На сайте президента Украины 27 сентября появилось сообщение, что президент Зеленский провел видеоконференцию с руководством корпорации Facebook. Владимир Зеленский обсудил новые цифровые сервисы и "борьбу с российской дезинформацией". Об этом сообщала "Страна".
Во встрече участвовал вице-премьер по цифровой трансформации Михаил Федоров. Он сообщил, что предвыборная кампания Зеленского была самой технологичной в мире, и ключевыми каналами коммуникации во время этой кампании были сервисы Facebook и Instagram:
Источник: president.gov.ua
"Страна" недавно рассказывала о расследовании деятельности соцсетей Facebook и Instagram, принадлежащих корпорации Facebook. Мы выпустили два материала - "Все блогеры равны, но некоторые равнее. Как Facebook создал список VIPов, которые могут нарушать правила" и "Ненависть в Facebook, депрессия в Instagram. Новое расследование о закулисье крупнейших соцсетей мира".
Теперь мы расскажем еще об одной стороне работы крупнейших соцсетей мира - тотальной слежке за пользователями и продаже личных данных.
Facebook следит даже за движением мыши
Согласно данным самой корпорации Facebook, которой принадлежат соцсети Facebook, Instagram и мессенджер WhatsApp, компания тотально отслеживает действия пользователей, их устройств и собирает массу данных.
К примеру, корпорация получает с устройств пользователей данные о версии аппаратного и программного обеспечения, уровне заряда аккумулятора, силе сигнала, объеме доступной памяти, типе браузера, имена и типы приложений и файлов.
Отслеживаются даже движения мыши: Facebook заявляет, что это якобы нужно, чтобы отличить ботов от людей.
Соцсети собирают информацию об идентификаторах устройств, игр, приложений и аккаунтов пользователя, о сигналах Bluetooth, точках доступа Wi-Fi и вышках сотовой связи.
Если пользователь разрешит, то корпорация соберет информацию о его местоположении (GPS) и получит доступ к камере. Facebook может собирать данные о местоположении через свои приложения (включая Instagram и Messenger), запрашивая данные о местоположении и регистрируя, где пользователь подключается к Интернету.
Корпорация использует эти данные для показа рекламы с таргетингом на местоположение, а также для определения того, когда конкретные люди посещают обычные магазины, что является частью усилий по связыванию показов цифровой рекламы с покупками в оффлайне. А отключить таргетинг рекламы на основе местоположения в Facebook невероятно сложно.
Интересует Facebook также название мобильного оператора или провайдера, язык, часовой пояс, номер мобильного телефона, IP-адрес, скорость соединения, информация о других устройствах, расположенных поблизости или входящих в сеть. Как утверждает сама компания, все это делается лишь ради облегчения передачи данных от одного устройства к другому.
Накапливается история браузера, собирается информация об операциях в интернете, включая покупки, даже если все это делалось без участия Facebook, об установленных на устройстве играх, и как часто в них играют.
Все это, напомним, корпорация Facebook сама открыто сообщает в своей "Политике использования данных":
Источник: facebook.com
Facebook следит даже на других сайтах
Еще корпорация Facebook собирает информацию даже тогда, когда пользователи находятся не в соцсетях Facebook и Instagram.
Многие независимые от Facebook сайты используют строку кода под названием Facebook pixel. Она позволяет контролировать действия пользователей на этих сайтах и передавать информацию об этом в Facebook.
Причем с посторонних сайтов информация поступает независимо от того, есть ли у пользователя аккаунт на Facebook, и вошел ли в него пользователь. Например, разработчик игр может использовать API Facebook, чтобы сообщать, в какие игры играют пользователи сайта или приложения. А интернет-магазин может сообщать о совершенных покупках. Еще Facebook получает информацию о действиях и покупках в интернете от сторонних поставщиков данных.
В справочном центре Facebook есть специальный раздел с перечислением действий, которые регистрирует Facebook на сторонних сайтах:
- открытие приложения;
- вход в приложение через Facebook;
- просмотр контента;
- поиск товара;
- добавление товара в корзину;
- совершение покупок;
- пожертвования:
Источник: facebook.com
Перечень сторонних сайтов, которые передают о нем информацию в Facebook, каждый пользователь может узнать сам, перейдя в своем аккаунте по ссылке в разделе "Ваша информация" --> "Действия вне Facebook".
Обычно при первом посещении сайта пользователь дает сам разрешение на "слежку", нажимая на кнопку "Согласен". Но некоторые сайты считают, что сам факт использования сайта уже означает согласие на сбор данных.
Как сообщил Фонд электронных рубежей (EFF), трекеры Facebook установлены на 30% из 10 000 самых популярных сайтов. Технология отслеживания компании используется в 32% из 500 лучших приложений для Android и охватывает 1 миллиард человек в месяц.
Facebook и Instagram следят через камеры
В июле 2020 года издание The Verge сообщило, что Instagram получает доступ к фронтальной и основной камерам iPhone даже тогда, когда они не используются активно. В Facebook тогда опровергли информацию об этом, назвав сообщения о доступе соцсети к камерам в неактивном состоянии ложными. Однако разработчики Instagram подтвердили, что приложение действительно включает камеру без ее использования, заявив, что это баг бета-версии iOS 14, а не преднамеренная слежка.
Однако после выхода новой операционной системы iOS версии 14.5, предназначенной для смартфонов корпорации Apple, приложения Facebook и Instagram начали убеждать пользователей, что слежка за ними - это полезно и нужно для бесплатного доступа к соцсетям.
Теперь новые версии приложений Facebook и Instagram при запуске на iOS 14.5 просят пользователей добровольно включить слежку за ними. Разработчик объяснил это тремя пунктами в описании своей просьбы:
- это необходимо для показа персонализированной рекламы пользователю;
- чтобы соцсети Facebook и Instagram оставались бесплатными для пользователей;
- для поддержки бизнеса компаний, которые зависят от рекламы:
Источник: theverge.com
Соцсети регулярно сливают данные правительствам
Крупнейшие соцсети регулярно передают правительствам государств данные о своих пользователях. К примеру, Facebook опубликовал отчет о прозрачности за второе полугодие 2020 года, согласно которому компания в США получила 61 тысячу запросов от властей, из которых она удовлетворила 89%.
В Украине Facebook получил от правительства за 2 полугодие 2020 года 71 запрос на раскрытие данных пользователей, на 41% из них данные были предоставлены:
Источник: transparency.fb.com/data
Правительство США в 2020 году запросило и получило больше пользовательских данных, чем любая другая страна. Исследовательская компания Techrobot опубликовала отчет, в котором представлено количество запросов от правительств 20 стран, касающихся личных данных пользователей Twitter, Facebook и Apple в 2020 году. Исследователи выяснили, что власти США запрашивают больше всего информации о своих гражданах и имеют больший доступ к технологическим компаниям.
Правительство США сделало 70 тысяч запросов к трем IT-гигантам за первый квартал 2020 года, что на 21 % больше, чем за аналогичный период в 2019 году. Из этих обращений Apple, Facebook и Twitter удовлетворили 76 % - власти страны получили более 50 тысяч единиц информации.
Второе место по запросам информации у компаний занимает Германия - почти 25 тысяч в 2020 году, что на 16 % больше, чем в 2019 году. Однако Apple, Facebook и Twitter удовлетворили только 54 % из них. На третьем месте по данным показателям оказалось правительство Франции с 14 тысячами запросов, что на 90 % больше количества обращений в 2019 году. Компании предоставили информацию в 74 % случаев, что на 7 % выше предыдущего исследованного периода.
Зачем Facebook за всеми следит
Большинство пользователей Facebook не имеют представления о том, как социальные сети использует их данные. Опрос Pew Research Center показал тотальную неграмотность пользователей в отношении приватности.
В реальности по истории лайков и публикаций можно определить множество сведений о человеке - сексуальную ориентацию, этническую принадлежность, религиозные и политические взгляды и многое другое.
На странице "Ваши рекламные предпочтения" у каждого пользователя Facebook содержится маленькая выжимка из рекламного профиля, который алгоритмы составили на основании личных данных, действий на сайте, лайков, комментариев, истории посещенных сайтов в интернете и т. д.
Facebook накопил большой объем такой информации благодаря тому, что кнопки Like со следящими трекерами установлены на многих сторонних сайтах в интернете. К тому же, многие сайты заменяют собственные системы идентификации пользователей соответствующими сервисами от Facebook.
Одним из многих способов, который позволяет Facebook и Instagram выбрать пользователя, которому нужно показать таргетированную рекламу, является возможность для рекламодателей загружать списки телефонных номеров или адресов электронной почты в виде файла. Затем алгоритмы рекламного кабинета Facebook сопоставляют контактные данные из загруженных списков с учетными записями пользователей социальной сети, связанными с этой контактной информацией.
К примеру, продавец одежды может разместить рекламу одежды в ленте Instagram у женщин, которые уже купили у них что-то раньше, исходя из номера телефона или е-мейл. Политик может разместить рекламу в Facebook для тех, чьи адреса электронной почты уже есть в его списке почтовой рассылки. Казино может делать выгодные предложения, основываясь на знании адресов электронной почты людей, предположительно зависимых от азартных игр. Facebook называет это "настраиваемой аудиторией".
Соцсети используют для рекламного таргетинга всю информацию, которую пользователи сами о себе добровольно предоставили, в том числе все контактные и персональные данные - адреса электронной почты, номера телефонов, связанные с учетной записью, и множество других данных.
Еще одна проблема для пользователей - "склейка" данных из аккаунтов пользователей в WhatsApp, Facebook и Instagram. Фактически платформа создает уникальный глобальный профиль пользователя с большим количеством его характеристик. Соцсети на основе этого профиля могут просчитывать поведение пользователя и даже "программировать его определенным образом, воздействуя на чувствительные именно для этого человека "триггеры" в специально подаваемой и проработанной информации.
Кроме того, данные о пользователях могут быть использованы без согласия субъекта данных. Компания Facebook подчиняется законодательству США, причем спецслужбы этой страны имеют бесконтрольный доступ к содержанию коммуникаций. Компании по запросу правоохранителей и спецслужб США обязаны предоставлять соответствующий доступ и ключи шифрования. Имея широкие полномочия, они могут осуществлять тотальный государственный контроль не только за своими гражданами, но и за миллионами пользователей по всему миру.
Теневые профили на каждого юзера
Вдобавок Facebook использует контактную информацию, которую ему предоставили пользователи. Также использовалась информация, которую пользователи не передавали - например, собранная из списков контактов других людей. Эти собранные из разных источников данные у специалистов по безопасности принято называть "теневой профиль" (Shadow Profile) пользователя.
Еще в 2016 году Facebook критиковали за создание и использование теневых профилей. Причем не только для своих обычных пользователей, но и для незарегистрированных и неавторизованных посетителей как самого сайта соцсети, так и других сайтов с установленными скриптами от Facebook (кнопка "лайк", рекламные модули и т. д.).
Как сообщал сайт о технологиях Gizmodo, Facebook активно использовал информацию, которую пользователь оставляет во время двухфакторной аутентификации. Двухфакторная аутентификации - это протокол безопасности, по которому доступ к аккаунту открывается по предъявлению двух различных доказательств личности пользователя. Это может быть, например, пароль от аккаунта и подтверждающий одноразовый код из SMS-сообщения.
Эксперты выяснили, что Facebook сохраняет даже эти данные и опосредовано перепродает их рекламщикам, которые в свою очередь строят на этом таргетинг рекламных публикаций.
В апреле 2018 года на слушаниях в Конгрессе США глава Facebook Марк Цукерберг сообщил, что не располагает информацией об использовании в его компании технологии "теневых профилей". Однако опубликованные в СМИ материалы доказывают факт существования этой практики негласного сбора информации.
В результате могут оказаться раскрыты даже самые интимные тайны пользователей. И это знание могут использовать не только для того, чтобы заставить сделать очередную "спонтанную покупку". Намного хуже, что данные теневого профиля и рекламного таргетинга могут использовать злоумышленники для атаки. Последствия могут быть самыми печальными.
Данные пользователей воровали сотрудники Facebook
В июле этого года сайт Business Insider опубликовал отрывки из книги "An Ugly Truth: Inside Facebook's Battle for Domination". В ней говорится о 52 сотрудниках корпорации Facebook, уволенных с 2014 по 2015 годы за злоупотребление должностными полномочиями. Один из них использовал служебное положение, чтобы выследить женщину, которая ушла от него после ссоры.
Книгу написали журналисты газеты The New York Times Шира Френкель и Сесилия Канг. Ранее они участвовали в других журналистских расследованиях деятельности Facebook, например, "Задерживай, отрицай и уклоняйся: как руководство Facebook пробивалось через кризис". В материале описано, как компания ради преодоления кризиса шла на всевозможные меры, включая умалчивание фактов и клевету в адрес конкурентов.
В своей книге журналисты публикуют результаты расследования, касающегося информационной безопасности в Facebook. В описании к книге указано, что компания в течение многих лет неверно обрабатывала данные пользователей, распространяла фальшивые новости, усиливала негативные настроения на своих платформах и собирала данные для их продажи третьим лицам.
Сайт Business Insider опубликовал несколько фрагментов книги, касающихся использования сотрудниками Facebook своего положения для добычи личных данных пользователей. Например, один из инженеров выследил женщину, с которой он поссорился на отдыхе в Европе. Благодаря своему уровню доступа он смог выяснить, в какой отель она переехала.
Другой инженер использовал права доступа коллеги, чтобы найти информацию о женщине, игнорирующей его после свидания. В итоге у него на руках оказались данные за несколько лет, включая все переписки в Facebook messenger, загруженные фотографии (вместе с удаленными) и публикации, которые она комментировала и просматривала. Кроме того, через мессенджер инженер мог отслеживать ее местоположение в режиме реального времени.
В общей сложности, в период с января 2014 по август 2015 года за использование доступа к данным в личных целях Facebook уволил 52 сотрудника. Большую часть уволенных составили мужчины, искавшие профили интересующих их женщин. Как утверждает компания, никто из уволенных сотрудников не добывал информацию в коммерческих целях.
В книге также приводятся слова бывшего старшего специалиста по безопасности Алекса Самоса о том, что сотрудники компании злоупотребляли доступом почти каждый месяц. В 2014-2015 годах доступ к личным данным имели почти 16 тысяч человек. В докладе Цукербергу Самос предложил ограничить число сотрудников с доступом до 5 тысяч, и до 100 человек к особо важной информации, такой как пароли. Руководители Facebook отказались принимать предложение Самоса. Цукерберг согласился и поручил ему за год разработать план перехода, но в итоге эта программа так и не была принята.
Представитель Facebook рассказал Business Insider, что компания предоставляла сотрудникам доступ к данным пользователей, чтобы "обойти бюрократизм, мешающий работе инженеров".
Свободный доступ для посторонних
1 июля 2020 года Facebook в своем официальном блоге признал, что доступ к данным пользователей социальной сети смогли получить также тысячи сторонних разработчиков, не работающих непосредственно в корпорации. Оказалось, что в механизме защиты данных пользователей соцсети не всегда корректно работала блокировка. Более 5 000 разработчиков сторонних приложений и сервисов могли получать и анализировать данные пользователя из соцсети, включая их имена, идентификаторы, электронную почту и другую контактную информацию.
Facebook не раскрыл, как долго эта ситуация продолжалась до того, как она была обнаружена, а также общее количество пользователей, данные которых могли быть переданы в этой утечке. Но корпорация признала, что проблема существовала "последние несколько месяцев". Причем разработчикам не передавалась никакая дополнительная информация, кроме той, что пользователь разрешил в настройках конфиденциальности приложения.
Эта не первая афишированная соцсетью утечка данных пользователей в истории Facebook. Самым громким скандалом была утечка данных более 80 млн профилей пользователей через стороннюю компанию Cambridge Analytica, которая занималась агитацией на президентских выборах 2016 года в США.
В апреле 2019 года Федеральная торговая комиссия США наложила на Facebook рекордный штраф в $5 млрд по делу о Cambridge Analytica из-за утечек конфиденциальной информации о пользователях.
Данные о миллиардах пользователей просто украли
Осенью 2019 года была обнаружена утечка данных 419 млн пользователей Facebook. На незащищенном сервере хакеры разместили несколько баз данных, содержащих данные пользователей. Как сообщало издание TechCrunch, в базе оказались номера телефонов, ID профилей Facebook, имена, пол, информация о стране проживания и другие данные. В базы попали данные 133 млн пользователей США, 18 млн британцев и 50 млн жителей Вьетнама:
Фрагмент утечки данных пользователей Facebook в 2019 году. Отредактированный набор записей из базы данных Великобритании. "44" обозначает +44, код страны Великобритании. Источник: techcrunch.com
Найденный в сети сервер не был защищен даже паролем. Любой мог получить доступ к базам данных пользователей соцсети.
Актуальность баз данных подтвердили в TechCrunch. Там проверили несколько записей в базах данных, сопоставив номера телефонов пользователей Facebook с указанными в них идентификаторами соцсети и реальными данными пользователей.
В начале апреля этого года в открытый доступ попали данные 533 млн пользователей Facebook. Утечка затронула даже основателей Facebook Марка Цукерберга, Криса Хьюза и Дастина Московица. Злоумышленники извлекли из профилей пользователей соцсети 70 ГБ данных, включая имена, номера телефонов, даты рождения, адреса электронной почты и т.д.
Facebook подтвердил факт утечки заявив, что причиной стала уязвимость функции импорта контактов. Хакеры использовали уязвимость в инструменте для поиска друзей. Этот скрипт передавал соцсети телефонную книгу пользователя и предлагал ему добавить в друзья найденных людей. Как выяснилось позднее, инструмент позволял перебором пройтись по всему массиву телефонных номеров и выгрузить данные о большом количестве пользователей - примерно 20% от общего числа аккаунтов соцсети.
Утечка данных появилась в мессенджере Telegram. Неизвестные создали бота, который продает доступ к базе данных телефонных номеров, принадлежащих пользователям Facebook, сообщило издание Vice.
Соцсеть рассказала изданию, что они были получены в результате уязвимости, которую закрыли в августе 2019 года. Тем не менее, многие пользователи с тех пор не меняли номера телефонов, поэтому она может быть актуальна и сегодня.
Через бот можно получить доступ к телефонному номеру, если ввести идентификатор учетной записи Facebook - такая услуга стоит от одного условного кредита. По отдельности стоимость кредита составляет $20, но в боте есть возможность купить их по оптовым ценам - 10 тысяч кредитов продаются за $5 тысяч, отмечает издание. В описании бота говорится, что его база данных содержит информацию о пользователях соцсети из России, США, Канады, Великобритании, Австралии и 15 других стран.
Но самый крупный взлом, похоже, случился в сентябре этого года. По сообщению портала CyberNews, хакеры выставили на продажу 3,8 млрд записей Clubhouse и Facebook за $100 тысяч. Сообщение на форуме в даркнете появилось 4 сентября. Предположительно, данные получены в результате взлома 24 июля этого года.
По сообщению хакеров, база содержит имена, телефонные номера и другие данные пользователей Clubhouse и Facebook:
Источник: cybernews.com
Утечка личных данных опасна для пользователей не только спам-звонками, но и атаками с подменами SIM-карт, когда злоумышленники обманом принуждают операторов связи отдавать номера пользователей. Владея чужим номером телефона, злоумышленник может принудительно поменять пароль для любой учетной записи пользователя, связанной с этим номером. Такую атаку в прошлом году даже использовали для взлома аккаунта Twitter основателя сервиса микроблогов Джека Дорси.
Также мошенники, получив SIM-карту с номером телефона, в ряде случаев могут осуществлять переводы с банковских счетов своих жертв.