Hacker News Digest

За три года правообладатели добились удаления Google 749 миллионов URL-адресов теневой библиотеки Anna's Archive, что составляет 5% от всех URL, удаленных Google по авторским правам за всю историю. Эта цифра значительно превышает 4,2 миллиона удаленных ссылок The Pirate Bay, делая Anna's Archive самой атакуемой платформой. Несмотря на масштабную кампанию, сайт остается легко обнаруживаемым через поиск, а правообладатели продолжают подавать около 10 миллионов новых URL еженедельно.

Anna's Archive, запущенный в конце 2022 года как альтернатива Z-Library, пережил блокировки в разных странах и судебные иски в США после того, как сайт получил доступ к WorldCat. Более 1000 авторов и издателей, включая Penguin Random House и John Wiley & Sons, отправляли DMCA-уведомления. Несмотря на давление, основные домены сайта остаются активными, а поиск по названию все еще выдает его в топе результатов.

• Google исчезает из обсуждения как поисковик, а вместо него используются Yandex, DuckDuckGo и другие альтернативы.
• Пользователи отмечают, что Google не только не предоставляет доступ к контенту, но и удаляет результаты поиска, включая Anna's Archive, что вызывает у них недоумение.
• Обсуждается, что LLM тренируются на скачанном контенте, что ставит под вопросом справедливость использования данных.
• Поднимается вопрос о том, какие еще библиотеки и архивы доступны после закрытия подобных ресурсов.
• Участники делятся советами, как обойти цензуру и продолжать иметь доступ к научным и другим книгам.

Как FOSS-проекты справляются с юридическими требованиями удаления контента

1. Не будь лёгкой мишенью
Публикуйте политику приёма претензий: требуйте письменного обращения на юр.языке и ссылку на местный закон. 90 % «писем страха» исчезают после этого.

2. Процесс на autopilot

• e-mail: legal@ / abuse@
• в пакете: основание, юрисдикция, доказательства, личность заявителя
• внутренний чек-лист: достаточность, пропорциональность, подсудность
  Всё фиксируется, чтобы не убрать лишнего.

3. Играйте юрисдикцией
Европейские гражданско-правовые страны проще отбрасывают иностранные «письма». Отвечайте только на судебные решения по месту регистрации проекта.

4. Уведомляйте и давайте ответить

• Автора уведомляют (если нет гаг-ордера).
• Дают 14 дней на возражения.
• Спорные материалы пересматривают; при удовлетворении претензии удаляют, но оставляют внутреннюю запись и возможность апелляции.

5. Прозрачность = защита
Публикуйте каждый запрос (если закон не запрещает). Примеры: GitHub, российский реестр Роскомнадзора. Публичность снижает злоупотребления.

Итог
Чёткая процедура + прозрачность + уважение к юрисдикции = минимум паники и риска для команды.

• Одна FOSS-организация требует, чтобы все претензии приходили обычной почтой на национальном языке со ссылкой на местное законодательство — 90 % жалоб сразу исчезают.
• Разработчики ведут публичные реестры блокировок (GitHub-репо, коммиты = логи), спорить можно через issue; спорят единицы.
• F-Droid даёт 14 дней на ответ; если автор приводит лицензию или fair-use, претензия пересматривается.
• Платформы перекладывают апелляцию на разработчика, хотя те не контролируют маркет; это следствие желания укрыться под «safe harbor» DMCA.
• Участники напомнили: агрессивные blocklists и fail2ban всё ещё спасают от трафика злоумышленников.

Как мы взломали Burger King: обход аутентификации = прослушка драйв- thru

Старт
RBI (Burger King, Tim Hortons, Popeyes) управляет 30 000 точек через платформу «assistant». Уязвимости позволяли открыть любую из них и слушать разговоры у окна заказа.

Дыры

1. Регистрация без проверки почты: GraphQL-мутация signUp создавала аккаунт мгновенно; пароль присылали открытым текстом.
2. Список всех магазинов: инкрементный storeId + запрос getStore → персонал, конфиги, id.
3. createToken без авторизации: передал storeId – получил master-токен.
4. Повышение до админа: updateUser(roles: "admin") одной мутацией.
5. Сайт заказа оборудования: пароль «защищён» клиентским JS, сам пароль в HTML.
6. Планшеты в зале и драйв-thru:
   • главный экран /screens/main?authToken=… – история разговоров с аудио;
   • диагностика /screens/diagnostic – пароль admin, регулировка громкости и запись звука в реальном времени.

Итог
Одна уязвимая GraphQL-точка → полный контроль над глобальной сетью, персональными данными и живыми разговорами клиентов.

• Пост исследователя безопасности о дырах в IT Burger King удалили после жалобы DMCA от стартапа Cyble.
• Уязвимости были клиент-side-only пароль в HTML, незащищённые голосовые записи, привязка голоса к имени и номеру авто.
• Автор сообщил Burger King заранее, получил молчание и нулевой бонус, после публикации — DMCA-удаление.
• Комментаторы обсуждают: злоупотребление DMCA, отсутствие bug bounty, этика публичного разоблачения и перспективы тюрьмы за CFAA.

Суть дела
Правообладатель фильма Fall получил по §512(h) DMCA «быстрый» судебный ордер, чтобы заставить провайдера Cox раскрыть личности 29 подписчиков, якобы распространявших фильм через BitTorrent. Cox уведомил абонентов; один из них оспорил требование.

Позиция суда 9-го округа

• §512(h) позволяет выдавать повести только «сервис-провайдерам» по §512(c) и §512(b), то есть хостингам и поисковикам.
• Провайдеры доступа к интернету (IAP) подпадают под §512(a), который не предусматривает процедуру «уведомить-и-удалить», поэтому IAP не обязаны отвечать на такие subpoenas.
• Решение: Cox не обязан раскрывать данные по §512(h).

Контекст

• BitTorrent не вписывается в классическую схему DMCA: файл разбит на части у множества пользователей, поэтому требование «удалить» неприменимо.
• IAP рискуют лишиться «безопасной гавани», если не отключают «хронических нарушителей», но отключение от интернета — более жёсткая мера, чем удаление страницы.
• Вопрос о балансе между правами правообладателей и абонентами вскоре рассмотрит Верховный суд в деле Cox v. Sony.

• Решение суда 9-го округа лишь освобождает ISP от обязанности разглашать данные, но не запрещает это делать.
• Если в TOS прописано право передавать информацию по запросу или по своему усмотрению, у абонента мало шанов оспорить это в суде.
• Единственный реальный способ — подать иск самому абоненту или обратиться в прокуратуру штата.
• Игнорировать судебные повестки нельзя: нужно юридически оспаривать их, иначе — риск уголовного преследования.
• В США пока нет федерального закона, который бы прямо запрещал ISP добровольно продавать или передавать данные абонентов.