Cookies management by TermsFeed Cookie Consent

12/2022

   Report bezpečnosti

Výskumníci vyčítajú Applu, že informácie o nás zbiera nezákonne, a ďalšie kauzy ochrany údajov

Aj vy povoľujete v mobile používanie dát na zlepšenie vývoja?

Tím softvérovej spoločnosti Mysk si v teste posvietil na to, ako zhromažďuje a analyzuje údaje o požívateľoch výrobca iPhonov. Prichádzajú s varovaním, že spoločnosť Apple zhromažďuje osobne identifikovateľné informácie.

Ako tvrdia výskumníci, deje sa tak aj napriek tomu, že v zásadách ochrany osobných údajov sľubuje tento technologický gigant používateľom anonymitu. Vážne sa týmto naštrbilo tvrdenie výrobcu, že zhromaždené údaje sa nedajú použiť na identifikáciu používateľa. Analytika zariadenia si však ide svoje.

Tak sa na to pozrime očami testerov

Každý používateľ iPhonu má svoje Apple ID aj takzvaný identifikátor adresárovej služby DSID (Directory Services Identifier), ktorý je nezameniteľný. Tento identifikátor DSID je podľa výskumníkov priamo prepojený s menom, telefónnym číslom, e-mailovou adresou, dátumom narodenia a inými údajmi v účte iCloud.

Výskumníci poukazujú na tom, že výrobca zhromažďuje súčasne informácie identifikátora DSID aj Apple ID. Takže kto pozná používateľovo DSID, pozná aj jeho meno.

Situáciu zhoršujú aj zistenia, že Apple zhromažďuje analytické informácie, aj keď vypnete nastavenie v iPhone s názvom Share iPhone Analytics. Spoločnosť Apple sa k publikovaným informáciám zatiaľ nevyjadrila.

Odborné portály sa zhodujú s výskumníkmi, ktorí test viedli. Tommy Mysk k zbieraniu údajov o používateľoch vyhlasuje: „Toto nie je Google. Ľudia sa rozhodnú pre iPhone, pretože si myslia, že takéto veci sa nestanú. Apple nemá právo na vás dohliadať.“

V online svete máme hodnotu údajov

Samotná spoločnosť Apple investuje už roky do kampaní na podporu ochrany súkromia. V roku 2021 uviedla atraktívnu a vtipnú kampaň iPhonu s jednoduchým sloganom Privacy. That’s iPhone. Prezentovala v nej, ako iPhone nastavenia chránia používateľov pred sledovaním z prehliadača alebo aplikácií.

Konkurenti a softvéroví výskumníci už roky upozorňujú na to, že Apple robí všemožné kroky na vybudovanie vlastného reklamného impéria, postaveného na osobných údajoch svojich miliárd používateľov. Súčasťou sú aj vlastné nastavenia ochrany osobných údajov.

Ak prevádzkovateľ nechráni osobné údaje adekvátne

Tak sú na rade pokuty. Požívateľov síce priamo neodškodnia, ale previnilcom môžu spôsobiť bolestivé výdavky. Najnovším príkladom je pokuta vo výške 265 miliónov eur za porušenie GDPR z konca novembra pre spoločnosť Meta od írskeho regulátora Data Privacy Commissioner.

Vyšetrovanie sa začalo minulý rok a týkalo sa osobných údajov stiahnutých od mája 2018 do septembra 2019 z Facebooku a sprístupnených online. Írsky regulátor vyčítal spoločnosti Meta nedostatočnú ochranu používateľov. Spoločnosť Meta vo vyhlásení uviedla, že plne spolupracovala, pokutu akceptuje a urobila mnoho nápravných opatrení.

Takáto ukážková komunikácia však neplatí v prípade ďalšej mega pokuty za porušenie GDRP. V septembri dostal Instagram od írskeho regulátora pokutu 403 miliónov dolárov za porušenie ochrany súkromia detí. Platforma vtedy sprístupnila verejnosti telefónne čísla a e-mailové adresy používateľov od 13 do 17 rokov, pravdepodobne keď inovovala funkcionalitu účtov.

Vyšetrovanie sa začalo v roku 2020, aby posúdilo, ako sociálna platforma nakladá s údajmi mladistvých používateľov. Instagram počas vyšetrovania spolupracoval s írskym regulačným orgánom, s výškou pokuty 405 miliónov eur však rozhodne nesúhlasí. „Vyšetrovanie sa zameralo na staré nastavenia, ktoré sme aktualizovali pred viac ako rokom, a odvtedy sme vydali mnoho nových funkcií, ktoré pomáhajú udržať tínedžerov v bezpečí a ich informácie v súkromí,“ uviedol hovorca Mety.

Škandál s daňovými priznaniami

Investigatívci spoločnosti The Markup zistili, že populárny americký daňový softvér odosielal citlivé finančné informácie spoločnosti Meta. Zatiaľ čo si milióny Američanov s dôverou podávali online svoje daňové priznania, služby H&R Block, TaxAct a TaxSlayer prenášali finančné dáta Facebooku.

Údaje odosielajú prostredníctvom široko používaného kódu Meta Pixel. Pixel na webovej stránke TaxAct odoslal údaje používateľov Facebooku vrátane stavu prihlásenia používateľov, ich upraveného hrubého príjmu a výšky ich refundácie. Príjem bol zaokrúhlený na tisíce a refundácia na stovky. Pixel posielal mená závislých osôb v obfuskovanom, ale vo všeobecnosti reverzibilnom formáte.

Na čo im to je?

Informácie môže spoločnosť Meta použiť na spojenie so svojimi reklamnými algoritmami. Údaje zhromažďuje bez ohľadu na to, či používateľ daňovej appky má účet na Facebooku alebo na iných platformách prevádzkovaných spoločnosťou Meta. Dotknuté spoločnosti sa od okamžiku uverejnenia správy pretekajú vo vyjadreniach, ako im záleží na súkromí používateľov, prípadne, že nevedeli (v origináli kulantné vyjadrenie neboli notifikovaní) o tejto funkcii.

Nič nie je zadarmo. A ak áno, tak za tým niečo je

Voľne povedané, v súčasnosti Meta sprístupňuje pixelový kód každému, kto chce. Firmám umožňuje vkladať tento kód na webové stránky podľa vlastného uváženia. Zároveň však tvrdí, že údaje, ktoré získa z nástrojov ako Pixel, môže použiť do svojich algoritmov. Poskytne jej to prehľad o zvykoch používateľov na internete a zároveň na rozvoj učenia sa umelej inteligencie.

Súhlas používateľov primárnych webových stránok je zakomponovaný vo všeobecných používateľských súhlasoch, podľa aktivistov to však nie je dostatočne transparentné a zrozumiteľné.

Meta už právne problémy kvôli Pixelu má. Dve žaloby podané v roku 2022 obvinili súčasne spoločnosť Meta a nemocnice z porušovania zákonov o ochrane súkromia. Dôvodom prvej žaloby bolo získavanie údajov o pacientoch bez ich súhlasu. Údaje prostredníctvom nástroja na sledovanie Pixel odoslalo Facebooku najmenej 664 webových stránok nemocničných systémov alebo poskytovateľov zdravotnej starostlivosti. Druhá žaloba sa týka cielenej reklamy súvisiacej s ochorením pacienta.