Специализирующееся на современных технологиях и мультимедиа подразделение Норвежской вещательной корпорации (NRK) выяснило, каким путем американские спецслужбы получают личные данные любого владельца смартфонов. Проблема в том, что это происходит из-за лазеек в законах и доступно любому достаточно мотивированному человеку или организации.
В четверг, 3 декабря, издание NRKbeta опубликовало подробный отчет о расследовании Мартина Гундерсена (Martin Gundersen). Он решил изучить, какое количество его личных данных уходит «на сторону» — компаниям, которые перепродают их, в том числе американским спецслужбам. Журналист начал с уже замеченной в подобном сотрудничестве компании Venntel. Согласно «Общему регламенту защиты персональных данных» (GDPR), вступившему в силу в 2018 году, любая компания обязана предоставить человеку информацию о том, какие данные о нем хранит и обрабатывает.
Спустя месяц после запроса он получил отчет со всеми передвижениями специально купленного для эксперимента телефона. В дальнейшем расследование состояло из череды подобных запросов с целью установить, какие компании передавали эти данные о геолокации Мартина в Venntel. За несколько месяцев борьбы с бюрократией журналист смог определить как минимум одну цепочку организаций. Она включала в себя разработчика шуточного приложения Fu*** Weather, издателя сразу нескольких программ Sygic и две компании — агрегатора персональных данных.
Стоит отметить, что продажа личных данных для многих независимых разработчиков едва ли не единственный способ заработка, помимо рекламы. Последняя раздражает пользователей, да и сама подразумевает сбор их персональной информации. Ловисц Фраз (Lawiusz Fras), создатель Fu*** Weather, объяснил Гундерсену, что, передавая личные данные агрегаторам, он обеспечивает оплату погодных данных для своего сервиса. И каких-либо претензий ему высказать нельзя: все делается согласно GDPR, и пользователи дают разрешение на их сбор. А вот куда уходят и как дальше используются эти данные — Фраз знать не мог и высказал свое сочувствие Мартину.
В качестве выводов журналист отмечает, что сложившаяся ситуация не может не беспокоить. С точки зрения работы СМИ возможность таким образом отслеживать людей компрометирует любую работу с анонимными информаторами. А с точки зрения обычных людей — делает возможным полную деанонимизацию в самом непредсказуемом случае и позволяет злоумышленникам законно собирать сведения о потенциальных жертвах.
Изучая легальность всех подобных манипуляций с персональными данными, Гундерсен обратился за консультацией к специалистам. Три работающих в сфере защиты личной информации юриста подтвердили опасения журналиста. На первый взгляд, многие взаимодействия в обнаруженной Мартином цепочке компаний незаконны. Однако GDPR и сопутствующие документы в ряде случаев допускают вольную трактовку или не содержат необходимых механизмов контроля и ответственности. Наконец, в большинстве случаев отследить все манипуляции с персональными данными попросту невозможно.
Несмотря на колоссальную работу, которую проделал норвежский журналист, чтобы наказать эти компании за неправильное обращение с личной информацией, придется сделать не меньше. О своих дальнейших планах Мартин и его коллеги пока не рассказывают. Ловисц Фраз после общения с журналистом пообещал переработать политику своего приложения в области работы с персональными данными.
Почему это важно
Трудно себе представить в 2020 году человека, который бы не пользовался смартфонами. И почти все обладатели современных гаджетов так или иначе понимают, что носят с собой универсальный шпионский «маячок». Смартфоны и прочая подобная электроника постоянно собирают уйму данных: местоположение, окружающие звуки, на какие сайты заходит пользователь и множество другой информации, включая даже свои движения.
Распространенное мнение гласит, что это неизбежное и не самое большое зло. Мол, во-первых данные уходят обезличенными и только какому-то одному основному получателю (Google, Apple или правительству), которому до известной степени можно доверять. А во-вторых, чтобы случайный человек или злоумышленник получил их, ему нужно сильно постараться и нарушить закон. Практика показывает, что это не так. Причем речь не о каких-то взломах баз данных крупных компаний, утечках или крупных киберпреступлениях. Журналисты получили наглядное подтверждение, что все происходит по большей части законно и доступно каждому желающему.
Подозрения об этом высказывали давно и — даже какие-никакие свидетельства подобных механизмов встречались ранее. Но по-настоящему внимание прессы и специалистов по кибербезопасности привлек случай в начале года. В феврале издание The Wall Street Journal опубликовало репортаж о том, как Иммиграционная и таможенная служба США (ICE) вместе с Министерством внутренней безопасности (DHS) получали разведданные от поставщиков маркетинговой информации. Это не требовало запросов в суд или прокуратуру, было сравнительно недорого и, что самое главное, довольно быстро. В том отчете фигурировала компания Venntel.
Эта организация специализируется на покупке, сборе и перепродаже различной информации, которую предоставляют самые разные приложения. Обычно подобные данные используют для оптимизации рекламы, ее персонализации в первую очередь. Также нередко на основе этой информации делают маркетинговые исследования и анализы рынков. Но ничто не запрещает (кроме некоторых обтекаемых формулировок законов) проводить и более глубокое ее изучение — в которое входит, например, частичная деанонимизация пользователей. Одним из способов ее произвести может быть сопоставление известных о человеке данных с информацией, собранной по рекламным идентификаторам.
Эти «метки» присваиваются каждому устройству. Проще говоря, зная место работы и проживания человека, можно с большой долей вероятности определить его идентификатор и понять, какими онлайн-сервисами он пользуется. Или наоборот, зафиксировать смартфон, побывавший в подозрительном месте, отследить его дальнейшие перемещения и поведение в интернете, а затем и определить личность. Примерно таким образом американские ICE и DHS за несколько дней нашли мексиканских нелегальных иммигрантов. Они проникали на территорию США по тоннелю под границей, который вел в заброшенный ресторан KFC.
Проблема в том, что персональными данными пользователей, собранными самыми разными приложениями и рекламными сетями, торгуют на специальных площадках, словно на бирже. При желании компании могут даже не покупать их, а получать сразу готовые исследования по заданным критериям. Или выборки по определенным параметрам — регион, пол, язык, почти что угодно.
Одним из методов слежки в XXI веке вполне законно являются заказ узкой выборки по одному городу и анализ перемещений анонимизированных пользователей. Как было показано выше, деанонимизация нужных личностей среди них — не проблема. И такой метод доступен даже не самым богатым организациям.