Raziskovalci španskega znanstvenega inštituta IMDEA Networks ter nizozemskih univerz Radboud in KU Leuven so pred tedni ujeli ameriško podjetje Meta in rusko podjetje Yandex s prsti v kozarcu marmelade. Odkrili so namreč, da sta podjetji izvohali ranljivost v operacijskem sistemu android in jo izkoristili za prikrito in nedovoljeno odpravljanje anonimnosti uporabnikov med brskanjem po spletu. Z zlorabo androida, sledilne kode, ki je naložena na milijone spletnih strani, in svojih aplikacij, kot so facebook, instagram ali yandex maps, sta podjetji točno vedeli, kaj uporabniki teh aplikacij počnejo med brskanjem po spletu. Uporabnikovim aktivnostim sta lahko sledili tudi, če je v brskalniku uporabljal anonimni način.
To, kar sta počeli podjetji Meta in Yandex, je izjemno sporno, saj sta na prikrit način zaobšli temeljna načela zasebnosti in varnosti, ki ju uporabniki pričakujejo pri brskanju po spletu, zlasti v anonimnem načinu.
Še posebej sporno je, da sta Meta in Yandex uporabnike oropala anonimnosti brez njihovega privoljenja ali vednosti. Metoda, ki sta jo uporabljali podjetji, je delovala v ozadju in nevidno za uporabnika. Prav tako nikjer ni bilo jasno navedeno, da bo obisk spletne strani z vdelano sledilno kodo meta pixel ali yandex metrica povzročil komunikacijo z nameščeno aplikacijo tega podjetja na uporabnikovem telefonu. Uporabniki, ki so skrbno brisali piškotke, uporabljali anonimni način brskanja po spletu ali zavrnili sledenje na spletnih straneh, so bili vseeno izpostavljeni sledenju.
Ker uporabnik nikoli ni podal eksplicitnega dovoljenja za tovrstno povezovanje podatkov, gre verjetno tudi za kršitev evropske splošne uredbe o varstvu podatkov (GDPR), ki zahteva informirano in prostovoljno privolitev za obdelavo osebnih podatkov.
Želijo vedeti vse o nas
Zaradi izgube anonimnosti sta podjetji lahko beležili, kaj njuni uporabniki iščejo po spletu. Ob tem sta lahko na podlagi sledi brskanja prišli do podatkov o poizvedovanjih o zdravstvenih težavah, prebiranju občutljivih političnih tematik, iskanju informacij o finančnih težavah ali ogledovanju izdelkov, za katere uporabniki raje ne bi videli, da se povezujejo z njimi. Kar sta podjetji zabeležili, sta tudi neposredno povezali s konkretnim uporabnikom njunih storitev. S tem sta želeli pridobiti konkretne prednosti na področju ponujanja ciljanih oglasov. S pomočjo zbranih podatkov in podatkov, ki jih že imata o svojih uporabnikih, sta lahko izdelali natančne profile uporabnikov. Zaradi količine podatkov, ki jih uporabniki facebooka ali instagrama že tako delijo z Meto, je imelo to podjetje priložnost izdelati še posebej natančne profile.
Takšni podrobni profili so zlata jama za ciljano oglaševanje. To lahko vodi v manipulativne prakse, kjer se vam prikazujejo oglasi, ki izkoriščajo vaše strahove, negotovosti ali odvisnosti. V skrajnih primerih bi se takšni podatki lahko uporabili tudi za diskriminacijo, na primer pri odobravanju kreditov, sklepanju zavarovanj in celo pri zaposlovanju.
Yandex je sporno metodo začel uporabljati leta 2017, Meta pa lanskega septembra. Ko so raziskovalci razkrili svoje odkritje, sta podjetji nemudoma prekinili prakso. Odzvali pa so se tudi proizvajalci spletnih brskalnikov. Google je že razvil ukrepe za preprečevanje tovrstnih zlorab v brskalniku chrome, a posodobitev še ni dosegla vseh uporabnikov. Razvoja popravka se je nemudoma lotila tudi Mozilla za svoj firefox. DuckDuckGo pa je že blokiral Yandexovo sledenje.
Meta in Yandex se izgovarjata
Meta se brani, da je vse skupaj zgolj nesporazum z njene strani. »V pogovorih z Googlom rešujemo morebiten nesporazum glede uporabe njihovih pravilnikov. Ko smo bili seznanjeni s pomisleki, smo se odločili začasno zaustaviti funkcijo, in z Googlom sodelujemo pri reševanju težave,« se je glasilo sporočilo tega podjetja. Yandex je medtem sporočil: »Zadevna funkcija ne zbira nobenih občutljivih informacij in je namenjena izključno izboljšanju personalizacije v naših aplikacijah.« Izjava ruskega podjetja je zelo cinična, saj lahko le uporabnik sam odloča, kaj so zanj občutljivi podatki, ki jih ne želi deliti z nekim podjetjem. Sploh če je po spletu brskal na anonimen način.
Google je že sporočil, da gre za očitne kršitve Googlovih varnostnih in zasebnostnih načel. Povedali so tudi, da so že stopili v stik z obema podjetjema in odprli preiskavo, kaj se je zgodilo.
Strokovnjaki sumijo, da bi odločitev podjetij, da takoj po razkritju prenehata uporabljati sporno metodo, lahko pripomogla k ugodni razrešitvi preiskave, čeprav Googlova pravila izrecno prepovedujejo prikrito zbiranje podatkov v aplikacijah, prenesenih z njegove tržnice google play. Čeprav so raziskovalci sporno metodo odkrili le na androidih, trdijo, da bi do podobne zlorabe s čisto tehničnega vidika lahko prišlo tudi na iphonih.
