{"id":3879,"url":"\/distributions\/3879\/click?bit=1&hash=3ae3cc7f0de7b3e8392a20caa7b030b077b14da533fc17553614433c391a1402","title":"\u041a\u0443\u0434\u0430 \u0443\u0442\u0435\u043a\u0430\u0435\u0442 \u043c\u043e\u0439 \u0431\u044e\u0434\u0436\u0435\u0442 \u043d\u0430 \u0440\u0435\u043a\u043b\u0430\u043c\u0443?","buttonText":"\u041a \u043c\u043e\u0448\u0435\u043d\u043d\u0438\u043a\u0430\u043c","imageUuid":"f14d918a-59c9-5701-b718-30025e0ce469","isPaidAndBannersEnabled":false}
Жизнь
Вальдес

Соленый Audacity

Как вы думаете, что бы сделала любая нормальная компания после обрушившегося шквала критики в свой адрес от пользователей и признания своего продукта Audacity шпионским ПО в мировых СМИ с призывами удалить его как можно скорее с ПК? Может быть, пересмотрела свою политику или публично извинилась?

Впрочем, зачем гадать, ведь ответ Muse Group не заставил себя долго себя ждать и вчера разработчики Audacity выпустили офицальное разьяснение своей новой политике конфиденциальности, всю суть которого можно передать одной пикчей...

Побробнее ознакомится с ним можно тут

Пока мы тезисно пробежимся по основным пунктам:

1. Не переживайте, в полном обьеме сбор ваших личных данных заработает со следующей версии Audacity 3.0.3 в которой телеметрия будет включена по умолчанию

2. Не переживайте, ваши данные в полной безопасности, мы не будем передавать их напрямую по запросу правоохранительных органов, а только по решению суда в который само собой обратятся правоохранительные органы

3. Не переживайте, мы обещаем что никакую информацию кроме вашего IP-адреса, версии ОС и CPU и сообщения об ошибках мы собирать не будем, также как мы обещали ранее не вводить телеметрию

4. Мы ни в чем нивиноваты, это все вы просто нас не так поняли и наши юристы уже третий мать его третий раз за 2 месяца раз не могут четко сформулировать политику безопасности, такую чтобы вас красиво поиметь без лишних вопросов и вазелина

5. Да че вы пристали к нам, ведь закон нас обязывает сливать ваши данные по решению суда, правда только в том случае если мы сами внедрим телеметрию в своем продукте о которой никто не просил назло своим пользователям

6. Ой все!

Нет, не все, ведь данное разьяснение не более чем пустое балабольство не имеющее юридического силы в отличии от соглашения о конфиденциальности и не отвечающее ни на один конкретный вопрос от комьюнити, главый из которых "а зачем вам мой IP-адрес?", ведь в конечном счете все полученные данные о пользователе привязаны к нему

"С этого места статья мной переработана и дополнена, так как после гугления и спора с разрабом Audacity я так и не вьехал какова грань между геопозицией и определением стран, а также не могу дать ответ является ли геопозиция в качестве страны с юридической точки зрения персональными данными, но есть и хорошая новость IP является 100% персональными данными, поэтому сосредоточусь на нем, а от него уже и геопозиция пляшет"

Хэши с солью и финал

Сначала проясним одну очень важную вещь, IP-адрес является персональными данными согласно GDRP на который ссылается Muse Group, следовательно IP-адрес позволяет вас одназначно идентифицировать через провайдера связи, заметьте что с какой целью собираются IP-адреса как бы отражено и как бы не отражено в соглашении о конфиденциальности, поэтому прежде чем начать разбор напомню что GDRP требует, чтобы в соглашении о конфиденциальности было отражено не только что собирается, в данном случае IP(GDRP закон ЕС о защите персональных данных)

Вернувшись снова к перечитыванию соглашений и обращений от Audacity в последнем сообщение обнаружил весьма занятную формулировку, о том что IP-выступает в роли псевдонима на 24-часа, типа однодневный аккаунт получается, после прошествия суток старый аккаунт удаляется, а новый создается, а потом я заглянул в соглашение о конфиденциальности и там сказано IP-адрес необходим чисто для геолокации по странам и у меня один вопрос "а какого хера?" в соглашении сказано, что IP необходим для поиска страны, а в разьяснении указано что IP необходим только в роли псевдонима для аккаунта однодневки и в том же сука соглашении об конфиденциальности рядом, сказано что IP еще используются для идентицикации хранимых данных ОС, CPU и прочей телеметрии... это как понимать из заявленных трех вариантов использования IP в тексте соглашения о сборе данных прописан лишь один в четко определенном контексте, для геолокации, а не для ключа к телеметрии и связанного с ним аккаунта... Заврались совсем, сами себе противоречат

Финалом данного нагибалова пользователей, является манипуляция со сроками и способом хранения IP-адреса пользователя, так Muse Group делит это время на два этапа, первый этап это те самые 24 часа который IP-адрес хранится в виде хэша с так называемой солью, только эти 24 часа хранится не адрес, а сама соль, то есть дополнительные данные передаваемые в хэш-функцию вместе с IP-адресом для большей рандомизации хэша(уникальности ID), после истечения 24 часов как утверждает Muse Group соль использованная для генерации хэша удаляется, что делает задачу восстановления IP-адреса из хэша практически нереальной, но самое интересное состоит в том, что уже не подлежащий восстановлению хэш зачем то хранится еще в течении года, после прошествии года он удаляется, однако в лицензионном соглашении сказано что собранные данные пользователя не удаляются и продолжают хранится, так как без хэша они становится обезличенной, проясню этот момент, обезличенной считается та информация по которой в данном случае нельзя восстановить IP-адрес, то есть компания фактически прямым текстом говорит что есть способ восстановления IP-адреса в течении года, ведь в если бы его не было то хэш становился обезличенным через 24 часа после которых поменялась бы изначальная его соль и он бы стал попросту невосстанавливаемым раз и навсегда, но так как мы знаем что чудес не бывает и что восстановить хэш сгенерированный с солью можно только с той самой солью которая была в момент генерации, значит они хранят соль.

Хотя я думаю, что это еще не финал, на вопрос че вы делаете с хэшем моего IP целый год разрабы молчат, бредовые по моему мнению их рассказы про то, что удалить хэши очень сложно с диска, ага да бля, но при этом каждый день создавать бамп телеметрии под новый хэш, ведь у него поменялась соль это норм? Тогда какой вообще реальный смысл в такой телеметрии, ведь один и тот же юзер зашедший в Audacity сегодня, завтра и послезавтра будет тремя совершенно разными юзерами с новыми бампами телеметри у каждого, ну че за хрень? Кто нибудь в это верит? Это же бред

Под конец отмечу что Audacity собирает геолокацию своих пользователей по странам, по крайней мере так заявляют, но что то мне это напоминает ситуацию балабольством с солью и хэшами, ну да ладно, вообще как то так, очень креативный шпионский дрон у них получился, да еще и аудио редактировать умеет

P.S. Собственно пруфы и ссылки

Требования GDRP к прозрачности и конкретной цели обработки данных

Соглашение о конфиденциальности Audacity в котором целями сбора данных указаны аналитика, улучшение приложения и геолокация страны пользователя, но не сказано что IP будет использоваться как ключ к бампу памяти и однодневным аккаунтом, еще раз повторюсь цель обработки данных(IP) должна быть определенна конкретно

Кто не верит в сбор геолокации по странам, вот пост сотрудника Muse Group(MuseScore является частью Muse Group) о сборе геолокации пользователей, а также это прописано в соглашении о кофиденциальности

Собственно сам сабж

Такой херни нагородили, жалею что вообще взялся за эту статью, тут черт голову сломит, настолько все прозрачно и открыто в духе opensourse(sarcasm)

0
155 комментариев
Написать комментарий...
Mad Butcher

Появляется пост от Апанасика с ответом от Audacity. Буквально через пару минут появляется пост с очередной критикой Audacity.

Ответить
Развернуть ветку
Вальдес
Автор

Совпадение? Да совпадение

Ответить
Развернуть ветку
Корпоративный кран

оналитеки онализируют 

Ответить
Развернуть ветку
Поразительный щит

Да господи, вашей жопой владеет вендор вашего смартфона, любая соцсеть, даже эта. А вы все ещё шапочку из фольги надеваете

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
15 комментариев
Испанский хот-дог

Потому что что? Правильно, шапочка для жопы нужна, а не для головы!

Ответить
Развернуть ветку
Районный фонарь
Не переживайте, в полном обьеме сбор ваших личных данных заработает со следующей версии Audacity 3.0.3 

В версиях до 3.0.3 нет сети. Совсем. Версия 3.0.3 пока тоже нет.

 в которой телеметрия будет включена по умолчанию

Телеметрии, как таковой, не будет вообще. Будет проверка обновлений и возможность отправить отчет об ошибке. 

 Не переживайте, мы обещаем что никакую информацию кроме вашего IP-адреса, версии ОС и CPU и сообщения об ошибках мы собирать не будем

Это обсуждалось с комьюнити и было принято позитивно. https://github.com/audacity/audacity/discussions/889

также как мы обещали ранее не вводить телеметрию

Телеметрии нет. И не планируется. Родмап есть и публично доступен на гитхабе.

вашу геолокацию

Страна пользователя не является персонально-идентифицирующей информацией. 

Хэши с солью и финал

Хранится хеш от адреса, обрезанного до /24 к которому добавлена рандомная строка, которая хранится только в памяти nginx. Строка раз в сутки меняется. Если в первые календарные сутки есть супер гипотетическая возможность сдампить память, найти строку и получить /24 адреса, то после такой возможности нет.

Все данные, старше года - удаляются.

Ответить
Развернуть ветку
Вальдес
Автор

Если они занимаются в тихую сбором геолокации, откуда мне знать что страной они ограничиваются?

Ответить
Развернуть ветку
2 комментария
Вальдес
Автор

Ты знаешь что только по IP без привлечения провайдера можно узнать город откуда ты заходишь в сеть, ну да провайдер знает вплоть до номера квартиры

Ответить
Развернуть ветку
19 комментариев
Shugnar

Если бы только так и было, то разработчики опционально предлагали бы пользователям соглашаться на сбор этих данных, и в случае отказа уже не имели бы на это права, но позволяли все равно пользоваться программой, просто без этих функций.

Ответить
Развернуть ветку
6 комментариев
nuprahtor

А для чего было указывать в соглашении о возможности продавать данные третьим лицам, это же самый красный из флагов. При этом в сегодняшнем обсуждении написали что данные продавать ни в коем случае не будут — и чему верить теперь?

Ответить
Развернуть ветку
8 комментариев
Вальдес
Автор

Зачем хранить год хэш, если он непригоден к восстановлению в IP, потому что его соль удалена? Или не удалена?

Ответить
Развернуть ветку
36 комментариев
Вальдес
Автор

В 3.0.3 включат так называемое обновление с сбором IPшников по соглашению о конфиденциальности

Ответить
Развернуть ветку
Вальдес
Автор

А куда ты ушел, только щас вкурил что ты разраб, есть вопросы

Ответить
Развернуть ветку
2 комментария
Amel

Читать невозможно. У вас текст, начинающийся с "Финалом данного нагибало...," и до "Креативный шпионский дрон получился..." - это одно предложение. Это жесть какая-то.

Ответить
Развернуть ветку
Вальдес
Автор

Ну кто во что горазд, как смог так и написал

Ответить
Развернуть ветку
2 комментария
Вальдес
Автор

За ошибку спасибо, исправил

Ответить
Развернуть ветку
Трактирщик
Ответить
Развернуть ветку
Аккаунт заморожен

Комментарий недоступен

Ответить
Развернуть ветку
2 комментария
Вальдес
Автор

Кстати пусть прояснит за коллегу и отслеживание геолокации

Ответить
Развернуть ветку
CEO Mindset
Если вам понравилось мое мини-расследование

А если нет?

Ответить
Развернуть ветку
Вальдес
Автор

Люто минусуй

Ответить
Развернуть ветку
Театральный торшер
Audacity знает где ты сейчас

не знает
я ее не устанавливал

Ответить
Развернуть ветку
Sandr Dryska

а я устанавливал.

пусть аудасити знает, что я сейчас в России. как и всегда.

Ответить
Развернуть ветку
nuprahtor

А нельзя просто запретить программе выход в сеть?..

Ответить
Развернуть ветку
Tr0y Boi

Дак, ну, можно скачать пиратскую старую версию и сидеть дальше, проблем то нет.
Просто что если захочешь скачать обнову, то все данные, накопившиеся за это время, все равно будут отосланы на сервер

Ответить
Развернуть ветку
6 комментариев
Вальдес
Автор

Даже не знаю

Ответить
Развернуть ветку
Вальдес
Автор

Если кратко суть претензии

Зачем хранить хэш 1 год, если соль удаляется в течении суток, а без соли хэш обезличен или все таки есть соль? А если найду?

Зачем собирать в тихую геологацию? Это тоже помогает "улучшить" аудиредактор?

Ответить
Развернуть ветку
Слава Человек

Ответ: операции удаления выполняются долго , проще сделать так чтобы данные становились тыквой .

Ответить
Развернуть ветку
20 комментариев
MRX

Забавно что я удалил эту программу буквально за день до всего этого пиздеца. Ну то что они меня мониторили это конечно не отменят, но честно сказать похер.

Ответить
Развернуть ветку
Антон Антонов

Господи, да угомонись уже, Степан

Ответить
Развернуть ветку
Вальдес
Автор

Да совсем забыл форки появились

Audacium https://audacium.seb1g.live/

Temporary-audacity https://github.com/temporary-audacity/audacity

Но что за перцы их пилят и все ли вычистили не знаю, но говорят что все

Ответить
Развернуть ветку
Районный фонарь

Второй форк уже сожрало тоже самое сообщество, что его породило.

Ответить
Развернуть ветку
4 комментария
Читать все 155 комментариев
null