ICD News - wiadomości ze świata prywatności, kontroli nad technologią i bezpieczeństwa

W zeszłym tygodniu zakończyliśmy 1. sezon podcastu ICD Weekend. Nie chcielibyśmy pozostawić Was bez cotygodniowej porcji newsów dotyczących prawa do prywatności, praw cyfrowych, otwartego oprogramowania i szeroko pojętych technologii cyfrowych.

Dlatego startujemy z inicjatywą ICD News, czyli cotygodniowego newslettera w formie prasówki.

W każdym zestawieniu zaprezentujemy najważniejsze dla nas wiadomości opatrzone krótkim komentarzem. Wiadomości zbiera cały nasz zespół, a w formie newslettera ujął je Mateusz Jarczyński.

Zapraszamy!

Link do zestawienia na naszej oficjalnej stronie: https://www.internet-czas-dzialac.pl/icd-news-1/

Przydatne narzędzia

1. Edytor PDF-ów w Firefoksie:

Mozilla dodała możliwość edycji PDF-ów do Firefoksa:

https://www.mozilla.org/en-GB/firefox/features/pdf-editor/

2. „Czyste” wyszukiwanie z udm=14

Strona udm14.com umożliwia wyszukiwanie w Google’u z włączonym parametrem „udm=14”, który sprawia, że nie wyświetlają się widżety i odpowiedzi kontekstowe. Opcję można ustawić trwale w ustawieniach domyślnej przeglądarki. Link do udm14.com można wysłać osobie mniej zorientowanej technicznie, aby mogła zobaczyć wyniki wyszukania bez wspomnianych „gadżetów”.

https://udm14.com/

Działalność UODO:

3. Kara za zgubiony pendrive z danymi

Prezes Urzędu Ochrony Danych osobowych nałożył karę ok. 240 tysięcy złotych na firmę, której pracownik zgubił pendrive’a z niezaszyfrowanymi danymi osobowymi innego pracownika. Kara została nałożona z powodu nieprawidłowej oceny ryzyka (nie uwzględniono możliwości zgubienia nośnika), braku skutecznego wdrożenia szyfrowania nośników oraz braku regularnej ewaluacji stosowanych środków bezpieczeństwa.

https://uodo.gov.pl/pl/138/3095

4. Kara za nieprawidłowe zbierania podpisów

Polecamy wpis o karze nałożonej na Komitet Inicjatywy Ustawodawczej „Stop LGBT” za nieprawidłowo przeprowadzoną zbiórkę podpisów. Kara wyniosła 11 tysięcy złotych. Powodem nałożenia kary przez PUODO było nieprawidłowe zabezpieczenie (a właściwie: brak zabezpieczenia) list poparcia z podpisami oraz danymi osobowymi.

We wpisie Urząd zamieścił obszerny komentarz dotyczący zasad bezpieczeństwa, które należy stosować w czasie zbiórki podpisów (m.in. analiza ryzyka, zabezpieczenie list, ukrycie danych innych osób przez wzrokiem osoby podpisującej).

https://uodo.gov.pl/pl/138/3078

Technologia i prywatność:

5. Rejestrowanie aktywności użytkownika przez Microsoft Recall

Ogromne kontrowersje wzbudził Recall - nowa funkcja narzędzia Copilot, zaprezentowana przez Microsoft. Recall ma pozwalać na prześledzenie swojej aktywności na komputerze w dowolnym momencie w przeszłości za pomocą zrzutów ekranów, które cyklicznie zapisuje. Firma twierdzi, że dane wrażliwe (np. hasła) będą usuwane z plików oraz będzie możliwe wyłączenie funkcji podczas przeglądania określonych stron lub korzystania z określonych aplikacji. Jednak wielu komentatorów wątpi w skuteczność tych rozwiązań i zwraca uwagę na ryzyko wycieku prywatnych danych. Pliki będą przechowywane lokalnie - sprawi to jednak, że włamanie na komputer umożliwi prześledzenie aktywności użytkownika wiele tygodni lub miesięcy wstecz.

https://www.bbc.com/news/articles/cpwwqp6nx14o

oraz

https://scribe.rip/m/global-identity-2?redirectUrl=https%3A%2F%2Fdoublepulsar.com%2Fhow-the-new-microsoft-recall-feature-fundamentally-undermines-windows-security-aa072829f218

6. Odblokowywanie smartfonów za pomocą odcisku palca przez policję w USA

Kalifornijski sąd apelacyjny potwierdził prawo funkcjonariusza policji drogowej do odblokowania smartfona osoby zatrzymanej poprzez przymuszenie tej osoby do przyłożenia palca do czytnika linii papilarnych w jej urządzeniu.

https://gizmodo.com/stop-using-your-face-or-thumb-to-unlock-your-phone-1851438205

7. Utrudnienie śledzenia za pomocą urządzań lokalizujących przez Bluetooth

Apple i Google wypracowało nową specyfikację dla urządzeń umożliwiających lokalizację za pomocą Bluetooth (np. AirTag), która sprawi, że użytkownik zostanie poinformowany, że takie urządzenie znajduje się w jego obecności. Ma przeciwdziałać to śledzeniu osób poprzez „podłożenie” komuś urządzenia lokalizującego. Inne firmy zadeklarowały wdrożenie specyfikacji w swoich urządzeniach.

https://www.apple.com/newsroom/2024/05/apple-and-google-deliver-support-for-unwanted-tracking-alerts-in-ios-and-android/

8. Usunięte zdjęcia pojawiają się na iPhone’ach i iPadach

Użytkownicy iPhone’ów oraz iPadów znaleźli się w niekomfortowej sytuacji, kiedy na ich urządzeniach pojawiły się zdjęcia (oraz prawdopodobnie także wiadomości głosowe), które zostały usunięte ponad 30 dni wcześniej - więc nawet nie było powodu, aby znajdowały się jeszcze w koszu, gdyż system usuwa pliki z kosza po 30 dniach. Apple wypuściło poprawki, nie wyjaśniło jednak w jaki sposób mógł powstać taki błąd, jakich danych dokładnie dotyczył oraz jakie działania wdrożyło, aby zapobiec tej sytuacji w przyszłości.

https://www.theverge.com/2024/5/20/24161152/apple-ios-17-photo-bug

9. AI w Slacku i potencjalnie nieprawidłowa polityka prywatności

Wróciły kontrowersje wokół polityki prywatności oraz wykorzystania danych użytkowników do uczenia maszynowego przez Slacka. Komponent AI w aplikacji został uruchomiony w lutym. Użytkownicy zwracają uwagę, że aplikacja nie informuje wyraźnie o zmianie regulaminu, a także nie zbiera zgód w prawidłowy sposób. Część komunikatów wydawanych przez firmę zaprzecza wykorzystaniu wiadomości użytkowników do trenowania AI, jednak wiadome jest, że część danych użytkowników (interakcje, użycie emotikonów) jest wykorzystywana w ten sposób.

https://arstechnica.com/tech-policy/2024/05/slack-defends-default-opt-in-for-ai-training-on-chats-amid-user-outrage/

Technologia i bezpieczeństwo:

10. Analiza kodów PIN z wycieku

Przeprowadzono ciekawą analizę kodów PIN użytkowników, które zdobyto podczas wycieku danych. Do analizy wykorzystano jedynie liczby poszczególnych kombinacji cyfr sprawdzając ich rozkład. Odnaleziono kilka ciekawych wzorców.

http://www.datagenetics.com/blog/september32012/index.html

11. Symulowany atak na rozpoznawanie znaków drogowych przez samochody autonomiczne

Singapurscy badacze zaprojektowali i przeanalizowali atak polegający na oświetleniu znaków drogowych odpowiednio przygotowanych światłem LED, który sprawia, że znaki przestają być rozpoznawane przez pojazdy autonomiczne. Atak jest niewidoczny dla ludzkiego oka, może jednak zagrozić kierowcom pojazdów Tesli oraz Baidu Apollo.

https://www.theregister.com/2024/05/10/baidu_apollo_hack/

12. YouTube usuwa poradniki jak uniknąć służby wojskowej w Rosji

Na zlecenie rosyjskich władz YouTube usunął co najmniej trzy materiały video, w których radzono, jak uniknąć służby wojskowej w Rosji. Dziennikarze zwracają uwagę, że Google coraz częściej usuwa treści z sieci (głównie z YouTube’a) na wniosek Roskomnadzoru. Ściśle z władzami rosyjskimi współpracuje też wyszukiwarka Yandex, która od początku wojny usunęła ogromne ilości materiałów i linków. Załączony artykuł w j. rosyjskim - tu może się przydać wbudowana w Firefoxa funkcja tłumaczenia artykułów (działa offline):

https://ovd.info/express-news/2024/05/20/youtube-po-trebovaniyu-roskomnadzora-zablokiroval-videoinstrukcii-dlya

Prawo:

13. Komisja Europejska otwiera postępowanie w sprawie zagrożeń dla nieletnich ze strony Facebooka oraz Intagrama

W oparciu o DSA oraz uznanie Facebooka oraz Instagrama za VLOP-y Komisja Europejska rozpoczęła procedurę badającą, czy działanie serwisów, lub niektóre z jego aspektów, nie stanowią zagrożenia dla zdrowia psychicznego nieletnich. Przedstawiciele komisji zwrócili uwagę na uzależniający charakter serwisów, łatwość ominięcia kontroli wieku przez dzieci, promowanie nieprawidłowych wzorców wyglądu ciała oraz „efekt króliczej nory”, który polega na algorytmicznym serwowaniu treści podobnych do tych wcześniej przeglądanych. Podobne śledztwo toczy się także w sprawie TikToka. W osobnym postępowaniu Facebook oraz Instagram są także badane pod kątem wpływu na proces wyborczy.

https://techcrunch.com/2024/05/16/eu-opens-child-safety-probes-of-facebook-and-instagram-citing-addictive-design-concerns/

14. Google dobrowolnie płaci, aby nie dopuścić do procesu

Google (Alphabet) zdecydowało się zaoferować dobrowolną wpłatę, aby pokryć szkodę, jaką w pozwie przeciwko Google wskazał rząd USA. Ma to na celu niedopuszczenie do procesu przed ławą przysięgłych. Departament Sprawiedliwości wraz z kilkoma stanami oskarżył Google o tłumienie konkurencji w zakresie technologii reklamowych, żądał m.in. sprzedaży pakietu menedżera reklam Google, jednak szkodę wycenił tylko na około 1 milion dolarów. Sąd nie zaakceptował jeszcze oferty Google, czekamy na decyzję.

https://www.reuters.com/legal/government/google-cuts-mystery-check-us-bid-sidestep-jury-trial-2024-05-20/

Wolne i otwarte oprogramowanie:

15. Koniec wspracia JPEG-XL w Google Chrome

Google zdecydowało o zakończeniu wsparcia otwartego formatu zapisu plików graficznych JPEG‑XL w przeglądarce Chrome. W komunikacie wskazało na popularność opatentowanego przez nich formatu AVIF i “brak zainteresowania JPEG-XL ze strony ekosystemu”. Przyszłość JPEG-XL jest w tej sytuacji niepewna, co stanowi kolejny przykład tego, jak wielki (nierzadko zły) wpływ na rozwój technologi internetowych (także darmowych i otwartych) mają globalne platformy.

https://www.fsf.org/blogs/community/googles-decision-to-deprecate-jpeg-xl-emphasizes-the-need-for-browser-choice-and-free-formats