ВКонтакте и принципы защиты сомнительного сбора информации*

Кратко: представители компании в лице поддержки не знают или не хотят рассказывать, откуда получили данные о моей точной геопозиции (координаты с точностью до подъезда). И нет, не по GPS моего смартфона.

Для представителей ВКонтакте:

1) https://vk.cc/covDph — первое обращение.

2) https://vk.cc/covDxC — второе обращение.

И так с 27 декабря 2022
И так с 27 декабря 2022

С чего всё началось

25 декабря 2022 я из интереса решил заказать архив данных о себе, чтобы посмотреть, как меня видит ВКонтакте. Мелочиться не стал: запросил абсолютно все доступные к выгрузке данные, несмотря на двухдневное ожидание обработки данных.

Через два дня меня ждал архив на 300 МБ данных, на выходе я получил папку с данными на полтора ГБ.

Было скучновато: дешифрованные сообщения, лайки к постам, интересы, блокировки и прочее. Что действительно меня заинтересовало, так это вкладка «Часто посещаемые места» — я был уверен в том, что у ВКонтакте подобных данных нет, ведь у меня всегда был запрет к определению местоположения для всех приложений по умолчанию.

If only he’d known…

Сказал я себе в мыслях, печатая этот текст.

Там оказалось две очень интересных геопозиции (одна из которых позднее, в будущих архивах, была переименована в «Дом») — координаты одного из мест моего частого обитания (дом), с точностью до подъезда, а также точка на ЖД путях Калуга → Москва, точка интересная, действительно «часто посещаемая».

До/после
До/после

Первое обращение: бесконечное ожидание

В конце этого блока изображения с итерациями — можете ознакомиться.

Первая ветка обращений началась 27 декабря 2022, изначально мне стандартно сообщили о том, что данные ребята получили от провайдера и это невозможно изменить. С этим утверждением я полностью согласен, но получить данные о геопозиции с точностью до подъезда (далее в переписке мы условились, что данные передаются с точностью до дома) по GeoIP невозможно, да и город, впрочем, не всегда возможно узнать.

В тот же день обращение, видимо, было передано в какое-то другое подразделение, где мне в пэссив-агрессив стиле ответили, что я обманываю саппорт, ведь я не приложил официальный ответ от провайдера, к которому они порекомендовали обратиться, чтобы узнать, какие данные он передаёт.

Тогда же я задал вопрос: «С вашего позволения, не против, если я буду отписываться в тикет каждые 10-15 дней, чтобы он не был закрыт?». Забавно, но мне даже на этот вопрос ответили шаблоном об ожидании. Формально я жду ответ на второй вопрос тоже уже шестой месяц.

7 марта была достигнута точка кипения — я был удивлён, что на такой вопрос ребята из ВКонтакте отвечают дольше госструктур.

Больше я в это обращение писать не мог, оно было закрыто, 3 мая зачем-то написали из второго обращения о том, что ответят там же.

Второе обращение: опыт с РКН и предупреждение о судебном порядке решения вопроса

В конце этого блока изображения с итерациями — можете ознакомиться.

25 марта я повторно обратился в поддержку с просьбой прояснить свои действия, тогда же я оставил обращение в Роскомнадзор, отдел защиты прав субъектов персональных данных. К слову, ответ от РКН уже получен, он меня удовлетворил, по результатам переписки с Поддержкой ВКонтакте будет решено: идти в суд в июле или нет.

Произошло чудо, 5 мая ко мне обратился некий № 9590, наверное, единственный, кто хотел разобраться в ситуации, но отправил по сути тот же ответ, что и в начале, меня охватило культурное негодование, на сей раз спокойное. Что интересно, Агент написал:

Настройки смартфонов позволяют запретить доступ к данным со стороны устройства, но мы также можем попробовать сделать предположение о местах, где пользователь часто бывает, на основе косвенных признаков, а также с помощью других источников или устройств — например, компьютера или планшета в случае разрешения доступа к геопозиции на этих устройствах, или благодаря альтернативным методам, таким как GeoIP

Агент Поддержки ВКонтакте № 9590

Однако в принципах защиты информации ни слова про такие косвенные признаки.

Кстати, помните про вторую метку? Почитайте мой ответ из приложенных изображений — теоретически, она вообще никак не могла быть получена.

В тот же день с меня запросили некоторые данные, показалось, что Агент действительно очень хотел помочь, но что-то пошло не так, видимо, его коллеги, у которых он брал информацию, заблокировали его: )

На 30 мая, статус обращения «Рассмотрен», ответов никаких не последовало, спрашивается, какой смысл был запрашивать информацию. Напрашивается вывод о том, что ребята утаивают что-то.

Времени на всё это у меня пока нет, но, представители ВКонтакте, у меня его будет предостаточно в июле.

А зачем это всё?

Вопрос о защите приватности и сборе личных данных становится всё более актуальным — с недавних пор Правительство наконец-то начало задумываться об этом. Пока надеемся на то, что за подобные инциденты введут уголовную ответственность и санкции. Важно понимать, как обрабатываются данные, ведь ФЗ-152 существует не просто так. В случае с ВКонтакте, ситуация выглядит неутешительно.

Моё обращение и недовольство не преследуют цель просто выяснить, откуда ребята из ВКонтакте получили мою точную геопозицию. Я стремлюсь к получению обещанного — прозрачности и ответственности.

Социальная платформа, являющаяся «домом» для миллионов пользователей, не может или не хочет объяснить, какие источники данных использовались для получения такой информации и не предусмотрела возможность удалить такие данные — это вызывает серьёзные опасения.

Мы должны требовать от компаний, включая ВКонтакте, соблюдения принципов защиты личной жизни и приватности, а также ФЗ-152.

* Которые компания неохотно соблюдает.

4242
34 комментария

По "дому" в голову приходит следующая цепочка:
1. Вы разрешаете доступ к местоположению какому-либо приложению (такси, доставка еды и т.п.), GPS включен, оно определяет ваше точное местоположение
2. Оно собирает данные об окружающих сетевых устройствах (MAC-адреса роутеров побилзости, и т.д.), т.е. точное местоположение теперь известно и для этих устройств, а также для вашего IP (который в вашем случае постоянен).
3. Пользовательское соглашение позволяет им передать эти данные третьим лицам
4. Данные продаются другим компаниям (напрямую или через компанию-агрегатор), в т.ч. ВК
5. В дальнейшем ВК не обязательно использовать GPS, достаточно соотнести полученные данные о точном местоположении и IP адресе* или обнаружить MAC этих роутеров поблизости**, и можно почти наверняка утверждать, что ваше местоположение то же, что и в п. 1
6. Для пущей уверенности повторить n раз

* будь он динамическим, это бы мало что дало, и данные о других пользователях противоречили бы такой связи, но в вашем случае связь однозначная и непротиворечивая
** для этого всё равно требуется разрешение на доступ к местоположению, но пользователь может посчитать, что раз GPS отключен, то точное местоположение не получить, и дать такое разрешение

10

Вторая метка — скорее всего, очень примерная по IP. Например, ранее другие люди используя этот IP (он динамический от сотового оператора) разрешали доступ к своему местоположению, и оно было ~ в этой точке. Либо оператор связи продаёт инфу о местоположении вышки и связанных с ней IP в определённое время. Есть ещё варианты, но уже более мудрёные.

3

Очень интересные рассуждения)

Дома зачастую используется VPN, причем московский, (уберем учет иностранного, это можно по алгоритмам отсеять)

Действительно даю единоразовые доступы к местоположению сервису, который относится к Яндексу — не думаю, что им интересно передавать такие данные группе компаний ВК. Даже если это и так, то они бы могли сказать об этом еще в декабре.

Вторая метка самая загадочная — в этом месте я не останавливаюсь, она стоит почти на пересечении областей, именно по жд путям, то есть там нет остановки или еще чего-то примечательного. По поводу вышки интересно, но звучит дороговато))

Практика показывает, что несмотря на все попытки защититься, со временем, у системы (это может быть ВК, гугль, в целом - кто угодно из бигтеха или просто из их клиентов) информация о вас будет накоплена и складирована для возможного употребления. Множество раз упоминалось о том, как того или иного хакера нашли по оставленным "следам". Несмотря на цепочки впн, торов и т.п. и т.д.

Раскрывать вам эту информацию не будут. Это "спецслужбисткая" тайна и не только в РФ. И её раскрытие считается уголовным преступлением на уровне госизмены.

Помните "Бумер"? А ведь тогда технологии были ещё в самом зачаточном состоянии. Защититься можно, но сложно.

Простой способ - лишить себя всех "цифровых" удобств. Вообще всех, полностью. Сложный способ - создать аватара (но при физическом контакте, вас все равно вычислят:)).

6

ФЗ-152 существует не просто так не предусмотрела возможность удалить такие данные — это вызывает серьёзные опасенияРаботает ли закон? Авито бесконтрольно собирает биометрию. Там тоже не предусмотрена возможность удаления (пройти проверку по биометрии и документам можно только в одном аккаунте, даже если этот аккаунт будет удален).

5

ВК и есть гос структура. Выкуплено это у Алишера не для доходности а для мониторинга.

Большой брат пришел и смотрит.

4

ВК давно вызывает у меня негодование, а по продвигаемому ими контенту (посмотрите их рекламу и зайдите для верности эффекта в "клипы") - отвращение. Удалил их приложение сразу после прочтения статьи.
Упыри, ничуть не лучше FB.

4