Что загружено в интернет, остается в интернете
Личные данные пользователей Facebook снова оказались под угрозой — в середине мая был опубликован доклад, в котором сообщалось об утечке персональной информации 3 млн человек.
Как оказалось, источником угрозы стал обычный тест, аналоги которого широко представлены в интернете — респонденты должны ответить на несколько вопросов и получить прогноз на будущее, сведения о своем характере, предпочтительных сферах работы, знаке зодиака своего идеального партнера и т.д.
Тест назывался myPersonality, а его курированием занимался Кембриджский университет. До того момента, как Facebook обнаружил угрозу и удалил тест со своей платформы, опрос успели пройти 6 млн человек. Половина респондентов дала свое согласие на то, чтобы их личная информация была использована в рамках учебного проекта.
Это означает, что данные 3 млн человек были собраны в один архив, который впоследствии разместили на веб-сайте, чтобы другие исследователи могли пользоваться собранной статистикой в своих целях.
При этом подлинные имена респондентов были удалены, но в записях оставалась другая личная информация — в том числе возраст, пол, геолокация и семейное положение пользователя.
По задумке весь этот кладезь должен был быть доступен ограниченному кругу лиц, каждый из которых имел свой пароль. К сожалению, кембриджские ученые так и не смогли обеспечить достойный уровень безопасности своей базе данных. Так, портал New Scientist обнаружил данные для входа на сайт с помощью обычного поискового запроса, что заняло в общей сложности «не больше минуты». После авторизации исследователям удалось скачать весь архив целиком.
Facebook ограничил доступ к myPersonality в середине апреля 2018 года из-за возможных нарушений внутренних правил компании.
Этот шаг был предпринят в рамках расследования скандала с компанией Cambridge Analytica — тогда глава Facebook Марк Цукерберг пообещал провести проверку всех приложений сторонних разработчиков, у которых может быть доступ к данным социальной сети.
«Мы несем ответственность за это перед людьми нашего сообщества», — заявил Цукерберг.
Кембриджские утечки
Однако такие радикальные меры, как это часто случается, были приняты слишком поздно. В марте текущего года стало известно, что личные данные 87 млн пользователей Facebook были проданы частной компании Cambridge Analytica, которая использована их в своих целях, в том числе в рамках президентской кампании Дональда Трампа в 2016 году.
Тогда в центре внимания снова оказался опрос — приложение thisisyourdigitallife, которое формировало психологический портрет пользователя, основываясь на его ответах на вопросы. Автором приложения был профессор Кембриджа Александр Коган, собиравший данные исключительно для «академических целей».
Эта утечка нанесла ощутимый удар по репутации Facebook и лично Марка Цукерберга, которому пришлось впервые предстать перед Конгрессом США для дачи показаний по этому делу.
Даже спустя два месяца эта история еще не закончена — о начале собственного расследования по данному делу в мае объявило Министерство юстиции США и Федеральное бюро расследований (ФБР). Представители ведомств опрашивают бывших сотрудников компании и банков, которые были с ней связаны.
Сама Cambridge Analytica после скандала объявила о банкротстве и прекратила свою деятельность. Тем не менее, в результате обеих утечек, виновниками которых стали психологические тесты, в общем доступе оказались личные данные почти ста миллионов человек по всему миру. Сложившаяся ситуация поднимает важный вопрос — действительно ли безобидные тесты, обещающие рассказать интересные подробности вашей личности, представляют опасность, или же пользователи Facebook стали жертвами досадной случайности?
Подписать, не глядя
Последняя утечка данных с Facebook произошла из-за того, что данные для входа в базу данных публиковались публично на GitHub, рассказал «Газете.Ru» глава представительства Avast в России и СНГ Алексей Федоров. Подобные инциденты возникают в первую очередь из-за недостаточно высокого уровня обеспечения безопасности.
Пользователи не всегда читают условия конфиденциальности и не осознают, как эти данные могут быть использованы в дальнейшем правообладателями, какие данные можно получить благодаря приложениям Facebook и т.д. Зачастую подобные приложения запрашивают соглашение на обработку персональных данных, где прописано, кому могут быть переданы полученные сведения, поэтому следует всегда внимательно читать пользовательские соглашения.
«Когда пользователь делится личными данными, он теряет над ними контроль. То же самое происходит, когда пользователи размещают личную информацию в социальных сетях. Несмотря на настройки конфиденциальности, которые можно установить, пользователь все равно теряет контроль над размещенными данными», — заключил эксперт.
Как пояснил руководитель проектов по информационной безопасности КРОК Павел Луцик, сбор и хранение информации о тех, кто проходит психологические тесты, вполне законны, но лишь в том случае, если опрашиваемый явно дал на это согласие, а состав запрашиваемых персональных данных соответствует целям их обработки.
Как правило, пользователи дают согласие на обработку своих персональных данных, не глядя соглашаясь со всем, что им предлагают. В последнее время организаторы подобных тестов становятся все более подкованными в юридическом плане, снабжая их всеми необходимыми запросами на согласие обработки персональных данных, при этом делая основной упор на невнимательность пользователей, которые забывают про элементарные меры цифровой гигиены (на подозрительные сайты не заходить, лишние данные не вводить, разрешения на обработку персональных данных на незнакомых сайтах не оставлять и т.п.).
Полученные персональные данные могут быть переданы разным получателям и использоваться в разных целях, в том числе рекламных или статистических. Но могут быть и более корыстные сценарии использования данных пользователей — торговля персональными данными, в том числе перепиской пользователей.
Важно знать, что, дав согласие на обработку своих персональных данных, при этом не важно, произошло ли это осознанно или под влиянием красивых рекламных «вывесок», можно в любой момент отозвать его, потребовав от оператора персональных данных удалить информацию о вас, в том числе отозвав их у третьего лица, которому они были ранее переданы.