Salutations cher Khabrovites.
Digression lyriqueEn tant qu'utilisateur d'une des ressources «hautement développées» de Runet, j'ai trouvé une image assez courante dans le panneau d'administration de mon profil: du spam a été envoyé en mon nom.
Pour moi, cela est devenu un signal, car pendant ce temps (un utilisateur actif des ressources Internet depuis 1999) alors que j'utilisais des méthodes d'accÚs à mes ressources sous forme de login et mot de passe, je n'avais pas un seul cas (au moins enregistré) de piratage ou fuite de ces données. J'utilise un mot de passe unique pour chaque ressource, bien sûr, comme de nombreux utilisateurs expérimentés, ce mot de passe a une racine commune, mais il n'est toujours pas primitif.
L'histoire de la façon dont un simple utilisateur a commencé à agir
Digression lyriqueIl y a des milliers d'articles et le mĂȘme nombre de mĂ©thodes pour voler les mots de passe des appareils, mais Ă©tant donnĂ© que le mot de passe est unique, il ne m'a pas signalĂ© de changer les autres, il a seulement crĂ©Ă© une alarme et un dĂ©sir de savoir comment j'ai perdu la confidentialitĂ© de mon mot de passe.
Tout d'abord, j'ai dĂ©cidĂ© qu'un de mes appareils pouvait ĂȘtre zombiĂ©. Comme je n'utilise presque pas de VPN, et plus encore dans le cas de cette ressource, j'ai dĂ©cidĂ© de comparer les journaux d'accĂšs avec mes donnĂ©es pour vĂ©rification. AprĂšs une courte recherche, j'ai constatĂ© que la ressource ne possĂšde pas de fonction logicielle permettant Ă l'utilisateur d'accĂ©der Ă ces informations. En consĂ©quence, j'ai Ă©crit Ă l'appui de la demande
donnez-moi ces informations:
Salutations, j'ai constaté que des messages de spam sont envoyés depuis mon compte. Vous devez savoir à partir de quel appareil cela s'est produit afin d'essayer de déterminer comment les attaquants ont reçu le mot de passe de mon compte. Puis-je obtenir des informations sur les faits d'accÚs à mon profil?
A laquelle j'ai reçu une réponse:
Agent de support:
Bonjour, utilisateur.
Nous avons remarqué des signes de piratage sur votre profil. Les outils avec lesquels le piratage a été effectué nous sont inconnus.
Comme nous le voyons, vous avez déjà changé le mot de passe de votre compte personnel, et nous vous recommandons de changer le mot de passe par e-mail.
AprÚs avoir saisi le profil, vérifiez si votre nom, votre numéro de téléphone et votre ville sont correctement spécifiés dans la section ParamÚtres (https: //www.service.ru/profile/settings).
Comment protĂ©ger le profil contre le piratage peut ĂȘtre lu ici: (https: //support.service.ru/articles / ...)
Bonne humeur et transactions réussies sur le Service.
Comme vous pouvez le voir, il n'y avait pas de réponse concrÚte à ma question, et les adeptes étaient des recommandations amicales. Eh bien, j'ai dû réécrire:
Merci pour la rĂ©ponse, mais est-il possible de voir des adresses IP ou une sorte de journaux? Je me demande si ce pourrait ĂȘtre un zombie d'un de mes appareils?
Et là , je reçois un rejet traditionnel:
Agent de support
Utilisateur, nous ne divulguons aucun dĂ©tail afin que ces informations ne puissent pas ĂȘtre utilisĂ©es au dĂ©triment du service et des utilisateurs.
Nous espérons pour votre compréhension.
Vous pouvez lire comment notre Ătat dĂ©finit le terme de donnĂ©es personnelles dans la loi fĂ©dĂ©rale ou dans ces articles:
Que donne la loi fédérale n ° 152 sur les données personnelles à une personne ordinaire?Par exemple, le post
Comment un utilisateur ordinaire s'est battu pour se conformer Ă la loi sur les donnĂ©es personnelles contient la demande habituelle de suppression des donnĂ©es personnelles, que les propriĂ©taires nĂ©gligents ont Ă peine achevĂ©e aprĂšs une lecture fastidieuse de la loi sur les donnĂ©es personnelles. Mais qu'en est-il de la perte de temps pour rĂ©soudre ces problĂšmes si l'opĂ©rateur "tĂȘtu" refuse de fournir des donnĂ©es au sujet? Bien sĂ»r, de la mĂȘme maniĂšre, un attaquant pourrait faire une demande en mon nom, vous ne devez donc pas vous attendre Ă un retour instantanĂ© de l'opĂ©rateur. En ce sens, de telles actions des opĂ©rateurs sont un moyen plus fiable de sauvegarder les donnĂ©es des utilisateurs, surtout si le compte a Ă©tĂ© piratĂ©.
Avec persévérance et sans doute plutÎt énervant, j'essaie de faire pression sur un employé de l'entreprise et j'émets ce qui suit:
Dans de nombreux services respectables, le transfert de ces informations est autorisé et parfois disponible pour l'utilisateur.
De plus, je demande des informations sur l'attaquant, alors qui s'avÚre utiliser ces informations au détriment?
Vous refusez les informations que l'utilisateur vous demande, ses informations personnelles, car il s'agit de «mon» compte sur votre service. Dans ce contexte, je ne suis pas un tiers et j'ai le droit de vous demander ces informations en fonction de vos propres rÚgles. Tout comme vous avez besoin des données de vos utilisateurs.
Merci, j'espÚre pour la compréhension.
Bien sûr, personne ne m'a "immédiatement" fourni et l'employé donne une réponse élaborée:
Agent de support
Bonjour, utilisateur.
Ces informations sont classées. Nous ne pouvons le fournir qu'à la demande officielle des organismes publics autorisés.
La maniÚre dont le service traite et protÚge les données des utilisateurs se trouve dans la section n ° 4 des conditions d'utilisation du service et des politiques dans le domaine du traitement et de la sécurité des données des utilisateurs du service: (https: //support.service.ru/articles / ...) et (https: / /www.service.ru/safety/personal/company).
Nous respectons également les exigences de la loi fédérale "Sur les données personnelles" du 27 juillet 2006. Vous pouvez contacter des professionnels du droit pour une explication détaillée de la loi. Le service d'assistance du Service ne conseille pas sur les questions juridiques.
Nous vous souhaitons un automne chaud!
Et bien voilà , je suis déjà assis dans un pantalon chaud, dans une chaise chaude.
Eh bien, l'histoire continue:
Salutations, agent de soutien.
Ces informations ne me sont fermées que si j'en décide ou si l'accÚs est limité à moi conformément à la loi.
Lisez-vous avec les droits du sujet des données personnelles.
Loi fédérale du 27 juillet 2006 n ° 152 FZ Article 14. Droit d'une personne concernée d'accéder à ses données personnelles.
- J'ai le droit de demander toute information relative à mes données personnelles.
"Vous violez mes droits d'utilisateur."
- Vous collectez des informations techniques sur mes appareils, les analysez et gagnez de l'argent dessus.
à mon tour, j'utilise votre service, j'envisage de travailler pour vous. Vous m'avez apporté le moins d'avantages possible au cours des années de fonctionnement de ces services.
Si vous me fournissez des informations qui ne me conviennent pas ou qui ne sont pas systématisées, je demanderai un téléchargement complet des informations pour analyse.
Si vous prévoyez de me refuser à nouveau, fournissez des preuves.
Si vous n'ĂȘtes pas impliquĂ© dans des questions juridiques, rĂ©fĂ©rez-vous aux personnes concernĂ©es.
Merci pour l'automne chaud.
Ici, l'assistant personnel de l'utilisateur "rageur" ââentre en jeu:
Agent de support
Bon aprĂšs-midi
Je m'appelle Daniel, je suis spécialiste des réclamations.
Selon votre situation, je vérifie également les informations. Sur la base du résultat du contrÎle, je reviendrai certainement vers vous avec la réponse.
AprĂšs quelques heures, il Ă©met ce qui suit:
Agent de support
Bonjour
Merci d'avoir attendu: il a fallu du temps pour se familiariser avec la situation.
La sécurité de vos informations d'identification est une priorité pour nous - toutes les communications avec le Service passent par des canaux de communication sécurisés.
En mĂȘme temps, nous avons Ă©galement besoin de l'aide des utilisateurs - nous conseillons toujours:
1) ne communiquez votre mot de passe Ă personne (mĂȘme Ă nous);
2) un mot de passe fort comprend des lettres, des chiffres, sa longueur est d'au moins 8 caractĂšres - il sera donc difficile Ă deviner pour les Ă©trangers, je recommande de changer le mot de passe tous les 2-3 mois.
3) vérifier réguliÚrement tous les appareils à partir desquels vous accédez à Internet pour détecter les virus;
4) ne cliquez pas sur les liens suspects. Si vous ĂȘtes toujours allĂ© sur un site oĂč ils vous demandent d'entrer votre nom d'utilisateur et votre mot de passe, fermez l'onglet immĂ©diatement.
Pour la protection de vos droits, vous pouvez contacter les autoritĂ©s rĂ©glementaires; pour notre part, nous sommes prĂȘts Ă vous aider Ă rĂ©soudre ce problĂšme. Dans le mĂȘme temps, nous avons besoin de bases lĂ©gales pour fournir ces informations. Il peut s'agir d'une demande des forces de l'ordre / des autoritĂ©s judiciaires ou de votre avocat.
Nous avons une procédure lorsque, sur demande officielle (non seulement les responsables de l'application des lois / officiers de justice, mais aussi votre avocat peut l'envoyer), nous fournissons telle ou telle information.
Pour obtenir ces informations, ils doivent envoyer une demande officielle Ă notre adresse sur le papier Ă en-tĂȘte de l'organisation avec le sceau et la signature de la personne autorisĂ©e, ainsi que les coordonnĂ©es du contractant, qui peut ĂȘtre contactĂ© en cas de questions supplĂ©mentaires, et le numĂ©ro de fax de l'organisation (envoi d'une rĂ©ponse Ă la demande par e-mail le courrier n'est pas fourni). S'il s'agit d'une lettre de votre reprĂ©sentant, il doit Ă©galement fournir une copie numĂ©risĂ©e du certificat d'avocat.
Une copie numĂ©risĂ©e de la demande doit ĂȘtre envoyĂ©e Ă compliance@service.ru, l'original de la demande doit ĂȘtre envoyĂ© par courrier au service juridique de Service LLC au nom du chef du dĂ©partement du travail avec le responsable des demandes S.Z. Ă l'adresse: 123456, Moscou, ulitsa, 1
Je crois qu'Ă l'avenir, vous ne rencontrerez pas de situations similaires. Si vous avez besoin d'aide avec le Service, Ă©crivez, nous sommes toujours ouverts au dialogue.
Et puis je suis allé ouvrir les lois et passer mon temps et «me gùter les yeux»:
Merci pour la réponse détaillée.
Je comprends votre intĂ©rĂȘt Ă protĂ©ger les clients et je constate Ă©galement une rĂ©ticence Ă diffuser des informations fermĂ©es aux utilisateurs ordinaires. Je peux supposer que cela ne vous intĂ©resse pas, au lieu de protĂ©ger mes droits, vous les usurpez. Quel est le risque, qu'il s'agisse d'un utilisateur rĂ©gulier ou d'un blogueur de renom, considĂ©rera-t-il les informations Ă la recherche d'une violation de ses droits, ou dĂ©fendra-t-il simplement ses intĂ©rĂȘts?
Je vais vous expliquer la raison pour laquelle je suis si intéressé à résoudre ce problÚme. Dans toute mon histoire d'utilisation des mots de passe (croyez simplement que je fais attention à la sécurité), il n'y a pas eu une seule fuite de piratage ou de mot de passe (au moins corrigée). Votre systÚme n'a pas de notification d'entrée sur un nouveau périphérique, le client n'a pas de journal ouvert, comme c'est le cas dans certains systÚmes. Par conséquent, il est important pour moi de trouver des informations sur cet incident, il est souhaitable qu'elles soient complÚtes et inchangées (Partie 5 de l'article 13.11 du Code administratif de la Fédération de Russie).
Pour protéger mes droits, la loi n'exige pas de contacter les autorités réglementaires. Si vous avez besoin de motifs juridiques, les voici:
Loi fédérale du 27 juillet 2006 n ° 152 FZ Article 14. Droit d'une personne concernée d'accéder à ses données personnelles.
La personne concernée a le droit d'exiger de l'opérateur qu'il clarifie ses données personnelles, ainsi que de prendre les mesures prévues par la loi pour protéger ses droits.
Des informations sont fournies à la personne concernée par l'opérateur sur demande. La demande doit contenir le numéro du document principal prouvant l'identité de la personne concernée: Passeport délivré n ° TP du Département des services fédéraux des migrations de la Russie dans la région; informations confirmant la participation de la personne concernée dans les relations avec l'opérateur: le numéro d'utilisateur est le suivant, comme vous pouvez le voir, j'utilise votre site, et selon vos rÚgles, cela signifie mon accord avec l'accord d'utilisation. AprÚs avoir conclu des accords supplémentaires, je joindrai une signature numérique électronique, car cela suffit pour vous envoyer une demande sous forme numérique.
Mes droits sont protĂ©gĂ©s par la loi. Si vous violez la loi, vous devez ĂȘtre responsable de la violation de la loi sur les donnĂ©es personnelles. Je n'ai pas Ă recourir Ă l'aide d'un avocat, car je ne suis pas du tout intĂ©ressĂ© par votre procĂ©dure. Gardez la bureaucratie avec vous.
Vous feriez mieux de répondre à ma demande, car l'article 5.39 du Code des infractions administratives de la Fédération de Russie vous a effectivement été attribué.
N'oubliez pas que vous devez faire attention Ă notre correspondance. Le temps passe, si vous attendez trois semaines et quâil nây aura pas de rĂ©action, vous tomberez sous lâincapacitĂ© de lâopĂ©rateur Ă fournir au sujet des donnĂ©es personnelles des informations concernant le traitement de ses donnĂ©es personnelles, partie 4 de lâart. 13.11 Code administratif de la FĂ©dĂ©ration de Russie.
J'espĂšre pour votre foi que je n'aurai pas Ă faire face Ă une situation similaire cette fois.
En attente de votre décision. Je vous remercie
ps Je sympathise avec vous en tant qu'employé de l'entreprise, si vous suivez mon exemple, cela ne profitera pas à votre carriÚre, mais plus nous irons loin, plus les enjeux seront élevés. Ce n'est que plus intéressant, non?
En ce moment, je suis en toute confiance le chemin que le camarade travailleur a décrit dans cet article:
Le mécanisme pour l'exercice de leurs droits légaux par les propriétaires de données personnellesLa guerre des utilisateurs et des opérateurs pour la possession de données personnelles dure depuis de nombreuses années.
Selon le passeport du programme gouvernemental Digital Economy (détails dans
cet article), l'artillerie lourde sera bientÎt installée du cÎté des utilisateurs russes comme un moyen simple et efficace d'accéder aux données personnelles sans bureaucratie inutile.
De nos jours, la question de la «protection des mégadonnées» est devenue plus pertinente, ce qui ressemble davantage à la nationalisation d'une ressource puissante. Lors de l'examen des amendements à la
loi «Sur l'information, les technologies de l'information et la protection de l'information». Plus de dĂ©tails peuvent ĂȘtre trouvĂ©s dans
cette publication.
Tous les participants au processus
Du cÎté de l'utilisateur, tout ressemble exactement à ceci, presque personne ne connaßt ses droits et comment les protéger. Mais personnellement, je suis intéressé à voir cela à travers les yeux des autres participants.
Que fait l'opĂ©rateur, dans quels moyens est-il prĂȘt Ă aller, appliquera-t-il des mesures Ă l'utilisateur ennuyeux et Ă quelle frĂ©quence rencontre-t-il de telles demandes? Quels
programmes de protection contre de telles demandes les grandes entreprises ont-elles, et quelle est la probabilitĂ© que mon cas se dĂ©roule selon un modĂšle Ă©prouvĂ©, oĂč elles me «noieront» dans la bureaucratie? Quelle est la valeur des informations que l'utilisateur demande dans ce cas et peuvent-elles contenir des informations pouvant ĂȘtre utilisĂ©es contre l'opĂ©rateur? Et est-il possible d'utiliser?
Si vous écrivez une plainte à Roskomnadzor, dans quelle mesure est-il intéressé à répondre à de telles plaintes, combien sont-elles précieuses pour lui? Y a-t-il une différence entre une ressource peu connue et une grande ressource?
L'avis d'experts dans ce domaine est intéressant. Désolé si les questions s'avÚrent fréquentes (donnez des liens pour examen). Merci de votre attention.