Не такой уж и Safe: SafeGraph уличили в продаже данных о посетителях «клиники абортов»

Уверены, что ничем не примечательное приложение прогноза погоды не следит за вами по дороге к врачу? Возможно, так и есть, но сложно быть в чём-то уверенным в наше время. Допустим, приложение всё же следит за вами, но что тогда происходит со всеми собранными о вас данными? Разумеется, они не попадают в распоряжение третьих лиц, которые могут воспользоваться ими в неправомерных целях. Или могут?

В рамках журналистского расследования, проведенного на фоне ожесточённых дискуссий о праве на аборт в США, онлайн-издание Motherboard закупило геолокационные данные посетителей более 600 точек американской сети центров планирования семьи Planned Parenthood. Недельный массив данных обошелся Motherboard в чуть более чем 160 долларов. Из приобретенных данных можно было узнать, откуда приехали посетители, сколько времени они пробыли в центре и куда направились после приема.

Подобная «контрольная закупка» стала возможной благодаря услугам, предоставляемым печально известной компанией SafeGraph, которая ранее была замечена в массовой продаже данных о перемещениях пользователей американскому агентству в области здравоохранения (CDC) и газете The New York Times.

Так каким же образом SafeGraph получает доступ к геолокационным данным пользователей? Ответ на этот вопрос лежит на поверхности. Компания получает данные от приложений, в которых установлен её комплект для разработки программного обеспечения (Software Development Kit, SDK). Разработчики приложений c удовольствием используют различные SDK, так как они облегчают им жизнь, позволяя сократить расходы на разработку собственных решений — например, функции отслеживания местоположения. В данном случае, таким SDK-помощником стал SafeGraph SDK. Вы разрешили приложению прогноза погоды отслеживать свое местоположение? Можете не сомневаться — SDK «унаследует» это разрешение.

После того, как SDK помогал приложениям установить и отследить местонахождение пользователя, компания продавала эту информацию как самостоятельный продукт всем желающим, и, по всей видимости, за небольшие деньги.

Пользователи, как это часто бывает в подобных случаях, с большой долей вероятности не знали об этой схеме. Разработанный компанией SDK использовался не только в приложениях для путешествий, спорта или прогноза погоды. В большинстве своём клиентами SafeGraph являлись форумы, начиная от форума автомобилистов и заканчивая форумами о психологии и пластической хирургии.

Таким образом, если вы предоставите приложению доступ к своим геоданным, то SafeGraph также получит их. Отметим, что многие приложения, в которых установлен SDK компании, имеют более 10,000 скачиваний. Вот только некоторые из наиболее популярных приложений: форум любителей баскетбола (RealGM Forum), форум любителей огнестрельного оружия (Ruger Forum), форум любителей путешествий по бездорожью (SA 4x4 Community Forum), форум любителей устройств Apple (iMore Forums) — список можно продолжать.

Motherboard сообщает, что SafeGraph предоставил им данные, собранные за одну неделю в апреле. Этот продукт называется Weekly Pattern. На своем сайте вендор SDK заявляет, что «Weekly Patterns отвечают на такие вопросы, как: Как часто люди посещают это место? Как долго они там находятся? Откуда они приехали? Где они ещё бывают?» Если подобное любопытство не вызывает у вас никакого беспокойства, то, возможно, зря.

Компания-поставщик данных утверждает, что использует анонимизированные данные мобильных сетей, и что покупатели получают демографические данные в агрегированном виде, а личности пользователей остаются тайной. В то же время существуют опасения, что этих данных будет достаточно, чтобы идентифицировать отдельных пользователей.

SafeGraph не впервые привлекает внимание СМИ по не самому приятному поводу. В прошлом году сообщалось, что Google развернул кампанию против вендора, пригрозив разработчикам удалением приложений из Google Play Store, если они не откажутся от использования SDK в течение 7 дней.

Преследование со стороны Google, однако, не стало для компании поводом отказаться от ведения бизнеса по старой схеме.

Расследование Motherboard вышло на фоне публикации проекта решения Верховного Суда США в поддержку отмены вердикта по делу Roe v. Wade, согласно которому с 1973 года аборты стали легальными во всей стране. Пересмотр этого исторического решения может привести к криминализации абортов в некоторых наиболее консервативных штатах США. Текст проекта был опубликован журналом Politico.

Учитывая текущую политическую ситуацию в США, методы сбора данных, используемые SafeGraph, могут напрямую повлиять на жизнь обычных людей. Более этого, пользователи могут сами разрешить приложениям использовать данные об их местонахождение и даже не подозревать, что эти данные могут быть впоследствии использованы неправомерным образом.

Мы рассмотрели лишь небольшую частную область применения таких технологий сбора данных. Это вовсе не значит, что если вы не посещаете вышеупомянутые учреждения, то вы в полной безопасности. На основе ваших данных можно будет узнать о всех местах, где вы бываете — технически это реализуемо.

«Как не попасть в такую ситуацию?», спросите вы. Не нужно становится параноиком и срочно избавляться от телефона. Мы неоднократно призывали пользователей предоставлять приложениям только самые необходимые разрешения. Ведь странно, согласитесь, когда, наример, приложение прогноза погоды запрашивает историю ваших звонков. А если приложению и правда необходимы эти данные (и таких приложений много), то нужно себя обезопасить.

На данный момент AdGuard блокируют сбор информации через SafeGraph SDK, более того, списки блокировок обновляются регулярно. AdGuard постоянно выявляет новые угрозы конфиденциальности пользователей и осуществляет их блокировку, тем самым ограничивая возможности недобросовестных сборщиков данных.