אפליקציות | צילום: שאטרסטוק
דו"ח טכנולוגי
פרסום ממוקד? התעשייה החשאית שמגלה מידע אישי של משתמשים
לאחרונה דווח ב-The Vice על קיומה של תעשייה שמסוגלת לקשור בין מזהה ייחודי של מכשיר סמארטפון שמשמש מפרסמים ואפליקציות במובייל - למידע אישי מזהה כמו שם מלא או כתובת פיזית. כך אפשר בקלות יחסית להחשף למידע הפרטי שלנו ולנצלו לרעה
אחד הצידוקים המרכזיים של תעשיית הפרסום הממוקד והמעקב שצמחה בעולם בעשור וחצי האחרונים הוא שהמפרסמים השונים והחוליות בשרשרת איסוף המידע לא באמת יודעים מי אנחנו.
קראו עוד בכלכליסט:
הם אולי יודעים עלינו הרבה מאוד, במיוחד כשמדובר על שימוש בסמארטפון – באילו אפליקציות השתמשנו, מה בדיוק עשינו בהן, איפה היינו כשעשינו זאת, לאן המשכנו משם ועוד – אבל שכל זה קשור למספר מזהה ייחודי אך אנונימי, שלא חושף את הזהות האמיתית שלנו.
אפליקציה שעושה שימוש במערכות המובנות בסמארטפונים על מנת לקבל מידע על פעילותנו באפליקציות אחרות יכולה אבל כל המידע נקשר ביחד באמצעות רצף אקראי של סמלים.
זו הבטחה מרכזית של תעשיית הפרסום הממוקד, שמלווה בטענה המשתמעת שלתעשייה לא אכפת איך קוראים לנו או מה הכתובת המדויקת שלנו, ושהמידע שיותר חשוב לה הוא איך אנחנו מתנהגים. אבל, כמו שדיווחו בשבוע שעבר במגזין המקוון Motherboard מבית Vice טענה זו נסתרת על ידי קיומה של תעשייה סמי-חשאית מסועפת שכל תפקידה הוא לקשור בין מזהה ייחודי של מכשיר סמארטפון שמשמש מפרסמים ואפליקציות במובייל (MAID) למידע אישי מזהה (PII) כמו שם מלא או כתובת פיזית.
החברות שבלב תעשייה זו לא מכחישות שזה מה שהן עושות. למעשה, הן אפילו מתגאות בכך. כל שצריך הוא להציג את עצמך כלקוח מתעניין, כפי שעשו ב-Motherboard. "יש לנו את אחד המאגרים הגדולים והעדכניים שמחברים בין MAID ל-PII בארה"ב, אמר מנכ"ל ברוקרית המידע BIGDBM, בראד מאק, לכתב המגזין שהתחזה ללקוח. "כל הנכסים של BIGDBM בארה"ב מחוברים זה לזה". לדבריו, החברה יכולה לחבר בין MAID לבין שם מלא, כתובת פיסית, מספר טלפון, כתובת אימייל ומידע נוסף "רב מדי מכדי לפרט".
חברה אחרת, FullContact, טוענת בחומר פרסומי שיש לה 223 מיליארד פרטי מידע לתושבי ארה"ב, ושהיא יצרה פרופילים על יותר מ-275 מיליון בגירים במדינה – בפועל כמעט כל האוכלוסייה הבוגרת של ארה"ב. "גרף הזהות המלא שלנו מספק הן מידע אישי והן פרטים מקצועיים של הפרט, וכן מזהים מקוונים ולא-מקוונים", נכתב בחומר שיווקי של החברה, במה שנראה כמו דרך מבלבלת להגיד: אנחנו קושרים בין הזהות המקוונת של אנשים לזהות הלא-מקוונת שלהם.
עד אפריל, כל אפליקציה שמותקנת על סמארטפון יכלה לקבל גישה למזהה הייחודי הזה, ולנצל אותה על מנת לאסוף מידע על פעילות המשתמש באפליקציות אחרות. חיבור המידע הזה לזהות אמיתית יכול ליצור פתח הן לפרסום פולשני יותר בדמות שיחות טלמרקטינג מטרידות או משלוח דואר פיזי, או אפילו לניצול לרעה על ידי פושעי סייבר. מאז אפריל, בעקבות שינוי שביצעה אפל במערכת ההפעלה של האייפון, כברירת מחדל המזהה הייחודי לא משותף עוד עם אפליקציות אלא אם המשתמש אישר זאת אקטיבית (ורק מיעוטם בחר לעשות זאת). באנדרואיד של גוגל, בינתיים, אין שינוי דומה.
הסוגיה, בכל מקרה, סבוכה עוד יותר שכן מאגרי מידע של מזהים יחודיים בצירוף פעילות משתמש שהם אספו, למשל מיקום מדויק, גם נמכרים בשוק הפתוח. לא מסובך בתיאוריה למצוא מאגר שכזה, ואז לפענח את זהות המשתמשים בו באמצעות אחת החברות שמספקות שירות זה.
"כל אחד שיש לו טלפון ועליו אפליקציה שמציגה פרסומות מסתכן בלעבור דה-אנונימיזציה בסיוע חברת חסרות מוסר", אמר ל-Motherboard החוקר העצמאי זאק אדוארדס, שעוקב מקרוב אחרי שרשרת מקורות המידע. "זה יוצר סיכונים משמעותיים לאנשי אכיפת חוק, נבחרי ציבור, אנשי צבא ואחרים, למשל כתוצאה מריגול של מדינות זרות".
הדיווח של Motherboard מדגיש את כמה המאבק של אפל נגד פייסבוק סביב השינוי שביצעה הראשונה באייפון הוא לא מאבק על הזכות של עסקים קטנים להגיע ללקוחות פוטנציאלים, לא מאבק סביב הפגיעה האפשרית שחברות כמו פייסבוק יספגו בעקבותיו בהכנסותיהן מפרסום. אפילו לא מאבק סביב הזכות האמורפית יחסית של הגנה על הפעילות המקוונת שלנו מפני מפרסמים שרוצים להציג לנו פרסומות ממוקדות יותר. ה-MAID הוא לא פתרון שמגן על האנונימיות של משתמשים, אלא הפך בחסות חברות שונות לכלי עוצמתי שמאפשר לחבר בין פעילות מקוונת לפעילות פיזית ולחשוף לכל גורם עם קצת כסף והיכולת לנהל שיחת טלפון עם נציגי מכירות, בצורה פרטנית מאוד, חיבור מפחיד בין הזהות האמיתית והמלאה שלנו לפעילות האינטנסיבית שלנו ברשת.
אנונימיות בעירבון מוגבל
בתמונה הגדולה יותר, המקרה הזה ממחיש עד כמה התחום של התממה או אנונימיזציה – הפיכת מידע מזהה למידע אנונימי באמצעות השמטה של פרטים אישיים או טכניקות אחרות – הוא בעייתי ולא אמין. גם מידע אנונימי יכול להיות ייחודי מאוד, לעתים מספיק ייחודי על מנת לקשור אותו לזהות האמיתית של אדם בדרך קלה יחסית. במקרה הזה, מספיק קלה על מנת שתצמח סביבה תעשייה שלמה וכנראה גם רווחית במיוחד. זו סוגיה שצריך לזכור בכל פעם שמדברים אתנו על שימושים שאפשר לעשות במידע אנונימי, או ליתר דיוק פסאודו-אנונימי. בין אם זה מידע רפואי שמשמש למחקר, נתונים על התנהגות פיננסית של צרכנים ועוד – כל מידע ייחודי דיו הוא אנונימי רק בערבון מוגבל, והדרך לקשירתו לזהות אמיתית יכולה להיות קצרה מאוד.
4 תגובות לכתיבת תגובה