Китай изменит правила для иностранных ИТ-поставщиков, взбесившие Обаму

Александр Панасенко 17 Апреля 2015 - 11:10

Средства криптографической защиты информации

...

Правительство Китая решило повременить с введением правил, согласно которым иностранные поставщики ИТ-решений для банковского сектора будут обязаны раскрывать свои технологии, из-за неготовности этого проекта.

Об этом сообщает Reuters со ссылкой на официальное уведомление, выпущенное китайскими регуляторами — Комиссией по регулированию в банковской сфере и Министерством промышленности и информационных технологий, передает cnews.ru.

Текст уведомления дает понять, что новые правила нужно доработать. «Финансовые организации банковского сектора и связанные с ними стороны продолжают выдвигать предложения, что можно улучшить в трактовке правил», — говорится в документе. Правительство рассчитывает собрать больше пожеланий перед тем, как дать новым правилам зеленый свет.

В уведомлении не говорится, сколько времени займет доработка проекта. В нем лишь сказано, что правительство планирует сделать новое заявление, когда наступит время.

В марте 2015 г. представитель Министерства финансов США сообщил, что власти Китая решили отложить введение правил вследствие давления США. Это заявление было сделано после проведения в Пекине переговоров министра финансов США Джейкоба Лью (Jacob Lew) с премьером Госсовета КНР Ли Кэцяном (Li Keqiang), вице-премьером Ваном Яном (Wang Yang) и министром финансов КНР Лоу Цзивэем (Lou Jiwei).

Напомним, что о новых правилах впервые стало известно в начале 2015 г. Согласно предложению китайских властей, к 2019 г. 70% иностранных ИТ-продуктов, используемых в китайских финансовых организациях, должны быть подконтрольны Пекину.

Власти Китая впервые решили пойти на столь серьезный шаг, утверждают американские эксперты, указывая на то, что новые правила предоставляют им практически неограниченные возможности — от инспектирования кода до получения ключей шифрования. Наблюдатели из США полагают, что Китай делает это для того, чтобы способствовать развитию местной ИТ-индустрии, так как китайским поставщикам будет проще выполнить требования.

Помимо указанных правил, Пекин планирует принять закон о терроризме. В нем планируется указать, что ключи шифрования должны будут предоставлять любые зарубежные ИТ-компании, например, Apple и Facebook. Это нужно для того, чтобы спецслужбы могли при необходимости получить доступ к любой переписке.

Этот законопроект вызвал резкую критику президента США Барака Обамы (Barack Obama). Он заявил, что вряд ли найдутся компании, готовые выложить перед иностранным государством все карты на стол. Китайские власти на эту критику ответили спокойно. Как заявила пресс-секретарь Министерства иностранных дел Китая Хуа Чуньин (Hua Chunying), любое государство вправе защищать себя, и США должны относиться спокойно к формулировкам внутренних законов в чужих странах.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 23 Января 2026 - 14:41

Утечки информации Случайные утечки Случайное разглашение данных Домашние пользователи

Одноразовые СМС-ссылки годами открывают доступ к личным данным

Одноразовые ссылки, которые сервисы рассылают по СМС для входа или подтверждения действий, на практике часто оказываются вовсе не одноразовыми. Новое исследование показало, что такие URL могут годами оставаться активными и открывать доступ к персональным данным пользователей.

Исследователи собрали данные через публичные СМС-шлюзы — сайты, где отображаются сообщения, отправленные на временные номера.

В общей сложности специалисты проанализировали более 33 млн сообщений, связанных с 30 тыс. телефонных номеров, и извлекли около 323 тысячи уникальных ссылок, ведущих на 10,9 тыс. доменов.

Из примерно 147 тыс. доступных URL удалось выявить 701 конечную точку, раскрывающую персональные данные пользователей. Эти ссылки относились к 177 сервисам. В открытом доступе оказывались имена, номера телефонов, адреса, даты рождения, банковские реквизиты, номера социального страхования и кредитные данные. Во многих случаях одной ссылки хватало для сбора подробного профиля человека.

Особую тревогу вызвал срок жизни таких ссылок. Все 701 URL оставались рабочими на момент проверки. Более половины из них были возрастом от одного до двух лет, ещё 46% — старше двух лет, а некоторые датировались 2019 годом. По словам авторов исследования, чем дольше ссылка остаётся активной, тем выше риск её утечки — через пересылку сообщений, логи, взломанные устройства или повторное использование номеров.

Во всех подтверждённых случаях доступ к данным строился по принципу bearer-link: сама ссылка служила единственным «ключом» и не требовала дополнительной аутентификации. В 15 сервисах по таким URL можно было изменять персональные данные, а в шести случаях — фактически получить доступ к аккаунту пользователя.

Отдельной проблемой стали слабые токены. Около 73% сервисов использовали ссылки с низкой энтропией, которые можно было подобрать. В ряде случаев исследователям удавалось получить доступ к чужим данным менее чем за десять попыток.

Авторы исследования уведомили 150 компаний, чьи сервисы оказались уязвимыми. Ответили лишь 18, а реальные фиксы внедрили только семь. По мнению исследователей, сама модель доверия к СМС-ссылкам как «безопасному» каналу остаётся системной проблемой: пока такие механизмы проектируются ради удобства, а не безопасности, утечки данных будут неизбежны.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »