Крадіжки з цифрових валіз YouTube
YouTube таємно переглядає “приватні” відео та зловживає цим. Черговий скандал на цю тему стався минулого тижня.
Наскільки я зрозумів, цього разу організатори конференції відеоігор Sony PlayStation State of Play завчасно підготували відео зі списком ігор для презентації та розмістили їх на YouTube з позначкою «приватне». А це означає, що відео з такою позначкою не може бачити ніхто, крім власника. Але за кілька днів до події список став відомий усім бажаючим і у цьому організатори заходу звинуватили YouTube.
Базується ця підозра на схожі випадки у минулому.
У 2017 році витік трейлер до гри Yoshi’s Crafted World від японської компанії Nintendo напередодні його показу на найбільшій на той час світовій ігровій конференції Е3. На скріншота витоку було видно URL-адресу admin.youtube.com, і тому ТиТруба були змушені провести розслідування та визнати, що виток стався дійсно через адмінський обліковий запис, хоча зробив це тимчасовий підрядник.
У 2022 блогер KSI хотів розіграти під час онлайн-стріму подарункові карти Amazon на загальну суму 10 тисяч доларів, і також розмістив «приватне» відео завчасно, але на момент початку стріму усі карти виявилися погашеними. Блогер наполіг на проведенні внутрішнього розслідування у YouTube, за результатами якого кількох співробітників звільнили.
Також YouTube проводили внутрішнє розслідування за фактом зливу трейлера очікуваної гри GTA VI у 2023.
Тобто проблема існує, проблема давня, але вона досі залишається невирішеною. Кожного разу YouTube проводить розслідування, знаходить винних, звільняє їх, можливо виплачує якісь компенсації, але унеможливити подібні ситуації в подальшому – не може.
Мені це нагадує історію з минулого життя, коли українські аеропорти не могли побороти проблему крадіжок з валіз пасажирів: усі про неї знали, але довгий час не могли нічого зробити.
Як все це стосується нас.
Якщо у когось є технічна МОЖЛИВІСТЬ доступу до інформації - наприклад до бази даних державного додатку – цей «хтось» неодмінно нею скористається, якіми б страшними карами це не загрожувало. Питання лише як скоро. Можна поставити круті системи безпеки, запровадити логування всього і вся, купити DLS, IDS та таке інше. Але все одно, керувати цими системами будуть люди – яких можна підкупити, залякати, шантажувати, пообіцяти безбідне майбутнє, тощо. Та можна просто віддати наказ – якщо це державна установа. Також дані користувачів можна видати за рішенням умовного «печерського суду».
Саме тому, наприклад, деякі VPN-провайдери свідомо унеможливлюють доступ до інформації про клієнтів, і публічно це проголошують. Показовий випадок був зі шведським MullvadVPN.
Іншими словами: якщо навіть у одній з найбагатших компаній Світу з найкращими та найдорожчими фахівцями з кібербезпеки не можуть вирішити цю проблему – то що вже казати про «перших у світі» мамкіних жижиталізаторів. Яких, до речі, неодноразово ловили на примітивній нахабній брехні. І в яких немає більш-менш пристойних фахівців з кібербезпеки. І які взагалі вважають роль кібербезпеки перебільшеною.
Тому кожен раз, коли вносите свої персональні дані у будь-який державний додаток - слід усвідомлювати, що ці дані можуть і будуть використані проти вас: або самими чиновниками, або злочинцями, яким чиновники продадуть ці дані, або злочинцями, які їх отримають без відома чиновників.
І так буде допоки в Україні не буде працюючої системи захисту персональних даних і справедливої судової системи.
Я попередив. Далі вирішуйте самі.
До речі, більшість ренонансних зламів серверів відбувається виключно за допомогою внутрішнього співробітника, який вставляє троянську флешку в сервер.
1. Є дані, які і так ВЖЕ МІСТЯТЬСЯ у якихось державних базах даних. Ваш ІПН, номер паспорта, реєстрація, дипломи і т.п. Це все в десятках БД - від державних, до банків і у всіх місцях, де ви колись працювали. Більше того, якщо ви ФОП, то скан вашого паспорта є у всіх ваших контакторів. Таким чином, дана інформація не є якоюсь супер секретною. Її може отримати будь хто за безкоштовно або за 3 копійки. Таким чином, та ж Дія - це просто збірник ЗАГАЛЬНОВІДОМОЇ інформації про вас (на цьому місті в мене починають летіти шапки із фольги). І якщо ви не користуєтеся Дією саме через те, що ви боїтеся, що ваші дані кудись витечуть - ви просто ідіот, бо це зручно. Тобто, такі дані ви можете сміливо ледь не на паркані писати.
2. Дані, яких немає в українських БД чи взагалі ні в яких БД. Ооооо. Оце вже інша справа. От тут ви маєте 100 разів подумати, перш ніж в якийсь застосунок їх вводити. Наприклад в Резерв+, якщо ви скажімо, живете за кордоном. Або в іншому місті в Україні, і не хочете, щоб про це знали всі. Оскільки цих даних в українських БД немає, і крім як від вас їх ніхто в Україні не отримає.
Тобто треба думати і розуміти різницю між даними. Що куди можна, а що нікуди ні
П.С. Може хтось скаже, що повістку чи щось можна і в Дію прислати. Так її і по пошті за місцем моєї реєстрації в Україні прислати і вважати доставленою, як і планується зробити.
Розумієш яке широке поле для майбутньої вербовки (шантажа) мільонів громадян України.