- если занимаетесь мошенничеством в интернете, то убедитесь, что архив с софтом для этого мошенничества не называется Very Big Fraud Package.zip ("Очень большой пакет для мошенничества"). Чувак, кстати, получил 14 лет тюрьмы, но не за название архива, конечно
https://www.washingtonpost.com/local/public-safety/md-man-who-called-fraud-the-best-job-in-the-whole-world-gets-14-years-in-prison/2018/10/12/cabdb854-cd85-11e8-a3e6-44daa3d35ede_story.html?utm_term=.7ed1f12efbd4

- уязвимость в SQL-мониторе, позволявшая получить доступ к некоторым данным в SQL Monitor
https://www.red-gate.com/products/dba/sql-monitor/entrypage/security-vulnerability-october-2018

- Свежесозданная социальная сеть для дейтинга сторонников Президента США Дональда Трампа начала с утечки данных своих пользователей
https://motherboard.vice.com/en_us/article/mbdwb3/the-donald-daters-trump-dating-app-exposed-a-load-of-its-users-data

- Wall Street Journal пишет о том, что Apple очень извиняется перед китайскими пользователями по поводу взлома их Apple ID аккаунтов. Я писал об этой истории тут, но проблема в том, что даже сейчас из статьи WSJ не ясно, что же именно там на самом деле произошло - ни как был получен доступ к аккаунтам, ни сколько денег при этом украли. Известно только, что аккаунты не были защищены двухфакторной аутентификацией. Какая-то мутная история.

Ко мне обратился читатель с просьбой подсказать ему о ситуации, когда он получил письмо о взломе своих ящиков с требованием заплатить выкуп, иначе много личной информации станет публичной. Я и сам периодически получаю такие письма, вот вчера, например:

(https://alexmak.net/wp-content/uploads/2018/10/Screen-Shot-2018-10-16-at-2.21.14-PM.png)

Еще в июле я писал об этом в Телеграм-канале.

Правда, хакеры в последнее время вообще обленились — часто в письмах нет ни адреса почты, ни пароля. Просто "мы вас хакнули, давайте нам деньги". Лентяи.

Апдейт для libssh, исправляющий очень критическую и в то же время смешную уязвимость:

https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/

Если вместо SSH2_MSG_USERAUTH_REQUEST
отправить сообщение SSH2_MSG_USERAUTH_SUCCESS во время аутентификации, то сервер разрешал аутентификацию без всяких логинов и паролей.

Примерно так:

the vulnerability literally works like this:

me: "can i log in?"

server: "no. you need a password."

me: "hacker voice i'm in"

server: "login successful. you're in"

Я недавно писал про анонсированный Facebook "умный" гаджет для дома - Portal. Он должен обеспечивать видео-звонки с другими устройствами Portal и приложением на смартфонах, а также наличие умного помощника в доме. Во время анонса представители Facebook утверждали, что у Portal не будет рекламы, а данные, собранные Facebook о пользователях Portal (использование приложений, прослушивание музыки в Spotify, и тд) не будут использованы для таргетирования пользователей рекламой.

(https://alexmak.net/wp-content/uploads/2018/10/facebook-portal-8-10.jpg)

В итоге, это оказалось неправдой. То есть часть про "не будет рекламы" все еще пока что правда, а вот с данными как-то нехорошо получилось.


“Portal voice calling is built on the Messenger infrastructure, so when you make a video call on Portal, we collect the same types of information (i.e. usage data such as length of calls, frequency of calls) that we collect on other Messenger-enabled devices. We may use this information to inform the ads we show you across our platforms. Other general usage data, such as aggregate usage of apps, etc., may also feed into the information that we use to serve ads”

Пока что оправдание из серии "мои коллеги имели в виду, что мы не собираемся использовать эти данные для рекламы, но мы можем их использовать". НУ ТАК, КОНЕЧНО, ГОРАЗДО ЛУЧШЕ. Надо быть совершенно упоротым, конечно, чтобы добровольно этот сборщик данных рекламного агентства поставить себе дома.

NSA продолжает радовать интересными опросами в Твиттере
https://twitter.com/NSAGov/status/1052580198435225600

Detroit Free Press рассказывает об эксперименте General Motors, которая на протяжении трех месяцев в 2017 году собирала данные по прослушиванию радио из автомобилей. Детали собираемых данных включали в себя выбор радиостанции, уровень громкости, почтовый индекс владельца.

Какие выводы из этого собирается делать GM и что будет делать с этими данными - пока непонятно, но ясно, что это может быть шагом к таргетированию рекламой водителей прямо в автомобиле. Представитель GM рассказывает, например, о том, что они обнаружили, что владельцы Cadillac Escalade и GMC Yukon (родственные большие внедорожники) будут, скорей всего, слушать разную музыку. А любитель музыки стиля кантри может чаще останавливаться в определенной сети ресторанов традиционной американской кухни. У GM есть приложение Marketplace в мультимедийной системе автомобилей для совершения покупок прямо в автомобилях, и собранная статистика от прослушивания радиостанций может помочь GM при работе с партнерами в этой системе.


GM утверждает, что все собираемые данные анонимизируются, хотя в статье не говорится, давали ли участвующие в эксперименте свое согласие на участие в нем. Все это выглядит соответствующе малоприятно, и еще больше вызывает желание не доверять вообще никому и никогда. Когда подобного поведения ожидаешь от Facebook, то можно предпринять какие-то меры предосторожности, плюс ты знаешь, что Facebook хотя бы старается оберегать данные пользователей (но это у них иногда получается плохо). Когда в работу с данными пользователей лезут автопроизводители, которые, может, и не догадываются, как эти данные можно и нужно хранить, то становится не по себе.

И говоря о сборе данных (как в истории с GM, например). Вчера Apple существенно обновила страницу Конфиденциальность, как компания регулярно делает к выходу новых версий своих операционных систем. На этой странице пользователи могут узнать о тех шагах, которые предпринимает Apple для сохранения конфиденциальной информации своих пользователей и их данных от самой себя, от сторонних приложений и других интересующихся этой информацией. Тут же отражены и те изменения, которые Apple внесла в последние версии iOS и macOS, например улучшения Internet Tracking Prevention в браузере Safari для ограничения слежки за пользователями в интернете. Очень полезная страница для тех, кто верит в то, что Apple действительно считает себя ответственной за сохранность конфиденциальности пользовательских данных (тех, кто не верит и считает это все маркетингом, никакая страница, конечно, не убедит).


В этом разделе сайта компании также можно больше узнать о том, как работают фреймворки машинного обучения Create ML и Core ML, функция ограничения времени работы с приложениями Screen Time, и какие требования с точки зрения конфиденциальности Apple выдвигает к навигационным приложениям для CarPlay.

Кроме этого, вчера Apple также запустила возможность загрузки данных, которые есть у компании "на пользователя". Пока что эта возможность есть у пользователей из Австралии, США, Новой Зеландии и Канады. Я запросил этот архив, но пока что данные не получил (Apple берет 7 дней на сборку данных):

(https://alexmak.net/wp-content/uploads/2018/10/Screen-Shot-2018-10-18-at-11.31.39-AM.png)

Когда архив придет, я расскажу, если обнаружу там что-то интересное. Кроме этих данных, можно запросить также документы, хранящиеся в iCloud Drive, почту iCloud и фотографии iCloud Photos, но эти данные у меня и так есть, поэтому я не видел смысла в их запросе. Часть данных, пишет Apple, может быть недоступна по следующим причинам:

Если какие-либо сведения не были предоставлены, это значит, что они существуют в формате, не подлежащем персональной идентификации, или не связаны с вашим идентификатором Apple ID, зашифрованы сквозным способом и не могут быть расшифрованы или вообще храниться компанией Apple. Кроме того, некоторые данные могли храниться в течение крайне непродолжительного срока и больше недоступны на наших серверах.

Apple достаточно успешно позиционирует себя как компанию, которая не нуждается в пользовательских данных для того, чтобы делать свои сервисы лучше. Глядя на то, как развиваются облачные сервисы конкурентов — той же Google, например — иногда ловишь себя на мысли, что у Google, не предлагающей такой прозрачности, получается лучше. А потом смотришь на то, как ведет себя Facebook с пользовательскими данными, и думаешь "нет, пусть уж лучше как Apple".

Уже прошло больше двух недель с того момента, как в Bloomberg появилась душераздирающая и крышесносящая история про то, как китайские военные втихаря устанавливали на китайской фабрике микрочипы в сервера американской компании SuperMicro. Потом эти сервера якобы оказывались в дата-центрах Apple, Amazon и еще нескольких десятков компаний, и китайские разведчики начинали, видимо, следить за данными на серверах, или доступаться к ним удаленно, или еще что-нибудь не менее ужасное.

С тех пор историю опровергли Apple и Amazon, а также британская разведка и американское министерство национальной безопасности, и еще много кто. Возможно, те "десятки" других компаний, о которых Bloomberg упоминали в статье, могли бы тоже опровергнуть, но мы не знаем, кто они — никаких имен предоставлено не было.


Потом было еще продолжение о якобы микрочипах в портах Ethernet (тоже серверов компании SuperMicro) у какой-то крупной американской телекоммуникационной компании. Эту историю, в свою очередь, опровергли все основные телеком-компании в США. Вчера к этому хору отрицающих знание об этой истории добавился еще директор Службы национальной разведки США Дэн Коатс, который сказал, что "мы ничего такого не видели, но продолжаем наблюдать".

Теоретически, конечно, подобная история может существовать: аппаратные импланты не являются чем-то новым, и что-то подобное могло произойти, происходит сейчас или произойдет в будущем. Но проблема именно этой истории, начавшейся с публикации в Bloomberg, заключается в том, что на данный момент никаких доказательств заявленному в статье нет, и издание хранит гордое молчание по этому поводу. Все иллюстрации в первоначальной статье — тот самый чип на кончике карандаша — это именно иллюстрации, созданные художниками издания.
(https://alexmak.net/wp-content/uploads/2018/10/Screen-Shot-2018-10-05-at-12.15.58-PM.png)

Но подобная история, если Bloomberg так и не предоставит никаких доказательств, все равно будет жить — в качестве "городского мифа", передаваемого и модифицируемого "испорченным телефоном" интернета, возможно, даже обрастая какими-то новыми подробностями. Без реальных фактов, без качественных доказательств пока что статья в Bloomberg превращается в самый большой провал издания в направлении информационной безопасности. А там, глядишь, и до "fake news" недалеко.

1. Интересные результаты опроса, в котором оказалось, что многие люди, пользующиеся WhatsApp, не знают, что сервис принадлежит Facebook
https://spreadprivacy.com/facebook-whatsapp/

(https://alexmak.net/wp-content/uploads/2018/10/facebook-whatsapp-v2-1.png)

2. Что делать, если ваш аккаунт оказался среди затронутых недавним взломом Facebook
https://www.eff.org/deeplinks/2018/10/what-do-if-your-account-was-caught-facebook-breach

3. страничка уязвимости CVE-2018-10933 — той самой, затронувшей libssh. там же Docker-контейнер с уязвимостью, для экспериментов
https://github.com/hackerhouse-opensource/cve-2018-10933

4. кстати, о GitHub. Теперь там поддерживаются Security Alerts для проектов Java/.Net (это когда проект сканируется на предмет устаревших зависимостей).
https://www.zdnet.com/article/github-security-alerts-now-support-java-and-net-projects/

https://www.youtube.com/watch?v=odG2GX4_cUQ

В руках одного чувака - планшет с усилителем сигнала брелка, у второго, возле водительской двери — видимо, устройство, имитирующее ключ. Брелок, по словам владельца автомобиля, лежал далеко в доме, но усилитель помог добросить сигнал. У машины был отключен ввод PIN, а также включён пассивный доступ (когда двери разблокируются при приближении ключа). Интересно, что у меня по соседству так недавно угнали несколько BMW и Mercedes - усилив сигнал от брелка и прокинув команды разблокировки автомобиля. Цифровой доступ без ключа — это удобно, но имеет свои недостатки.

Читатель тут прислал ссылку, которую я дублировать не буду, но прокомментировать хочется:

Городской сервис ремонта цифровых устройств «Чудо техники» до 6 ноября проводит акцию «Диагностика за спасибо». Специалисты подскажут, что именно замедляет работу устройства, есть ли на нем вирусы или шпионские программы, и посоветуют, как решить другие проблемы с техникой. Пройти бесплатную цифровую диагностику можно только один раз, для этого необходимо оформить заявку на сайте проекта. Консультации проводят ежедневно, кроме воскресенья, с 10:00 до 20:00.

Во время проверки мастер не приходит к пользователям домой, а удаленно подключается к их устройствам со своего рабочего компьютера. Для этого нужно иметь доступ к интернету. Сама процедура длится около 20 минут. Абонент увидит все действия мастера и сможет контролировать их. Специалист получит возможность лишь единожды с позволения абонента подключиться к его компьютеру. Доступ будет временным, и повторить попытку мастер не сможет”

Это все, конечно, хорошо, но что-то я не уверен, что это очень хорошая идея пускать удаленно на свой компьютер кого попало и как попало. Допускаю, что они используют какой-нибудь Team Viewer с разовой сессией, но все равно я бы поостерегся таких бесплатных услуг. Понятно, что в канале читатели, которые и сами с подобными задачами на своем компьютере и компьютерах родственников это сделают, но, может, донесите там до окружающих, что осторожность не помешает. "Следи за собой, будь осторожен, "

- 75 тысяч записей с портала для записи в программу страхования здоровья в США. Непонятно, какие именно данные утекли.

https://www.zdnet.com/article/hackers-steal-data-of-75000-users-after-healthcare-gov-ffe-breach/

- Взлом сразу 8 сайтов одной компании, где взрослые люди делились обнаженными фотографиями своих партнеров (но зачем?). Сайты какие-то древние, но они все равно функционировали, и недавно всплыл 98МБ файл с IP-адресами, с 1,2 млн адресов электронной почты пользователей, именами и паролями, зашифрованными каким-то древним алгоритмом Descrypt
https://arstechnica.com/information-technology/2018/10/hack-on-8-adult-websites-exposes-oodles-of-intimate-user-data/

- просто эпичная история о том, как чувак запросил в рамках системы прозрачности местного правительства метаданные о переписке правительства города Сиэтла с жителями города, и в ответ случайно получил 32 млн записей, включая 256 первых букв из каждого письма, где можно было найти и номера кредиток, и пароли, и информацию о расследованиях ФБР, и много всего другого интересного. Когда он сообщил в IT-отдел города об их факапе, те заставили чувака данные удалить. Но вся история сама по себе прекрасная просто, включая тот факт, что чувак заплатил за эти данные 40 долларов.

https://mchap.io/that-time-the-city-of-seattle-accidentally-gave-me-32m-emails-for-40-dollars4997.html

Издание Bloomberg, опубликовавшее статью о якобы китайских шпионских чипах в серверах SuperMicro, использующихся в датацентрах Apple, Amazon и других компаний, продолжает хранить гордое молчание, несмотря на призывы всех, кого только можно, либо предоставить доказательства об истории, изложенной в той статье.

Я внимательно слежу за этой историей, потому что мне очень интересно, чем она закончится, поэтому я постоянно публикую свежие обновления, появляющиеся по этой теме. С момента последней заметки:

1. Тим Кук в телефонном интервью BuzzFeed призвал издание отозвать статью, сказав, что в ней нет правды касательно Apple:

“There is no truth in their story about Apple. They need to do the right thing and retract it."


2. С этим же призывом выступил Энди Джесси, руководитель направления AWS в Amazon:

@timcook is right. Bloomberg story is wrong about Amazon, too. They offered no proof, story kept changing, and showed no interest in our answers unless we could validate their theories. Reporters got played or took liberties. Bloomberg should retract.

3. СЕО компании SuperMicro — производителя этих серверов — тоже передал заявление CNBC о том, что Bloomberg должны отозвать статью. При этом компания запускает дополнительно исследование серверов на предмет посторонних чипов.

4. Журналисты The Washington Post также призывают Bloomberg предоставить доказательства или отозвать статью, иначе репутация издания и их отдела расследований пострадает.

Есть закономерный вопрос по поводу того, почему Apple и Ко не подадут в таком случае на Bloomberg в суд. Все-таки речь идет о репутации публичных компаний, и подобная статья приводит к изменению стоимости этих компаний, что в численном выражении может составлять миллиарды долларов (правда, денег акционеров, а не денег компаний, но публичные компании обязаны делать все для сохранения стоимости для акционеров). Если нарисовать более темный сценарий, то обвинения Китая в таких действиях — это вообще ситуация, которая при неудачном стечении обстоятельств могла бы и к войне привести. Так что это не просто "статейка", это серьезный материал в серьезном издании, и если материал оказался не соответствующим действительности, то издание должно взять на себя ответственность. Возможно, если Bloomberg продолжит настаивать на своей точке зрения, не отзовет статью и не предоставит дополнительных доказательств, то Apple и Amazon подадут в суд на издание. Если же Bloomberg опубликует дополнительные материалы, тогда будет еще более весело.

В качестве бонуса для тех, кто дочитал сюда, хочу дать дополнительную ссылку на большой материал-исследование заявлений, сделанных Bloomberg в статье. Из нее вы узнаете, что технические детали, опубликованные в Bloomberg, не соответствуют действительности и реальности. Примеры с подобными встроенными чипами, по мнению авторов STH, не могут работать так, как это описано в статье Bloomberg. Короче, я очень рекомендую почитать статью на ServerTheHome.

‌Злоумышленники взломали системы авиакомпании Cathay Pacific и её подразделения Hong Kong Dragon Airlines Limited, и получили доступ к данным 9,4 млн клиентов компании. Данные клиентов компании, которые могли быть затронуты во время незаконного доступа, включают в себя (но варьируются от пассажира к пассажиру):
паспортные данные,
дату рождения
информацию о идентификационных картах,
контактную информацию,
информацию о банковских картах (небольшое количество),
историю перелетов.  

Пароли пользователей не были затронуты. Взлом произошел в марте.

В новостном разделе сайта компании тихо. На фоне этого всего политика конфиденциальности компании и список хранимых данных на пассажиров читается в новом ключе.

https://www.cathaypacific.com/cx/en_US/legal-and-privacy/customer-privacy-policy.html

(иногда мне кажется, что либо глючит плагин репоста из Вордпресса, либо разработчики Телеграма ежедневно переписывают парсер HTML, либо же глючу я и мы все давно умерли и живем в параллельной реальности. простите, был напуган)

Пользователям iOS 12 может быть полезно воспользоваться Шорткатом для проверки адреса электронной почты на предмет наличия в различных источниках утекшей за последние несколько лет информации (хотя, подозреваю, читатели канала давно это уже сделали без всяких шорткатов). Ссылка на шорткат:
https://www.icloud.com/shortcuts/12f9efa03ada4d2a9876f6647d94e8c3

(автор)

Шорткат отправляет запрос с адресом электронной почты по API на сайт HaveIBeenPwned.com, и выдает список сайтов, в утечках которого зарегистрирован указанный адрес. Дальше все в ваших руках — изменить пароли на этих сайтах, если вы еще не меняли их, и разработчики сайта не сбросили его автоматически, и убедиться, что эта комбинация логина и пароля не используется на других сайтах.

Лонг-рид, но очень интересный. О компании, которая скупала приложения в Google Play Store, а затем скрытно трекала поведение пользователей в этих приложениях. На основе собранной информации компания тренировала ботов, чтобы их поведение было похожим на человеческое. С помощью этих тренированных ботов компания, скупавшая приложение, могла обманывать системы детекции фрода при показе рекламы, и таким образом генерить сотни миллионов долларов на показах рекламы фейковым ботам.

https://www.buzzfeednews.com/article/craigsilverman/how-a-massive-ad-fraud-scheme-exploited-android-phones-to

Схема, как это все работает:
(https://alexmak.net/wp-content/uploads/2018/10/sub-buzz-29656-1540235855-3.jpg)

В битве Apple против компании Grayshift, которая продает правоохранительным органам устройства по получению информации из iPhone (о которых я неоднократно писал в канале), кажется, очередной раунд остался за Apple. (Я сразу уточню, что точной информации о том, каким методом Grayshift научилась получать доступ к iPhone, неизвестно. Известно только, что после подключения к их коробочке устройство начинало перебирать пароли, и если пароль был 4-значный, то достаточно быстро устройство начинало сливать содержимое памяти устройства. Точные методы происходящего, да и вообще любая дополнительная информация были достаточно расплывчаты).

Издание Forbes пишет, что, по информации от множества источников, устройства GrayKey больше не могут перебирать пароли на устройствах с iOS 12. На таких гаджетах GrayKey может доставать только незашифрованные файлы (все пользовательские файлы в iOS шифруются по умолчанию), а также некоторые метаданные - размеры файлов и структуру папок. И похоже, что речь не о USB restrictions mode, о котором я также много писал, а именно о блокировке доступа к зашифрованным файлам. Будет очень интересно посмотреть, смогут ли Grayshift обойти эту блокировку, потому что эта игра в кошки-мышки очень увлекательная.

Медуза опубликовала материал о том, как оператор городского WiFi в Москве следит за пользователями и пытается таргетировать рекламу пользователям на основе собранных им данных. Однажды попав в базу МТ, пользователи "отдают" провайдеру MAC-адрес своего устройства, после чего тот, наводнив город своими базами WiFi, начинает эту информацию использовать для дополнения другой информацией и отслеживания привычек.

Однажды попав в базу, профиль пользователя начинает обрастать информацией: в нем сохраняются все его перемещения, данные о поле, возрасте, уровне дохода, интересах (на основании анализа посещаемых через вайфай сайтов), технические характеристики смартфона.

Я не буду спойлить остальную статью, сходите по ссылке и почитайте. Меня удивляет, что компания так гордо рассказывает об этом мониторинге пользователей (я уверен, идентифицировать конкретного человека и его перемещения с имеющейся у МТ и в интернете информации им не составит труда). А уж какой потенциал для того, кто решит, что можно эту информацию получить, например, незаконным образом. Тем более, что факапы с безопасностью этих самых профилей у МТ уже были. Лучше бы во второй части статьи Артем Пуликов из „Максима Телеком“ рассказал о том, они обеспечивают безопасное хранение этой информации от доступа внутри и извне. Или же, например, как в рамках того же GDPR можно было бы попросить компанию удалить все имеющиеся на конкретного пользователя данные.


Сама вся эта история, конечно, далеко не новая, и не МТ её придумала. Именно поэтому, начиная с iOS 8 и Android 5.0, в операционные системы была встроена функциональность рандомизации MAC-адресов при таком "внешнем сканировании" со стороны точек WiFi (подключение к сети все равно раскрывало настоящий MAC-адрес адаптера WiFi). В Android P пошли даже дальше, и научили  операционную систему при подключении к сети отдавать каждый раз новый MAC-адрес. (как минимум, это было в бета-версиях, не уверен, доехала ли эта фича до релиза. кроме того, она, кажется, была выключена по умолчанию. так что у кого Android P — проверьте).
АПД от читателей — пишут, что опция дошла, спрятана в опциях разработчиков и по умолчанию выключена.
Хотелось бы, конечно, побольше таких инструментов. Вот, кстати, очень интересное исследование о рандомизации MAC-адресов в мобильных устройствах (PDF) в тему.

"Нам не стремно. Большинству людей тоже не стремно."
Не стремно им, вы посмотрите на него.

PS
В 2018 году в соцсетях жителей крупных городов появилось много постов, описывающих примерно такую ситуацию: человек проходит мимо кафе, а позже видит в ленте фейсбука рекламный баннер того самого кафе. Сначала это казалось странным совпадением, но со временем стало очевидно, что так часто совпадения не происходят. Технологию, позволяющую следить за пользователями и предлагать им подходящую рекламу, использует компания «Максима Телеком».

Я надеюсь, этот пример должен уменьшить количество любителей теории заговоров "фейсбук слушает мой микрофон, поэтому мне подсовывает соответствующую рекламу". Хоть какая-то польза.

На фоне новостей о слежке за пользователями со стороны WiFi-провайдера в Москве, выступление Тима Кука в Брюсселе вчера смотрится особенно актуально. Выступая на конференции, посвященной конфиденциальности данных (Conference of Data Protection and Privacy Commissioners (ICDPPC)), Тим Кук в достаточно жестких выражениях озвучил то, что происходит сегодня с пользовательскими данными:

"Наша личная информация — от ежедневных событий до глубоко личной информации — используется в качестве оружия против нас с армейской эффективностью. Эти кусочки данных, каждый безвредный сам по себе, аккуратно собираются, синтезируются, обмениваются и продаются. В экстремальных кейсах этот процесс создает живучий цифровой профиль и позволяет компаниям узнавать вас лучше, чем вы знаете себя. Ваш профиль — это куча алгоритмов, которые выдают вам все более экстремальный контент, превращая наши безвредные предпочтения во вред".

Кук не указывал прямо на рекламно-технологических конкурентов вроде Google, Facebook и другие компании, занимающиеся сбором и обработкой пользовательских данных, но было совершенно очевидно, о ком он говорил. Кроме этого, в своем выступлении Тим Кук похвалил принятие и внедрение европейского законодательства по охране пользовательских данных General Data Protection Regulation (GDPR), и призвал американских законодателей на федеральном уровне принять подобный закон. GDPR принуждает компании, хранящие пользовательские данные, обеспечивать максимальную безопасность этим данным (а также обеспечивает право пользователей узнавать, какую информацию хранит компания о нем, и требовать удаления этой информации). Работает ли GDPR на самом деле — это другой вопрос: спама больше не стало, а кто и как там хранит мою информацию на самом деле узнать все еще не просто. (Зато удалось почитать политики конфиденциальности многих сервисов и сайтов и ужаснуться количеству всяких сторонних сервисов, с которыми эти сайты могут делиться теми или иными пользовательскими данными).

Дальше в Твиттере Тим Кук продублировал озвученные во время выступления четыре основных принципа защиты права на сохранность частной информации, которые во многом перекликаются с тем, о чем говорится в акте GDPR:
1. Компании должны либо применять усилия по деперсонализации пользовательских данных, либо не собирать эти данные вообще.
2. Пользователи должны знать, какая информация о них собирается и с какой целью.
3. Компании должны понимать, что данные принадлежат пользователям и должны обеспечивать возможность пользователям получить эту информацию, изменить или удалить.
4. У всех есть право на безопасность своих данных. Безопасность лежит в основе всех прав конфиденциальности данных.

Если есть время, посмотрите видео выступления целиком:
https://www.youtube.com/watch?v=kVhOLkIs20A

Можно любить или ненавидеть Apple, можно относиться к ней индифферентно, но Apple, по сути, практически единственная из крупных технологических компаний, которая занимает четкую позицию по отношению к конфиденциальным пользовательским данным и их безопасности, в том числе и в переговорах с правительствами разных стран. Да, иногда эта позиция бывает "гибкой" и ей приходится соответствовать законодательству этих стран (например, история с Китаем и VPN-клиентами в App Store, когда пришлось удалить несертифицированные правительством Китая приложения из магазина). Возможно, это счастливое совпадение, что позиция также хорошо вписывается в бизнес-модель Apple, когда нет необходимости эксплуатировать пользовательские данные для того, чтобы демонстрировать финансовую состоятельность.

Кто-то может называть это "маркетингом" (как будто это что-то плохое). Важно, что за маркетингом озвученной позиции и подобных выступлений есть масса различных действий Apple в разработке устройств и операционных систем, которые подтверждают, что все эти заявления и выступления — это не пустые слова, а реально позиция компании. Если это помогает Apple продавать больше iPhone — отлично, потому что в результате покупатели получают более безопасные устройства, обеспечивающие сохранность пользовательских данных.