Hi-Tech

WSJ: 11 популярных приложений отправляли в Facebook медицинские, финансовые и другие личные данные пользователей

Коротко о том, как разработчики приложений могут нарушать пользовательское соглашение и как избежать утечки персональных данных.

В закладки

Издание The Wall Street Journal выяснило, что некоторые финансовые, спортивные и медицинские мобильные приложения с помощью API Facebook Analytics отправляют личные данные человека напрямую Facebook — без разрешения пользователя.

К примеру, разработчики одиннадцати популярных приложений в App Store отправляли данные о давлении, сроке беременности, весе, сердечном ритме, стоимости и местоположении понравившихся пользователям домов.

Это происходило и в тех случаях, когда пользователь не был авторизован в социальной сети или не имел в ней аккаунта. Информация о пользователе отправлялась вместе с уникальным идентификатором, который можно сопоставить с устройством или профилем человека в Facebook.

The Wall Street Journal

Почему данные отправлялись в Facebook

Пользователи могут отказаться предоставлять приложениям доступ к определённой информации, например, местоположению или контактам. Apple и Google не требуют, чтобы компании раскрывали всех партнёров, которым отправляют пользовательские данные.

Но разрешения не применяются к данным, которые пользователи отправляют в само приложение, а это самая личная информация.

Приложения используют часть SDK Facebook — набора средств разработки, которые помогают разработчикам интегрировать определённые функции, например, создание аккаунта и авторизацию через Facebook, публикацию результатов тренировки в социальной сети.

В одном приложении iOS около 19 различных SDK, на Android около 28. В среднем Facebook SDK есть на 17,6% iOS-приложений и на 25,4% Android-приложений The Wall Street Journal

В разговоре с WSJ представитель Facebook сказала, что обмен данными между приложениями «стандартная отраслевая практика». Любая информация, которая передаётся приложению, может быть передана SDK.

Разработчики могут указать SDK сохранять определённые наборы действий пользователя, к примеру, во время совершения покупки. SDK Facebook включает в себя аналитическую службу «События приложений», которая позволяет разработчикам отслеживать активность пользователей.

Они представляют собой пакеты данных, характерные для каждого приложения, и в некоторых случаях могут включать информацию, связанную со здоровьем или финансами человека, в зависимости от профиля приложения. Собранные данные в обезличенном виде отправляются на сервера Facebook для хранения в виде «событий в приложении».

Эти данные ценны для соцсети, так как помогают лучше понять поведение пользователя и позволяют рекламодателям точнее таргетировать свои предложения на аудиторию, Facebook — получать больше денег за клик, считает WSJ.

Какие приложения отправляли данные

Для анализа издание использовало ПО для мониторинга трафика. WSJ протестировало более 70 популярных iOS-приложений в App Store в категориях, где обрабатывается конфиденциальная информация пользователей.

Приложения Instant Heart Rate: HR Monitor, Flo Period & Ovulation Tracker, Realtor.com The Wall Street Journal

Тесты показали, что как минимум 11 приложений отправляли потенциально конфиденциальную информацию о поведении пользователей или фактические данные, которые они вводили.

Instant Heart Rate: HR Monitor

Самое популярное приложение для измерения сердечного ритма на iOS, которое загрузили 3,5 млн раз за последние 12 месяцев.

21 февраля WSJ протестировало его и выяснило, что сразу после регистрации пользователя приложение отправляло информацию о сердечном ритме в Facebook.

24 февраля, после публикации статьи, приложение перестало отправлять сердечный ритм, но по-прежнему передаёт дату и время измерения.

В политике конфиденциальности HR Monitor говорится, что приложение предоставляет данные третьим лицам, но нет конкретной информации о передаче медицинских показаний.

Flo Period & Ovulation Tracker

Женский календарь, который скачали 16,1 млн раз за последние 12 месяцев.

После публикации Flo обновила приложение, полностью удалила SDK Facebook из приложения и отправила запрос в социальную сеть на удаление всех данных пользователей Flo из Facebook Analytics. В тестах 21 февраля приложение отправляло в Facebook данные о менструальных циклах и желании забеременеть.

BetterMe

Фитнес-приложение с 10,5 млн загрузками за последние 12 месяцев.

Приложение отправляет данные о весе и росте пользователей, выполненных тренировках и выбранных проблемных областей тела, например, «жир на животе» или «обвисшая грудь».

Компания не отреагировала на запрос WSJ и продолжает отправлять информацию в Facebook, указав в политике конфиденциальности, какие данные передаются социальной сети.

Weight Loss Fitness by Verv

Приложение отправляет информацию о росте, весе, возрасте, индекс массы тела и подробную информацию о каждом выполненном упражнении.

Компания не отреагировала на запрос WSJ, а в политике конфиденциальности нет упоминания Facebook, но говорится, что приложение не будет передавать личную информацию третьим лицам, «за исключением случаев, когда это необходимо для предоставления услуг (например, поставщикам технических услуг)».

Lose It!

Приложение для добавления информации о тренировках и съеденных продуктах с 5,2 млн загрузками за год.

Тесты показали, что в Facebook отправлялись данные о весе пользователей, калорийности каждого продукта и количестве сожжённых калорий во время активности.

Активности регистрировались по категориям — во время тестов WSJ приложение отправило в Facebook информацию о «45-минутной сексуальной активности, за которую потрачено 46 калорий».

После публикации WSJ приложение перестало отправлять личные данные.

GetFit: Home Fitness & Workout

Приложение отправляет индекс массы тела, информацию об ожирении или избыточном весе, курении и выпитом алкоголе.

В политике конфиденциальности GetFit указано, что приложение делится информацией с партнёрами по рекламе и аналитике, но не утверждает, что Facebook входит в их число. После публикации приложение по-прежнемупредоставляет информацию Facebook.

BetterMen: Fitness Trainer

Приложение для мужских тренировок отправляет данные о весе, росте, выполненных тренировках и проблемных областях: «худые руки», «слабая грудь» и так далее.

Приложение продолжает отправлять информацию после публикации WSJ, но более полно раскрыло в политике конфиденциальности, какие данные предоставляются Facebook.

Realtor.com

Приложение для поиска недвижимости делится с Facebook информацией о том, какие объекты посетил пользователь, где они находятся и сколько стоят, а также отправляет данные об избранных местах.

Компания-разработчик Move заявила, что строго соблюдает все местные, государственные и федеральные требования, а в политике конфиденциальности чётко указано, как собирается пользовательская информация.

Trulia

Это подтверждается политикой конфиденциальности, а представители компании-разработчика утверждают, что Facebook предоставляется «очень ограниченный объём информации». Ещё одно приложение для поиска и аренды недвижимости, которое отправляет город, штат, почтовый индекс и окрестности каждого дома, который просматривают пользователи.

Breethe

Приложение для медитации отправляло адрес электронной почты и полное имя пользователя, но прекратило после публикации WSJ.

Понятно, что бизнес-модель Facebook уникальна, к сожалению, мы не так тщательно проработали обработку данных с политикой конфиденциальности, как следовало бы.

Гарнер Борнштейн

соучредитель компании Breethe

Glucose Buddy

После публикации WSJ передачу данных отключили. Glucose Buddy отправляло данные о кровяном давлении и приёмах пищи. В политике конфиденциальности не указано об отправке медицинской информации третьим лицам.

«Это беспорядок, который полностью не зависит от функциональности приложения», — заявил технический директор Disconnect Патрик Джексон. Информацию проверил разработчик ПО для анализа трафика Disconnect и подтвердил выводы WSJ.

Ни одно приложение из перечисленных не предоставило пользователям очевидного способа отказаться от передачи данных в социальную сеть.

Законно ли это

В большинстве штатов США сбор данных о состоянии здоровья приложениями, которые не имеют отношения к здравоохранению, является законным, если разработчики сообщают об этом в пользовательском соглашении.

Однако федеральная торговая комиссия заинтересовалась случаями, когда передача данных в Facebook существенно отличалась от той, которую могут ожидать пользователи, пишет WSJ.

Согласно новому закону, компании должны получить явное согласие пользователя на сбор, обработку или совместное использование таких данных. В Евросоюзе обработка некоторых конфиденциальных данных — таких как информация о здоровье или интимной жизни человека — регулируется строже. Обычного пользовательского соглашения недостаточно.

Пресс-секретарь Facebook заявила, что компания полностью соблюдает законодательство Евросоюза. Действия компаний могут нарушать законы ЕС, считают опрошенные WSJ эксперты по вопросам конфиденциальности.

Реакция Facebook

На сайте Facebook указано, что соцсеть объединяет данные о пользователях с данными из SDK, чтобы персонализировать контент и рекламу, а также для «улучшения других возможностей Facebook, включая функции ранжирования новостей и поиска».

Facebook автоматически удаляет конфиденциальные данные, которые могут быть отправлены через SDK, например, номера социального страхования, заявил представитель Facebook в разговоре с WSJ.

Представители соцсети считают, что некоторые переданные данные, найденные в ходе расследования WSJ, нарушают условия соглашения с разработчиками: приложениям запрещено отправлять медицинскую, финансовую и другую конфиденциальную информацию.

Перечисленные в статье приложения обязаны прекратить отправку подобных данных.

Представители Facebook также заявили, что соцсеть разрабатывает новый инструмент, который позволит отслеживать приложения, нарушающие условия соглашения, и создаст меры предосторожности, чтобы перестать хранить конфиденциальные данные пользователей.

Виноваты разработчики, а не Facebook

По мнению издания ZDNet, Facebook не собирает личные данные намеренно, а разработчики приложений используют SDK для сбора показателей и анализа того, как пользователи взаимодействуют с приложением.

Это просто ещё один набор инструментов, который предназначен для мобильной аналитики, и действует он так же, как Google Analytics и другие инструменты. По их мнению, в SDK Facebook нет ничего особенного, а журналисты WSJ обратили внимание на SDK только из-за недавних скандалов, связанных с утечкой данных в Facebook.

На рынке есть много других SDK для мобильной аналитики, а разработчики приложений используют инструмент Facebook по собственному желанию. Как и Google, Facebook не заставляет разработчиков приложений использовать свой SDK.

И основная проблема — не в Facebook, а в средствах аналитики и разработчиках», — считает бывший продукт-менеджер Facebook Антонио Мартинес. «Facebook никак не участвовала в сборе данных, при этом соцсеть не хранит данные в пригодной для использования форме.

Как защититься от утечки личных данных

Пять базовых рекомендаций от экспертов по кибербезопасности Group-IB

  • Устанавливать только те приложения, которые действительно нужны и максимально ограничивать их доступ к контактам, диктофону и камере.

  • Использовать смартфоны с актуальной версией операционной системы, без root или jailbreak, устанавливать приложения только из официальных магазинов.

  • Отключить все сервисы отслеживания местоположения и отправки данных.

  • Внимательно изучить политику конфиденциальности, в которой должны быть прописаны условия сбора, обработки и хранения персональных данных.
  • Помнить, что все, что пользователь сообщает о себе или выкладывает в интернет, останется там навсегда и может быть использовано против него.

Защита от отправки данных в Facebook

Однако нет способов помешать компании собирать информацию для других целей, например, для определения поддельных учетных записей. Сейчас пользователи Facebook могут отключить в настройках отправку данных из сторонних приложений и сайтов для улучшения качества рекламы.

В настройках приложения есть пункт «Настройка показа рекламы»

27 февраля 2019 года разработку подтвердил финансовый директор Facebook Дэвид Венер. В мае 2018 года глава компании Марк Цукерберг пообещал, что в социальной сети появится функция «Очистить историю», которая позволит удалить все данные, собранные через приложения и веб-сайты.

По информации BuzzFeed News, компания начнёт тестировать функцию весной. По его словам, после введения «Очистки истории» социальной сети станет сложнее использовать информацию с внешних сайтов для таргетированной рекламы.

Если пользователь не хочет, чтобы его сердечный ритм или другие данные отслеживались и использовались, нужно тщательно проверять разработчика и требовать от него прозрачности в действиях и подробных отчетов. Бывший менеджер Facebook советует поступать радикальнее: если есть вероятность, что конфиденциальность не гарантируется, — лучше вовсе отказаться от приложения.

#facebook #данные

Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть