Куки, Google, Amazon, проблемы Twitter и новые методы трекинга. Дайджест AdGuard

В этом выпуске дайджеста AdGuard: Chrome не может распрощаться со сторонними cookies; Twitter становится жертвой утечки данных, европейские страны считают Google опасным для школ; умные звонки передают данные полиции; Великобритания хочет заставить технологические компании сканировать телефоны; правительство США массово закупает данные о местоположении пользователей.

Ведущие операторы связи тестируют новый способ отслеживания пользователей

Два ведущих европейских телекоммуникационных оператора, Vodafone и Deutsche Telekom, тестируют новый инструмент слежки за пользователями, который может прийти на смену сторонним файлам cookie. В то время как технология cookie основана на хранении «отпечатков» сайтов на устройстве пользователя, инструмент под названием TrustPid позволяет провайдерам самим хранить все данные. Операторы присваивают пользователям «псевдоанонимные маркеры» на основе их IP-адресов, причём для каждого сайта-партнёра маркер свой. Если владельцы сайтов захотят узнать больше о посетителях, они смогут получить доступ к этому идентификатору и персонализировать рекламу. Надо иметь в виду, что так называемая «псевдоанонимность» сервиса весьма условна. Сайты, возможно, не смогут идентифицировать отдельных пользователей, но операторам связи это не составит труда.

По заверениям TrustPid, технология не угрожает приватности пользователей. Однако её уже начали сравнивать с печально известным «supercookie». В отличие от обычных файлов cookie, которые можно очистить или заблокировать, суперкуки не хранятся на устройстве, поэтому так просто избавиться от них нельзя. В 2016 году правительство США оштрафовало Verizon за добавление суперкуки в браузерные запросы пользователей без их согласия. Vodafone утверждает, что TrustPid не является суперкуки и соответствует Европейскому общему регламенту о защите данных (GDPR).

В очередной раз компании пытаются обойти ограничения, связанные с блокировкой сторонних файлов cookie, под соусом защиты приватности пользователей. Пока сторонние файлы cookie отживают свой век, технологические компании стремятся компенсировать недополученную рекламную выручку, придумывая всё новые способы сбора данных о пользователях. Каждый хочет первым внедрить новые технологии слежки, чтобы захватить кусок рынка рекламы. Ирония в том, что всё это преподносится как абсолютное благо.

Дания и Нидерланды ограничивают использование сервисов Google в школах

С приближением нового учебного года в Дании начался сезон охоты на Google. Датское агентство по защите данных запретило школам использовать Chromebooks и Google Workspace. Запрет непосредственно распространяется на один муниципалитет, но другим рекомендуется также ему следовать. Агентство постановило, что способ обработки персональных данных техгигантом противоречит европейскому общему регламенту по защите данных (GDPR). Особое беспокойство регулятора вызвал тот факт, что Google может передавать данные в третьи страны, такие как США. Google Workplace for Education включает в себя ряд популярных образовательных инструментов, в том числе Google Classroom, Google Docs, Google Slides, Gmail, Google Meet и Google Drive.

Тем временем Министерство образования Нидерландов призвало школы принять дополнительные меры по защите данных при использовании веб-браузера Google Chrome и операционной системы Chrome OS. В своём нынешнем виде эти два продукта не соответствуют требованиям GDPR и станут им соответствовать не раньше августа 2023 года, когда должны выйти обновлённые версии браузера и ОС. Пока же учебные заведения должны соблюдать правила, которые наверняка доставят неудобства некоторым учащимся. Например, школам придётся отключить функцию автоперевода сайтов, проверку орфографии, персонализацию рекламы и убедиться, что данные хранятся в Европе. Также рекомендуется отказаться от поисковика Google в пользу более приватных альтернатив, таких как DuckDuckGo.

Если у вас были причины не доверять Google, то вот ещё одна.

Данные 5,4 миллионов аккаунтов Twitter выставлены на продажу

Покой Twitter только снится. В довесок к судебной тяжбе с Илоном Маском компания получила ещё один удар. На одном из хакерских форумов злоумышленник предлагает купить данные 5,4 миллионов пользователей Twitter за 30 000 $. Хакер, очевидно, воспользовался уже закрытой уязвимостью Twitter, которую обнаружили в январе этого года. Данные содержат общедоступную информацию о владельце аккаунта (ник, описание профиля), а также номер телефона и/или адрес электронной почты.

Похоже, что в будущем мы увидим больше афер с криптовалютами в социальных сетях с участием знаменитостей. Более того, если сопоставить электронную почту пользователя с известными базами данных, то можно накопать компромат на политиков, активистов, а также обычных пользователей. Особенно уязвимы те пользователи, которые используют одну и ту же почту для регистрации на всех сайтах, в том числе на сайтах с сомнительным или запрещённым контентом, например, порносайтах или нелегальных маркетплейсах. Мы рекомендуем завести специальную почту для социальных сетей, чтобы обезопасить себя в случае подобных утечек.

Может показаться, что крупные компании с развитой системой безопасности (например, Twitter) застрахованы от подобных форс-мажоров, но это ложное впечатление — имейте это в виду, когда предоставляете им доступ к своим данным.

Долгие проводы: Chrome снова откладывает отказ от сторонних файлов cookie

Прощание со сторонними файлами cookie даётся Google тяжело. Компания объявила, что не откажется от этой технологии слежки за пользователями как минимум до второй половины 2024 года.

В то время как Safari и Firefox по умолчанию блокируют сторонние файлы cookie, Google изначально планировала прекратить их поддержку в Chrome к 2022 году в рамках инициативы Privacy Sandbox. Но сначала крайний срок был передвинут на 2023 год, а теперь на 2024 год.

В начале этого года Google представила инициативу Privacy Sandbox, целью которой было примирить интересы пользователей с интересами рекламодателей. В рамках «песочницы конфиденциальности» сторонние файлы cookie должна заменить технология под названием Topics. К сожалению, новая технология только укрепит монополию Google на рынке рекламы, позволяя крупным компания как и прежде идентифицировать отдельных пользователей. Вы можете прочитать подробный обзор технологии Topics и «песочницы конфиденциальности» Google на нашем сайте.

Amazon и Google предоставляют полиции данные умных видеозвонков и камер

Компании Nest и Ring, принадлежащие Google и Amazon соответственно, подтвердили, что они могут передавать записи дверных видеозвонков и домашних камер наблюдения полиции в «чрезвычайной ситуации». Ни ордера, ни согласия пользователя в данном случае не требуется.

В Ring сообщили, что в этом году компания уже удовлетворила 11 таких полицейских запросов. В некоторых из них речь шла о похищении людей, членовредительстве и покушении на убийство. В Nest заявили, что оставляют за собой право удовлетворять такие запросы, но пока этого ещё ни разу не сделали.

Неясно, уведомляет ли Ring клиентов после предоставлениях их данных правоохранительным органам. В Nest сообщили, что компания обычно уведомляет пользователей о требованиях полиции, если это не запрещено законом.

Действия Amazon и Google могут привести к злоупотреблениям со стороны полиции. Компании получают исключительное право решать, является ли тот или иной инцидент чрезвычайной ситуацией, и пользователям следует дважды подумать, прежде чем доверять им свои данные.

Бэкдоры, встроенные в умный дом, позволяют технологическим компаниям получать доступ к данным пользователей в любой момент. При этом, именно мы, пользователи, должны платить за эту функциональность, хотя она нам может быть не нужна. По сути, у пользователей не остается другого выбора, кроме как финансировать шпиономанию техгигантов из своего кармана.

Великобритания хочет заставить мессенджеры сканировать телефоны под предлогом защиты детей

Службы кибербезопасности Великобритании призвали технологические компании разработать программное обеспечение для сканирования сообщений на стороне клиента (client-side scanning).

Оно им понадобится в случае принятия британского закона о безопасности в Интернете. В соответствии с законом, онлайн-платформы могут обязать сканировать сообщения на предмет наличия в них материалов сексуального насилия над детьми (CSAM) и терроризма.

Это напоминает попытку Apple внедрить сканирование фотографий на iPhone и других устройствах для борьбы с детской порнографией в прошлом году. Столкнувшись с жёсткой критикой со стороны экспертного сообщества, Apple отложила внедрение функции, которая бы поставила под угрозу сквозное шифрование. Но, возможно, только на время. Ранее в этом году Европейская комиссия предложила закон, который обяжет технологические компании сканировать сообщения на CSAM-материалы и выявлять «груминг».

Великобритания хочет найти компромисс между охраной частной жизни и защитой детей, но как только сквозное шифрование будет будет подорвано, пути назад уже не будет. Мы воочию наблюдаем тревожную тенденцию: сначала в ЕС, а теперь и в Великобритании под предлогом защиты детей под угрозу ставится приватность пользователей. Эффективность этой меры сомнительна, а ущерб будет непоправимым.

Власти США массово скупают данные о местоположении пользователей

Документы, обнародованные Американским союзом гражданских свобод (ACLU), свидетельствуют о том, что правительство США скупает данные о местоположении пользователей в отсутствие какого-либо судебного надзора. Американские ведомства, занимающиеся вопросами иммиграции и охраны границ, массово скупали геолокационные данные у двух брокеров с 2017 по 2019 год. В одном случае Погранично-таможенная служба США (CBP) получила 133 654 точки местоположения мобильных устройств в течении 3 дней.

ACLU расценивает действия властей как необоснованную слежку за пользователями. Она стала возможной благодаря самым обычным мобильным приложениям.

В приложения могут быть встроены сторонние комплекты разработки программного обеспечения (SDK), которые помогают им отслеживать местоположение пользователя. Встраивая SDK, разработчики экономят время и сокращают расходы. Однако некоторые SDK могут передавать данные пользователей третьим лицам и продавать их. Ранее мы писали о вендоре SDK под названием SafeGraph, который продавал данные о местоположении клиентов абортариев — клиник, специализирующихся на прерывании беременности.

Один из способов обезопасить свои данные — это предоставлять приложениям только необходимые разрешения. А если приложению необходимо знать ваше местоположение для полноценной работы (например, если это приложение прогноза погоды), то убедитесь, что оно не передаёт данные о вашем местоположении куда-либо ещё.