מחקר נוסף מגלה: אפליקציות ממשיכות לשלוח דטה לפייסבוק ללא אישורנו
למרות תקנות ה-GDPR ולאחר פרשיית קיימברידג' אנליטיקה - אפליקציות פופולריות ממשיכות בהעברת נתונים אישיים לחברה שמנהלת את הרשת החברתית ● הממצא החמור: הדברים מתרחשים מבלי שנדע, בלי לבקש את הסכמתנו, וגם כשלגולש אין כלל חשבון פייסבוק
משתמשים רבים מאמינים ככל הנראה שפייסבוק – שהייתה במוקד שערוריית הנתונים האישיים שהועברו לחברת קיימברידג' אנליטיקה ושבהם נעשה שימוש לצורך השפעה על הבחירות לנשיאות ארצות הברית – התרסנה בכל הקשור לניצול נתונים פרטיים. מתוצאות מחקר חדש בנושא מתברר כי ישנן עדיין כמה וכמה אפליקציות ששולחות את נתונינו לענקית הרשתות החברתיות ללא רשות.
על פי מחקר של Privacy International, שמסקנותיו התפרסמו באחרונה בפייננשל טיימס, יישומים כמו MyFitnessPal, TripAdvisor ו-Skyscanner שולחים את נתוני המשתמש שהם אוספים אל פייסבוק מבלי לבקש את הסכמת המשתמשים, ולמעשה ללא ידיעתם.
מדובר בניתוח נתונים שנשלח באופן אוטומטי עם העלאת האפליקציה, ואשר כולל בין השאר גם מזהה אנדרואיד ייחודי של משתמש, שרק למפתחים יש גישה אליו. המחקר מראה כי לפחות 61 אחוזים מהיישומים שנבדקו מניעים תהליך אוטומטי של העברת הנתונים לפייסבוק ברגע המשתמש פותח אותם.
אחד הממצאים המטרידים במיוחד במחקר הוא שהליך משלוח הדטה לענקית ממאנלו פארק קורה בין אם יש למשתמשים חשבון פייסבוק ובין אם לאו, וללא קשר לשאלה אם המשתמשים מחוברים לאפליקציה או לאתר פייסבוק או מנותקים מהרשת החברתית.
כל הגולשים נעקבים כעניין שבשגרה
לטענת החוקרים, כלי בשם Facebook Business Tools מאפשר לפייסבוק באופן קבוע וכעניין שבשגרה לעקוב אחרי גולשים – גם כשמדובר בבעלי חשבון שהתנתקו, ואפילו אחרי מי שאין להם חשבון כלל.
בפתח המחקר נכתב: "מחקרים קודמים הראו כיצד 42.55 אחוזים מהאפליקציות החינמיות בחנות Google Play יכולות לשתף נתונים עם פייסבוק, מה שהופך את פייסבוק לגורם השני השכיח שעוסק במעקב צד שלישי, אחרי חברת האם של גוגל, אלפבית. בדו"ח הנוכחי Privacy International ממחישה כיצד נראה שיתוף נתונים זה בפועל, במיוחד בעבור אנשים שאין להם חשבון פייסבוק".
החוקרים הוסיפו וכתבו כי "השאלה האם פייסבוק אוספת מידע על משתמשים שאינם מחוברים או שאין להם חשבון הועלתה בעקבות שערוריית קמברידג' אנליטיקה על ידי מחוקקים בארצות הברית ובאירופה. הדיונים, כמו גם הקנסות הקודמים, מטעם רשויות הגנת הנתונים בגין מעקב אחרי מי שאינם משתמשים, התמקדו לרוב במעקב המתרחש באתרים. הרבה פחות ידוע על הנתונים שהחברה מקבלת מיישומים. מסיבות אלה, בדו"ח זה אנו מעלים שאלות לגבי שקיפות ושימוש בנתוני אפליקציות שאנו רואים בהם עניין אקטואלי וחשוב".
ערכת פיתוח התוכנה לפייסבוק לא עודכנו
מפתחי אפליקציות משתפים נתונים עם פייסבוק באמצעות ערכת פיתוח התוכנה לפייסבוק (SDK) – מקבץ של כלי פיתוח תוכנה המסייע למפתחים לבנות אפליקציות בעבור מערכת הפעלה ספציפית. במקרה זה, אנדרואיד.
באמצעות כלי תוכנה חופשית וקוד פתוח בשם Mitmproxy, ניתחה Privacy International את הנתונים של 34 אפליקציות לאנדרואיד – שלכל אחד מהן בין 10 ל-500 מיליון התקנות – העבירו לפייסבוק באמצעות SDK. המחקר גילה כי "לפחות" 20 מתוך 34 האפליקציות שנבחנו משדרות מידע רגיש לפייסבוק מבלי לבקש רשות מאיתנו.
הממצא הזה חמור משום שמדובר בהתנהלות המפרה את חוקי הפרטיות של האיחוד האירופי, ה-GDPR, שנכנסו לתוקף במאי האחרון. תקנות אלו קובעות שאסור למפתחים לשתף נתוני משתמשים ללא הסכמה מפורשת.
הסיבה שהאפליקציות הללו מעבירות את הנתונים היא כי ערכת הפיתוח הרלוונטית של פייסבוק לא סיפקה את האפשרות לבקש רשות כזו עד לאחר כניסת ה-GDPR לתוקף וכיון שה-SDK תוכננה לשלוח את הנתונים הללו כברירת מחדל, וכך היא נוהגת.
בתגובה למחקר הביעה פייסבוק אהדה לחששות של Privacy International, וציינה כי זה חיוני בעבור אנשים הן לדעת כאשר יישום שולח נתונים, והן לזכות ב"שליטה" על האם או לא הנתונים מקושרים אליהם. החברה גם הדגישה ל-Financial Times כי מפתחים יכולים לכבות את איסוף הנתונים האוטומטי ועשויים לבטל את משלוח ניתוחי הדטה לאפליקציות.
לפי החוקרים, נראה כי רבים מהמפתחים עדיין משתמשים בגרסה ישנה יותר של ה-SDK, אשר אינה תואמת את הנורמות שקובעות תקנות ה-GDPR. הם מציינים כי פייסבוק אכן פיתחה תיקון, אבל עדיין לא ברור אם התיקון עובד אם לאו, וכן לא ברור אם מפתחים מיישמים אותו כראוי.
באופן כללי ניתן לומר שמה שהכי לא ודאי הוא על מי מוטלת האחריות לשמור על הנתונים שלנו מלהגיע לידיים נצלניות בלי רשותנו, ומה שבטוח הוא שפייסבוק ומפתחי האפליקציות יצטרכו לקחת את העניינים לידיים שלהן ולהסדיר את הנושא לפני שהאיחוד האירופי יתחיל לחלק להם עונשים כבדים.
תגובות
(0)