О гигантских масштабах слежки за интернет-пользователями мы писали не раз. За каждым кликом на веб-сайтах, прокруткой экрана в мобильном приложении и вводом слова в поисковую форму следят десятки технологических компаний и рекламных фирм. Кроме телефонов и компьютеров, в этом участвуют смарт-часы, умные ТВ и колонки и даже автомобили. Как выясняется, эти залежи информации используются не только рекламными агентствами, для того чтобы предложить вам лучший пылесос или страховку. Через различные компании-посредники эти данные охотно приобретают спецслужбы всех мастей: полиция, разведка и так далее. Вот недавнее расследование подобной практики, посвященное платформе Patternz и «рекламной» фирме Nuviad. До этого аналогичные расследования затрагивали компании Rayzone, Near Intelligence и другие. Компании, юрисдикции их регистрации, списки клиентов отличаются, но общий рецепт один и тот же: собирать служебную информацию, генерируемую при показе рекламы, сохранять ее, а потом перепродавать силовым структурам различных стран.
За кулисами контекстной рекламы
Ранее мы подробно описывали, как данные собираются на веб-страницах и в приложениях, но не уделяли внимания механизму их использования. Если сильно упростить, то в современном Интернете за каждый показанный баннер или рекламную ссылку ведется молниеносная сложная торговля. Рекламодатель загружает в специальную платформу (DSP, Demand-side-platform) свою рекламу и требования к аудитории, а платформа находит подходящие сайты или приложения для показа этой рекламы. Затем DSP вступает в аукцион за нужные виды рекламы (баннер, видео и тому подобное), отображаемые на этих сайтах и в приложениях. В зависимости от того, что за пользователь смотрит рекламу и насколько он подходит под требования рекламодателя, победить в аукционе могут те или иные типы рекламы. Этот процесс называется аукционом в реальном времени, RTB (real-time bidding). В момент торга его участники получают информацию о потенциальном потребителе рекламы: данные, ранее собранные о человеке, суммируются в короткую карточку описания. В зависимости от того, на каких платформах это происходит, состав этих данных может отличаться, но вполне типичным набором будет примерное или точное местоположение клиента, используемое им устройство, версия ОС, а также «демографические и психографические атрибуты», проще говоря — пол, возраст, состав семьи, хобби и другие интересующие этого пользователя темы.
Как данные RTB используются для слежки
В расследовании 404 media указано, что платформа Patternz рекламировала клиентам следующие масштабы своей деятельности: ежедневно обрабатываются 90 терабайт данных, охватывающих действия 5 миллиардов «идентификаторов». Отметим, что реальных пользователей в несколько раз меньше, чем идентификаторов, из-за того, что каждый человек может иметь несколько разных ID. Охват сбора данных — глобальный, что неудивительно: он возможен везде, где демонстрируется реклама.
Собирая и анализируя вышеописанные данные, можно с неплохой точностью отслеживать:
- перемещения интересующих пользователей;
- моменты, когда они покидают или посещают определенное место;
- моменты, когда они находятся рядом с определенными людьми;
- их интересы и поисковые запросы;
- историю смены интересов;
- принадлежность к особым сегментам, например таким как «недавно родился ребенок» или «только что уехал в отпуск».
На основании этой информации можно выяснить очень интересные вещи: где тот или иной человек находится ночью, а где — в рабочее время, с кем он часто проводит время, с кем и куда ездит вместе в машине — и массу другой персональной информации. Как еще в прошлом году прокомментировали в службе разведки США (ODNI), «раньше подобная глубина сбора данных была возможна только с помощью физической слежки или целевого прослушивания».
Законен ли сбор подобных данных? Хотя правовые режимы разных стран сильно отличаются, в большинстве случаев массовая слежка спецслужбами, а тем более – применение для неё коммерческих данных находятся в «серой зоне».
Призовая игра: слежка через оповещения
Не связан с предыдущим, но не менее неприятен и другой способ потенциальной слежки за пользователями. Кладезем полезной информации тут выступают Apple и Google, которые централизованно рассылают пуш-сообщения (оповещения) на все устройства Android и iOS. Для экономии энергии на смартфонах почти все оповещения приложений доставляются через серверы Apple и Google, и, в зависимости от архитектуры приложения, в оповещении может оказаться легко читаемая и полезная посторонним информация. Как выясняется, некоторые спецслужбы пытались получить доступ к данным оповещений. А недавнее исследование показало, что значительное количество приложений злоупотребляет оповещениями, чтобы собирать данные об устройстве (и пользователе) в момент получения оповещения, даже если пользователь в это время не работает с конкретным приложением или смартфон вообще лежит в сумке или кармане.
Как защититься от слежки через рекламу
Поскольку все вышеописанные компании используют для сбора данных «центральные узлы» рекламной сети — большие рекламные биржи, — то никакой «черный список» приложений и сайтов не спасет от слежки. Любой рекламный баннер, видеовставка или реклама в соцсети генерируют события для трекеров.
Значительно снизить масштаб слежки помогут только достаточно радикальные решения по борьбе с рекламой. Не все они удобны, не всем они подходят, но чем больше советов из списка вам удастся применить, тем меньше «событий» с вашим участием осядет на серверах Rayzone и подобных компаний. Итак:
- Используйте приложения, не показывающие рекламу. Это не гарантирует отсутствия в них веб-маяков и слежки, но снижает ее интенсивность.
- Блокируйте показ рекламы и слежку в веб-браузерах. Встроенная защита от слежки есть в Mozilla Firefox и Safari, а для всех популярных браузеров доступны антишпионские и противорекламные дополнения в официальном магазине дополнений.
- Для максимальной защиты включите режим «Защита от сбора данных» (Private browsing) в Kaspersky Standard, Kaspersky Plus или Kaspersky Premium.
- Отключите автозагрузку картинок в электронной почте.
- Настройте на смартфоне, компьютере и на домашнем роутере безопасный DNS, указав сервер, блокирующий рекламу.
- Проверьте настройки конфиденциальности своего смартфона. Сбросьте рекламный идентификатор (advertising ID) и заведите привычку делать это минимум раз в месяц. Запретите приложениям собирать данные для персонализированной рекламы (Personalized Ads) и показывать рекламу на основе местоположения (Apple, Google).
- Отзовите права на доступ к местоположению и другим важным данным у всех приложений, которым по «прямым должностным обязанностям» эти права ни к чему.
- Полностью отключите оповещения (пуш-сообщения) в настройках смартфона для всех приложений, которые могут без них обойтись.