odklepati zaklenjene Applove pametne telefone. Da ne bi do zaplenjenih naprav kdo poskušal dostopati na daljavo in pri tem mimogrede še pobrisal podatke, je prostor izoliran pred elektromagnetnimi valovanji. Prav tako naj bi tam imeli superračunalnik, sposoben generirati 26 milijonov naključnih gesel na sekundo, robota za ekstrakcijo pomnilniških čipov in vse potrebno za popravilo poškodovanih naprav.

Odklepanje poteka po principu brute force, torej z avtomatiziranim vnosom naključnih gesel, ker pa Applovi varnostni mehanizmi to omejujejo na šest neuspešnih poskusov, nato pa se funkcija začasno zaklene, so omejeni na 360 poskusov na uro oz. 8.640 na dan. Odklep jim običajno uspe po 115 dnevih takega početja, njihova uspešnost pa je približno polovična.

Znano je, da Apple preiskovalcem omogoča dostop do podatkov na oblačnem iCloudu, čeprav so vmes menda...

7 komentarjev