Меню
RU

Переломный момент? Правительство США впервые запретило брокеру геоданных продавать конфиденциальную информацию

Федеральная торговая комиссия США (Federal Trade Commission, FTC) запретила брокеру данных продавать конфиденциальную информацию о местоположении без явного согласия пользователя.

«Добившись первого в истории запрета на использование и продажу конфиденциальных данных о местоположении, FTC продолжает свою важнейшую работу по защите американцев от навязчивых брокеров данных и бесконтрольной корпоративной слежки», заявил представитель FTC.

Сомнительное право стать первым брокером, столкнувшимся с таким наказанием со стороны американского регулятора, заслужила компания X-Mode Social и её преемница Outlogic.

Пресловутый X-Mode Social

Тем, кто следит за новостями конфиденциальности хотя бы пару лет, имя этого брокера может показаться знакомым. Компания X-Mode Social впервые получила печальную известность в ноябре 2020 года, когда она, наряду с американскими военными, «засветилась» в докладе VICE Motherboard. В докладе говорилось о том, что приложение для чтения Корана с почти 100 миллионами загрузок отправляло подробные данные о местоположении пользователей в X-Mode. Брокер, в свою очередь, делился этими данными с правительственными подрядчиками США, включая американских военных. В то время эта новость вызвала огромный резонанс, после чего мусульманское приложение удалило встроенный в него код X-Mode, который отвечал за отправку данных брокеру. Реакция была настолько сильной, что даже Apple и Google в редком едином порыве предложили всем разработчикам удалить код X-Mode из своих приложений.

Когда дела идут наперекосяк, а репутации нанесён непоправимый ущерб, многие компании в качестве антикризисной стратегии выбирают ребрендинг. Так, например, поступила Meta (бывший Facebook) в августе 2021 года. После того как компания X-Mode была куплена Digital Envoy, она провела ребрендинг и на свет появилась Outlogic.

Негативных статей в прессе и де-факто отмены со стороны двух крупнейший платформ приложений, очевидно, было недостаточно для Outlogic, чтобы что-то изменить в своём отношении к данным пользователей. Согласно жалобе FTC, которая охватывает предполагаемые проступки брокера до 2021 года, у X-Mode/Outlogic «не было никакой политики, которая бы регулировала удаление конфиденциальной информации из необработанных данных о местоположении, которые она продавала», вплоть до мая 2023 года(!).

Так чем же конкретно X-Mode/Outlogic заслужила беспрецедентное наказание от правительства США?

Больше данных богу данных

В своей жалобе FTC обвиняет компанию X-Mode Social и её преемницу в целом ряде эпизодов нарушения конфиденциальности, некоторые из которых выделяются на общем фоне своей серёьзностью. Большинство предполагаемых нарушений со стороны X-Mode Social связано с тем, что компания собирала конфиденциальные данные о местоположении более чем из 300 приложений через свой SDK (готовый набор инструментов для разработки программного обеспечения).

Регулятор утверждает, что X-Mode стимулировала разработчиков внедрять её SDK в свои приложения, «обещая пассивный доход за каждое пользовательское мобильное устройство, с которого SDK будет собирать данные о местоположении».

SDK — это части кода, которые позволяют приложению выполнять важные задачи, например, отслеживать локацию устройства. Используя SDK, разработчики экономят деньги и время, ведь им не надо проделывать эту работу с нуля. Добавьте к этому возможность получать пассивный доход, и перед вами окажется предложение, от которого трудно отказаться. Вот и разработчики вышеупомянутых 300 приложений, среди которых фитнес-трекеры, игровые и религиозные приложения, не стали этого делать.

Кроме того, брокер собирал данные из своих собственных приложений, Drunk Mode и Walk Against Humanity. Он также покупал данные у других брокеров и агрегаторов данных. Если сложить всё это вместе, то получится, X-Mode собирал довольно большой урожай данных. Согласно заявлению FTC, брокер «собрал более 10 миллиардов точек данных о местоположении со всего мира» и при этом хвастался тем, что его точность составляет «70% в пределах 20 метров или меньше».

Что собрали и кому продали?

У SDK X-Mode был беспрепятственный доступ к данным о местоположении от ОС пользовательских устройств. А именно, SDK получал «точную широту и долготу, а также временную метку». Затем он передавал эту информацию, а также уникальный идентификатор мобильного устройства, называемый Mobile Advertiser ID (или MAID), на серверы X-Mode.

Этот набор данных потенциально может раскрыть конфиденциальную информацию о пользователях, например, о посещении больниц, аптек, религиозных мест и центров лечения наркомании. Согласно заявлению FTC, компания X-Mode совершенно не заботилась о том, насколько большой урон может нанести потенциальная утечка или неправильное использование этой информации. Ведь у X-Mode «не было ни политики, ни процедур для удаления конфиденциальной информации из необработанных наборов данных о местоположении».

Помимо того, что X-Mode предлагала купить «сырые» данные о местоположении любому желающему, она также обрабатывала эти данные для создания «сегментов аудитории» на основе ряда характеристик, в том числе крайне чувствительных. В одном случае она предложила частной компании, занимающейся клиническими исследованиями, пользовательские сегменты аудитории на основе посещений людьми различных врачей в Коламбусе, штат Огайо. В списке были пациенты кардиологов, эндокринологов и гастроэнтерологов.

Тот факт, что частная компания, занимающаяся клиническими исследованиями, получила медицинскую информацию, которую вы, вероятно, предпочли бы сохранить в тайне — уже достаточно плохо само по себе. Но в отчёте FTC содержатся ещё более ужасающие откровения. Некоторые данные попадали к «государственным подрядчикам», которые использовали их «в целях сохранения национальной безопасности». Нигде, ни в уведомлениях о конфиденциальности сторонних приложений с его SDK, ни в уведомлениях о конфиденциальности собственных приложений X-Mode не упоминала об этом любопытном факте.

Среди покупателей данных о местоположении X-Mode было как минимум две компании, которые затем перепродали их, нарушив условия контрактов. В подобных случаях практически невозможно отследить компании, которым в итоге попадут эти данные — цепочка перепродаж может продолжаться бесконечно. Ещё одна проблема заключается в том, что все эти «третичные» компании не связаны теми немногими ограничениями, которые X-Mode могла наложить на использование данных.

Как эти данные могут помочь идентифицировать вас?

Поскольку X-Mode предоставляла данные своим покупателям в сыром, неанонимизированном виде, идентифицировать большинство пользователей было проще простого. Зная постоянный идентификатор устройства каждого пользователя (MAID) в сочетании с несколькими сигналами с временными метками, не нужно быть Шерлоком Холмсом, чтобы определить место жительства пользователя по тому, где обычно находится его телефон в ночное время.

И не стоит забывать о возможности дополнить эти данные информацией из автономных источников, таких как государственные архивы, телефонные справочники и социальные сети — услуга перекрёстного сопоставления, предлагаемая многими брокерами данных.

Использование и риски: от национальной безопасности до целевой рекламы

Как мы уже говорили, некоторые из потенциальных вариантов использования данных о местоположении могут быть связаны с национальной безопасностью. Это может означать что угодно от слежки с целью предотвращения потенциальных атак до иммиграционного контроля.

Но гораздо более популярным является использование подобных данных в рекламных целях. Рекламодатели собирают их для создания подробных профилей потребителей, чтобы направлять им высокорелевантные объявления. Такие объявления, как правило, наиболее эффективны, если вы хотите убедить людей расстаться со своими деньгами.

В любом случае, продажа этих данных, по мнению FTC, «представляет собой необоснованное вторжение в частную жизнь потребителей и наносит или может нанести им существенный ущерб». С этим трудно поспорить.

Мы приветствуем решение FTC пресечь деятельность индустрии продажи данных о местоположении, но сожалеем, что для этого потребовалось так много времени. На наш взгляд, этот шаг давно назревал, и бесконтрольную продажу конфиденциальных данных пользователей вообще не следовало допускать.

С другой стороны, FTC не запретила продажу таких данных полностью, а сделала её зависимой от согласия пользователя. И хотя на первый взгляд это может показаться логичным — в конце концов, если пользователь вдруг хочет предоставить брокеру данных или приложению свои конфиденциальные данные, то он имеет на это полное право, — всё может оказаться не так просто.

Мы вполне ожидаем, что компании, подобные X-Mode или другому печально известному брокеру данных SafeGraph, продолжат запутывать пользователей, обманывая их и заставляя предоставлять свои конфиденциальные данные с помощью тёмных схем и вводящих в заблуждение уведомлений. И мы должны быть начеку.

Понравился пост?
Загружая комментарии, вы соглашаетесь с условиями использования и политикой конфиденциальности.

AdGuard для Windows

AdGuard для Windows — это не просто «ещё один блокировщик». Это многоцелевой инструмент, который блокирует рекламу и доступ к опасным сайтам, ускоряет загрузку страниц и защищает детей от взрослого контента.
Отзывы пользователей: 20177
4,7 из 5
Скачивая программу, вы принимаете условия Лицензионного соглашения
Читать далее

AdGuard для Mac

В отличие от других блокировщиков, AdGuard разработан с учётом специфики операционной системы macOS. Он не только блокирует рекламу в Safari и других браузерах, но и защищает вас от слежки, фишинга и мошенничества в сети.
Отзывы пользователей: 20177
4,7 из 5
Скачивая программу, вы принимаете условия Лицензионного соглашения
Читать далее

AdGuard для Android

AdGuard для Android — это идеальное решение для Android-устройств. В отличие от других блокировщиков, AdGuard не требует root-доступа и позволяет управлять трафиком любых приложений на вашем устройстве.
Отзывы пользователей: 20177
4,7 из 5
Скачивая программу, вы принимаете условия Лицензионного соглашения

AdGuard для iOS

Самый продвинутый блокировщик рекламы для Safari: он позволяет забыть о всплывающей рекламе, ускоряет загрузку страниц и защищает личные данные. А с помощью ручной блокировки можно настроить фильтрацию так, как это удобно вам.
Отзывы пользователей: 20177
4,7 из 5
Скачивая программу, вы принимаете условия Лицензионного соглашения

Браузерное расширение AdGuard

AdGuard — самое быстрое и легкое браузерное расширение для блокировки всех типов рекламы! Выбирайте AdGuard для быстрого и безопасного серфинга без рекламы.
Отзывы пользователей: 20177
4,7 из 5

AdGuard для Safari

Расширения, блокирующие рекламу в Safari, переживают не лучшие времена с тех пор, как компания Apple вынудила всех использовать новый SDK. Познакомьтесь с нашим легко настраиваемым и молниеносным приложением!
Отзывы пользователей: 20177
4,7 из 5
App Store
Скачать
Скачивая программу, вы принимаете условия Лицензионного соглашения

AdGuard Home

AdGuard Home — мощный сетевой инструмент против рекламы и трекинга. С усилением роли интернета вещей становится все более и более важным управлять всей вашей сетью. После настройки AdGuard Home будет охватывать ВСЕ ваши домашние устройства и для этого вам не понадобится программное обеспечение на стороне клиента.
Отзывы пользователей: 20177
4,7 из 5

AdGuard Content Blocker

AdGuard Content Blocker устраняет все объявления в мобильных браузерах, которые поддерживают технологию блокировки контента — к примеру, Samsung Internet и Яндекс.Браузер. Он обладает меньшим количеством функций, чем AdGuard для Android, но при этом бесплатен, прост в установке и по-прежнему обеспечивает высокое качество блокировки рекламы.
Отзывы пользователей: 20177
4,7 из 5
Скачивая программу, вы принимаете условия Лицензионного соглашения
Читать далее

Помощник AdGuard

Дополнительное браузерное расширение для [десктопных приложений](/ru/products.html) AdGuard. Даёт доступ к таким функциям в браузере, как блокировка отдельных элементов, занесение сайта в белый список или отправление отчёта.
Отзывы пользователей: 20177
4,7 из 5
Помощник для Chrome Это ваш текущий браузер?
Установить
Скачивая программу, вы принимаете условия Лицензионного соглашения
Помощник для Firefox Это ваш текущий браузер?
Установить
Скачивая программу, вы принимаете условия Лицензионного соглашения
Помощник для Edge Это ваш текущий браузер?
Установить
Скачивая программу, вы принимаете условия Лицензионного соглашения
Помощник для Opera Это ваш текущий браузер?
Установить
Скачивая программу, вы принимаете условия Лицензионного соглашения
Помощник для Yandex Это ваш текущий браузер?
Установить
Скачивая программу, вы принимаете условия Лицензионного соглашения
Помощник для Safari Это ваш текущий браузер?
Если вы не можете найти свой браузер в списке, попробуйте прежнюю версию Помощника, которую вы можете найти в настройках расширения AdGuard.

AdGuard Temp Mail β

Ваш временный почтовый ящик, чтобы на основную почту не приходил спам
Отзывы пользователей: 20177
4,7 из 5

AdGuard для Android TV

AdGuard для Android TV — единственное приложение, которое блокирует рекламу, защищает ваши данные и действует как фаервол для Smart TV. Получайте предупреждения о веб-угрозах, используйте безопасный DNS, а ваш трафик будет зашифрован. Смотрите любимые сериалы безопасно и без рекламы!
Отзывы пользователей: 20177
4,7 из 5
Загрузка AdGuard началась Стрелка указывает на файл: нажмите на него, и установка начнётся Выберите «Открыть», нажмите «OK» и дождитесь загрузки файла. В открывшемся окне перетащите значок AdGuard в папку «Приложения». Спасибо за выбор AdGuard! Выберите «Открыть», нажмите «OK» и дождитесь загрузки файла. В открывшемся окне нажмите «Установить». Спасибо за выбор AdGuard!
AdGuard есть и в мобильном варианте