Wednesday, July 27, 2011

Приватность в Интернете. Dmitry Evteev. Яндекс.Бар – Большой брат следит за тобой.

Я снес Яндекс-бар практически сразу после его установки на компьютер. А устанавливал я его практически сразу после его появления - дабы посмотреть, что это за полезная/бесполезная/вредная фича.

Причиной сноса послужило то обстоятельство, что при первом же выходе в Интернет, Яндекс-бар,  мчался в Яндекс с докладом, что он уже на боевом посту. Т.е., при первом же выходе в Интернет - даже после простого открытия браузера, еще до того, как я куда-либо зайду, у меня на компьютере появлялись куки Яндекса.

А куки у Яндекса живут... более 10 лет. Вот, например, кука, которую я получил прямо сейчас - в момент написания этого поста, в 2011 году то есть:

На практике это означает, что до 2038 года Яндекс будет знать, что к нему зашел тот же самый компьютер, который в него заходил сейчас.
Сотрудники Яндекса, как правило, объяснят, что там нет никаких персональных данных - а только сам факт, что компьютер тот же. И что это делается исключительно для моего же удобства и счастья.

Но только это не совсем так. Точнее, это именно так, пока вы не зайдете в свою Почту Янекса или, например в свой "Мой Круг". А после того, как зайдете, ваши поисковые запросы за более чем 15 лет, будут автоматически увязаны с вашей личностью.
Обернется это когда-то против вас или нет - заранее предсказать невозможно.

В общем, расстался я тогда с Яндекс-баром быстро и без малейшего сожаления.

А многие - не расстались. Что произошло в результате и как это вылилось в скандал с "Утечками Мегафона" и осознанием широкой общественностью, что операторы запроса Яндекса - серьезный инструмент (в т.ч. и конкурентной разведки) -  под катом, в статье Dmitry Evteev "Яндекс.Бар – Большой брат следит за тобой". За наводку спасибо участнику Форума сообщества практиков Конкурентной разведки Vinni.

Далее - цитата


Яндекс.Бар – Большой брат следит за тобой


Возвращаясь к обсуждению инцидента, связанного с утечкой более 8 тысяч смс сообщений сотового оператора "Мегафон", можно утверждать, что выдвинутые предположения ранее частично подтвердились. Утечка произошла в следствии двух факторов: уязвимости на сайте www.sendsms.megafon.ru (Insufficient Authentication) и видимо передачи посещаемых страниц пользователями поисковой системе Яндекс, на компьютерах которых установлен Яндекс.Бар.

Так что-же из себя представляет Яндекс.Бар?


Это панель для широко распространенных браузеров с возможностью поиска по интернету и быстрым доступом к различным интернет-сервисам, как утверждает сам производитель. Хорошо, устанавливаем это волшебное чудо к себе на компьютер, и, не пользуясь его функциями, начинаем обычный серфинг по Интернету. Первый же запрос дублируется на хост bar-navig.yandex.ru:


Собственно, таким же образом, уникальные страницы сайта www.sendsms.megafon.ru, содержащие конфиденциальную информацию самых обычных пользователей и могли просочиться в паблик...

К слову, если заблокировать bar-navig.yandex.ru Яндекс.Бар будет обращаться к backup-bar-navig.yandex.ru.

Идем дальше. Обращаемся к внутреннему ресурсу:


(интересно, куда ушел мой секретный логин и пароль??)

Попутно встречаем другие "полезные" функции Яндекс.Бара:


Это прямо праздник (читай spyware) какой-то! Но, обратимся к лицензионному соглашению, которое где-то с краю весело при установке Яндекс.Бара. Нас интересует 5 раздел "Условия использования отдельных функций Программы":

5.1. Пользователь настоящим уведомлен и соглашается, что при включении в Программе функции показа «Индекса Цитирования» для определения индекса цитирования сайта в интернете, который посещает Пользователь во время использования Программы, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о посещаемом сайте, до момента отключения указанной функции.
5.2. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции показа «Отзывов» для определения количества отзывов на просматриваемую Пользователем во время использования Программы страницу в интернете, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о просматриваемой странице, до момента отключения указанной функции.
5.3. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Точно по адресу» для предоставления Пользователю подсказок с исправленными ошибками ввода, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о символах, введенных в адресную строку браузера, до момента отключения указанной функции.
5.4. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Проверка орфографии» для проверки орфографии текстов в версии программы для Internet Explorer, все тексты, вводимые Пользователем в браузере во время использования Программы, исключая тексты, вводимые в формы ввода паролей, будут анонимно (без привязки к Пользователю) отправляться на автоматизированный сервис проверки орфографии Правообладателя. Исключительное право на словарные базы ОРФО (СБ ОРФО) для русского и украинского языков, используемые в сервисе проверки орфографии, принадлежат компании Информатик: СБ ОРФО © ОРФО™, ООО «Информатик», 2009.
5.5. Пользователь настоящим уведомлен и соглашается, что, при использовании в Программе функции «Перевод слов», перевод слов осуществляется с использованием технологий, разработанных компанией ПРОМТ (http://www.promt.ru). Логи переводов будут анонимно (без привязки к Пользователю) направляться Правообладателю.
5.6. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Определение местоположения», IP-адрес компьютера Пользователя и данные о доступных Wi-FI сетях будут анонимно (без привязки к Пользователю) отправляться на автоматизированный сервис определения местоположения партнера Правообладателя.
5.7. Пользователь может в любой момент отказаться от передачи данных, указанных в п.п. 5.1. – 5.6., отключив соответствующие функции.

Так вот оно как! Оказывается я с этим согласился :) Но в отличии, например, от iPad, который после установки нового ПО обязательно спросит, а желаю ли я, чтобы ПО использовало мое текущее месторасположение и пр., Яндекс.Бар просто решил эти вопросы за меня.

Помимо этого вызывает улыбку следующее утверждение "без привязки к Пользователю" :) т.е. обращение происходит без использования IP-адреса? А если, допустим, в GET-запросе будет присутствовать Vasya.Pupkin@mail.ru? Кроме того, вызывает интерес передаваемый параметр "yandexuid" (это простите что?).


Итак, я не согласен с 5.1. – 5.6 и хочу отключить соответствующий функционал. Лезем в настройки панели Яндекс.Бар и что мы видим? Да ровным счетом ни одного крыжика с именем "отключить" там нет.


Так как же отключить spyware функционал? Оказывается, отключение функций и вывод иконок на панель Яндекс.Бар это одно и тоже. (интуитивно понятно)

Мораль сей басни такова, не устанавливайте к себе на компьютер ничего лишнего, а если устанавливаете новый софт, не поленитесь и изучите лицензионное соглашение. В противном случае, ваша личная жизнь может оказаться достоянием общественности, как у этих счастливчиков – http://mega-sms.ru

P.S. Используйте Фаерфокс! Он плохого не посоветует! :)




No comments: