Власти просили Яндекс выдать данные пользователей более 15 000 раз

Власти просили Яндекс выдать данные пользователей более 15 000 раз

Власти просили Яндекс выдать данные пользователей более 15 000 раз

В период с января по июнь текущего года компания «Яндекс» получила от госорганов 15 376 запросов на раскрытие пользовательских данных. Большинство из них были удовлетворены, в 2468 случаях проситель получил отказ.

Наиболее часто власти России и других стран, в которых работает «Яндекс», интересовались данными пользователей «Яндекс.Паспорт» и «Яндекс.Такси» (8867 и 5280 запросов соответственно). Новая статистика в разделении по сервисам опубликована на сайте компании.

Здесь также сказано, что возможность официального обращения к провайдеру с подобными запросами предусматривают законодательства многих стран. В России, например, объем и характер информации о пользователях, которую могут получить силовики, определены в законах «О полиции», «Об оперативно-разыскной деятельности» и других нормативных актах. Запросить такие сведения могут представители МВД, Следственного комитета, прокуратуры, ФАС, ФТС, судов и некоторых других органов.

Если запрос оформлен в соответствии с требованиями действующего законодательства, «Яндекс» обязан на него ответить. При этом ответ на запрос предоставляется только по официальным каналам связи.

«В ответ на запрос компания предоставляет ровно столько информации, сколько необходимо для ответа. А если запрос не соответствует требованиям закона, «Яндекс» его отклоняет. Запросы, пришедшие по неофициальным каналам, например по электронной почте или по телефону, не получают ответа и не учитываются в статистике», — пояснил представитель «Яндекс» в своем комментарии для РБК.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Две уязвимости в Node.js ставят под удар миллионы Windows-приложений

Кураторы проекта Node.js из OpenJS Foundation выпустили обновления с патчами в ветках 24.x, 22.x и 20.x. Апдейты устраняют проблемы, актуальные для приложений Windows и веб-сервисов, использующих JavaScript-движок V8.

По оценкам экспертов, затронуты миллионы серверных и полнофункциональных приложений. Уровень угрозы в обоих случаях определен как высокий.

Уязвимость CVE-2025-27210 представляет собой возможность обхода защиты от path traversal (выхода за пределы рабочего каталога), которая проявляется при использовании API-функции path.join() и возникла из-за неполного патча для CVE-2025-23084.

Ошибка в реализации функции path.normalize() позволяет получить несанкционированный доступ к файлам и папкам с помощью недопустимого имени — такого как CON, PRN, AUX (в Windows резервируются для системных устройств, к которым можно обратиться напрямую).

Уязвимость CVE-2025-27209 классифицируется как HashDoS — возможность вызвать отказ приложения (DoS) через создание множественных коллизий хешей. Проблема была привнесена с выпуском Node.js 24.0.0, который изменил алгоритм вычисления хешей строк.

Реализованная в движке V8 хеш-функция rapidhash ускорила процесс, но при этом также открыла дверь для атак HashDoS. Злоумышленник, контролирующий ввод строк для хеширования, может скормить в хеш-таблицу данные таким образом, чтобы все они попали в один слот.

В результате скорость поиска элементов и вставки новых коллизий упадет, а потребление памяти будет расти, что в итоге приведет к DoS. Знания зерна алгоритма для генерации хеш-коллизий в данном случае не потребуется.

Патчи для Node.js включены в состав сборок 20.19.4, 22.17.1 и 24.4.1. Организациям, использующим Windows-приложения на основе Node.js, рекомендуется приоритизировать обновление.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru