12 сентября Яндекс внесли в реестр организаторов распространения информации – как и некоторые другие интернет-компании, например, ВКонтакте и Mail.ru. Судя по вопросам, которые мы получаем со всех сторон, это событие беспокоит многих наших пользователей, и все довольно плохо представляют себе, что происходит. Попробуем объяснить, как сейчас это выглядит с нашей точки зрения.
1 августа вступили в силу поправки к закону об информации. Эти поправки получили неофициальное название «закона о блогерах» – именно это название до сих пор многих путает.
Дело в том, что поправки состоят из двух разных блоков. Первый блок вводит такое понятие как «организатор распространения информации» – этот тот, кто обеспечивает работу систем, позволяющих пользователям обмениваться сообщениями. Согласно принятым поправкам, организаторы обязаны в течение шести месяцев хранить – на территории России – всю получаемую информацию о пользователях своих сервисов и совершенных ими действиях. Речь идёт только о факте совершения того или иного действия – иными словами, организаторы должны хранить, например, всю информацию об отправке того или иного письма или загрузке того или иного файла, но не содержание этого письма или файла.
Важно отметить, что закон не обязывает интернет-компании собирать больше информации, чем они и так использовали, чтобы обеспечить нормальную работу своих сервисов. Они обязаны хранить только то, что уже есть, а не разрабатывать какую-то специальную функциональность для сбора и хранения новых данных. Например, если сервис не предусматривает регистрацию и авторизацию пользователей, он не обязан её вводить. Или если у сервиса нет данных о браузере пользователя – ему не надо начинать собирать эту информацию. Ознакомиться с полным списком данных, которые, согласно закону, необходимо хранить – при условии, что они и так есть у сервиса – можно, например, здесь.
Кроме того, первый блок поправок детализирует процесс предоставления данных уполномоченным органам – тем, которые осуществляют оперативно-розыскную деятельность. По определённой процедуре они могут запросить у организатора информацию о любом пользователе и о действиях, которые он совершал.
Вообще говоря, подобные процедуры существовали и раньше. По закону правоохранительные органы вправе запросить у любой организации необходимую им информацию — при наличии законных оснований и при соблюдении законной процедуры. С этой точки зрения, принципиально ничего не поменялось. Также важно, что доступ к содержимому почтового ящика пользователя – то есть его полученным, отправленным письмам – по-прежнему возможен только на основании постановления суда.
Роскомнадзор начал вести реестр организаторов распространения информации. По требованию правоохранительных органов туда вносится название сервиса и контактные данные его владельцев. Это своего рода адресная книга. Само по себе попадание в реестр ничего не меняет – соблюдать закон о хранении данных обязаны все организаторы, вне зависимости от того, оказались они в реестре или нет.
Блогеров касается второй блок поправок. Согласно ему, у блогеров появляются дополнительные обязанности, схожие с обязанностями СМИ. Появление этих обязанностей зависит от посещаемости – если у блогера больше 3000 посещений в сутки, он должен сам обратиться к Роскомнадзору и зарегистрироваться в другом реестре. Юридически реестр организаторов распространения информации и реестр блогеров – совершенно разные вещи, между собой не связанные. Яндекс внесён именно в реестр организаторов распространения информации.
Моему почтовому ящику, оказывается, уже 11 лет. Внезапно.
Яндекс пафосно дарит мне 11 гигабайт на Яндекс Диске. И что же я с ними буду делать? Я и имеющееся-то пространство не использую вовсе, зачем мне ещё какая-то прорва места?..
2014-09-11 17:51:30
В комментариях пришел интересный вопрос: Как вы считаете, какую стратегию выбрать при продвижении ...
+ развернуть текстсохранённая копия
В комментариях пришел интересный вопрос: Как вы считаете, какую стратегию выбрать при продвижении молодого сайта? Если сайту, скажем, нет и 3 месяцев. По сколько внешних ссылок можно ставить без пессимизации со стороны поисковых систем? По верхам я ответила там. А ниже — более развернутый ответ. Ссылки на молодой сайт выполняют несколько задач: 1. Для быстрой [...]
2014-09-08 14:02:42
... о взломе инфраструктуры Яндекса, данные стали известны ... такого предупреждения от Яндекса, то вашего ...
+ развернуть текстсохранённая копия
Позиция компании Яндекс по поводу случившегося.
За последние несколько часов мы тщательно проанализировали выложенную базу и пришли к следующим выводам.
Речь не идёт о взломе инфраструктуры Яндекса, данные стали известны злоумышленникам в результате фишинга или вирусной активности на заражённых компьютерах некоторых пользователей. Это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени.
О 85% аккаунтов из этой базы нам уже было известно: большинство из них уже несколько лет появляются в подобных списках. Мы предупреждали их владельцев и предлагали сменить пароль, но они этого не сделали. Это означает, что такие аккаунты либо заброшены, либо создавались роботами. Владельцам оставшихся аккаунтов мы сбросили пароль этой ночью, и они не смогут войти в ящик, пока не поменяют его. Если вы не видите такого предупреждения от Яндекса, то вашего аккаунта нет в опубликованном списке, и можно не беспокоиться.
Если мы видим, что аккаунт мог быть взломан — по его присутствию в подобных базах, по тому, как изменилось поведение пользователя после входа в аккаунт, или по другим признакам — мы разлогиниваем пользователя и отправляем его на принудительную смену пароля.
Призывать пользователей проверять себя в списке и менять пароли не нужно. Тех, кто попал или мог попасть в этот опубликованный список, мы уже оповестили и сами просим сменить пароль.
Данные пользователей Яндекса конечно же не хранятся в открытом виде — в этом виде их представили на обозрение злоумышленники. Пароли «утекли» от пользователей, а не из Яндекса. Фишинг и утечка паролей с компьютеров пользователей из-за вирусов — постоянная проблема многих популярных сервисов, а не результат одноразовой и целенаправленной атаки пользователей.
Взлом пароля не означает взлом сервиса. Пароли могут быть скомпрометированы из-за того, что на компьютере пользователя могут быть вирусы, которые передают информацию о персональных данных злоумышленникам. Или «утекли» в результате фишинга, когда сайт злоумышленника выглядит, как настоящий, и пользователь вводит там пару логин/пароль. Бывает и так, что пользователи регистрируются на разных сомнительных сайтах, в качестве пароля выбирая тот же, что и у почтового ящика, с которого происходит регистрация.
В интернете регулярно всплывают «базы паролей». Они могут быть ненастоящими, и до их покупки (с целью наживы на данных, в них содержащихся), горе-хакер не может этого знать. Существуют базы, которые были созданы роботами с единственной целью — чтобы продать. Третий вариант — в подобных базах могут содержаться логины пользователей, пострадавших из-за вирусов на своих компьютерах или фишинга.
Как вы знаете, менее суток назад в Yandex была утечка паролей от почты. Хотя сотрудники компании уверяют, что данные скорее всего от старых аккаунтов, проверить все таки нужно.
В «Яндексе» утверждают, что в открытом текстовом формате пароли не могли попасть к хакерам, даже если бы они взломали серверы компании, так как пароли хранятся у «Яндекса» в зашифрованном виде. В компании также заявили, что в файле, судя по всему, указаны данные от устаревших аккаунтов. Подробнее:http://safe.cnews.ru/news/top/index.shtml?2014/09/08/585182
Проверить можно в специальном сервисе, или посмотреть "руками", есть ли ваша почта в базе.
Как видно из скриншота, данные моей почты находятся в базе злоумышленников. Хотя аккаунт не брошен, я им пользуюсь.
Проверить, находится ли ваша почта в базе, можно, перейдя по этой ссылке.
P.S.
Прошу прощения. Сервис действительно сделал не Яндекс.
