Анонимные идентификаторы не гарантируют анонимность — компании вычисляют по ним конкретных людей
Они связывают уникальные идентификаторы с именами, телефонами и адресами пользователей, а данные продают злоумышленникам. Кто этим занимается и как борются с незаконной утечкой Apple и Google — в пересказе Vice.
ИТ-компании заверяют, что трекеры для отслеживания действий пользователя относительно анонимны: они фиксируют поведение, но не раскрывают личность.
Тем временем растёт рынок, который подрывает эту анонимность. По словам Vice, фирмам помогают уникальные рекламные идентификаторы (MAIDs) — система присваивает такой каждому конкретному устройству.
Приложения нередко передают их третьим лицам, которые впоследствии могут сопоставить их:
- С полным именем владельца.
- Его фактическим адресом проживания.
- Прочей личной информацией.
Одной из крупнейших баз данных в США владеет информационный брокер BIGDBM. По словам гендиректора Брэда Мака, компания находит по идентификатору ФИО, местоположение и телефон пользователя, его электронную почту и IP-адрес, а также «другие детали, на перечисление которых не хватит и интервью».
Данные, как говорит сама BIGDBM, компания получает из множества источников, в том числе от интернет-провайдеров и владельцев приложений.
Компаниям, которые хотят раскрыть личность пользователя, остаётся лишь выкупить данные у одной фирмы и предоставить их другой — например, BIGDBM.
Сегодня каждый, кто установил приложение с рекламой, может потерять анонимность.
Особенно сильно рискуют политики и военнослужащие, сотрудники правоохранительных и разведывательных органов.
Сами информационные брокеры считают, что всего лишь помогают компаниям создавать портрет пользователей, пишет Vice. Одна из них — частная технологическая компания FullContact. По словам руководства, у неё 223 млрд единиц данных и профили более 275 млн взрослых американцев.
В январе 2021 года Vice получила доступ к базе геоданных Predicio — французская фирма отслеживала местоположение пользователей приложения для молитв Salaat First. Она не указывала их имён, но раскрывала рекламные идентификаторы.
«В профиле мы отображаем как личные и профессиональные характеристики человека, так и его онлайн- и офлайн-идентификаторы — имена, адреса, поведенческие привычки», — сообщает FullContact.
Запрашивает ли компания согласие у пользователя и как защищает данные от злоумышленников, она не сообщает.
Apple и Google закрывают свободный доступ к данным
Исследование Vice доказывает, что компании не гарантируют полную анонимность данных, а использование идентификаторов нарушает регламент ЕС по защите данных, заключает исследователь Зак Эдвардс.
В апреле 2021 года Apple обязала разработчиков запрашивать разрешение у пользователей, прежде чем отслеживать их действия. Раньше они получали доступ к данным по умолчанию.
После нововведения отправлять информацию согласилось лишь 4% американцев.
Аналогичную меру внедрит и Google: компания обещает закрыть доступ к идентификаторам к началу 2022 года.
Я всерьёз переживаю, что персональные данные американцев доступны иностранным правительствам. Ведь те могут использовать их, чтобы подорвать национальную безопасность США.
Именно поэтому я предложил ужесточить законы о конфиденциальности и выпустить законопроект, который бы запретил компаниям из недружественных государств покупать эти данные