Пиксели-шпионы: как компании следят за пользователями

Что такое трекинг пикселей в электронных рассылках и чем он опасен

Depositphotos
Согласно статистике e-mail-сервиса Hey, практически во всех письмах рекламного характера, отправленных с помощью этого приложения, встроены трекер-пиксели, которые собирают информацию о получателе. Какие данные могут получить эти маленькие шпионы и насколько они опасны для приватности получателя — в материале «Газеты.Ru».

Почти во всех почтовых рассылках в e-mail-сервисе Hey используется технология «невидимого отслеживания», об этом сообщает «Би-би-си».

Согласно статистике, которую предоставил Hey, две трети писем, отправленных в личные аккаунты пользователей содержали трекинг пикселей — технологию, с помощью которой можно отследить действия владельца почтового ящика.

«Шпионские» пиксели вшиты в картинку, которая находится в электронном письме.

Как только пользователь открывает письмо, и изображение загружается, код внутри трекера собирает информацию о том, что письмо было открыто, когда это было сделано, где, сколько раз и с какого устройства. После сбора данных, они отправляются на сервер компании, которая отправила рассылку.

Трекер-пиксели обычно представляют собой GIF- или PNG-файл размером 1x1 пиксель, обычно их встраивают в колонтитулы или «тело» письма. Однако их невозможно обнаружить невооруженным глазом, даже если знать, где искать.

Обычно эта технология используется маркетологами для создания статистики, а также для автоматического прекращения отправки сообщений клиентам, которые их игнорируют.

Исследование, проведенное Принстонским университетом, также показало, что собранные с помощью шпионских пикселей данные иногда были связаны с файлами cookie. Это позволяет узнать, какие веб-страницы просматривает владелец почтового ящика. Кроме того, трекеры могут привести к направленным на получателя действиям со стороны консультантов, работающих в компании.

«Например, они могут написать вам: «Я видел, как вы открыли мое письмо вчера, но до сих пор не ответили. Можно мне позвонить вам?» — рассказал соучредитель Hey Дэвид Хайнемайер Ханссон.

Руководство сервиса Hey утверждает, что многие крупнейшие фирмы, за исключением IT-гигантов, не брезгуют пользоваться таким способом отслеживания пользователей. Так, в число «шпионящих» корпораций вошли British Airways, Marks & Spencer, Asos и Unilever.

Ханссон говорит, что трекер-пиксели представляют собой «абсурдное вторжение в частную жизнь». Основная опасность этой технологии заключается в том, что пользователи не знают о том, что за ними следят.

«В большинстве почтовых программ нет пометки, которая говорит, что это письмо включает в себя шпионский пиксель», — добавил Ханссон.

Однако есть способ оградить себя от шпионажа. Например, сервис Hey предлагает такую услугу, но пользователи должны оплачивать ежегодную подписку. Кроме того, есть бесплатные плагины, которые можно установить в другие почтовые программы, чтобы избавиться от многих пиксельных трекеров. Также пользователь может настроить программное обеспечение на блокировку всех изображений по умолчанию или просмотр электронных писем в виде обычного текста.

Директор департамента информационной безопасности компании Oberon Евгений Суханов, рассказал «Газете.Ru» о том, что в эпоху цифровизации данные – это «новая нефть», и стандартная для электронной почты информация теперь может служить описанием компании, ее геолокации, частоте просмотра рекламных писем и так далее. Кроме того, массив собранных данных может служить в маркетинговых целях, эту информацию можно продавать как отдельный продукт.

«В целом эта технология в первую очередь полезна маркетологам. С помощью пикселя-шпиона они могут узнавать насколько предложение интересно пользователю, лучше прорабатывать рекламные кампании и на основе полученных данных разрабатывать дальнейшую стратегию по продвижению товаров и услуг», — отметила эксперт лаборатории практического анализа защищенности Центра информационной безопасности компании «Инфосистемы Джет» Екатерина Рудая.

Также она отметила, что пиксель не собирает личные данные пользователя, такие как номер телефона или ФИО. Но последующая аналитика может сопоставить email получателя и, соответственно, его личные данные, которыми владеет отправитель, с устройствами и IP-адресами с которых происходило открытие сообщения.

«На текущий момент пиксели в сообщениях регулируются правилами и стандартами, в том числе GDPR (General Data Protection Regulation — основной закон о защите данных, действующий на территории ЕС). Существуют требования, заставляющие организации уведомлять пользователя о наличии пикселя-шпиона в письме, и в некоторых случаях, даже получать согласие от пользователя на наличие такого пикселя. Наблюдается тенденция на прозрачность и необходимость привлечения пользователя к участию в решении вопроса может ли компания «шпионить» за ним или нет», — поделилась Рудая.

Директор департамента по исследованию угроз Avast Михал Салат сказал, что «шпионские» пиксели ничем не отличаются от обычных изображений в электронном письме.

«Фактически, той же функциональности можно добиться, используя большое видимое изображение, которое не нужно скрывать, например, логотип отправителя. Разница в основном заключается в том, как запрос изображения обрабатывается на сервере. Сервер извлечет из запроса как можно больше информации и отправит ее для отслеживания эффективности кампании. Отправление писем с такими пикселями не является незаконным, но точно сомнительным с этической точки зрения», — считает эксперт.

По словам Салата, информация, которую передают трекер-пиксели может быть потенциально использована злоумышленниками в качестве начальной фазы атаки, чтобы узнать, есть ли какие-либо известные уязвимости, которые можно использовать.

«Добавив скрытый отслеживающий пиксель в фишинговое электронное письмо, хакеры могут собирать и отправлять на сторонние ресурсы информацию об IP-адресе или имени хоста, об операционной системе. Эти данные, в свою очередь, могут помочь в определении физического местонахождения пользователя...Если злоумышленник знает о наличии уязвимости в ПО, через крохотное изображение он может отследить ее на устройстве жертвы и впоследствии использовать в планировании атаки. Сами по себе такие изображения не опасны, но информация, которую они передают, может быть использована в преступных целях», — заключил технический директор Check Point Никита Дуров.