Grok vs ChatGPT vs Claude
Генерация видео от Google
Шуруповёрт из Cyberpunk 2077
Роботы Figure на кухне
Nothing Phone 3a

WSJ: 11 популярных приложений отправляли в Facebook медицинские, финансовые и другие личные данные пользователей

Коротко о том, как разработчики приложений могут нарушать пользовательское соглашение и как избежать утечки персональных данных.

Издание The Wall Street Journal выяснило, что некоторые финансовые, спортивные и медицинские мобильные приложения с помощью API Facebook Analytics отправляют личные данные человека напрямую Facebook — без разрешения пользователя.

К примеру, разработчики одиннадцати популярных приложений в App Store отправляли данные о давлении, сроке беременности, весе, сердечном ритме, стоимости и местоположении понравившихся пользователям домов.

Информация о пользователе отправлялась вместе с уникальным идентификатором, который можно сопоставить с устройством или профилем человека в Facebook. Это происходило и в тех случаях, когда пользователь не был авторизован в социальной сети или не имел в ней аккаунта.

The Wall Street Journal
The Wall Street Journal

Почему данные отправлялись в Facebook

Apple и Google не требуют, чтобы компании раскрывали всех партнёров, которым отправляют пользовательские данные. Пользователи могут отказаться предоставлять приложениям доступ к определённой информации, например, местоположению или контактам.

Но разрешения не применяются к данным, которые пользователи отправляют в само приложение, а это самая личная информация.

Приложения используют часть SDK Facebook — набора средств разработки, которые помогают разработчикам интегрировать определённые функции, например, создание аккаунта и авторизацию через Facebook, публикацию результатов тренировки в социальной сети.

В одном приложении iOS около 19 различных SDK, на Android около 28. В среднем Facebook SDK есть на 17,6% iOS-приложений и на 25,4% Android-приложений The Wall Street Journal
В одном приложении iOS около 19 различных SDK, на Android около 28. В среднем Facebook SDK есть на 17,6% iOS-приложений и на 25,4% Android-приложений The Wall Street Journal

Любая информация, которая передаётся приложению, может быть передана SDK. В разговоре с WSJ представитель Facebook сказала, что обмен данными между приложениями «стандартная отраслевая практика».

SDK Facebook включает в себя аналитическую службу «События приложений», которая позволяет разработчикам отслеживать активность пользователей. Разработчики могут указать SDK сохранять определённые наборы действий пользователя, к примеру, во время совершения покупки.

Собранные данные в обезличенном виде отправляются на сервера Facebook для хранения в виде «событий в приложении». Они представляют собой пакеты данных, характерные для каждого приложения, и в некоторых случаях могут включать информацию, связанную со здоровьем или финансами человека, в зависимости от профиля приложения.

Эти данные ценны для соцсети, так как помогают лучше понять поведение пользователя и позволяют рекламодателям точнее таргетировать свои предложения на аудиторию, Facebook — получать больше денег за клик, считает WSJ.

Какие приложения отправляли данные

WSJ протестировало более 70 популярных iOS-приложений в App Store в категориях, где обрабатывается конфиденциальная информация пользователей. Для анализа издание использовало ПО для мониторинга трафика.

Приложения Instant Heart Rate: HR Monitor, Flo Period & Ovulation Tracker, Realtor.com The Wall Street Journal
Приложения Instant Heart Rate: HR Monitor, Flo Period & Ovulation Tracker, Realtor.com The Wall Street Journal

Тесты показали, что как минимум 11 приложений отправляли потенциально конфиденциальную информацию о поведении пользователей или фактические данные, которые они вводили.

Instant Heart Rate: HR Monitor

Самое популярное приложение для измерения сердечного ритма на iOS, которое загрузили 3,5 млн раз за последние 12 месяцев.

21 февраля WSJ протестировало его и выяснило, что сразу после регистрации пользователя приложение отправляло информацию о сердечном ритме в Facebook.

24 февраля, после публикации статьи, приложение перестало отправлять сердечный ритм, но по-прежнему передаёт дату и время измерения.

В политике конфиденциальности HR Monitor говорится, что приложение предоставляет данные третьим лицам, но нет конкретной информации о передаче медицинских показаний.

Flo Period & Ovulation Tracker

Женский календарь, который скачали 16,1 млн раз за последние 12 месяцев.

В тестах 21 февраля приложение отправляло в Facebook данные о менструальных циклах и желании забеременеть. После публикации Flo обновила приложение, полностью удалила SDK Facebook из приложения и отправила запрос в социальную сеть на удаление всех данных пользователей Flo из Facebook Analytics.

BetterMe

Фитнес-приложение с 10,5 млн загрузками за последние 12 месяцев.

Приложение отправляет данные о весе и росте пользователей, выполненных тренировках и выбранных проблемных областей тела, например, «жир на животе» или «обвисшая грудь».

Компания не отреагировала на запрос WSJ и продолжает отправлять информацию в Facebook, указав в политике конфиденциальности, какие данные передаются социальной сети.

Weight Loss Fitness by Verv

Приложение отправляет информацию о росте, весе, возрасте, индекс массы тела и подробную информацию о каждом выполненном упражнении.

Компания не отреагировала на запрос WSJ, а в политике конфиденциальности нет упоминания Facebook, но говорится, что приложение не будет передавать личную информацию третьим лицам, «за исключением случаев, когда это необходимо для предоставления услуг (например, поставщикам технических услуг)».

Lose It!

Приложение для добавления информации о тренировках и съеденных продуктах с 5,2 млн загрузками за год.

Тесты показали, что в Facebook отправлялись данные о весе пользователей, калорийности каждого продукта и количестве сожжённых калорий во время активности.

Активности регистрировались по категориям — во время тестов WSJ приложение отправило в Facebook информацию о «45-минутной сексуальной активности, за которую потрачено 46 калорий».

После публикации WSJ приложение перестало отправлять личные данные.

GetFit: Home Fitness & Workout

Приложение отправляет индекс массы тела, информацию об ожирении или избыточном весе, курении и выпитом алкоголе.

После публикации приложение по-прежнему предоставляет информацию Facebook. В политике конфиденциальности GetFit указано, что приложение делится информацией с партнёрами по рекламе и аналитике, но не утверждает, что Facebook входит в их число.

BetterMen: Fitness Trainer

Приложение для мужских тренировок отправляет данные о весе, росте, выполненных тренировках и проблемных областях: «худые руки», «слабая грудь» и так далее.

Приложение продолжает отправлять информацию после публикации WSJ, но более полно раскрыло в политике конфиденциальности, какие данные предоставляются Facebook.

Realtor.com

Приложение для поиска недвижимости делится с Facebook информацией о том, какие объекты посетил пользователь, где они находятся и сколько стоят, а также отправляет данные об избранных местах.

Компания-разработчик Move заявила, что строго соблюдает все местные, государственные и федеральные требования, а в политике конфиденциальности чётко указано, как собирается пользовательская информация.

Trulia

Ещё одно приложение для поиска и аренды недвижимости, которое отправляет город, штат, почтовый индекс и окрестности каждого дома, который просматривают пользователи. Это подтверждается политикой конфиденциальности, а представители компании-разработчика утверждают, что Facebook предоставляется «очень ограниченный объём информации».

Breethe

Приложение для медитации отправляло адрес электронной почты и полное имя пользователя, но прекратило после публикации WSJ.

Понятно, что бизнес-модель Facebook уникальна, к сожалению, мы не так тщательно проработали обработку данных с политикой конфиденциальности, как следовало бы.

Гарнер Борнштейн, соучредитель компании Breethe

Glucose Buddy

Glucose Buddy отправляло данные о кровяном давлении и приёмах пищи. После публикации WSJ передачу данных отключили. В политике конфиденциальности не указано об отправке медицинской информации третьим лицам.

Информацию проверил разработчик ПО для анализа трафика Disconnect и подтвердил выводы WSJ. «Это беспорядок, который полностью не зависит от функциональности приложения», — заявил технический директор Disconnect Патрик Джексон.

Ни одно приложение из перечисленных не предоставило пользователям очевидного способа отказаться от передачи данных в социальную сеть.

Законно ли это

В большинстве штатов США сбор данных о состоянии здоровья приложениями, которые не имеют отношения к здравоохранению, является законным, если разработчики сообщают об этом в пользовательском соглашении.

Однако федеральная торговая комиссия заинтересовалась случаями, когда передача данных в Facebook существенно отличалась от той, которую могут ожидать пользователи, пишет WSJ.

В Евросоюзе обработка некоторых конфиденциальных данных — таких как информация о здоровье или интимной жизни человека — регулируется строже. Согласно новому закону, компании должны получить явное согласие пользователя на сбор, обработку или совместное использование таких данных. Обычного пользовательского соглашения недостаточно.

Действия компаний могут нарушать законы ЕС, считают опрошенные WSJ эксперты по вопросам конфиденциальности. Пресс-секретарь Facebook заявила, что компания полностью соблюдает законодательство Евросоюза.

Реакция Facebook

На сайте Facebook указано, что соцсеть объединяет данные о пользователях с данными из SDK, чтобы персонализировать контент и рекламу, а также для «улучшения других возможностей Facebook, включая функции ранжирования новостей и поиска».

Facebook автоматически удаляет конфиденциальные данные, которые могут быть отправлены через SDK, например, номера социального страхования, заявил представитель Facebook в разговоре с WSJ.

Представители соцсети считают, что некоторые переданные данные, найденные в ходе расследования WSJ, нарушают условия соглашения с разработчиками: приложениям запрещено отправлять медицинскую, финансовую и другую конфиденциальную информацию.

Перечисленные в статье приложения обязаны прекратить отправку подобных данных.

Представители Facebook также заявили, что соцсеть разрабатывает новый инструмент, который позволит отслеживать приложения, нарушающие условия соглашения, и создаст меры предосторожности, чтобы перестать хранить конфиденциальные данные пользователей.

Виноваты разработчики, а не Facebook

По мнению издания ZDNet, Facebook не собирает личные данные намеренно, а разработчики приложений используют SDK для сбора показателей и анализа того, как пользователи взаимодействуют с приложением.

По их мнению, в SDK Facebook нет ничего особенного, а журналисты WSJ обратили внимание на SDK только из-за недавних скандалов, связанных с утечкой данных в Facebook. Это просто ещё один набор инструментов, который предназначен для мобильной аналитики, и действует он так же, как Google Analytics и другие инструменты.

Как и Google, Facebook не заставляет разработчиков приложений использовать свой SDK. На рынке есть много других SDK для мобильной аналитики, а разработчики приложений используют инструмент Facebook по собственному желанию.

«Facebook никак не участвовала в сборе данных, при этом соцсеть не хранит данные в пригодной для использования форме. И основная проблема — не в Facebook, а в средствах аналитики и разработчиках», — считает бывший продукт-менеджер Facebook Антонио Мартинес.

Как защититься от утечки личных данных

Пять базовых рекомендаций от экспертов по кибербезопасности Group-IB

  • Устанавливать только те приложения, которые действительно нужны и максимально ограничивать их доступ к контактам, диктофону и камере.

  • Использовать смартфоны с актуальной версией операционной системы, без root или jailbreak, устанавливать приложения только из официальных магазинов.

  • Отключить все сервисы отслеживания местоположения и отправки данных.

  • Внимательно изучить политику конфиденциальности, в которой должны быть прописаны условия сбора, обработки и хранения персональных данных.
  • Помнить, что все, что пользователь сообщает о себе или выкладывает в интернет, останется там навсегда и может быть использовано против него.

Защита от отправки данных в Facebook

Сейчас пользователи Facebook могут отключить в настройках отправку данных из сторонних приложений и сайтов для улучшения качества рекламы. Однако нет способов помешать компании собирать информацию для других целей, например, для определения поддельных учетных записей.

В настройках приложения есть пункт «Настройка показа рекламы»
В настройках приложения есть пункт «Настройка показа рекламы»

В мае 2018 года глава компании Марк Цукерберг пообещал, что в социальной сети появится функция «Очистить историю», которая позволит удалить все данные, собранные через приложения и веб-сайты. 27 февраля 2019 года разработку подтвердил финансовый директор Facebook Дэвид Венер.

По его словам, после введения «Очистки истории» социальной сети станет сложнее использовать информацию с внешних сайтов для таргетированной рекламы. По информации BuzzFeed News, компания начнёт тестировать функцию весной.

Бывший менеджер Facebook советует поступать радикальнее: если есть вероятность, что конфиденциальность не гарантируется, — лучше вовсе отказаться от приложения. Если пользователь не хочет, чтобы его сердечный ритм или другие данные отслеживались и использовались, нужно тщательно проверять разработчика и требовать от него прозрачности в действиях и подробных отчетов.

1010
реклама
разместить
8 комментариев

Ну как так-то?
Никогда раньше такого не было и вот опять!
Если что, мы не знали вообще о возможности существования ваших личных данных, хранящихся у нас на сервере, поступающих от других компаний.
Мы уважаем принципы конфиденциальности, поэтому заранее извиняемся за утечки данных.
С уважением,
Рукалиц... Э, то есть Лицокнига.

1

С кнопкой «Очистить историю» ваще печаль! Как дальше жить то?

А новость в чем?

Ждем, когда Маркушу снова вызовут на ковер

Комментарий недоступен

Это называется фб аналитика. Да туда все льют данные не для того, чтобы их «красть», а с целью улучшения продукта.

Но в результате данные крадут, а продукт как был гавном так и остаётся.

Раскрывать всегда
Сдавал букет из 101 розы в аренду на 14 февраля и вот что заработал…
Сфотографировал, чтобы посоветоваться с мамой. Она лучше понимает, норм или не норм цветок. Для меня любая роза красивая.
8484
3636
1818
33
11
Не пережили бы живые розы столько переездов и фотосессий , ну
реклама
разместить
ЕС утвердил 16 пакет санкций против России — под них попали 13 банков и восемь СМИ

А также поставки PlayStation и Xbox в страну.

Фото «РИА Новости» 
3939
3333
1111
44
11
11
Когда на Санлайт наложат санкции?
Как не разориться на рекламе на маркетплейсах: 4 невидимые причины, которые «съедают» бюджет

«Загрузил товар, запустил рекламу и жди продаж» — так многие новички представляют работу с маркетплейсами. Но через месяц вместо прибыли — убытки: расходы на продвижение съели весь доход. Разбираемся, как реклама может привести к минусам на счету и как этого избежать.

Как не разориться на рекламе на маркетплейсах: 4 невидимые причины, которые «съедают» бюджет
2121
День 1097: Путин поручил предусмотреть преимущества для российского бизнеса на случай возвращения иностранного

Собираем новости, события и мнения о рынках, банках и реакциях компаний.

Владимир Путин. Источник фото: «Ведомости»
3232
1919
33
Трамп, приди! Порядок наведи! Бренды западные верни! Мастеркард и визу подключи! В подъездах, как Обама, не сри! Прямые рейсы в Ньй-Йорк верни!
Apple инвестирует $500 млрд в производство в США и создаст 20 тысяч рабочих мест в течение следующих четырёх лет

До этого Трамп пригрозил ввести 10%-е пошлины на импорт из Китая, где компания производит большинство своих продуктов.

Глава Apple Тим Кук на инаугурации Дональда Трампа. Фото Bloomberg
1010
11
11
11
На моем производстве сотрудников чипируют, держат в холоде, ну и доят, конечно

У меня было 4 машины, двухкомнатная квартира и дом в центре города. Я был не последним человеком на заводе и привык не смотреть на цены в магазинах.

В остальном стараемся действовать традиционно. Это я с ивой — в будущем хочу давать её козам как средство от гельминтов
6464
66
11
11
Очень неоднозначное ощущение оставил матерал. Во1, я всё таки рекомендую воспользоваться господдержкой, если это возможно. Она для этого и придумана. Люди не будут против. Не пользоваться льготой, когда она очень сильно нужна - не благородство, а... Вобщем, берите поддержку и не выносите себе мозг. 2. Кажется, вы не в нуле только потому, что продали имущество. Начинайте прямо сейчас считать доходы и расходы, а то пойдете по миру. Это сначала кажется страшно, а потом окажется полезным. Я готова совершенно безвозмездно проконсультировать вас или жену как это сделать, если всё таки решитесь.
Claude 3.7 Sonnet: Новая Эра Искусственного Интеллекта

В мире технологий каждое обновление крупных моделей языкового искусственного интеллекта становится настоящим событием, и недавний релиз Claude 3.7 Sonnet от компании Anthropic не стал исключением 3. Это обновление представляет собой значительный шаг вперед в развитии ИИ-моделей, предлагая пользователям новые возможности для решения сложных задач и…

Claude 3.7 Sonnet: Новая Эра Искусственного Интеллекта
Apple отключила российским разработчикам доступ к платформе Apple Developer Enterprise Program — на ней создавали iOS-приложения для корпоративного использования без публикации в App Store

Причины Apple не назвала.

Источник фото: AppleInsider
1313
77
66
55
22
Apple в очередной раз подтвердил - iPhone это для тех кто любит боль
[]