• Головна
  • Статті
  • Хто такі дата-брокери і як вони розкривають нашу персональну інформацію

Стаття Технології — 04 січня, 2024

Хто такі дата-брокери і як вони розкривають нашу персональну інформацію

ТЕКСТ:

Надія Баловсяк

ІТ-журналістка, дослідниця, кандидатка наук. Доцентка Школи журналістики та комунікацій УКУ.

ІЛЮСТРАЦІЇ: Богдана Мохненко

Завдяки дата-брокерам наші дані не лише перетворюються на товар, але й створюють додану вартість: їх можна купити дешевше, а продати дорожче.

Велика кількість даних, яка агрегується про кожного користувача на сайтах та генерується під час використання онлайн-сервісів і мобільних застосунків, формує цифровий слід1, або цифрову тінь. Хоча багато компаній обіцяють, що дані, які вони збирають про користувачів, є анонімними, велика їх сукупність та інструменти аналізу дозволяють деанонімізувати користувачів і зробити цей цифровий відбиток практично унікальним. Окрім того, багато компаній збирають забагато даних про своїх користувачів, аби потім на основі них показати рекламу або продати їх третім сторонам. І попри те, що інтернет загалом відходить від винятково рекламної моделі споживання контенту і поступово рухається в бік платного доступу, повністю платними онлайн-сервіси ніколи не стануть. Відповідно, завжди існуватиме індустрія збору, продажу та використання даних — у кращому разі, для демонстрації таргетованої реклами. 

Проте насправді великі обсяги даних, які є в сучасному інтернеті для кожного користувача, не лише сформували індустрію агрегації, але й дозволили їх безконтрольні використання та продаж. У цьому ланцюгу обміну даними бувають задіяні не лише комерційні структури, які купують дані задля їх монетизації, але й державні органи. Відбувається це завдяки існуванню брокерів даних – головних гравців на цьому ринку, які купують та продають дані, зібрані онлайн-сервісами. Цей ринок даних стає щораз більшим, а брокери даних не лише знищують саму ідею анонімності в інтернеті, але й допомагають державним органам та силовим структурам (а часом і спецслужбам) використовувати дані у розслідуванні злочинів, а часом і підозрювати невинних людей. 

Як федеральні агенції США купують дані про громадян та шпигунські інструменти 

Нещодавно журналісти The Wall Street Journal виявили2 мережу компаній, які продають дані державним структурам. Ті використовують їх для різних цілей, зокрема для стеження за громадянами. Посередником3 в цій структурі є хмарний сервіс для збору даних Near Intelligence. Журналісти виявили, що структура мала контракти з державними підрядниками, які передавали ці дані федеральним військовим і розвідувальним службам. Компанія каже, що придбала дані з понад мільярда пристроїв. Уряд, своєю чергою, може купити доступ до геолокаційних даних на всіх цих пристроях, хоча, за законами, державні структури не мають права просто так їх отримати, вони повинні пояснити причину доступу та надати судовий ордер. 

Історія про Near Intelligence — не єдиний приклад використання маркетингових даних в роботі поліції. Навесні 2023 року Bloomberg розповідав4 про продукт під назвою Echo, створений ізраїльською Rayzone Group5. Він використовує інформацію, призначену для маркетологів, щоб допомогти владі відстежувати людей через мобільні телефони. Rayzone передає отримані рекламні дані в Echo, який вона продає урядам по всьому світу. За словами експертів галузі, Echo є однією з перших відомих комерційно доступних систем спостереження, які так використовують рекламні дані. Rayzone позиціонує свій продукт як всевидючу технологію, якої більш-менш неможливо уникнути. Як сказано в маркетингових матеріалах: «Можна бігти, можна сховатися, але вам не втекти від власного відлуння». 

Американські спецслужби купують у постачальників не тільки дані. Одна з компаній, що працює з даними, LexisNexis, продавала6 шпигунські інструменти американським митникам й прикордонникам. Йдеться про інструменти для розпізнавання облич та відстеження телефонів. 

Поліцейські та спецслужби отримують відомості не лише у спеціальних фірм. Поліція дедалі частіше звертається із запитом просто до Google за допомогою так званих ордерів на геозону. Цей ордер7, виданий судом, вимагав від компанії шукати та передати інформацію про всі пристрої, які перебували неподалік від місця злочину. Ця практика занадто доступних даних змінила процес розслідування злочинів: замість того, щоб шукати8 підозрюваного, правоохоронні органи визначають основні параметри — набір географічних координат або пошукових термінів — і просять Google надати збіги, фактично створюючи список потенційних злочинців. Опинившись у тому місці в певний час, таким підозрюваним може стати будь-хто, якщо у нього був смартфон із увімкненою геолокацією. 

Хто такі дата-брокери та як вони працюють 

Наведені вище компанії, які торгують даними, є дата-брокерами9. Це фірми, що збирають і продають персональну інформацію користувачів. Вони агрегують дані з різних джерел, формують портрет користувача й продають цю інформацію тим, хто готовий за неї платити. Найбільшого розквіту ринок даних та робота дата-брокерів досягли саме зараз, за розвитку онлайн-сервісів та соціальних платформ. Проте першим великим дата-брокером є створена ще у 1899 році американська компанія Equifax10 — бюро кредитних історій, яка наразі володіє даними11 про понад 800 мільйонів користувачів. 

Брокери даних можуть купувати інформацію у сторонніх компаній та організацій та отримувати її з відкритих джерел — від відомостей про перепис громадян, декларацій чиновників, судових документів до бази даних транспортних засобів. Окрім того, використання інтернету, насамперед безкоштовних онлайн-сервісів, зробило продаж даних одним із легальних способів монетизації. Адже саме так працюють Google, Facebook чи TikTok — за надання нам безкоштовних сервісів вони отримують від нас дані (про що чесно попереджають в угодах з користувачами), а ще — відомості про наші звички, інтереси та вподобання. Ці дані вони можуть використовувати самі, до прикладу, для демонстрації реклами. А можуть продати третім сторонам й отримати за це гроші. 

Саме дані є новою нафтою цифрової економіки — економіки спостережень12, де технологічні гіганти успішно примножують сам факт володіння знаннями про людей. А інші компанії, як от дата-брокери, навчилися збільшувати цінність цих даних майже так само, як у традиційній економіці банки навчилися примножувати капітал. Фірми-брокери даних ще можна порівняти13 із посередниками капіталізму стеження — купують, збирають і перепаковують дані від багатьох інших компаній з метою продажу чи подальшого розповсюдження. 

Декілька прикладів дата-брокерів ми уже навели вище. У певному розумінні, дата-брокером є й компанія Clearview AI, яка навчилися заробляти просто на наших фотографіях. Іще один приклад дата-брокера — компанія Acxiom, яка стверджує14, що має дані про 2,5 мільярда людей у всьому світі. 

Ось іще декілька назв великих дата-брокерів: X-mode15, Cuebiq16, Predicio17, VenPath18, Tamoco19, Complementics20, Startapp21

Як працює ринок даних: як і для кого дата-брокери збирають інформацію 

Дата-брокери отримують інформацію буквально звідусіль. Як джерела даних можуть використовувати22 звичайні рекламні платформи або застосунки повсякденного використання, наприклад, Life360. Навіть звичайне використання YouTube може  розкрити23 дуже багато інформації компаніям, що працюють на ринку даних. При цьому не має значення, йдеться про дорослого чи дитину, інструменти сайтів, браузерів та мобільних застосунків діляться даними з тим, кому вони можуть бути цікавими.  

Використання цих даних залежить від потреб клієнтів дата-брокерів. Наприклад, з допомогою отриманих даних можна показувати рекламні оголошення, націлені на бідні сім’ї в сільській місцевості. А за потреби провести расове профілювання (отримання даних про людей певної раси) чи знайти громадян, яких можна визначити як фінансово вразливих. Багато брокерів рекламують свою здатність ідентифікувати підгрупи за такими критеріями, як раса, стать, сімейний стан і рівень доходу. 

«Товаром» дата-брокерів часто не гребують й спецслужби. До прикладу, минулого року трекери дата-брокера X-Mode були встановлені в застосунках, які призначені для релігійних мусульман. А потім виявилося24, що ці дані передавалися військовій розвідці США. Один із застосунків, дані з якого купував дата-брокер, — це Muslim Pro, кількість його завантажень перевищила 96 мільйонів. 

Експерти правозахисної організації Electronic Frontier Foundation розповідають25, що ринок даних сьогодні перебуває на такому рівні, що «одним клацанням мишки поліція може використовувати такі інструменти спостереження, щоб побачити пристрої людей, які відвідали акцію протесту, простежити за ними додому, до місця, де вони сплять, і націлитися на них для подальшого спостереження, переслідування та покарання. Поліція також може відстежувати людей, чиї пристрої були в офісі імміграційного прокурора, клініці репродуктивного здоров’я чи психіатричному закладі». 

Хаотичність ринку та відсутність законодавства, яке б захищало дані кінцевих користувачів, часто призводить до обурливих й навіть небезпечних ситуацій. До прикладу, дослідники одного з американських університетів виявили26, що конфіденційні дані військових та членів їхніх сімей можна купити всього за 12 центів за запис щодо однієї особи. Нещодавно Федеральна торгова комісія США подала27 до суду на дата-брокера Kochava за те, що компанія продавала конфіденційні дані користувачів, серед них — номери телефонів, медичну інформацію, соціально-демографічні (стать, вік, раса) та фінансові показники (рівень доходу, кредитний рейтинг), політичні вподобання та навіть почасти дані про поведінку, до прикладу, детальну геолокацію переміщень. Останнє дозволяло би за потреби, наприклад, ідентифікувати жінок, які їздили на процедури з переривання вагітності. Судові суперечки в цій справі тривають понад рік, проте останні рішення судді свідчать28, що нарешті справу почнуть розглядати по суті. 

Проблема полягає не лише в самому факті агрегації даних, але й у можливих витоках інформації, якою оперують брокери. Найвідомішим прикладом такої атаки став злам кредитного бюро Equifax, внаслідок чого відбувся29 витік даних понад 143 мільйонів клієнтів. 

Недоліки законодавства 

Експерти організації EFF, яка займається захистом цифрових прав, підкреслюють, що ситуація з брокерами даних стала можливою через відсутність федерального законодавства про конфіденційність у Сполучених Штатах. 

Водночас жителі ЄС краще захищені в цьому плані — Європейський Союз має одні з найсуворіших законів про захист даних у світі. Загальний регламент захисту даних (GDPR) надає людям низку прав щодо їхньої особистої інформації, зокрема право на доступ до своїх даних, право на їх виправлення та видалення. Проте спроби скористатися цим правом часто призводять до вельми цікавих результатів. До прикладу, коли норвезький журналіст Мартін Гундерсен поцікавився, куди передаються дані геолокації його телефону, виявилося30, що вони через різних брокерів даних опинилися в американських спецслужб. Дані передавали через компанію Venntel, одного з найбільших дата-брокерів, який співпрацює31 зі спецслужбами. 

Навіть спроби відмовитися від використання дата-брокерів у роботі спецслужб не вдаються32 саме через супротив останніх, яким надзвичайно зручно отримувати так інформацію. І це попри те, що дедалі більше американських законодавців стверджують, що спецслужби США активно руйнують залишки конфіденційності. 

Стихійний дата-обіг 

Хоча існують компанії, які працюють на цьому ринку і монетизують цифровий слід, використовувати дані можна й без посередників. Цьому сприяє загальне дещо байдуже ставлення до користувацьких даних як з боку самих юзерів, так і з боку онлайн-сервісів, недотримання базових правил цифрової безпеки й гігієни та відсутність культури використання даних. 

Яскравим прикладом такої ситуації є історія33 із застосунком Strava. Це сервіс для бігунів, які діляться своїми маршрутами з іншими спортсменами. Коли компанія опублікувала теплову карту активності своїх користувачів з усього світу, стало відомо багато цікавої інформації, зокрема розташування американських військових баз в Афганістані. Згодом американське військове командування повідомило, що планує переглянути34 правила використання гаджетів та застосунків військослужбовцями, а ще пізніше заборона таких застосунків стала35 обов’язковою. 

Уже влітку 2023 року українські спецслужби вистежили36 за допомогою додатку Strava російського командира підводного човна, який обстрілював українські міста крилатими ракетами. 

Попри існування закону про захист персональних даних, українські користувачі не захищені від розповсюдження інформації про них різними людьми та компаніями. І історія з Іриною Фаріон та поширенням37 даних нібито кримського студента є дуже логічним пазлом в загальній картині зневажливого ставлення до даних в середовищі, де існують38 й процвітають39 телеграм-канали, що продають персональні дані українців та зламують40 державні реєстри, а міністри заперечують41 факти витоку даних. 

 

Підписатися на Куншт

Корисна розсилка про науку.
Статті, відео і подкасти щотижня та без спаму.
 

Занадто відкритий онлайн-світ 

На початку грудня 2023 року сенатор Рон Вайден звернувся до Мін’юсту США з офіційним листом, в якому йдеться про те, що уряди різних країн та спецслужби шпигують42 за користувачами за допомогою push-сповіщень. У листі сенатора сказано, що спецслужби та уряди намагаються змусити компанії Apple та Google передати дані сповіщень, які на смартфони надсилають застосунки. В цих сповіщеннях можуть міститися дані смартфону та пов’язаного з ним акаунту, застосунок, який надіслав сповіщення і, можливо, навіть його текст (якщо при цьому не використовувалося шифрування). Та  навіть через зашифровані push-сповіщень можна отримати багатенько корисних даних, до прикладу, дізнатися геолокацію користувача або деанонімізувати43 його.

Ця історія є найкращим доказом того, що на ринку даних панує повний безлад. 

Поява щораз нових викриттів, які публікують журналісти або оприлюднюють сенатори чи правозахисники, викликає сумнів щодо того, що з цим ринком можна щось зробити. Правозахисники дають рекомендації44 щодо існування онлайн-сервісів та законів про конфіденційність, проте ці поради радше утопійні. 

Після скандалу з Cambridge Analytica понад 40% американців зменшили45 використання Facebook через побоювання стосовно приватності даних. Проте пам’ять користувачів виявилась занадто короткою. Натомість онлайн-сервіси не припиняють агрегувати44 дедалі більше інформації про користувачів, яку можуть використати як дата-брокери, так і OSINT-фахівці, що особливо небезпечно в умовах війни. 

Чи може ситуація змінитись у майбутньому? З одного боку, певні позитивні кроки в цьому напрямку ми можемо спостерігати вже сьогодні. Наші прогнози стосовно переходу на платну модель використання онлайн-сервісів декілька тижнів тому втілитися у дуже неочікуваному вигляді. Компанія Meta запропонувала46 європейським користувачам платну модель доступу до її соціальних платформ Instagram та Facebook за умови No Ads. Ця модель означає, що компанія не збиратиме дані користувачів для демонстрації реклами. Іншими словами, нарешті у світі стала реальною модель «заплати, і ми залишимо твої дані в спокої». Можна припустити, що саме ця модель зможе найкраще захистити дані користувача від безконтрольного обміну та використання. В іншому випадку юзерам доведеться змиритися з тим, що їхні дані зможуть купувати, продавати й створювати на їхній основі додану вартість.

Посилання:

  1. Що таке цифровий слід?
  2. Як реклама на вашому телефоні може допомогти державі стежити за вами?
  3. Adtech Surveillance and Government Surveillance.
  4. Ваші рекламні дані тепер допомагають державі стежити за вами.
  5. Rayzone Group.
  6. LexisNexis продавала шпигунські інструменти американським митникам й прикордонникам.
  7. Як поліція використовує місцезнаходження та дані пошуку, щоб знайти підозрюваних.
  8. Поліція та дані користувачів Google.
  9. Чим дата-брокери загрожують конфіденційності?
  10. Equifax.
  11. The Equifax Data Breach: що це?
  12. The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power.
  13. Дата-брокери — загроза демократії?
  14. Acxiom.
  15. X-mode.
  16. Cuebiq.
  17. Predicio.
  18. VenPath
  19. Tamoco.
  20. Complementics.
  21. Startapp.
  22. Як індустрія таргетованої реклами загрожує вашим приватним даним?
  23. Рекламодавці YouTube ненавмисно збирають дані мільйонів дітей?
  24. Наслідки співпраці мусульманських додатків з X-Mode.
  25. You can buy personal info of US military staff from data brokers for just 12 cents a pop
  26. Скільки коштує інформація військовослужбовців США у брокерів даних?
  27. FTC подає до суду на Kochava за продаж даних.
  28. Федеральний суд розглянув скаргу Федеральної торгової комісії проти Kochava про використання даних.
  29. Equifax data breach: питання й відповіді.
  30. My Phone Was Spying on Me, so I Tracked Down the Surveillants, Martin Gundersen.
  31. Як Федеральний уряд купує дані про місцезнаходження наших мобільних телефонів.
  32. Замість того, щоб отримати ордер, NSA хоче продовжувати купувати ваші дані.
  33. Додаток для фізичної активності Strava розкриває місцезнаходження секретних баз армії США.
  34. Американські військові перевіряють використання технологій після історії зі Strava.
  35. Пентагон забороняє додатки GPS для фітнесу?
  36. Російського командира застрелили після його постів у мобільному застосунку «Strava».
  37. Скандальну Фаріон просили приховати дані про студента, якого схопила ФСБ.
  38. Персональні дані на продаж: хто винен і чи буде покараний?
  39. Telegram-бот продає водійські посвідчення українців.
  40. Злам «Дії». Чи справді з держпорталу витекли дані та чим це вам може загрожувати.
  41. ЗМІ повідомили про «злив» даних з «Дії», Мінцифри заперечує. Що каже експерт із кібербезпеки.
  42. Уряд США стежить за людьми за допомогою телефонних сповіщень, каже сенатор.
  43. Уряди шпигують за користувачами Apple і Google за допомогою push-повідомлень — сенатор США.
  44. Щоб позбутися шкоду в інтернеті, ми маємо передусім подбати про конфіденційність.
  45. Американці змінюють своє ставлення до Facebook.
  46. Social Media Companies Top Data Grabber List.
  47. Facebook і Instagram пропонуватимуть підписку без реклами в Європі.

Поділитися:

Популярні статті

Стаття Суспільство — 20 березня

Міражі науки. Як Близький Схід втратив наукову першість

Стаття Суспільство - 15 березня

Що допомагає диктаторам здобути владу. Треба розжувати

Стаття Пост правди - 19 липня

Інформаційні операції минулого. Пост правди, сезон 5, епізод 5

[email protected] Про Куншт
Стати Другом