Baca di bawah potongan tentang siapa yang memonetisasi data saya dan bagaimana hal itu berakhir di tangan perusahaan yang layanannya belum pernah saya gunakan - bank, perusahaan asuransi, pusat kesehatan, pengembang real estat, dan organisasi lain dengan panggilan iklan yang mengganggu. Dan ya, ini roti panjang, sesuka Anda.
Negara kita yang indah menghabiskan musim semi dan awal musim panas 2020 dalam isolasi diri. Selain peningkatan beban keuangan bisnis yang jelas, kebutuhan orang-orang untuk memakai masker di mana-mana dan harus bekerja dari rumah, periode waktu ini jelas menunjukkan betapa mudah dan sederhananya beberapa pelaku pasar dengan data pribadi orang Rusia.
Latar Belakang
Saya diminta untuk menulis artikel ini melalui wawancara dengan Tigran Oganesovich Khudaveryan di media ( TheBell , Roem ) tentang pekerjaan layanan Yandex untuk menilai indeks isolasi diri.
Izinkan saya mengingatkan Anda secara singkat apa intinya: hampir bersamaan dengan pengumuman rezim "seperti hari-hari tidak bekerja di seluruh negeri", raksasa Internet Yandex mulai secara teratur melaporkan kepatuhan terhadap tindakan isolasi diri oleh warga negara. Para pejabat dan media memeriksa data ini setiap hari. Dan meskipun sekarang topik ini berangsur-angsur memudar ke latar belakang, pertanyaan-pertanyaan untuk sumber utama data tersebut belum pergi ke mana pun.
Karena Yandex sebelumnya terlibat dalam, katakanlah, sikap santai terhadap pengguna - mari ingat setidaknya sejarah pengawasan melalui aplikasi- masuk akal untuk mengasumsikan bahwa data tentang lokasi warga saat ini selama isolasi diri dikumpulkan menggunakan aplikasi seluler dengan geolokasi. Dan dengan sendirinya, metode pengawasan melalui gadget pintar sudah jelas. Di ibu kota, misalnya, ada cerita yang mencolok secara umum - terlepas dari banyaknya pelanggaran terhadap undang-undang saat ini, DIT Moskow memaksa orang-orang untuk menandatangani perjanjian berat dengan "kawan mayor" serupa lainnya.
Dan meski dalam wawancaranya, Managing Director Yandex menyatakan:
โKami tidak terlibat dalam semua ini. Saya akui bahwa ini adalah titik yang menyakitkan bagi kami, karena kami terus-menerus dicurigai ikut serta dalam pengawasan ini. Namun kami memiliki prinsip kami sendiri di dalam perusahaan: dalam kasus apa pun, bahkan dalam situasi yang sulit, kami tidak boleh melanggar prinsip yang dipandu oleh Yandex sejak didirikan. "
- tidak ada kepercayaan di dalamnya. Para wartawan tidak menanyakan pertanyaan penting yang paling - atas dasar data apa Yandex membentuk nya "rahasia" Peringkat ? Ini penting, karena tidak ada jawaban untuk akses gratis - raksasa internet itu tidak mengungkapkan metodologinya: Masuk
akal untuk mengasumsikan bahwa istilah "data tentang penggunaan berbagai aplikasi dan layanan Yandex" berarti memantau pergerakan warga. Tetapi kecil kemungkinannya ada di antara Anda dan saya yang memberikan persetujuan langsung untuk pengawasan semacam itu.
Bagaimana pasar data bekerja
Pada tahun 90-an, mereka menjual database di pasar bom dengan CD. Saat ini, Anda bisa mendapatkan daftar kontak yang Anda butuhkan dengan lebih cepat - Anda bahkan tidak perlu pergi ke mana pun.
Cara yang jelas tapi ilegal
Anda dapat mencari data orang lain di jejaring sosial, atau di saluran telegram khusus, saya tidak akan memberikan nama-nama publik, saya yakin Anda akan menemukannya sendiri jika Anda mau.
Beberapa warga negara yang lebih maju bertindak sedikit berbeda - mereka memposting kesepakatan penawaran di situs mereka, yang selanjutnya datanya dikumpulkan dari sumber publik dan bahkan mengutip referensi ke pasal undang-undang yang tampaknya memungkinkan mereka melakukan ini: Satu-
satunya nuansa adalah di Dokumen di situs web Avito mengatakan bahwa aturan untuk mengurai database kontak situs Internet avito.ru sendiri secara tegas dilarang.
Demikian pula, penjual database online mengumpulkan informasi dari semua sumber yang memungkinkan.... Semua metode ini, katakanlah terus terang, adalah ilegal, karena melanggar ketentuan Undang-Undang "Tentang Data Pribadi" (No. 152-FZ). Saya 100% yakin bahwa tidak ada satu pun orang waras dari database semacam itu yang memberikan persetujuannya untuk penyebaran informasi publik tentang dirinya oleh perusahaan semacam itu melalui Internet.
Serangan man-in-the-middle
Cara membocorkan informasi melalui karyawan perusahaan dengan akses ke basis pelanggan juga jelas. Jangan terlalu memperhatikan aspek ini.
Satu-satunya cara untuk menangani orang-orang seperti itu adalah kontrol akses, desain basis kontak yang kompeten, dan penggunaan mekanisme anti-penipuan yang dikembangkan oleh petugas keamanan informasi. Omong-omong, yang terakhir secara teratur menangkap "penjual" dan menyerahkannya kepada petugas penegak hukum.
Cara-cara halus dalam mengumpulkan data
Perusahaan internet, hadapi saja, telah menjadi sangat kurang ajar dan telah menemukan metode baru dalam menangani data pengguna secara gratis. Saat ini, semua pemain terbesar di pasar ini mengumpulkan dokumen tentang kami, pengguna yang buruk, yang digabungkan James Bond, Richard Sorge, Mata Hari, dan Austin Powers akan membuat iri mereka. Selain itu, tidak ada pengguna yang mengizinkan perusahaan Internet untuk mengumpulkan faktur semacam itu.
Semua orang telah mendengar kisah pemilihan Amerika, di mana kemenangan Partai Republik dijamin dengan penargetan iklan kepada pengguna Google dan Facebook. Selain itu, perusahaan ini berbagi data dengan organisasi pihak ketiga Cambridge Analytics, yang membentuk "audiens target" dari iklan. Pengumpulan data juga digunakan di Cina - jejaring sosial yang sekarang populer juga baru-baru ini menjadi terkenal.menggunakan metode pelacakan ilegal yang dilarang bahkan oleh aturan Google.
Saya harus mengatakan bahwa Yandex Rusia dengan cermat memantau tindakan kolega asing, dan menggunakan metode serupa - perusahaan bersembunyi di balik layar "data impersonal", yang, seperti yang ditunjukkan oleh pengalaman pribadi saya sebagai non-programmer, dapat diuraikan bahkan saat duduk di rumah di sofa dengan keterampilan yang tepat.
Pada Desember tahun lalu, sebuah artikel menarik muncul di RBC , yang menceritakan tentang proyek bersama Yandex dan Bureau of Credit Histories (BCH) untuk mentransfer data tentang perilaku pengguna di Internet. Seperti yang dikandung oleh penulis solusi ini, bank akan dapat menerima informasi tambahan tentang orang yang mereka butuhkan dari Yandex, dengan hanya memiliki alamat email dan nomor ponsel klien.
Sebuah sumber yang tidak disebutkan namanya dalam artikel tersebut mengatakan bahwa Yandex menerima data dalam bentuk hash, setelah itu algoritme internal menentukan penilaian tertentu untuk orang tertentu, dan penilaian inilah yang dikembalikan ke BKI. Semua ini terlihat cukup rapi, tetapi ada nuansa - artikel tersebut berisi pendapat Alexander Pakhomov, Managing Partner of Law and Business Management Company, yang, seperti saya, percaya bahwa ketika prosedur ini dilakukan, data yang dianonimkan kembali menjadi pribadi:
Bagaimana data yang dianonimkan menjadi pribadi
Mari kita coba mencari tahu apa yang terjadi "di balik terpal" layanan ini. Saya harus segera mengatakan bahwa sulit bagi saya untuk melakukan ini, karena saya sering menikmati keanggunan Rusia yang agung dan indah, dan tidak menghabiskan hari-hari kerja saya pada pertemuan di ruang rapat kantor modern Moskow Yandex. Oleh karena itu, saya mengimbau Anda untuk membagikan informasi dan mengoreksi saya jika saya salah atau dalam sesuatu yang salah.
Langkah 1. Hash data
Mari kita mulai dengan memeriksa apa yang dimaksud Yandex sendiri dalam konsep data "terenkripsi", "berciri", atau "impersonal". Dan layanan publik Yandex.Audience akan membantu kami dalam hal ini .
Dari uraiannya dapat disimpulkan bahwa layanan memungkinkan pengiklan untuk menjangkau pelanggan mereka. Selain itu, untuk mencapai tujuan ini, Anda hanya perlu memberi tahu Yandex beberapa pengenal pelanggan - nomor telepon atau alamat email. Data ini dapat diunduh secara eksplisit, misalnya sebagai file teks atau tabel. Dan Anda bisa - juga dalam bentuk impersonal. Untuk ini, algoritma hashing MD5 digunakan.
Kemudian layanan tersebut berfungsi sebagai berikut: Yandex menghitung pengguna tertentu, mengetahui data pribadinya, dan menunjukkan kepadanya pesan iklan yang ditargetkan di berbagai layanan dan portal Yandex.
Apa yang kita ketahui tentang MD5?
Langkah 2. Mendekripsi hash MD5
Secara teknis, retakan MD5 dapat dilakukan dengan salah satu dari empat cara:
- Pencarian kamus
- Kasar
- Retakan pelangi
- Tabrakan fungsi hash
Jelas pilihan tercepat dan termudah adalah dengan menggunakan tabel pelangi. Padahal, untuk menerapkan cara ini, Anda hanya perlu mengetahui hash dan membuat tabel Anda sesuai dengan kriteria tertentu.
Bagaimana tabel pelangi bekerja
Langkah 3. Perbandingan data
Tidak ada keraguan sedikit pun bahwa Yandex menyimpan data dalam bentuk terenkripsi. Secara relatif, mesin pencari memiliki profil dari setiap pengguna terdaftar, di mana antara lain ditunjukkan alamat email dan nomor teleponnya. Data tersebut dapat dengan mudah di-hash dan, jika perlu (seperti yang telah kita lihat di atas), de-hash.
Selanjutnya, setelah menerima daftar kontak dari pengiklan dalam bentuk apa pun, tidak sulit bagi Yandex untuk membandingkannya dengan basis data internalnya, yang berisi pengenal yang sama. Sederhananya, Yandex mencocokkan pengenal dari profil penggunanya agar cocok dengan data pengiklan yang diminta. Ini memungkinkan tampilan iklan yang ditargetkan kepada pengguna tertentu ketika mereka mengunjungi halaman satu atau beberapa layanan Yandex.
Identifikasi unik pengguna
Tidak ada pertanyaan tentang pertukaran data impersonal ketika bekerja sesuai dengan skema seperti itu. Semua pihak secara unik mengidentifikasi pengguna tertentu dalam proses penyediaan layanan. Dengan biro kredit, dilihat dari komentar dan deskripsi, skema yang sama diterapkan. Dan ternyata, Yandex menggunakan solusi yang secara mencurigakan mirip dengan platform Crypt .
Namun, Yandex tidak pernah secara terbuka mengumumkan kemungkinan mencocokkan profil tersebut dengan nomor ponsel atau email penggunanya. Namun, seperti yang kami pelajari dari media, Yandex melakukan hal itu, setidaknya saat bekerja dengan United Credit Bureau.
Mengapa tidak dengan jujur โโmemberi tahu pelanggan Anda tentang hal ini, karena semuanya sudah ada di permukaan? Sebaliknya, penutur Yandex dengan malu-malu berbicara tentang kurangnya "informasi pribadi" dan mengutip istilah fiktif lainnya yang tidak ada dalam undang-undang Federasi Rusia dan memungkinkan untuk melewati beberapa masalah sirkulasi dan perlindungan data warga negara.
Sedikit latihan: Yandex, saya menemukan pelanggaran Anda terhadap 152-FZ!
Apakah hash solit Yandex? Saya tidak dapat menjawab dengan tegas pertanyaan ini, lagipula, saya tidak bekerja untuk perusahaan ini dan tidak tahu cara kerja bagian dalam. Namun, saya dapat membuat dua asumsi:
- Kemampuan server Yandex memungkinkan Anda dengan cepat menghapus hash MD5 tanpa garam;
- untuk bekerja dengan hash asin, kedua belah pihak perlu mengetahui garamnya.
Jelas, dalam kasus layanan pengiklan, hash tanpa garam digunakan. Jika tidak, antarmuka untuk pengiklan harus memiliki bidang garam. Dan dia tidak ada di sana! Mari kita lihat lebih dekat tangkapan layar dalam deskripsi Yandex.Audience :
Perhatikan tanda tanya di sebelah kotak centang "Data hash". Mari buka layanan itu sendiri dan arahkan kursor ke pertanyaan ini.
Kami melihat tiga hash: a31259d185ad013e0a663437c60b5d0 , 78ee6d68f49d2c90397d9fbffc3814d1 dan 702e8494aeb560dff987e623e71bccf8 . Selain itu, yang pertama jelas kehilangan sesuatu: hanya ada 31 karakter, tetapi harus ada 32! Oleh karena itu, kami akan segera membuang hash ini.
Saya juga tidak dapat mendekripsi dua hash kedua melalui tabel pelangi yang dibuat sebelumnya. Tapi saya memutuskan untuk mencoba memaksa mereka. Untuk melakukan ini, saya perlu mengkonfigurasi ulang penambangan 6 kartu video kelas GeForce GTX1060 dari penambangan eter untuk bekerja dengan program hashcat .
Saya memberi tahu program untuk mencari dengan topeng 11 digit (lihat panah atas di tangkapan layar). Akibatnya, farm normal saya mencabut nomor telepon di salah satu hash hanya dalam 22 detik. Bayangkan saja seberapa cepat Anda dapat melakukan brute force hash pada fasilitas Yandex!
Sekarang mari kita tentukan siapa yang memiliki nomor ini, cukup tekan melalui aplikasi seluler Numbuster :
Sekarang kita pergi ke mesin pencari, dan dalam beberapa saat kita mendapatkan semua informasi yang kita butuhkan:
Cek dan skakmat, Yandex, berkat informasi terbuka dari situs Anda sendiri, saya baru tahu dalam beberapa klik siapa sebenarnya yang membuat layanan Anda! Tak perlu dikatakan, tindakan yang sama dapat dengan mudah diulangi oleh siapa pun yang sekarang membaca artikel ini? Mengapa Anda melakukan ini pada Yaroslav?
Data apa yang bisa di profil masing-masing pengguna
Untuk menggunakan layanan Yandex, Anda harus memberikan nomor ponsel dan email Anda. Yandex tahu hampir semua tentang saya melalui aplikasi dan layanannya: dari situs yang saya kunjungi (tempat Yandex.Metrica berada, dan ada lebih dari 54% di antaranya di Runet ) hingga nomor telepon yang saya tunjukkan di aplikasi. Dia tahu rute saya dari Yandex.Go superapp, penyakit saya, preferensi musik saya. Yandex tahu bioskop mana yang saya kunjungi, film mana yang saya tonton, barang apa yang saya beli di toko, dan makanan apa yang saya pesan. Informasi
ini , menurut perusahaan, "digunakan terutama untuk kebutuhan mereka sendiri dan penempatan iklan bertarget berdasarkan pengetahuan tentang preferensi pelanggan." Kuncinya di sini adalah "kebanyakan". Sebelumnya, Yandex diyakini adalah perusahaan inovatif yang menyediakan layanan gratis kepada pengguna dan menghasilkan uang dari iklan di Internet. Namun seperti yang kita ketahui dari media, kini Yandex setidaknya menjual data melalui Bureau of Credit Histories - saya akan menunjukkan cara kerja mekanisme transfer datanya sendiri tepat di bawah ini. Masuk akal untuk mengasumsikan bahwa akan ada cukup banyak orang yang ingin membeli informasi tentang pengguna dari raksasa Internet terkait dengan nomor telepon dan alamat email.
Dengan kata lain, sekarang bank, perusahaan asuransi dan hukum, pusat kesehatan, pengembang bisa mendapatkan nomor orang yang mengunjungi situs tertentu atau mencari produk tertentu, dan memanggilnya untuk tujuan periklanan mereka. Atau menolak untuk mengeluarkan asuransi atau pinjaman bank.
Kepada siapa Biro Sejarah Kredit menjual data
Anda tidak perlu menjadi analis khusus untuk memahami bahwa CRI menggabungkan data tentang orang-orang tertentu tidak hanya untuk bank. Di situs web struktur tempat Yandex bekerja, Anda dapat melihat bahwa, selain penilaian bank, layanan lain juga tersedia untuk pelanggan:
Layanan "Biro Pemicu"
Informasi tentang tindakan Anda dalam mode pemicu dikirimkan ke Bank dan Perusahaan Asuransi:
Perhatikan logika layanan ini - Anda terus memantau nomor telepon pelanggan Anda, dan segera setelah mereka melakukan tindakan apa pun yang menarik minat Anda, Anda menerima pemberitahuan tentang hal itu ... Dalam kasus ini, data tentang tindakan spesifik klien tidak dikirim. Hanya fakta dari tindakan yang ditargetkan - mengajukan atau menerbitkan polis asuransi mobil, memesan taksi, dan sebagainya.
Nyaman, bukan? Terutama dari sudut pandang menjelaskan posisi "data pelanggan tidak dikirim dan diproses di Yandex"? Bagaimanapun juga, informasi tentang suatu tindakan berupa kunjungan ke situs web tertentu dapat dilaporkan hanya dengan mentransfer nomor ponsel yang di-hash, tanpa data apa pun tentang mengunjungi situs tersebut. Dan hash, yang saya sebutkan di atas, dapat dengan mudah dibandingkan dengan hash basis pengguna. Anda bahkan dapat, untuk kesederhanaan, mengambil database dari semua kemungkinan kombinasi nomor ponsel di Rusia - ini tersedia di situs web Badan Komunikasi Federal .
Sekali lagi, ternyata data yang "dienkripsi", "di-hash", "tidak dipersonalisasi" dalam hal Yandex tidak benar-benar seperti itu. Dan tentu saja skema yang dijelaskan oleh Yandex tidak mengganggu penjualan data ini dalam kerangka layanan biro kredit yang dianggap, yang dapat menjadi sumber panggilan spam ke ponsel saya.
Perusahaan asuransi, setelah memperoleh akses ke data dari layanan pemetaan Yandex dan mahakaryanya Yandex.Go superapp, dapat menentukan:
- dimana saya tinggal dan bekerja;
- seberapa sering saya bepergian dengan mobil;
- rute apa yang saya ambil;
- seberapa cepat saya mengemudi;
- apa gaya mengemudi saya - Saya mengerem dengan tajam, sembrono, atau mengemudi dengan mulus.
Dan ini bukan spekulasi, fakta pengumpulan data ini oleh Yandex diketahui pada tahun 2019, berkat diperkenalkannya undang-undang Eropa tentang perlindungan data warga, yang disebut GDPR. Menurutnya, setiap perusahaan wajib memberikan informasi kepada warga Uni Eropa tentang data apa yang dikumpulkan dan dianalisis tentangnya.
Jurnalis edisi Meduza memanfaatkan undang-undang GDPR , yang dari Lituania meminta data salah satu karyawan mereka.
Artikel Meduza mengatakan bahwa jurnalis tersebut menerima arsip dari karyawan Yandex, yang antara lain berisi file dengan seluruh riwayat pergerakan. Informasi tersebut terlacak pada saat aplikasi diluncurkan di smartphone, termasuk di latar belakang. Jurnalis menyebut ini "sejarah peluncuran aplikasi Maps di iPhone dengan koordinat yang tepat dari tempat terjadinya" (file traffic_sessions.csv ).
Sangat menarik bahwa Yandex tidak memberikan informasi seperti itu kepada warga Federasi Rusia. Selain itu, hingga saat ini Yandex bahkan belum menyediakan layanan yang memungkinkan untuk memahami siapa dan kapan data yang terakumulasi tentang pengguna diminta. Bahkan Facebook memiliki layanan seperti itu - dan penggunanya sendiri dapat meminta dan melihat semua informasi tentang dirinya.
Informasi pribadi apa yang dikumpulkan Yandex secara akurat?
Mari merujuk ke dokumen hukum di situs Yandex . Dari poin 4, kami mengetahui bahwa raksasa Internet dapat mengumpulkan kategori informasi pribadi pengguna berikut saat menggunakan situs dan layanan Yandex:
- Informasi pribadi: nama, nomor telepon, alamat dan umur;
- Data elektronik (header HTTP, alamat IP, cookie, web beacon / tag piksel, data ID browser, informasi perangkat keras dan perangkat lunak);
- tanggal dan waktu akses ke situs dan / atau layanan;
- informasi tentang aktivitas pengguna saat menggunakan situs dan / atau layanan: riwayat kueri penelusuran; alamat email orang-orang yang berhubungan dengan pengguna; konten dan lampiran email , serta file yang disimpan di sistem Yandex;
- ;
- , , ;
- , โ .
?
Jawaban atas pertanyaan ini dapat ditemukan dalam dokumen yang sama, kami memperhatikan poin 5 dengan penuh perhatian. Selain tujuan yang jelas seperti:
memberikan hasil pencarian untuk permintaan pencarian kepada pengguna;
kepatuhan dengan kewajiban yang ditetapkan oleh hukum;
untuk lebih memahami bagaimana pengguna berinteraksi dengan situs dan layanan,
Yandex secara terpisah mencatat bahwa pengumpulan data pribadi diperlukan untuk menawarkan kepada Anda produk dan layanan lain dari Yandex atau perusahaan lain yang, menurut kami, mungkin menarik bagi Anda (sub-klausul " c "paragraf 5).
Namun, undang-undang "Tentang Data Pribadi" (No. 152-FZ) bersifat kategoris: Pasal 15 menyatakan bahwa "pemrosesan data pribadi untuk mempromosikan barang, karya, layanan di pasar melalui kontak langsung dengan calon konsumen hanya diperbolehkan dengan persetujuan sebelumnya dari subjek data pribadi." Di sisi pengguna, otoritas regulasi adalah FAS, Rospotrebnadzor, dan Roskomnadzor.
Pada saat yang sama, raksasa internet itu secara bebas mentransfer ke database perusahaan lain dengan pengenal pribadi yang diduga impersonal, yang menurut raksasa internet itu, tidak lagi menjadi data pribadi. Dan Yandex telah mendapatkan hak ini untuk "berbagi" melalui baris yang tidak mencolok dalam teks mengesankan dari kebijakan privasinya sendiri.
Alih-alih kesimpulan
Apakah semuanya legal? Bagaimanapun, saya tidak memberi Yandex hak untuk mengungkapkan informasi tentang saya kepada siapa pun. Pengacara yang saya kenal mengatakan bahwa data Internet dan pengenal Internet adalah bidang "abu-abu" dalam undang-undang kami dan tidak mungkin meminta pertanggungjawaban Yandex atas penjualan data semacam itu tentang Anda.
Dan betapa adilnya Yandex menghasilkan uang dari data saya, tanpa menjelaskan kepada saya secara persis bagaimana ini terjadi dan karena apa penghasilan ini terbentuk, karena ini bukan hanya iklan besi terkenal untuk waktu yang lama, yang, setelah mencari "besi", menyusul Anda selama 2 minggu lagi di semua situs ... Ini berdampak langsung pada kualitas hidup saya dan ketersediaan layanan dan layanan sosial, seperti pinjaman, asuransi, perawatan medis.
Setuju, penilaian saya sebagai peminjam atau pemegang polis berdasarkan informasi tentang perilaku saya di Internet, yang juga terjadi "dalam kegelapan" dan hanya mengandalkan persyaratan terselubung dan penawaran yang disembunyikan di ruang bawah tanah - terlihat sangat tidak etis dan buram. Ini sangat mengganggu.
Terlepas dari GDPR dan pengetatan undang-undang tentang penggunaan data pribadi warga negara di Rusia, raksasa internet itu terus memonetisasi informasi tentang kami dan secara terbuka memantau semua tindakan kami melalui layanannya. Bahkan bersembunyi di balik topik sosial penting untuk menginformasikan penduduk dan pihak berwenang tentang kepatuhan terhadap rezim isolasi, seperti dalam kasus virus corona. Muncul pertanyaan yang masuk akal - siapa lagi yang menggunakan data kami selain Yandex dan klien komersialnya?