Deutsche Bahn продает личные данные своих пассажиров

Deutsche Bahn продает личные данные своих пассажиров

Компания Deutsche Bahn, основной железнодорожный оператор в Германии, решила заработать на продаже персональных данных пассажиров: намерения железнодорожников поделиться личной информацией своих клиентов со страховыми компаниями, банками или сетями ресторанов быстрого питания вызвали волну протестов и возмущения, в связи с чем, руководство DB вынуждено было пойти на попятную.

Крупные клиентские базы очень ценятся на современном рынке. Ни для кого не секрет, что иногда банки даже готовы выдать кредит под «нулевой процент», чтобы получить персональные данные нового клиента, а затем предлагать ему свои новые и новые услуги. Безусловно, государственная железнодорожная компания располагает одной из наиболее полноценных баз данных немецких клиентов: каждый, кто покупал билеты Deutsche Bahn при помощи банковской карты или через интернет, оставил компании информацию о себе.

Именно эту информацию и решили продать железнодорожники сторонним компаниям. Правда, пока в ход пойдут личные данные не всех пассажиров, а только владельцев дисконтной карты BahnCard, участвующих в премиальной программе Bahn-Bonus. Эти пассажиры вскоре будут получать рекламу от партнёров Deutsche Bahn — тех же страховок, банков и ресторанов.

Информация, которой обладают железнодорожники о своих клиентах, весьма существенная: помимо имени-фамилии, номера телефона, домашнего адреса и электронной почты Deutsche Bahn располагает сведениями о цене купленного пассажиром билета, классе вагона, маршруте поездки и месте продажи билета.

«Немецкие железные дороги не продают личные данные пассажиров, – заявляет уполномоченный немецкой компании по защите личной информации господин Крис Невигер, – но располагают возможностями предложить нашим партнёрам напрямую обратиться к клиентам Deutsche Bahn».

Правозащитники совместно с представителями организаций, контролирующих соблюдение прав пассажиров, выразили свое возмущение действиями железнодорожников. Повышенный интерес в обществе по данному вопросу вынудил компанию отказаться от своих намерений продать личные данные пассажиров. «Deutsche Bahn никогда не передавал сведения о пассажирах третьей стороне и не планирует делать этого в будущем», – сказано в официальном пресс-релизе «Немецких железных дорог».

Условия программы Bahn-Bonus фактически предусматривают по умолчанию передачу персональных данных с целью маркетинга, однако клиент, согласившийся на предложение компании, имеет право опротестовать такое использование информации.

Дополнительный заработок на продаже персональных данных пассажиров для «Немецких железных дорог» является не самым необходимым шагом: за прошлый год компания заработала 2,7 миллиарда евро, что на 400 миллионов превышает прибыль за 2011 год. Расходы железнодорожников в 2012 году выросли незначительно: уже на протяжении нескольких лет Deutsche Bahn вынуждена обходиться старыми подвижными составами из-за проблем производителей с поставкой новых поездов. При этом постоянное повышение цен на проезд не останавливает существенный прирост числа пассажиров.

Комментарий главного аналитика InfoWatch Николая Федотова: «Откровенно говоря, я не усматриваю вреда для пассажиров от того, что их потребительские предпочтения будут использованы не одной компанией, а несколькими. Реклама, продвижение, скидки, бонусы и прочий маркетинг с использованием персональных данных всегда более таргетирован.

Следовательно, вызывает меньше раздражения, встречает больший отклик, тратит меньше ресурсов.

Кроме того, я с удовлетворением отмечаю, что оператор персональных данных так и не осуществил сделку. Тем или иным способом он сначала получил мнение аудитории и поступил в соответствии с ним. Хотя нет никаких сомнений, что в соглашении, которое пассажиры заключали при получении дисконтной карты BahnCard, было предусмотрено право оператора использовать данные упомянутым способом. В какой-то менее цивилизованной стране, думаю, данные сначала бы продали, а уже потом случился бы скандал».

Android взламывали через Firefox и старый баг в ядре Linux

Компания Nebula показала эксплуатацию опасной цепочки уязвимостей для Android: устройство можно скомпрометировать на уровне root после одного перехода по вредоносной ссылке. Эксплойт объединяет две проблемы: уязвимость в Firefox 151.0.2 и более ранних версиях браузера, а также старый баг в ядре Linux, который, по данным исследователей, оставался там около 15 лет.

Вместе они позволяют обойти стандартные защитные механизмы Android и получить полный контроль над устройством.

Атака проходит в несколько этапов. Сначала вредоносная веб-страница использует уязвимость в Firefox, чтобы выполнить код или выбраться из песочницы приложения.

Затем в дело вступает баг в ядре Linux: он даёт возможность читать и записывать память ядра, отключить SELinux и повысить привилегии. После этого злоумышленник может установить в систему бинарник su и закрепить root-доступ.

В демонстрации весь процесс занимает считанные секунды. После успешной атаки на устройстве появляется кастомные «живые» обои от исследователей, а рут-шелл становится доступен через Android Debug Bridge. В Nebula также опубликовали PoC-репозиторий CyberMeowfia с логикой адаптации под конкретное железо. По их данным, цепочка работает на устройствах Google Pixel.

Полные технические детали пока не раскрываются: компания уведомила затронутых вендоров и дала им время на исправления. Но опубликованный PoC уже создаёт почву для обратного анализа, так что со временем подробности, скорее всего, всплывут.

Ирония в том, что часть Android-сообщества ждёт раскрытия не только из соображений безопасности, но и как удобный способ рутовать собственные устройства. Для исследователей это баг, для злоумышленников — оружие, а для энтузиастов — потенциальная кнопка «сделать рут».

RSS: Новости на портале Anti-Malware.ru