Saudações queridos Khabrovitas.
Digressão líricaComo usuário de um dos recursos "altamente desenvolvidos" do Runet, encontrei uma imagem bastante comum no painel de administração do meu perfil: o spam foi enviado em meu nome.
Para mim, isso se tornou um sinal, já que durante esse tempo (usuário ativo de recursos da Internet desde 1999), enquanto eu usava métodos de acesso aos meus recursos na forma de login e senha, não tive um único caso (pelo menos registrado) de hacking ou vazamento de tais dados. Eu uso uma senha exclusiva para cada recurso, é claro, como muitos usuários experientes, essa senha tem uma raiz comum, mas ainda não é primitiva.
A história de como um usuário simples começou a agir
Digressão líricaExistem milhares de artigos e o mesmo número de métodos para roubar senhas de dispositivos, mas, considerando que a senha é única, ela não me sinalizou para mudar as outras, apenas criou um alarme e um desejo de descobrir como eu perdi a confidencialidade da minha senha.
Antes de tudo, decidi que um dos meus dispositivos poderia estar zumbi. Como quase não uso uma VPN, e mais ainda no caso deste recurso, decidi comparar os logs de acesso com os meus dados para verificação. Após uma breve pesquisa, descobri que o recurso não possui uma função de software para acesso do usuário a essas informações. Por isso, escrevi em apoio ao pedido
forneça-me esta informação:
Saudações, descobri que as mensagens de spam estão sendo enviadas da minha conta. Você precisa descobrir em qual dispositivo isso estava acontecendo para tentar determinar como os invasores receberam a senha da minha conta. Posso obter informações sobre os fatos de acesso ao meu perfil?
Para o qual recebi uma resposta:
Agente de suporte:
Olá usuário.
Percebemos sinais de hackers em seu perfil. As ferramentas com as quais o hacking foi realizado são desconhecidas para nós.
Como vemos, você já alterou a senha da sua conta pessoal e recomendamos alterar a senha do email.
Após inserir o perfil, verifique se seu nome, número de telefone e cidade estão especificados corretamente na seção Configurações (https: //www.service.ru/profile/settings).
Como proteger o perfil contra hackers pode ser lido aqui: (https: //support.service.ru/articles / ...)
Bom humor e transações bem-sucedidas no Serviço.
Como você pode ver, não houve resposta concreta para minha pergunta, e os seguidores foram recomendações amigáveis. Bem, eu tive que escrever novamente:
Obrigado pela resposta, mas é possível ver endereços IP ou algum tipo de log? Gostaria de saber se poderia ser um zumbi de um dos meus dispositivos?
E aqui recebo uma rejeição tradicional:
Agente de suporte
Usuário, não divulgamos detalhes para que essas informações não possam ser usadas em detrimento do serviço e dos usuários.
Esperamos a sua compreensão.
Você pode ler sobre como nosso estado define o termo dados pessoais na Lei Federal ou nestas postagens:
O que a Lei Federal Nº 152 sobre Dados Pessoais concede a uma pessoa comum?Por exemplo, o post
Como um usuário comum lutou pelo cumprimento da Lei de Dados Pessoais contém a solicitação usual para a remoção de dados pessoais, que os proprietários negligentes dificilmente concluíram após uma leitura tediosa da Lei de Dados Pessoais. Mas e a perda de tempo para resolver esses problemas se o operador "teimoso" se recusar a fornecer dados ao sujeito? Obviamente, da mesma maneira que um invasor pode fazer uma solicitação em meu nome, você não deve esperar um retorno instantâneo do operador. Nesse sentido, essas ações dos operadores são uma maneira mais confiável de salvar dados do usuário, especialmente se a conta foi invadida.
Persistente e provavelmente um tanto irritante, tento pressionar um funcionário da empresa e emitir o seguinte:
Em muitos serviços respeitáveis, a transferência de tais informações é permitida e às vezes está disponível para o usuário.
Além disso, peço informações sobre o invasor. Então, quem acaba usando essas informações em detrimento?
Você retém as informações que o usuário solicita a você, suas pessoais, porque esta é a minha conta no seu serviço. Nesse contexto, não sou terceiro e tenho todo o direito de exigir essas informações com base em suas próprias regras. Assim como você exige dados de seus usuários.
Obrigado, espero entender.
Obviamente, ninguém "imediatamente" forneceu a mim e o funcionário deu uma resposta elaborada:
Agente de suporte
Olá usuário.
Esta informação é classificada. Só podemos fornecê-lo mediante solicitação oficial de órgãos estatais autorizados.
Como o Serviço processa e protege os dados do usuário pode ser encontrado na Seção No. 4 dos Termos de Uso do Serviço e políticas no campo de processamento e segurança dos dados dos usuários do Serviço: (https: //support.service.ru/articles / ...) e (https: / /www.service.ru/safety/personal/company).
Também cumprimos os requisitos da lei federal "Sobre dados pessoais" de 27 de julho de 2006. Você pode entrar em contato com profissionais da área jurídica para obter uma explicação detalhada da lei. O serviço de suporte do Serviço não aconselha sobre questões legais.
Desejamos-lhe um outono quente!
Bem, é isso, aqui eu já estou sentado em calças quentes, em uma cadeira quente.
Bem, a história continua:
Saudações, Agente de Suporte.
Essas informações são fechadas para mim somente se eu decidir ou se o acesso for restrito a mim de acordo com a lei.
Leia você mesmo com os direitos do sujeito dos dados pessoais.
Lei Federal de 27 de julho de 2006 No. 152 FZ Artigo 14. O direito de um titular de dados pessoais acessar seus dados pessoais.
- Tenho o direito de solicitar qualquer informação relacionada aos meus dados pessoais.
"Você está violando meus direitos de usuário."
- Você coleta informações técnicas sobre meus dispositivos, analisa e ganha dinheiro com isso.
Por sua vez, eu uso seu serviço, considere trabalhar para você. Você me trouxe o menor benefício possível ao longo dos anos de operação em tais serviços.
Se você me fornecer informações que sejam inconvenientes ou não sistematizadas, solicitarei um upload completo das informações para análise.
Se você pretende me recusar novamente, forneça provas.
Se você não estiver envolvido em questões legais, consulte os envolvidos.
Obrigado pelo outono quente.
Aqui o assistente pessoal do usuário "furioso" entra em jogo:
Agente de suporte
Boa tarde
Meu nome é Daniel, sou especialista em sinistros.
De acordo com a sua situação, verifico as informações adicionalmente. Com base no resultado da verificação, definitivamente retornarei a você com a resposta.
Depois de algumas horas, ele emite o seguinte:
Agente de suporte
Olá.
Obrigado pela espera: demorou um tempo para se familiarizar com a situação.
A segurança de suas credenciais tem uma alta prioridade para nós - todas as comunicações com o Serviço passam por canais de comunicação seguros.
Ao mesmo tempo, também precisamos da ajuda dos usuários - sempre aconselhamos:
1) não conte a ninguém sua senha (mesmo para nós);
2) uma senha forte inclui letras, números, seu comprimento é de pelo menos 8 caracteres - portanto, será difícil adivinhar para quem está de fora.
3) verifique regularmente todos os dispositivos dos quais você acessa a Internet em busca de vírus;
4) não clique em links suspeitos. Se você ainda foi a um site onde eles exigem que você digite seu nome de usuário e senha, feche a guia imediatamente.
Para a proteção de seus direitos, entre em contato com as autoridades reguladoras e, por nossa parte, estamos prontos para ajudar na resolução desse problema. Ao mesmo tempo, precisamos de bases legais para fornecer essas informações. Isso pode ser uma solicitação de autoridades policiais / judiciais ou de seu advogado.
Temos um procedimento quando, mediante solicitação oficial (não apenas policiais / agentes judiciais, mas também seu advogado pode enviá-lo), fornecemos essas ou aquelas informações.
Para obter essas informações, eles precisam enviar uma solicitação oficial para o nosso endereço, em papel timbrado da organização, com o selo e a assinatura da pessoa autorizada, bem como os detalhes de contato do contratado, que pode ser contatado em caso de perguntas adicionais, e o número de fax da organização (enviando uma resposta à solicitação por e-mail correio não é fornecido). Se for uma carta do seu representante, ele deverá fornecer adicionalmente uma cópia digitalizada do certificado do advogado.
Uma cópia digitalizada da solicitação deve ser enviada para compliance@service.ru, o original da solicitação deve ser enviado por correio para o departamento jurídico da Service LLC em nome do chefe do departamento de solicitação, chefe S.Z. no endereço: 123456, Moscou, ulitsa, 1
Acredito que no futuro você não encontrará situações semelhantes. Se você precisar de ajuda com o Serviço, escreva, estamos sempre abertos ao diálogo.
E então eu fui abrir as leis e passar meu tempo e "estragar meus olhos":
Obrigado pela resposta detalhada.
Entendo seu interesse em proteger clientes e também vejo uma relutância em divulgar informações fechadas para usuários comuns. Eu posso assumir que você não está interessado nisso, em vez de proteger meus direitos, você os usurpará. Qual é o risco, seja um usuário comum ou um blogueiro conhecido, ele considerará as informações em busca de uma violação de seus direitos ou simplesmente defenderá seu interesse?
Vou lhe dizer o motivo pelo qual estou tão interessado em resolver esse problema. Em todo o meu histórico de uso de senhas (acredito que sou cuidadoso com a segurança), não houve um único hack ou vazamento de senha (pelo menos corrigido). Seu sistema não possui uma notificação sobre a entrada de um novo dispositivo, o cliente não possui um log aberto, como é feito em alguns sistemas. Portanto, é importante que eu descubra informações sobre esse incidente, é desejável que ele seja completo e inalterado (Parte 5 do Artigo 13.11 do Código Administrativo da Federação Russa).
Para proteger meus direitos, a lei não exige contato com as autoridades reguladoras. Se você precisar de motivos legais, aqui estão eles:
Lei Federal de 27 de julho de 2006 No. 152 FZ Artigo 14. O direito de um titular de dados pessoais acessar seus dados pessoais.
O titular dos dados pessoais tem o direito de exigir que o operador esclareça seus dados pessoais, bem como adote medidas prescritas por lei para proteger seus direitos.
As informações são fornecidas ao titular dos dados pessoais pelo operador, mediante solicitação. A solicitação deve conter o número do documento principal que comprova a identidade do sujeito dos dados pessoais: Passaporte emitido Número de TP do Departamento do Serviço Federal de Migração da Rússia na região; informações que confirmam a participação do titular dos dados pessoais nas relações com o operador: o número do usuário é o seguinte, como você pode ver, eu uso o seu site e, de acordo com as suas regras, isso significa o meu acordo com o contrato do usuário. Após firmar acordos adicionais, anexarei uma assinatura digital eletrônica, pois isso é suficiente para enviar uma solicitação em formato digital.
Meus direitos são protegidos por lei. Se você violar a lei, será responsável por violar a lei sobre dados pessoais. Não preciso recorrer à ajuda de um advogado, porque não estou nem um pouco interessado no seu procedimento. Mantenha a burocracia com você.
É melhor você atender a minha solicitação, uma vez que o Artigo 5.39 do Código de Ofensas Administrativas da Federação Russa foi realmente atribuído a você.
Lembre-se de que você deve ter cuidado com a nossa correspondência. O tempo passa, se você esperar três semanas e não houver reação, você ficará sob a falha do operador em fornecer ao sujeito dados pessoais com informações sobre o processamento de seus dados pessoais, parte 4 do art. 13.11 Código Administrativo da Federação Russa.
Espero que, por sua fé, não tenha que enfrentar uma situação semelhante desta vez.
Aguardando sua decisão. Obrigada
ps Eu simpatizo com você como funcionário da empresa, se você seguir minha liderança, isso não trará benefícios à sua carreira, mas quanto mais avançarmos, maiores serão as apostas. Isso é apenas mais interessante, certo?
No momento, estou seguindo com confiança o caminho que o camarada trabalhador descreveu neste artigo:
O mecanismo para o exercício de seus direitos legais pelos proprietários de dados pessoaisA guerra de usuários e operadores pela posse de dados pessoais vem ocorrendo há muitos anos.
De acordo com o passaporte do programa do governo Economia Digital (detalhes
neste artigo), em breve será instalada uma artilharia pesada do lado dos usuários russos como uma maneira simples e eficaz de acessar dados pessoais sem burocracia desnecessária.
Atualmente, a questão da “proteção de big data” se tornou mais relevante, mais parecida com a nacionalização de um recurso poderoso. Durante a consideração das emendas à
lei “Informações, tecnologias da informação e proteção da informação”. Mais detalhes podem ser encontrados
nesta publicação.
Todos os participantes do processo
Do lado do usuário, tudo se parece exatamente com isso, quase ninguém conhece seus direitos e como protegê-los. Mas, pessoalmente, estou interessado em ver isso através dos olhos de outros participantes.
O que o operador faz, a que meios ele está pronto, ele aplicará medidas ao usuário irritante e com que frequência ele encontra esses pedidos? Que
programas de proteção contra tais solicitações as grandes empresas têm e qual a probabilidade de meu caso fluir de acordo com um padrão comprovado, onde elas "me afogarão" na burocracia? Qual é a importância das informações solicitadas pelo usuário nesse caso e pode conter informações que podem ser usadas contra o operador? E é possível usar?
Se você faz uma reclamação a Roskomnadzor, qual o interesse em atender essas reclamações, quanto elas lhe são valiosas? Existe uma diferença entre um recurso pouco conhecido e um grande?
A opinião de especialistas nesta área é interessante. Desculpe se as perguntas acabam sendo frequentes (dê links para consideração). Obrigado pela atenção.