Как показало расследование, проведенное изданием New Scientist, в свободном доступе оказались личные данные 3 млн пользователей Facebook, воспользовавшихся популярным приложением myPersonality. Сотрудники Кембриджского университета, разработавшие это приложение, предоставляли полученные через него данные пользователей многочисленным исследовательским проектам и организациям, но передача осуществлялась через недостаточно защищенный веб-сайт, из-за чего безопасность данных оказывалась под угрозой.
Как показало расследование, проведенное изданием New Scientist, собранные через приложение myPersonality данные — информация профилей, а также ответы на вопросы тестов — контролировали сотрудники Центра психометрических измерений Кембриджского университета Дэвид Стиллвелл и Михал Косински. Приложение содержит множество психологических тестов самой разной направленности. За время его размещения на Facebook им воспользовались более 6 млн пользователей, и около половины из них дали согласие на предоставление приложению доступа к своему профилю.
По условиям соглашения разработчики myPersonality имеют право использовать и распространять данные «анонимно, так чтобы по имеющейся информации нельзя было выйти на конкретного пользователя». Они выкладывали все эти данные, предварительно убрав имена пользователей, на специальный сайт, доступ к которому могли получить представители научно-исследовательского сообщества. По данным New Scientist, этой возможностью воспользовались более 280 человек из 150 организаций, в том числе из разных университетов и компаний, включая Facebook, Google, Microsoft, Yahoo.
Но, как выяснилось, выйти на эти данные могли не только исследователи, но и все желающие. Действующий логин и пароль на протяжении четырех последних лет можно было легко найти в интернете, задав соответствующий запрос, а скачивание полного пакета данных не заняло бы и минуты.
Пакет данных содержал в том числе важные психологические характеристики пользователей, а также возраст, пол, семейное положение, место нахождения и т. п.
«Такого рода информация обладает высоким потенциалом для нанесения существенного ущерба»,— заявил изданию эксперт Online Privacy Foundation Крис Самнер.
С серьезностью проблемы согласна и представитель World Privacy Forum Пэм Диксон: «В любом случае если становится общедоступным логин и пароль к каким бы то ни было файлам, находящимся в ограниченном доступе, это уже серьезный вопрос, грозящий последствиями. Это не только нарушение правил безопасности, но и грубейшее этическое нарушение — предоставлять доступ к данным чужим людям». При этом, по словам госпожи Диксон, вполне можно было по этим данным выйти на конкретного человека. А если процесс реидентификации автоматизировать, то личности миллионов пользователей, прошедших тесты myPersonality, будут легко установлены, что является грубым нарушением соглашения с Facebook.
В конце марта на фоне скандала с утечкой данных пользователей Facebook через исследовательскую компанию Cambridge Analytica социальная сеть начала проверку всех приложений, работа которых связана с доступом к большим объемам личных данных пользователей. Вчера Facebook опубликовал первые результаты этой проверки и объявил о блокировке около 200 приложений. Приложение myPersonality было заблокировано Facebook еще 7 апреля, но проверка в отношении него продолжается, как сообщил New Scientist вице-президент Facebook Име Арчибонг. По его словам, если приложение откажется сотрудничать или не пройдет проверку, оно будет запрещено соцсетью.
В Кембриджском университете New Scientist рассказали, что приложение myPersonality было разработано Дэвидом Стиллвеллом еще до того, как он начал работать у них, и оно не проходило проверку у них на соответствие этическим нормам. Сам господин Стиллвелл отметил, что приложение работало девять лет, и за это время был лишь один случай утечки данных. При этом, по его словам, доступ другим исследователям к собранным личным данным предоставлялся лишь в обмен на обязательства не разглашать эти данные. Господин Стиллвелл уверен, что «научные исследования только выигрывают от проходящего под соответствующим контролем обмена обезличенными данными внутри научного сообщества». Он также отметил, что Facebook было прекрасно известно о характере проводимых им исследований в рамках проекта myPersonality, и его удивляет, почему сейчас соцсеть вдруг «притворилась ничего не знающей и считает, что использование собранных данных нарушает соглашения» с ней.
Между тем британские регуляторы уже начали расследование по факту утечки данных. Управление комиссара по информации (ICO) пытается установить, кто конкретно получал доступ к данным myPersonality и для чего они впоследствии использовались. «Нам известно об инциденте с приложением myPersonality, и мы проводим проверку»,— сообщили New Scientist в ведомстве. Но учитывая объем собранных приложением данных и потенциальное количество людей и организаций, получивших к ним доступ официально или неофициально, процесс установления всех получателей может быть очень непростым и длительным. «Это только верхушка айсберга,— считает госпожа Диксон.— У кого еще есть эти данные?»
Как Facebook усиляет защиту данных пользователей
На фоне скандала по поводу использования Facebook данных пользователей соцсеть объявила об изменениях в настройках конфиденциальности, которые должны помочь пользователям контролировать свои данные. Теперь настройки будут находиться в одном месте, в приложении Facebook появится специальная кнопка для доступа к ним, а контроль пользователей над контентом, которым они делятся, и его удаление упростится.