Leia abaixo sobre quem está monetizando meus dados e como eles acabam nas mãos de empresas cujos serviços eu nunca usei - bancos, seguradoras, centros médicos, incorporadores imobiliários e outras organizações com chamadas de publicidade irritantes. E sim, esta é uma longa leitura, como você gosta.
Nosso lindo país passou a primavera e o início do verão de 2020 em isolamento. Além do óbvio aumento do encargo financeiro para as empresas, a necessidade de as pessoas usarem máscaras em todos os lugares e trabalharem em casa, esse período de tempo mostrou claramente como alguns participantes do mercado são fáceis e simples com os dados pessoais dos russos.
fundo
Fui solicitado a escrever este artigo por uma entrevista com Tigran Oganesovich Khudaveryan na mídia ( TheBell , Roem ) sobre o trabalho do serviço Yandex para avaliar o índice de auto-isolamento.
Permitam-me relembrar brevemente qual é o ponto: quase simultaneamente com o anúncio do regime "como dias não úteis em todo o país", o gigante da Internet Yandex começou a reportar regularmente sobre o cumprimento das medidas de auto-isolamento por parte dos cidadãos. Funcionários e a mídia consultaram esses dados diariamente. E embora agora este tópico esteja gradualmente desaparecendo em segundo plano, as perguntas à fonte primária de tais dados não foram a lugar algum.
Já que Yandex estava anteriormente envolvido em, digamos, uma atitude tranquila em relação aos usuários - vamos lembrar a história da vigilância por meio de aplicativos- é razoável supor que os dados sobre a localização atual dos cidadãos durante o auto-isolamento foram coletados usando aplicativos móveis com geolocalização. E, por si só, o método de vigilância por meio de dispositivos inteligentes é óbvio. Na capital, por exemplo, havia uma história flagrante em geral - apesar da abundância de violações da legislação atual, o DIT de Moscou forçou as pessoas a assinarem um acordo oneroso com outro "camarada major" semelhante.
E embora em sua entrevista, o Diretor Geral da Yandex afirma:
“Não estamos envolvidos em nada disso. Confesso que esta é uma ferida para nós, porque somos constantemente suspeitos de estarmos envolvidos nesta vigilância. Mas temos nosso próprio princípio dentro da empresa: em nenhum caso, mesmo em uma situação difícil, devemos violar os princípios pelos quais a Yandex tem se pautado desde o dia de sua fundação. "
- não há crença nisso. Os jornalistas não fizeram a pergunta mais importante - com base em quais dados Yandex formou sua classificação "confidencial" ? Isso é importante, porque não há resposta para o acesso gratuito - o gigante da Internet simplesmente não divulga sua metodologia:
É razoável supor que o termo "dados sobre o uso de vários aplicativos e serviços Yandex" signifique monitorar os movimentos dos cidadãos. Mas é improvável que qualquer um de vocês e eu demos consentimento direto para tal vigilância.
Como funciona o mercado de dados
Nos anos 90, vendiam bancos de dados sobre o mercado de bombas com CDs. Hoje em dia, você pode obter uma lista dos contatos necessários ainda mais rápido - você nem precisa ir a lugar nenhum.
Maneiras óbvias, mas ilegais
Você pode buscar os dados de outra pessoa nas redes sociais, ou em canais especiais de telegramas, não vou dar os nomes dos públicos, tenho certeza que você mesmo os encontrará, se desejar.
Alguns cidadãos mais avançados agem de maneira um pouco diferente - eles publicam um acordo de oferta em seus sites, do qual se segue que os dados são coletados de fontes públicas e até mesmo citam referências a artigos da lei que, por assim dizer, permitem que eles façam isso: A
única nuance é que em Os documentos no site da Avito afirmam que é expressamente proibido pelas regras analisar por conta própria o banco de dados de contatos do site avito.ru.
Da mesma forma, os vendedores de banco de dados online coletam informações de todas as fontes possíveis.... Todos estes métodos, digamos francamente, são ilegais, uma vez que violam o disposto na Lei “Sobre Dados Pessoais” (nº 152-FZ). Estou 100% certo de que nenhuma pessoa sã de tais bancos de dados deu seu consentimento para a divulgação pública de informações sobre si mesmo por essas empresas através da Internet.
Ataque man-in-the-middle
A forma de vazar informações por meio dos funcionários de empresas com acesso à carteira de clientes também é óbvia. Não vamos prestar muita atenção a este aspecto.
A única maneira de lidar com essas pessoas é o controle de acesso, o design competente da base de contato e o uso de mecanismos antifraude que são desenvolvidos por oficiais de segurança da informação. Estes últimos, aliás, regularmente pegam "vendedores" e os entregam aos policiais.
Maneiras sutis de coletar dados
As empresas de Internet, vamos enfrentá-lo, tornaram-se completamente insolentes e criaram um novo método de tratamento gratuito dos dados do usuário. Hoje, todos os maiores participantes desse mercado colecionam um dossiê sobre nós, pobres usuários, que James Bond, Richard Sorge, Mata Hari e Austin Powers juntos os invejarão. Além disso, nenhum dos usuários autorizou a empresa de Internet a cobrar tal fatura.
Todo mundo já ouviu a história das eleições americanas, nas quais a vitória republicana foi garantida pelo direcionamento de anúncios aos usuários do Google e do Facebook. Além disso, essas empresas compartilhavam dados com uma organização terceirizada Cambridge Analytics, que formava o "público-alvo" dos anúncios. A coleta de dados também é usada na China - a agora popular rede social também se tornou famosa recentemente . uso de métodos ilegais de vigilância proibidos até pelas regras do Google.
Devo dizer que o russo Yandex monitora de perto as ações de colegas estrangeiros e usa métodos semelhantes - a empresa se esconde atrás de uma tela de "dados impessoais", que, como minha experiência pessoal de um não-programador mostrou, pode ser decifrada mesmo quando está sentado em casa no sofá com a habilidade adequada.
Em dezembro do ano passado, apareceu um artigo interessante no RBC , que falava sobre o projeto conjunto do Yandex e do Bureau of Credit Histories (BCH) para transferir dados sobre o comportamento do usuário na Internet. Tal como concebida pelos autores desta solução, os bancos poderão receber da Yandex informações adicionais sobre as pessoas de que necessitam, tendo apenas o endereço de e-mail e o número de telemóvel do cliente.
Uma fonte não identificada no artigo disse que o Yandex recebe os dados em forma de hash, após o que algoritmos internos determinam uma determinada avaliação para uma pessoa específica, e é essa avaliação que retorna ao BKI. Tudo isso parece bastante simples, mas há uma nuance - o artigo contém a opinião de Alexander Pakhomov, sócio-gerente da Law and Business Management Company, que, como eu, acredita que quando esse procedimento é realizado, os dados anônimos voltam a ser pessoais:
Como os dados anônimos se tornam pessoais
Vamos tentar descobrir o que está acontecendo “nos bastidores” desse serviço. Devo dizer de imediato que é difícil para mim fazer isso, visto que muitas vezes desfruto da graciosidade da grande e bela Rússia e não passo meus dias de trabalho em reuniões nas salas de reuniões do moderno escritório de Moscou de Yandex. Portanto, exorto você a compartilhar informações e me corrigir se eu estiver errado ou em algo errado.
Etapa 1. hash dos dados
Vamos começar examinando o que o próprio Yandex significa no conceito de dados "criptografados", "com hash" ou "impessoais". E o serviço público Yandex.Audience vai nos ajudar nisso .
De sua descrição, conclui-se que o serviço permite que os anunciantes alcancem seus clientes. Além disso, para atingir esse objetivo, você só precisa informar ao Yandex alguns identificadores de cliente - números de telefone ou endereços de e-mail. Esses dados podem ser baixados explicitamente, por exemplo, como um arquivo de texto ou tabela. E você pode - também de uma forma impessoal. Para isso, é utilizado o algoritmo de hash MD5.
Em seguida, o serviço funciona da seguinte maneira: Yandex calcula um usuário específico, conhecendo seus dados pessoais, e mostra a ele mensagens publicitárias direcionadas em vários serviços e portais Yandex.
Etapa 2. Descriptografar hashes MD5
Tecnicamente, o cracking MD5 pode ser feito de uma das quatro maneiras:
- Pesquisa de dicionário
- Força bruta
- Rachadura de arco-íris
- Colisão de função Hash
Obviamente, a opção mais rápida e fácil é usar as tabelas rainbow. Na verdade, para implementar esse método, você só precisa conhecer o hash e fazer sua tabela de acordo com determinados critérios.
Como funcionam as tabelas de arco-íris
Etapa 3. Comparação de dados
Não há a menor dúvida de que Yandex armazena dados em formato criptografado. Relativamente falando, o motor de busca possui um perfil de cada utilizador registado, onde, entre outras coisas, são indicados os seus endereços de email e números de telefone. Esses dados podem ser facilmente hash e, se necessário (como já vimos acima), sem hash.
Além disso, tendo recebido uma lista de contatos de anunciantes em qualquer formato, não é difícil para Yandex compará-los com seu banco de dados interno, que contém os mesmos identificadores. Simplificando, Yandex faz uma correspondência cruzada com o identificador de seu perfil de usuário para corresponder aos dados solicitados do anunciante. Isso permite a exibição direcionada de anúncios para um usuário específico ao entrar na página de um serviço Yandex específico.
Identificação única de usuários
Não pode haver nenhuma dúvida de qualquer troca de dados impessoal ao trabalhar de acordo com tal esquema. Todas as partes identificam exclusivamente um usuário específico no processo de prestação de serviços. Com as agências de crédito, a julgar pelos comentários e descrições, é aplicado exatamente o mesmo esquema. E, aparentemente, o Yandex usa uma solução que é suspeitamente semelhante à plataforma Crypt .
No entanto, Yandex nunca anunciou publicamente a possibilidade de combinar tais perfis com números de telefones celulares ou e-mails de seus usuários. Mas, como aprendemos com materiais da mídia, Yandex faz exatamente isso, pelo menos quando trabalha com o United Credit Bureau.
Por que não falar honestamente sobre isso aos seus clientes, porque tudo já está na superfície? Em vez disso, os palestrantes do Yandex falam timidamente sobre a falta de “informações pessoais” e citam outros termos fictícios que estão ausentes na legislação da Federação Russa e permitem contornar algumas questões de circulação e proteção de dados dos cidadãos.
Um pouco de prática: Yandex, encontrei sua violação de 152-FZ!
O Yandex solit hashes? Não posso responder de forma inequívoca a esta questão, afinal, não trabalho nesta empresa e não conheço o seu funcionamento interno. No entanto, posso fazer duas suposições:
- Os recursos de servidor do Yandex permitem eliminar rapidamente hashes MD5 sem sal;
- para trabalhar com hashes salgados, ambas as partes precisam conhecer o sal.
Obviamente, no caso do serviço do anunciante, são usados hashes sem sal. Caso contrário, a interface para anunciantes teria que ter um campo de sal. E ele não está lá! Vamos dar uma olhada mais de perto na captura de tela na descrição do Yandex.Audience :
preste atenção ao ponto de interrogação ao lado da caixa de seleção "Hashed data". Vamos para o serviço propriamente dito e focalizemos esta questão.
Vemos três hashes: a31259d185ad013e0a663437c60b5d0 , 78ee6d68f49d2c90397d9fbffc3814d1 e 702e8494aeb560dff987e623e71bccf8 . Além disso, o primeiro está claramente faltando alguma coisa: são apenas 31 caracteres, mas deveriam haver 32! Portanto, vamos descartar esse hash imediatamente.
Eu também não consegui descriptografar os dois segundos hashes por meio da tabela de arco-íris criada anteriormente. Mas decidi tentar usar força bruta. Para fazer isso, precisei reconfigurar um farm de mineração de 6 placas de vídeo da classe GeForce GTX1060 do ether mining para funcionar com o programa hashcat .
Disse ao programa para pesquisar usando uma máscara de 11 dígitos (veja a seta para cima na imagem). Como resultado, meu farm normal removeu o hash do número de telefone em um dos hashes em apenas 22 segundos. Imagine o quão rápido você pode fazer hashes de força bruta nas instalações do Yandex!
Agora vamos determinar quem é o proprietário desse número, basta digitá- lo no aplicativo móvel Numbuster :
Agora vamos ao buscador, e em questão de instantes obtemos todas as informações de que precisamos:
Cheque e xeque-mate, Yandex, graças a abrir informações do seu próprio site, acabei de descobrir em alguns cliques quem exatamente fez o seu serviço! Desnecessário dizer que a mesma ação pode ser facilmente repetida por qualquer um dos que estão lendo este artigo. Por que você fez isso com Yaroslav?
Quais dados podem estar no perfil de cada usuário
Para usar os serviços Yandex, você deve fornecer seu telefone celular e número de e-mail. Yandex sabe quase tudo sobre mim através de seus aplicativos e serviços: desde os sites que visito (onde fica Yandex.Metrica, e há mais de 54% deles no Runet ) até o número de telefone que indico nos aplicativos. Ele conhece minhas rotas desde o Yandex.Go superappa, minhas doenças, minhas preferências musicais. Yandex sabe a que cinemas vou, que filmes vejo, que produtos compro na loja e que alimentos peço.
Esta informação, de acordo com a empresa, "é usado principalmente para as suas próprias necessidades e para a veiculação de publicidade direcionada com base no conhecimento das preferências do cliente." A chave aqui é “principalmente”. Anteriormente, acreditava-se que a Yandex é uma empresa inovadora que fornece aos usuários serviços gratuitos e ganha dinheiro com publicidade na Internet. Mas, como sabemos pela mídia, agora o Yandex pelo menos vende dados por meio do Bureau of Credit Histories - vou mostrar o trabalho do próprio mecanismo de transferência de dados logo abaixo. É razoável supor que haverá muitas pessoas que desejam comprar informações sobre os usuários do gigante da Internet em relação a números de telefone e endereços de e-mail.
Em outras palavras, agora bancos, seguradoras e jurídicas, centros médicos, desenvolvedores podem obter o número de uma pessoa que visitou um determinado site ou pesquisou um produto específico e ligá-la para fins publicitários. Ou recuse-se a fazer seguro ou empréstimo bancário.
Para quem o Credit Bureau vende dados?
Você não precisa ser um analista especial para entender que o CRI consolida dados sobre pessoas específicas não apenas para bancos. No site da estrutura com a qual a Yandex trabalha, é possível verificar que, além da pontuação bancária, outros serviços também estão à disposição dos clientes:
Serviço "Triggers Bureau"
As informações sobre suas ações em modo gatilho são transmitidas para Bancos e Seguradoras:
Preste atenção na lógica desse serviço - você faz o monitoramento dos telefones de seus clientes, e assim que eles fizerem alguma ação de seu interesse, você receberá uma notificação a respeito ... Neste caso, os dados sobre as ações específicas do cliente não são transmitidos. Apenas o fato da ação direcionada - preencher ou emitir uma apólice de seguro de automóveis, pedir um táxi e assim por diante.
Conveniente, certo? Especialmente do ponto de vista de explicar a posição "os dados do cliente não são transmitidos e processados no Yandex"? Afinal, informações sobre uma ação na forma de uma visita a um site específico podem ser relatadas simplesmente transferindo um número de celular com hash, sem quaisquer dados sobre a visita ao site. E o hash, que mencionei acima, pode ser facilmente comparado com os hashes da base de usuários. Você pode até, para simplificar, obter um banco de dados de todas as combinações possíveis de números de celular na Rússia - ele está disponível no site da Agência Federal de Comunicações .
Novamente, verifica-se que dados "criptografados", "com hash" e "despersonalizados" em termos de Yandex não são realmente isso. E certamente o esquema descrito por Yandex não interfere na venda desses dados no âmbito dos serviços considerados de agências de crédito, que podem ser a própria fonte de chamadas de spam para o meu telefone.
As seguradoras, tendo obtido acesso aos dados dos serviços de mapeamento Yandex e sua obra-prima Yandex.Go superapp, podem determinar:
- onde moro e trabalho;
- quantas vezes eu viajo de carro;
- que rotas devo seguir;
- quão rápido estou dirigindo;
- qual é o meu estilo de direção - eu freio bruscamente, imprudentemente ou dirijo suavemente.
E não se trata de especulação, o facto de recolher estes dados pelo Yandex tornou-se conhecido em 2019, graças à introdução da legislação europeia sobre a protecção dos dados dos cidadãos, o denominado GDPR. Segundo ele, qualquer empresa é obrigada a fornecer aos cidadãos da UE informações sobre os dados que recolhe e analisa a seu respeito.
Os jornalistas da edição Meduza aproveitaram a lei do GDPR , que da Lituânia solicitou dados sobre um dos seus funcionários.
A reportagem de Meduza diz que o jornalista recebeu um arquivo dos funcionários da Yandex, que, entre outras coisas, continha um arquivo com toda a história dos movimentos. A informação foi rastreada no momento do lançamento do aplicativo no smartphone, inclusive em background. O jornalista chama isso de "a história do lançamento do aplicativo Maps em um iPhone com as coordenadas exatas de onde aconteceu" (arquivo traffic_sessions.csv ).
É interessante que Yandex não forneça tais informações aos cidadãos da Federação Russa. Além disso, até agora Yandex nem mesmo prestou um serviço que permitisse perceber quem e quando solicitou os dados acumulados sobre o utilizador. Até o Facebook tem esse serviço - e o próprio usuário pode solicitar e visualizar todas as informações sobre si mesmo.
Quais informações pessoais o Yandex coleta com precisão?
Vamos consultar os documentos legais no site Yandex . Do ponto 4, aprendemos que o gigante da Internet pode coletar as seguintes categorias de informações pessoais de usuários ao usar os sites e serviços Yandex:
- Dados pessoais: nome, telefone, endereço e idade;
- Dados eletrônicos (cabeçalhos HTTP, endereço IP, cookies, web beacons / pixel tags, dados de ID de navegador, informações de hardware e software);
- data e hora de acesso aos sites e / ou serviços;
- informações sobre a atividade do usuário durante a utilização de sites e / ou serviços: histórico de consultas de pesquisa; endereços de e-mail daqueles com os quais o usuário mantém correspondência; conteúdo e anexos de e-mail , bem como arquivos armazenados em sistemas Yandex;
- ;
- , , ;
- , — .
?
A resposta a esta pergunta encontra-se no mesmo documento, olhamos com atenção para o ponto 5. Além de objetivos claros, como:
fornecer aos usuários resultados de pesquisa para consultas de pesquisa;
cumprimento das obrigações estabelecidas em lei;
a fim de compreender melhor como os usuários interagem com sites e serviços,
Yandex observa separadamente que a coleta de dados pessoais é necessária para oferecer a você outros produtos e serviços da Yandex ou de outras empresas que, em nossa opinião, podem ser do seu interesse (subcláusula “ c "parágrafo 5).
No entanto, a lei "Sobre Dados Pessoais" (No. 152-FZ) é categórica: O artigo 15.º afirma que "o tratamento de dados pessoais para a promoção de bens, obras e serviços no mercado através de contactos diretos com um potencial consumidor só é permitido com o consentimento prévio do titular dos dados pessoais". Do lado dos usuários, as autoridades regulatórias são FAS, Rospotrebnadzor e Roskomnadzor.
Ao mesmo tempo, o gigante da Internet transfere gratuitamente para outras empresas bancos de dados com identificadores pessoais supostamente impessoais, que, segundo o gigante da Internet, deixaram de ser dados pessoais. E a Yandex garantiu esse direito de “compartilhar” por meio de uma linha imperceptível no impressionante texto de sua própria política de privacidade.
Em vez de uma conclusão
É tudo legal? Afinal, não dei ao Yandex o direito de divulgar informações sobre mim a ninguém. Os advogados que conheço dizem que os dados e identificadores da Internet são um campo "cinza" em nossa legislação e é impossível responsabilizar a Yandex pela venda de tais dados sobre você.
E como é justo que Yandex ganhe dinheiro com meus dados, sem me explicar exatamente como isso acontece e a que se formam esses ganhos, pois há muito não se trata apenas da notória propaganda de ferros, que, após procurar por um "ferro", te alcança por mais 2 semanas em todos os sites ... Isso tem um impacto direto na qualidade de minha vida e na disponibilidade de serviços e serviços sociais, como empréstimos, seguros, assistência médica.
Concordo, a avaliação de mim como um tomador de empréstimo ou seguradora com base em informações sobre meu comportamento na Internet, o que também acontece “no escuro” e se baseia apenas em termos velados e ofertas escondidas em porões - parece absolutamente antiético e opaco. Isso é muito chato.
Apesar do GDPR e do endurecimento das leis sobre o uso de dados pessoais de cidadãos na Rússia, o gigante da Internet continua a monetizar informações sobre nós e monitora de forma absolutamente aberta todas as nossas ações por meio de seus serviços. Mesmo se escondendo atrás do tema socialmente importante de informar a população e as autoridades sobre a observância do regime de isolamento, como no caso do coronavírus. Uma pergunta razoável surge - quem mais usa nossos dados além de Yandex e seus clientes comerciais?