W nawiązaniu jeszcze do mojego wczorajszego posta dotyczącego oświadczeń podawanych sobie przez użytkowników Facebooka bardzo ciekawe konkluzje wynikające z raportu Fundacji PANOPTYKON ze stycznia 2019 roku dotyczącego śledzenia i profilowania użytkowników w sieci („Śledzenie i profilowanie w sieci. Jak z klienta stajesz się towarem” www. ttps://panoptykon.org/zapleczeinternetu) Krótko więc o tym (w 3 częściach) co to dla nas oznacza i jak to się ma do tego nieszczęsnego oświadczenia kolportowanego, które (jak rozumiem) zdaniem kolportujących ma nas przed czymś ochronić. Od czego Fundacja PANOPTYKON rozpoczęła analizę? Od wydatków na reklamę online w Polsce – ponieważ to jest powód, dla którego nasze dane są tak atrakcyjne. Wg raportu „Tylko w Polsce prognozowane wydatki na reklamę online w 2018 r. wyniosły 4,3 mld złotych. Na poziomie europejskim w ciągu pięciu lat wartość rynku wzrosła dwukrotnie, osiągając w 2017 r. wysokość 48 mld euro.”. Wiemy więc dlaczego nasze dane są tak ważne, teraz pytanie: jakie to dane? Na przykład: - decyzje zakupowe, - nasz ruch w sieci (czy to kliknięcie myszką czy logowanie na stronie), - lokalizacja i schematy przemieszczania się, - nasze życie intymne, - relacje społeczne i zainteresowania. Do śledzenia i profilowania użytkownika służą dziś urządzenia mobilne, aplikacje i interfejsy. Urządzenia mobilne to przede wszystkim smartfony, dane na nasz temat jakie generują to: adres IP, czas dostępu, długość trwania sesji, rodzaj używanego oprogramowania, lokalizację urządzenia. Skoro korzystamy średnio (wg badań) z 27 aplikacji miesięcznie to żeby wiedzieć cokolwiek o tej aplikacji i o tym jak będzie się ona obchodzić z naszymi danymi musielibyśmy przeczytać jej regulamin i politykę prywatności a te z reguły są i długie i niezrozumiałe. Kolejne to interfejsy a dokładnie ich element czyli tzw. Dark patterns - nakłaniają użytkownika (za pomocą Kolory, rozmieszczenie przycisków i sposób wyświetlania komunikatów) do wybrania opcji najkorzystniejszej dla firmy zarabiającej na komercjalizacji danych. W ten sposób użytkownik często pozwala na głęboką ingerencję w swoją prywatność. Widzimy logując się na stronach internetowych, że wszelkiego rodzaju kliknięcia na „tak” lub „Zezwalaj” są wytłuszczone lub bardziej widoczne – to jest właśnie to, poniżej przykład na zdjęciu. Jakie są najczęściej stosowane dark patterns? - niekorzystne dla użytkowników ustawienia domyślne (RODO i jego zasada domyślnej ochrony danych się kłania); - bardziej skomplikowana procedura zmiany ustawień dla zwiększenia prywatności – tymczasem zgodnie z wyżej wymienioną zasadą ustawienia zwiększające prywatność powinny być tymi podstawowymi; wyskakujące okienka z ustawieniami prywatności, w których pomija się lub przedstawia w mylący sposób najważniejsze informacje; - grożenie utratą ważnych funkcjonalności lub usunięciem konta, jeśli użytkownik nie „zgodzi się” na przekazanie dodatkowych danych; - interpretowanie czasami przypadkowych akcji (np. nieznacznego ruchu myszką) na korzyść aplikacji/serwisu. Pytanie więc co udostępniamy instalując aplikacje na telefonie: swoje kontakty, kalendarz, historię przeglądanych stron i zakładek, logi aplikacji systemowych, aplikacje aktywne na danym urządzeniu (czyli aplikacje zbierają informacje o innych aplikacjach na telefonie ), historię wybieranych numerów, profile użytkownika na danym urządzeniu, treść i metadane wysyłanych SMS-ów, załączników e-maili, możliwość zmiany ogólnych ustawień telefonu. Sporo, prawda? W takim razie, w tej części dotyczącej raportu Fundacji jeszcze tylko krótko o tym skąd urządzenia mobilne wiedzą gdzie się akurat znajdujemy. Informację tę przekazują dane o logowaniu telefonu do stacji przekaźnikowych (BTS); czip GPS zainstalowany w telefonie lub do wewnętrznego rejestru lokalizacji (location logs); historia zapamiętanych sieci Wi-Fi (nawet jeśli połączenie z siecią nie miało miejsca); historia przypisanych naszemu urządzeniu adresów IP; metadane zapisanych na naszym urządzeniu zdjęć, które standardowo zawierają współrzędne geograficzne ustalone w momencie robienia zdjęcia (tzw. dane EXIF), tzw. odcisk palca przeglądarki (z ang. browser fingerprint) oraz adres zapamiętany w przeglądarce lub aplikacji (np. „Dom” na Google Maps). Samo wyłączenie lokalizacji w telefonie więc nie daje nam wiele. Dodam tylko, że w styczniu 2017 roku amerykańskie FBI starało się pozyskać dane o położeniu aut oraz treści (!!) rozmów prowadzonych w samochodach. Było to możliwe dzięki współpracy z dostawcami usług tzw. “podłączonych aut”… Sensory - czytniki e-booków, smart TV, termostaty, czujniki gazu, inteligentne lodówki, okulary, szczoteczki do zębów, zabawki i autonomiczne odkurzacze zasilają bazy danych nowymi wskaźnikami, zbieranymi i nierzadko przekazywanymi dalej w czasie rzeczywistym. Dane w ten sposób zbierać może jeden podmiot jak i udostępniać je kolejnym. Raport wskazuje też przykłady działania wybranych urządzeń. Roomba (smart odkurzacz IRobot) - odtwarza plan mieszkania, po którym się porusza – jego powierzchnię oraz odległości pomiędzy meblami i urządzeniami. Producent rozważał udostępnienie planów mieszkań Amazonowi, Apple’owi i Google’owi. Dzięki tym danym z urządzenia firmy te mogłyby łączyć z odkurzaczem swoje urządzenia i polecać użytkownikom inne produkty. Vizio Smart TV (Smart telewizor) - Domyślne ustawienia pozwalały (usunięto je) telewizorowi zbierać dane, sekunda po sekundzie, o wszystkim co użytkownik oglądał. Dane były sprzedawane reklamodawcom, którzy dzięki adresowi IP mogli je integrować ze swoimi informacjami o tych samych osobach. Przy okazji Smart TV odbiegnijmy na chwilę od raportu, aby uświadomić sobie do czego są zdolne urządzenia, które prawdopodobnie już posiadamy – od co najmniej 2010 roku pojawiają się artykuły o tym, że podsłuchiwać nas mogą nasze telewizory. Wskazywano m. in telewizory Samsunga (Smart TV), który miał wbudowany mikrofon (niekiedy na pilocie), który wysyła do sieci to co mówiliśmy przy okazji oglądania telewizji. Niektóre telewizory posiadały też wbudowaną kamerkę. Podobnie rzecz miała się z marką LG. Co ciekawe mógł się o tym dowiedzieć użytkownik, jeżeli przeczytał regulamin/politykę producenta. Ekspres do kawy – podłączony do sieci Wi-Fi (połączony z lokalną siecią sterowni, a nie z izolowaną siecią WiFi. W ten sposób zainteresowani dostali się do komputerów znajdujących się w pomieszczeniu kontrolnym i mogli zainfekować urządzenia złośliwym oprogramowaniem. Informacja z ostatniej chwili niemal: w aplikacji (komunikatorze) Apple FaceTime (iPhone, iPad) wykryto błąd, który pozwalał podsłuchiwać właściwie każdego użytkownika korzystającego z platformy. Wystarczyło do użytkownika zatelefonować, a on nie musiał nawet odbierać połączenia (!!) — FaceTime i tak przekazywał komunikaty głosowe, nawet bez jego ingerencji. Błąd ten dotyczył urządzeń z iOS 12.1 lub nowszym. Co ciekawe, mimo nie odebrania połączenia mikrofon może działać podobnie jak i obraz nadal może być udostępniany. Fundacja w swoim raporcie przestrzega, że urządzania te w ramach tzw. Internetu rzeczy (ang. IoT – Internet of Things) mogą zagrażać nie tylko naszej prywatności, ale niekiedy (np. inteligentnych samochody czy sprzęt medyczny) także fizycznemu bezpieczeństwu ich użytkowników. CDN… Autor artykułu: Prawnik Tomasz Ptak - dział RODO Więcej ciekawych wpisów odnajdą Państwo śledząc Klub RODO na FB: www.facebook.com/KlubRODO/
Zobacz nasze pozostałe posty z tamatu RODO:
