Они знают, где вы были прошлой ночью, – мобильные приложения не хранят секретов

Опубликовано: Среда, 19 декабря 2018 10:56
Дмитрий Малышко Автор статьи:

Десятки компаний используют функцию определения местоположения смартфона, чтобы помочь рекламщикам и даже хедж-фондам - группам инвесторов, которые используют рискованные методы в надежде на получение значительного прироста капитала. #Буквы перевели статью The New York Times "Your Apps Know Where You Were Last Night, and They’re Not Keeping It Secret".

Миллионы точек на карте двигаются скоростными трассами, улицами и дорожками для велосипедистов – каждая показывает перемещение неизвестного пользователя сотового телефона. Кто-то посещает центр искусственного оплодотворения, кто-то сопровождает мэра, кто-то каждый день ходит в школу и остается там до обеда. Так поступает 46-летняя Лиза Магрин, преподаватель математики.

Магрин носит с собой смартфон. Приложение на нем собирает информацию о ее местонахождении и продает ее без ведома женщины. Программа проверяет и записывает геолокацию каждые 2 секунды, согласно базе данных более миллиона телефонов в Нью-Йорке, к которой получили доступ The New York Times. Хотя личность преподавательницы не разглашалась, журналисты смогли легко ее вычислить по маршруту. Приложение следило, как она посещала Weight Watchers - международную компанию, занимающуюся вопросами здорового образа жизни, ходила к дерматологу, выгуливала собаку и оставалась в доме бывшего бойфренда. Магрин встревожила эта информация, когда журналисты продемонстрировали ее. Лиза Магрин – единственная, кто путешествует от дома до школы, где работает. Ее местоположение было определено 800 раз. Чаще всего в классной комнате. Данные настолько точные, то можно определить, где и сколько времени она провела. За 4 месяца данные о ней были зафиксированы более 8,6 тыс. раз – в среднем раз в 21 минуту.

"Меня беспокоит мысль, что люди знают о мне такие интимные подробности, которые я не хотела бы разглашать", - говорит женщина.

Как и многие пользователи, Магрин знала, что приложение может отслеживать маршрут ее передвижения. Но сейчас смартфоны есть у всех, технологии стали более точными, а индустрия слежки за ежедневными привычками людей стала более распространенной и навязчивой.

Не менее 75 компаний получают анонимные точные данные о перемещении пользователей, которые позволили новостным или метеорологическим приложениям узнавать свое местоположение.

Несколько компаний утверждают, что следят за около 200 млн мобильных устройств в США – почти половиной использованных в прошлом году. База данных, собранная и принадлежащая одной компании, и которую проанализировали в The New York Times, показывает маршрут перемещения человека с точностью до нескольких метров и в некоторых случаях обновляется 14 тыс. раз в день.

Эти компании продают, используют или анализируют данные, чтобы предоставить их рекламщикам, ритейлерам или хедж-фондам, которые хотят понять поведение потребителя. Это очень затребованный рынок. Стоимость рекламы, которая продается с учетом местоположения, в этом году оценивается в $21 млрд. IBM тоже вошла в эту индустрию, купив приложение Weather Channel. Соцсеть Foursquare сама стала заниматься локально-ориентированным маркетингом. В эту сферу вкладывают деньги Goldman Sachs – одна из самых больших инвестиционных фирм мира, и сооснователь PayPal Питер Тиль.

Эти компании интересует поведение человека, не его личность. При этом информация привязана не к имени или номеру телефона, а к уникальному ID. Компании, имеющие доступ к сырым данным, включая работников и клиентов компании, могут определить пользователя без его согласия. Они могут следить за человеком, определив телефон, который регулярно находится у него дома. Или, наоборот, могут установить личность человека, наблюдая, где владелец телефона проводит ночь, и используя публичные записи, чтобы выяснить, кто там живет.

Многие компании по отслеживанию говорят, что пользователи сами предоставляют данные сервисам, поэтому все честно. Но журналисты увидели, что запрос об этих данных часто неполный или обманчивый. В приложении могут быть объяснения, что предоставление данных о геолокации поможет человеку получать информацию о дорожном трафике, и ни слова о том, что эти данные будут проданы. Такое разглашение часто скрывается в туманной политике конфиденциальности.

"Информация о местоположении может раскрыть самые интимные детали о жизни человека – когда он посещал психиатра, ходил на встречу анонимных алкоголиков, когда у него было свидание", - говорит сенатор-демократ Рон Уайден из Орегона. Он предложил законы, которые ограничивают сбор и продажу данных.

"Это неправильно – держать клиентов в неведении о том, как их данные продаются и распространяются, и оставлять их без возможности что-нибудь с этим поделать", - добавил он.

Мобильные устройства наблюдения

После того, как медсестра из Манхэттена Элис Ли увидела, что за ее девайсом следят до главной операционной, где она работает, женщина выразила беспокойство по поводу приватности – ее и пациентов.

"Это очень пугает. Будто кто-то преследует меня", - сказала женщина.

Индустрия отслеживания местоположения через мобильные начиналась как способ настройки приложений и целевой рекламы для предприятий, а превратилась в машину для сбора и анализа данных.

Ритейлеры ждут, что компании по сбору геолокации расскажут им о клиентах и конкурентах. На вебинаре в прошлом году исполнительный директор такой компании GroundTruth Элина Гринштейн показала карту перемещений потенциального потребителя от дома до работы, чтобы объяснить потенциальным клиентам, как отслеживание помогает определить личные предпочтения человека. Например, кто-то может гуглить рецепты здорового питания, но в GroundTruth видят, что человек часто ходит в рестораны быстрого питания.

"Мы наблюдаем, чтобы понять, кто этот человек, основываясь на местах, где он бывает и куда ходит, и чтобы повлиять на его последующее действие", - сказала Гринштейн.

Финансовые компании могут использовать информацию для принятия решения об инвестициях еще до того, как бизнес принесет прибыль. Они смотрят, где больше работает людей – на фабриках или в магазинах розничной торговли.

01

Центр планирования семьи, Нью-Джерси. Устройство прибыло приблизительно в 12:45, попало в клинику из западного входа. Оно пробыло там 2 часа и вернулось домой.

Лечебные заведения – наиболее лакомые, но проблемные для отслеживания клиентов. Рекламная компания Tell All Digital проводит кампании для юристов, предоставляющих услуги в случае физических или психологических травм, полученных в результате халатности другого лица, компании или государственного учреждения. Потерпевших они находят в приемном отделении скорой помощи.

"Мы как будто проживаем то, что описано в книге "1984" Джорджа Оруэлла", - сказал Билл Каким, деловой партнер компании Tell All.

В данных, которые получили журналисты, есть информация о перемещениях в тюрьмах, школах, на военных базах, атомных электростанциях и даже на месте преступления. Один из участников событий, вероятно, детектив, прибыл на место ночного убийства на Манхэттене, затем зашел в больницу, несколько раз возвращаясь в местное отделение полиции.

Две фирмы – Fysical и SafeGraph – следили за людьми, посещавшими инаугурацию американского президента Дональда Трампа в 2017 году. На карте Fysical отметили красной рамкой Трампа и его окружение возле Капитолия. Полученные данные были анонимными, уверяют в компании. Представители SafeGraph на вопросы журналистов не ответили.

02

Журналисты просмотрели информацию о сотнях школ. Желтый кружок – это устройство, скорее всего ученик. За ним следят от дома до школы. Устройство провело некоторое время во дворе, прежде чем зайти в помещение в 8:00. Оно пробыло там до 15:00. Около 40 девайсов появились в школе на протяжении дня. За некоторыми следили до дома.

Более 1000 популярных приложений содержат код, который отслеживает местоположение пользователей, сообщает фирма по анализу мобильных технологий MightySignal. В системе Google’s Android около 1200 приложений с таким кодом, в iOS от Apple – 200.

Самой прибыльной компанией на поприще отслеживания пользователей является Reveal Mobile из Северной Каролины. Они используют код для сбора информации в более чем 500 приложениях, включая несколько местных новостных. Этот код популярен, потому что он помогает разработчикам приложений зарабатывать на рекламе, а клиентам – получать бесплатные услуги.

Чтобы проверить, как все происходит, журналисты The New York Times протестировали 20 приложений, которые были помечены как такие, которые могут делиться данными. 17 из этих программ отправили точные координаты широты и долготы 70 компаниям. WeatherBug на iOS отправил точные данные о местоположении 40 компаниям. Некоторые из них в разговоре с журналистами сказали, что не запрашивали эти данные и они были неуместными.

WeatherBug от GroundTruth спрашивает у пользователей разрешения на сбор информации о местоположении и предупреждает, что эту информацию будут использовать для персонализированной рекламы. В GroundTruth рассказывают, что обычно отправляют данные рекламным фирмам, с которыми работают, но те могут от нее отказаться.

 

03

Записи показывают, что устройство сначала зашло в традиционную резиденцию мэра Нью-Йорка – поместье Арчибальда Грейси, а потом поехало в YMCA в Бруклине, что часто делает мэр. Устройство поехало на Стейтен-Айленд, а потом вернулось домой на Лонг-Айленд.

Также журналисты выявили 25 других компаний, которые признались, что продают данные о местоположении пользователей и связанные с этим услуги, в том числе и таргетированную рекламу.

Распространение этой информации вызывает вопросы, касающиеся безопасности и возможности хакерских взломов, говорит Серж Егельман, сотрудник Калифорнийского университета в Беркли.

"Для компаний, которые не защищают эти данные, не будет никаких последствий. Их можно критиковать в прессе, но об этом быстро забывают", - говорит Егельман.
Вопрос осведомленности

Кампании, использующие данные о местоположении владельцев смартфонов, говорят, что те сами соглашаются делиться своей информацией в обмен на кастомизацию сервисов, бонусы и скидки. Преподаватель математики Магрин говорит, что ей нравится, что технология отслеживания записывает маршруты ее пробежки.

Брайан Вонг – главный исполнительный директор компании Kiip, также продающей анонимные данные из некоторых приложений, с которыми она работает, – говорит, что пользователи сами разрешают приложениям использовать их данные и делиться ими.

"Вы получаете услуги бесплатно, потому что рекламщики помогают монетизировать их. Вы, вероятно, очень далеки от жизни, если не понимаете, что происходит", - говорит он.

"Думаю, это то, что они должны сказать сами себе. Но бросьте!" - комментирует медсестра Элис Ли.

Она предоставляет приложениям на своем iPhone информацию о местоположении только в нескольких случаях – если нужно найти парковочное место, узнать погоду, и только если они не предупреждают, что информацию будут использовать для других целей.

Магрин разрешила следить за собой почти десятку приложений на Android, чтобы получать разную информацию, например, о дорожном движении.

Из 17 шпионящих приложений, которые попались на глаза журналистам, только три на iOS и одно на Android предупредили пользователей, что информацию о них могут использовать для рекламы. Только одно приложение GasBuddy, которое занимается поиском заправок, сообщило, что данные могут быть использованы для изучения тенденций в отрасли.

Спортивное приложение theScore повело себя более типично. Оно предупредило, что собранная информация поможет подобрать наиболее подходящие команды и игроков. theScore передало точные координаты 16 рекламным компаниям и компаниям, которые собирают и продают данную информацию.

"Предупреждение должно описать несколько ключевых особенностей продукта, а полное использование данных описано в политике конфиденциальности", - заявили представители theScore.

Приложение Weather Channel, принадлежащее дочерней компании IBM, сообщило пользователям, что предоставление информации о местоположении даст возможность показывать персонализированные прогнозы погоды. Фирма-разработчик Weather Company обсуждала другие варианты использования в своей политике конфиденциальности и в отдельном разделе "Настройки конфиденциальности". Там же была информация о рекламе, но в "Настройках местоположения" об этом не упоминалось.

Приложение также не раскрывает информацию о том, что компания проанализировала данные для хедж-фондов – на ее сайте была реклама пилотной программы. Пилотный проект закончился, сказали в IBM. Там изменили политику конфиденциальности приложения 5 декабря после обращения журналистов. Теперь там говорится, что собранные данные могут передавать третьим лицам в коммерческих целях, например, для анализа пешеходного трафика.

Многие люди либо не читают политику конфиденциальности, либо не понимают ее полностью из-за размытых формулировок, говорят инсайдеры. Если приложение собирает информацию для инвестиционных фирм, например, то в политике конфиденциальности будет говориться о том, что данные используются для анализа рынка или просто передаются в коммерческих целях.

"Большинство людей не понимают, что происходит", - говорит Эммет Килдафф, главный исполнительный директор Eagle Alpha. Компания продает данные финансовым фирмам и хедж-фондам. Ответственность за соблюдение правил сбора данных лежит на компаниях, которые этим занимаются, говорит Килдафф.

Многие компании утверждают, что добровольно предпринимают шаги для защиты конфиденциальности пользователей, но их политика сильно различается.

Например, компания Sense360, связанная с ресторанной индустрией, утверждает, что собирает данные на площади лишь около 100 кв. м вокруг возможного дома хозяина девайса. Другая компания – Factual – утверждает, что собирает данные пользователей, когда те находятся дома, но именно ее база не содержит адресов.

04

Информация одного воскресенья включала более 800 точек данных с более чем 60 уникальных устройств внутри и вокруг церкви в Нью-Джерси.

Некоторые компании утверждают, что удаляют данные о местоположении пользователя после того, как используют их для рекламы. Некоторые используют данные для рекламы и передают дальше – компаниям, которые агрегируют данные. А другие могут хранить информацию годами.

Несколько инсайдеров в этом бизнесе сказали, что определить личность человека по таким данным относительно легко, но они этого не делали. Другие предположили, что на это уйдет слишком много усилий, так что хакеры вряд ли захотят заморачиваться.

"Для этого потребуется невероятное количество ресурсов", - говорит Билл Дэдди, представитель компании Cuebiq, которая анализирует анонимные данные о местоположении клиентов для ритейлеров. Только в этом году она привлекла $27 млн от инвесторов, включая Goldman Sachs и Nasdaq Ventures. Вместе с тем Cuebiq шифрует информацию, регистрирует запросы сотрудников и продает агрегированный анализ.

В федеральном законодательстве нет ограничений на сбор или использование таких данных. Тем не менее приложения запрашивают доступ к местоположению пользователя и при этом скрывают важные детали о том, как будут использоваться эти данные. Такая практика может противоречить федеральным нормам, говорит Маниша Митал, чиновник по вопросам конфиденциальности в Федеральной торговой комиссии.

С обманным способом раскрытия информации федеральное законодательство справиться не может, добавил Митал.

В погоне за деньгами

Приложения формируют новую экономику, основанную на данных о местоположении.

Разработчики могут зарабатывать деньги напрямую, продавая данные или передавая их рекламщикам. Компании по сбору геолокации платят от полцента до двух центов за пользователя в месяц.

Таргетированная реклама – наиболее распространенный способ использования информации. Google и Facebook, которые доминируют на мобильном рекламном рынке, также собирают данные. Они делают это с помощью своих приложений. Компании утверждают, что не продают данные, а хранят у себя, чтобы персонализировать свои услуги, продавать таргетированную рекламу через Интернет и отслеживать, приводит ли она к продажам в обычных магазинах. Компания Google получает точную информацию о местоположении человека благодаря приложениям, использующим ее рекламные сервисы. При этом представители Google заявили, что изменили эти данные, чтобы сделать их менее точными.

Меньшие компании конкурируют за остальную часть рынка, в том числе продавая данные и их анализ финансовым компаниям. Это небольшой сегмент рынка, но он растет. По данным исследовательской фирмы Opimas, в 2020-м прибыль сегмента составит $250 млн в год.

Apple и Google заинтересованы в том, чтобы разработчики оставались довольными, но обе компании постепенно ограничивают сбор данных о местоположении клиентов. В последней версии Android, приложения, которыми не пользуются, собирают информацию несколько раз в час, а не постоянно.

В Apple правила более строгие. Например, компания требует, чтобы приложения оправдывали сбор информации о местоположении во всплывающих сообщениях. Но инструкции компании по описанию этих всплывающих сообщений не содержат упоминания о рекламе и продаже данных, а только такие функции, как, например, "определение приблизительного времени в пути".

Компания обязывает разработчиков использовать эти данные только для предоставления услуг, имеющих непосредственное отношение к приложению, или для предоставления рекламы, соответствующей рекомендациям, сказали в Apple.

Apple планировала ограничить сбор данных о геолокации, но отложила эти планы. В прошлом году компания заявила, что в следующей версии iOS на экране будет отображаться синяя полоса всякий раз, когда неиспользуемое приложение получает доступ к данным о местоположении.

Дискуссия на эту тему – это предупредительный выстрел для людей в сфере сбора данных о местоположении пользователей, сказал в прошлом году Дэвид Шим, исполнительный директор компании Placed.

Преподавательница Лиза Магрин и медсестра Элис Ли сразу же ограничили возможности своих приложений, как только просмотрели карты отслеживания. Ли попросила своих коллег сделать то же самое.

"Я просмотрела все их телефоны и сказала: "Тебе нужно отключить это, тебе нужно удалить это, - говорит Ли. - Никто не знал".