Grüße liebe Chabrowiten.
Lyrischer ExkursAls Benutzer einer der „hoch entwickelten“ Ressourcen von Runet habe ich im Admin-Bereich meines Profils ein ziemlich häufiges Bild gefunden: In meinem Namen wurde Spam gesendet.
Für mich wurde dies zu einem Signal, da ich während dieser Zeit (seit 1999 aktiver Benutzer von Internetressourcen), während ich Zugriffsmethoden auf meine Ressourcen in Form von Login und Passwort verwendete, keinen einzigen (zumindest registrierten) Fall von Hacking hatte oder Verlust solcher Daten. Ich verwende natürlich für jede Ressource ein eindeutiges Passwort. Wie viele erfahrene Benutzer hat dieses Passwort eine gemeinsame Wurzel, ist aber immer noch nicht primitiv.
Die Geschichte, wie ein einfacher Benutzer anfing, Maßnahmen zu ergreifen
Lyrischer ExkursEs gibt Tausende von Artikeln und die gleiche Anzahl von Methoden zum Stehlen von Passwörtern von Geräten, aber da das Passwort eindeutig ist, hat es mich nicht signalisiert, die anderen zu ändern, sondern nur einen Alarm ausgelöst und den Wunsch, herauszufinden, wie ich meine Passwortvertraulichkeit verloren habe.
Zunächst entschied ich, dass eines meiner Geräte zombiert werden kann. Da ich fast kein VPN verwende, und noch mehr bei dieser Ressource, habe ich beschlossen, die Zugriffsprotokolle zur Überprüfung mit meinen Daten zu vergleichen. Nach einer kurzen Suche stellte ich fest, dass die Ressource keine Softwarefunktion für den Benutzerzugriff auf solche Informationen hat. Dementsprechend habe ich zur Unterstützung der Anfrage geschrieben
Geben Sie mir diese Informationen:
Grüße, ich habe festgestellt, dass Spam-Nachrichten von meinem Konto gesendet werden. Sie müssen herausfinden, von welchem Gerät dies passiert ist, um festzustellen, wie die Angreifer das Kennwort von meinem Konto erhalten haben. Kann ich Informationen über die Fakten zum Zugriff auf mein Profil erhalten?
Auf die ich eine Antwort erhalten habe:
Support-Agent:
Hallo Benutzer.
Wir haben Hacking-Zeichen in Ihrem Profil bemerkt. Die Werkzeuge, mit denen das Hacking durchgeführt wurde, sind uns unbekannt.
Wie wir sehen, haben Sie das Passwort bereits in Ihrem persönlichen Konto geändert. Wir empfehlen, das Passwort per E-Mail zu ändern.
Überprüfen Sie nach Eingabe des Profils, ob Ihr Name, Ihre Telefonnummer und Ihre Stadt im Abschnitt Einstellungen (https://www.service.ru/profile/settings) korrekt angegeben sind.
Informationen zum Schutz des Profils vor Hacking finden Sie hier: (https: //support.service.ru/articles / ...)
Gute Laune und erfolgreiche Transaktionen im Service.
Wie Sie sehen, gab es keine konkrete Antwort auf meine Frage, und die Anhänger waren freundliche Empfehlungen. Nun, ich musste noch einmal schreiben:
Vielen Dank für die Antwort, aber können IP-Adressen oder Protokolle angezeigt werden? Ich frage mich, ob es ein Zombie eines meiner Geräte sein könnte.
Und hier bekomme ich eine traditionelle Ablehnung:
Support-Agent
Benutzer, wir geben keine Details weiter, so dass diese Informationen nicht zum Nachteil des Dienstes und der Benutzer verwendet werden können.
Wir hoffen auf Ihr Verständnis.
Wie unser Land den Begriff personenbezogene Daten definiert, erfahren Sie im Bundesgesetz oder in folgenden Beiträgen:
Was gibt das Bundesgesetz Nr. 152 über personenbezogene Daten einem normalen Menschen?Zum Beispiel enthält der Beitrag
Wie ein gewöhnlicher Benutzer für die Einhaltung des Gesetzes „Über personenbezogene Daten“ kämpfte, die übliche Aufforderung zur Entfernung personenbezogener Daten, die die fahrlässigen Eigentümer nach einer langwierigen Lektüre des Gesetzes „Über personenbezogene Daten“ kaum abgeschlossen haben. Aber was ist mit dem Zeitverlust, um diese Probleme zu lösen, wenn der "hartnäckige" Bediener sich weigert, dem Subjekt Daten zur Verfügung zu stellen? Auf die gleiche Weise könnte ein Angreifer in meinem Namen eine Anfrage stellen, sodass Sie keine sofortige Rückkehr des Betreibers erwarten sollten. In diesem Sinne sind solche Aktionen von Betreibern eine zuverlässigere Möglichkeit, Benutzerdaten zu speichern, insbesondere wenn das Konto gehackt wurde.
Beharrlich und wahrscheinlich ziemlich nervig versuche ich, Druck auf einen Mitarbeiter des Unternehmens auszuüben und Folgendes herauszugeben:
Bei vielen seriösen Diensten ist die Übertragung solcher Informationen zulässig und steht dem Benutzer manchmal zur Verfügung.
Außerdem bitte ich um Informationen über den Angreifer. Wer nutzt diese Informationen zum Nachteil?
Sie halten die Informationen zurück, die der Benutzer von Ihnen, seinem persönlichen, verlangt, da dies "mein" Konto in Ihrem Dienst ist. In diesem Zusammenhang bin ich kein Dritter und habe das Recht, diese Informationen nach Ihren eigenen Regeln von Ihnen zu verlangen. So wie Sie Daten von Ihren Benutzern benötigen.
Vielen Dank, ich hoffe auf Verständnis.
Natürlich hat es mir niemand "sofort" zur Verfügung gestellt und der Mitarbeiter gibt eine ausgearbeitete Antwort:
Support-Agent
Hallo Benutzer.
Diese Informationen sind klassifiziert. Wir können es nur auf offiziellen Antrag autorisierter staatlicher Stellen zur Verfügung stellen.
Wie der Service Benutzerdaten verarbeitet und schützt, finden Sie in Abschnitt 4 der Nutzungsbedingungen des Service und der Richtlinien im Bereich der Verarbeitung und Sicherheit von Benutzerdaten des Service: (https: //support.service.ru/articles / ...) und (https: / /www.service.ru/safety/personal/company).
Wir erfüllen auch die Anforderungen des Bundesgesetzes "Über personenbezogene Daten" vom 27. Juli 2006. Sie können sich an Juristen wenden, um eine detaillierte Erläuterung des Gesetzes zu erhalten. Der Support-Service des Service berät nicht in rechtlichen Fragen.
Wir wünschen Ihnen einen warmen Herbst!
Nun, das ist es, hier sitze ich schon in warmen Hosen, in einem warmen Stuhl.
Nun, die Geschichte geht weiter:
Grüße, Support Agent.
Diese Informationen sind für mich nur geschlossen, wenn ich mich dazu entscheide oder wenn mir der Zugang gemäß den gesetzlichen Bestimmungen beschränkt ist.
Lesen Sie sich mit den Rechten des Betreffs personenbezogener Daten.
Bundesgesetz vom 27. Juli 2006 Nr. 152 FZ Artikel 14. Das Recht einer personenbezogenen Person, auf ihre personenbezogenen Daten zuzugreifen.
- Ich habe das Recht, Informationen zu meinen persönlichen Daten anzufordern.
"Sie verletzen meine Benutzerrechte."
- Sie sammeln technische Informationen zu meinen Geräten, analysieren sie und verdienen damit Geld.
Ich wiederum nutze Ihren Service und denke darüber nach, für Sie zu arbeiten. Sie haben mir über die Jahre des Betriebs bei solchen Diensten so wenig Nutzen wie möglich gebracht.
Wenn Sie mir Informationen zur Verfügung stellen, die für mich unpraktisch oder nicht systematisiert sind, fordere ich einen vollständigen Upload der Informationen zur Analyse an.
Wenn Sie vorhaben, mich erneut abzulehnen, legen Sie Beweise vor.
Wenn Sie nicht in rechtliche Fragen verwickelt sind, wenden Sie sich an die Beteiligten.
Danke für den warmen Herbst.
Hier kommt der persönliche Assistent des "wütenden" Benutzers ins Spiel:
Support-Agent
Guten Tag.
Mein Name ist Daniel, ich bin Schadenspezialist.
Je nach Ihrer Situation überprüfe ich die Informationen zusätzlich. Aufgrund des Ergebnisses der Prüfung werde ich auf jeden Fall mit der Antwort auf Sie zurückkommen.
Nach einigen Stunden gibt er Folgendes aus:
Support-Agent
Guten Tag.
Danke fürs Warten: Es hat einige Zeit gedauert, um sich mit der Situation vertraut zu machen.
Die Sicherheit Ihrer Anmeldeinformationen hat für uns eine hohe Priorität - die gesamte Kommunikation mit dem Service erfolgt über sichere Kommunikationskanäle.
Gleichzeitig brauchen wir auch die Hilfe der Benutzer - wir raten immer:
1) Sagen Sie niemandem Ihr Passwort (auch nicht uns);
2) Ein sicheres Passwort enthält Buchstaben, Zahlen und eine Länge von mindestens 8 Zeichen. Daher ist es für Außenstehende schwierig zu erraten. Ich empfehle, das Passwort alle 2-3 Monate zu ändern.
3) Überprüfen Sie regelmäßig alle Geräte, von denen aus Sie auf das Internet zugreifen, auf Viren.
4) Klicken Sie nicht auf verdächtige Links. Wenn Sie immer noch zu einer Site gegangen sind, auf der Sie Ihren Benutzernamen und Ihr Passwort eingeben müssen, schließen Sie die Registerkarte sofort.
Zum Schutz Ihrer Rechte können Sie sich an die Aufsichtsbehörden wenden. Wir sind unsererseits bereit, Sie bei der Lösung dieses Problems zu unterstützen. Gleichzeitig benötigen wir rechtliche Gründe, um solche Informationen bereitzustellen. Dies kann eine Anfrage von Strafverfolgungs- / Justizbeamten oder von Ihrem Anwalt sein.
Wir haben ein Verfahren, bei dem wir auf offizielle Anfrage (nicht nur Strafverfolgungs- / Justizbeamte, sondern auch Ihr Anwalt kann es senden) diese oder jene Informationen bereitstellen.
Um solche Informationen zu erhalten, müssen sie eine offizielle Anfrage mit dem Siegel und der Unterschrift der autorisierten Person sowie den Kontaktdaten des Auftragnehmers, der bei weiteren Fragen kontaktiert werden kann, und der Faxnummer der Organisation an unsere Adresse auf dem Briefkopf der Organisation senden (eine Antwort auf die Anfrage per E-Mail senden) Mail wird nicht zur Verfügung gestellt). Wenn dies ein Brief Ihres Vertreters ist, sollte er zusätzlich eine Scan-Kopie der Anwaltsbescheinigung vorlegen.
Eine gescannte Kopie der Anfrage muss an Compliance@service.ru gesendet werden. Das Original der Anfrage wird per russischer Post an die Rechtsabteilung von OOO Service gesendet, die an den Leiter der Abteilung für Arbeit mit Anfragen, Leiter S.Z. an der Adresse: 123456, Moskau, ulitsa, 1
Ich glaube, dass Sie in Zukunft nicht auf ähnliche Situationen stoßen werden. Wenn Sie Hilfe beim Service benötigen, schreiben Sie, wir sind immer offen für den Dialog.
Und dann ging ich, um die Gesetze zu öffnen und meine Zeit zu verbringen und „meine Augen zu verwöhnen“:
Danke für die ausführliche Antwort.
Ich verstehe Ihr Interesse am Schutz von Kunden und sehe auch eine Zurückhaltung bei der Verbreitung von Informationen, die für normale Benutzer geschlossen sind. Ich kann davon ausgehen, dass Sie daran nicht interessiert sind. Anstatt meine Rechte zu schützen, usurpieren Sie sie. Was ist das Risiko, ist es ein regulärer Benutzer oder ein bekannter Blogger, wird er die Informationen auf der Suche nach einer Verletzung seiner Rechte berücksichtigen oder wird er einfach sein Interesse verteidigen?
Ich werde Ihnen den Grund nennen, warum ich so interessiert bin, dieses Problem zu lösen. In meiner gesamten Geschichte der Verwendung von Passwörtern (glauben Sie nur, dass ich vorsichtig mit der Sicherheit bin) gab es keinen einzigen Hack oder Passwortleck (zumindest behoben). Ihr System hat keine Benachrichtigung über die Eingabe von einem neuen Gerät, der Client hat kein offenes Protokoll, wie dies in einigen Systemen der Fall ist. Daher ist es für mich wichtig, Informationen über diesen Vorfall zu erhalten. Es ist wünschenswert, dass diese vollständig und unverändert sind (Artikel 13.11 Teil 5 des Verwaltungsgesetzbuchs der Russischen Föderation).
Um meine Rechte zu schützen, ist es gesetzlich nicht erforderlich, die Aufsichtsbehörden zu kontaktieren. Wenn Sie rechtliche Gründe benötigen, dann sind sie hier:
Bundesgesetz vom 27. Juli 2006 Nr. 152 FZ Artikel 14. Das Recht einer personenbezogenen Person, auf ihre personenbezogenen Daten zuzugreifen.
Die betroffene Person hat das Recht, vom Betreiber die Klärung seiner personenbezogenen Daten sowie die gesetzlich vorgeschriebenen Maßnahmen zum Schutz seiner Rechte zu verlangen.
Informationen werden der betroffenen Person vom Betreiber auf Anfrage zur Verfügung gestellt. Der Antrag muss die Nummer des Hauptdokuments enthalten, aus dem die Identität des Subjekts der personenbezogenen Daten hervorgeht: Pass ausgestellt TP-Nr. Der Abteilung des föderalen Migrationsdienstes Russlands in der Region; Informationen, die die Teilnahme der betroffenen Person an den Beziehungen zum Betreiber bestätigen: Die Benutzernummer lautet wie folgt: Wie Sie sehen, verwende ich Ihre Website, und gemäß Ihren Regeln bedeutet dies meine Zustimmung zur Benutzervereinbarung. Nach Abschluss zusätzlicher Vereinbarungen werde ich eine elektronische digitale Signatur beifügen, da dies ausreicht, um Ihnen eine Anfrage in digitaler Form zu senden.
Meine Rechte sind gesetzlich geschützt. Wenn Sie gegen das Gesetz verstoßen, müssen Sie für Verstöße gegen das Gesetz über personenbezogene Daten verantwortlich sein. Ich muss nicht auf die Hilfe eines Anwalts zurückgreifen, da ich an Ihrem Verfahren überhaupt nicht interessiert bin. Behalten Sie die Bürokratie bei sich.
Sie erfüllen meine Bitte besser, da Ihnen Artikel 5.39 des Kodex für Verwaltungsverstöße der Russischen Föderation tatsächlich zugeschrieben wurde.
Denken Sie daran, dass Sie bei unserer Korrespondenz vorsichtig sein sollten. Die Zeit vergeht, wenn Sie drei Wochen warten und keine Reaktion erfolgt, fallen Sie unter das Versäumnis des Betreibers, dem Betreff personenbezogene Daten mit Informationen zur Verarbeitung seiner personenbezogenen Daten zu versehen. 13.11 Verwaltungsgesetzbuch der Russischen Föderation.
Ich hoffe für Ihren Glauben, dass ich mich diesmal nicht einer ähnlichen Situation stellen muss.
Warten auf Ihre Entscheidung. Vielen Dank.
ps Ich sympathisiere mit Ihnen als Mitarbeiter des Unternehmens. Wenn Sie meinem Beispiel folgen, wird dies Ihrer Karriere nicht zugute kommen, aber je weiter wir gehen, desto höher ist der Einsatz. Das ist doch nur interessanter, oder?
Im Moment folge ich zuversichtlich dem Weg, den der fleißige Kamerad in diesem Artikel beschrieben hat:
Der Mechanismus für die Ausübung seiner gesetzlichen Rechte durch Inhaber personenbezogener DatenDer Krieg der Nutzer und Betreiber um den Besitz personenbezogener Daten dauert seit vielen Jahren an.
Laut dem Pass des Regierungsprogramms Digital Economy (Details in
diesem Artikel) wird in Kürze schwere Artillerie auf Seiten der russischen Benutzer installiert, um auf einfache und effektive Weise ohne unnötige Bürokratie auf personenbezogene Daten zugreifen zu können.
Heutzutage ist das Thema „Schutz von Big Data“ relevanter geworden, was eher der Verstaatlichung einer mächtigen Ressource ähnelt. Während der Prüfung der Änderungen des
Gesetzes „Über Information, Informationstechnologien und Informationsschutz“. Weitere Details finden Sie in
dieser Publikation.
Alle Prozessteilnehmer
Von Seiten des Benutzers sieht alles genau so aus, fast niemand kennt seine Rechte und wie man sie schützt. Aber ich persönlich bin daran interessiert, dies mit den Augen anderer Teilnehmer zu sehen.
Was macht der Bediener, was bedeutet, dass er bereit ist zu gehen, wird er Maßnahmen auf den nervigen Benutzer anwenden und wie oft sieht er sich solchen Anfragen gegenüber? Welche Schutzprogramme gegen solche Anfragen haben große Unternehmen und wie wahrscheinlich ist es, dass mein Fall nach einem bewährten Muster abläuft und mich in der Bürokratie „ertränkt“? Wie wertvoll sind die Informationen, die der Benutzer in diesem Fall anfordert, und können sie Informationen enthalten, die gegen den Bediener verwendet werden können? Und ist es möglich zu verwenden?
Wenn Sie eine Beschwerde an Roskomnadzor schreiben, wie interessiert ist es, solche Beschwerden zu erfüllen, wie viel sind sie für ihn wertvoll? Gibt es einen Unterschied zwischen einer wenig bekannten und einer großen Ressource?
Die Meinung von Experten auf diesem Gebiet ist interessant. Entschuldigung, wenn die Fragen häufig auftreten (geben Sie Links zur Prüfung an). Vielen Dank für Ihre Aufmerksamkeit.