Minden lépésedről tudnak, és bármit megtehetnek az adataiddal

A mobilos helyadatok begyűjtésére és értékesítésére épülő iparág léte eddig sem volt ismeretlen, de a probléma kiterjedtségére és komolyságára most minden korábbinál látványosabban világított rá egy kiszivárgott adatbázis, amelyet a New York Times dolgozott fel. Az elvileg anonim adatokból szinte bárki beazonosítható, és egész városok lakosságának követhető nyomon minden mozdulata. Miközben az amerikaiak szörnyülködve figyelik a kínai totális megfigyelő gépezet kiépülését, valami jellegében egészen hasonló rendszer jött létre körülöttük, a zsebükben hordozott nyomkövetőknek köszönhetően. A cégek önfegyelmén múlik, mihez kezdenek az adatokkal, de még ha ők nem is élnek vissza velük, illetéktelen kezekbe kerülve komoly nemzetbiztonsági kockázatot jelentenek.

Sokak visszatérő félelme, hogy a telefonjuk illegálisan lehallgatja a beszélgetéseiket, pedig minden jel arra utal, hogy ez a félelem teljesen alaptalan. Erre a trükkre nem is nagyon szorulnak rá az életünkről minél több információt összegyűjteni igyekvő marketingesek, hiszen ennél jóval egyszerűbb – és ráadásul teljesen legális – módszerekkel is sokkal többet tudhatnak meg rólunk, mint gondolnánk.

Minden percben, a világ minden pontján cégek tucatjai követik több tízmillió ember minden lépését a mobiltelefonja helyadatai alapján. Ezeknek a gyűjtésére és értékesítésére külön iparág épült, amelynek az értéke óriási, az átlagfelhasználó előtt azonban ez az egész mégis jórészt láthatatlan. Az adatokat az erre szakosodott cégek a begyűjtés után hatalmas adatbázisokban őrzik. Egy ilyet szerzett meg és mutatott be a New York Times, példátlan betekintést nyújtva ebbe az adatgyűjtési gyakorlatba – amely nemcsak a jogvédők igazságérzetét csiklandozó rétegtéma, hanem mindannyiunkat húsba vágóan érintő, az egész 21. századi társadalmunkat alapjaiban meghatározó probléma.

A helyadatok felhasználása persze adott esetben kifejezetten hasznos a felhasználónak, elég csak a térképes és navigációs szolgáltatásokra, fitneszalkalmazásokra vagy taxirendelő appokra gondolni. Sőt társadalmi szinten is kifizetődő lehet a felhasználói útvonalak figyelése, kutatók például a közlekedési hálózat optimalizálására és várostervezésre, járványok terjedésének megfigyelésére, vagy természeti katasztrófák hatásainak követésére használhatják fel ezeket az adatokat. A helyadatbiznisz azonban ennél jóval kiterjedtebb, és a szinte észrevétlenül kiépült gyakorlatok jelentős része a fentieknél jóval problémásabb.

A NYT által megszerzett fájl 50 milliárd adatpontot tartalmaz 12 millió amerikai telefonjáról, illetve több havi mozgásukról 2016 és 2017 között, az Egyesült Államok több nagyvárosában. Bár maga a jelenség ma már közel sem ismeretlen, ekkora ilyen jellegű adathalmaz még soha nem került nyilvánosságra. A lap újságírói hónapokat töltöttek a feldolgozásával, és a probléma méretét jól mutatja, hogy még ez is csak egyetlen fájl: csepp a tengerben, amelyből a helyadatainkat halásszák.

Személyre szabott nyomkövetés

Ha netes adatgyűjtés kerül szóba, általában a legnagyobb techcégekre vagy internetszolgáltatóként is működő telekommunikációs cégekre, esetleg állami szervekre gondolunk. Pedig vannak olyan, a felhasználók többségének totálisan ismeretlenül csengő nevű cégek, amelyek kifejezetten arra szakosodtak, hogy összegyűjtsék és értékesítsék a helyadatainkat, és ezzel minden lépésünket nyomon kövessék.

Az adatok forrása lehet a GPS, a wifi, a bluetooth vagy más, telefonba épített szenzor. Maga az adatgyűjtés a gyakorlatban jellemzően úgy néz ki, hogy a cégek kiadnak egy szoftverfejlesztői készletet (SDK-t), azaz olyan kódot, amelyet más fejlesztők könnyedén be tudnak építeni a saját appjukba. SDK-kat rengeteg appfejlesztő használ fel arra, hogy egyszerűen hozzáadjon már létező funkciókat a saját appjához, például beépítse a Facebook hirdetési platformját, a Google forgalommérő eszközeit vagy online fizetési megoldásokat.

Ugyanígy a felhasználók elhelyezkedését követő és rögzítő funkció is hozzáadható bármelyik apphoz. Ez jól jöhet, ha egy szolgáltatás maga is felhasznál helyadatokat, például egy meteorológiai app, ami érzékeli, hol vagyunk, hogy lokális időjárásjelentést adjon. De olyan appokba is bekerülhet a helyfigyelés, amelyek maguk erre nem lennének rászorulva. Az SDK-t kiadó cégek ugyanis gyakran fizetnek azért, hogy a fejlesztők beépítsék a kódjukat. (Cégtől függően ezer felhasználónként 600-6000 forintnyi dollárt.) Onnantól, hogy ezeket az adatokat az app továbbítja az SDK gazdájának, azok végleg ki is kerülnek a felhasználó kontrollja alól.

A mobilokról begyűjtött helyadatokat sok app használja a funkciói személyre szabására, de ugyanezeknek az adatoknak az elemzésére és továbbértékesítésére komoly másodlagos biznisz is épül. Nem minden cég adja tovább a részletes helyadatokat, de amelyik igen, az jellemzően hirdetési cégeknek vagy adatbrókereknek, amelyek aztán más adatokkal együtt megint csak eladják valakinek. De a vevők közt akadnak egy fokkal kevésbé nyilvánvaló szereplők, például pénzintézetek, ingatlanbefektetők vagy fejvadász cégek.

A helyadatokat gyakran hirdetési azonosítóval együtt adják tovább, amely segít azokat összekötni máshonnan származó adatokkal és felhasználói tevékenységgel, hogy a vevő még pontosabb profilt alkothasson a potenciális vásárlóiról. A mobilos helyadatok alapján már az utcai hirdetőtáblákon megjelenő hirdetéseket is tudják finomhangolni a reklámügynökségek, hogy az adott helyen olyasmit reklámozzanak, ami az arra járókat nagyobb eséllyel érdekli. Az utcai hirdetések hatékonyságának mérésében is használják a helyadatokat, hogy követni tudják, az adott hirdetést látók közül mennyien tértek be a reklámozott üzletbe. A helyadatok továbbadása közel valós időben is történhet, hogy minél gyorsabban az épp aktuális tartózkodási helyünkhöz lehessen szabni az elénk rakott reklámokat.

A hirdetések és a politikai üzenetek adatalapú célzásának hasonlóságai a Cambridge Analytica feltűnése óta nem számítanak újdonságnak. A politikai csatározások legújabb frontja is a helyadatok felhasználása lehet. A kampányok szervezői például már ma is használják a lokációs adatokat arra, hogy tudják, ki megy el a gyűléseikre vagy tüntetéseikre, és hogy lehetne őket még hatékonyabban megszólítani.

Bár egészen disztópikus, ahogy ezek a cégek minden lépésünket követik, legalább a társadalmi különbségek eltűnnek: az adatbázisból kitűnik, hogy az abban szereplő városokon belül szinte minden környék szerepel, azaz az elit városrészek lakóitól a – persze okostelefonnal rendelkező – legszegényebbekig, még ha utóbbiak adatai kevésbé értékesek is. Tényleg mindenki érintett, aki használ olyan szolgáltatást, amely megosztja a helyadatait, az időjárásfigyelőktől a hírolvasókon át a közösségi appokig.

Vadnyugat

Mindez pedig teljesen legális, hiszen a probléma (egyik) magja éppen az, hogy a felhasználói adatok gyűjtése általában sem tartozik a legszigorúbban szabályozott területek közé az Egyesült Államokban, a helyadatbizniszt még ezen belül is vadnyugati körülmények jellemzik. Szövetségi adatvédelmi törvény híján a begyűjtött helyadatok felhasználását és más partnerekkel való megosztását elsősorban céges adatkezelési szabályzatok hivatottak keretek közé szorítani, de ezekről rendre bebizonyosodik, hogy nem feltétlenül jelentenek erős garanciát. Elég csak a Cambridge Analytica-botrányra, illetve a Facebook abban játszott szerepére gondolni. (Persze az akkor olyan nagyot szólt probléma már jóval korábban is létezett.) Ráadásul a felhasználók ingerküszöbét se nagyon érik el az apró betűs, sűrű és hosszú jogi szövegek arról, mi lesz az adataikkal.

(Az Európai Unióban némileg más a helyzet, errefelé hagyományosan komolyabban veszik az adatvédelmet, amit 2018-tól az egységes uniós szabályozást biztosító GDPR fémjelez. Ez a rendelet elvileg azt is előírja, hogy a szolgáltatóknak a halandók által is érthető, egyszerű és átlátható tájékoztatót kell adniuk a felhasználóknak. Ennek a gyakorlati megvalósulása egyelőre minimum felemás.)

A helyadatokat gyűjtő cégek három fő érvvel védekeznek a kritikákkal szemben:

  • az adatok anonimak,
  • náluk amúgy is biztonságban vannak,
  • és különben is, az emberek hozzájárulásukat adták az adataik gyűjtéséhez.

A NYT újságíróinak kutatása plasztikusan bemutatja, hogy ez az érvrendszer nem túl stabil, mind a három lába meglehetősen ingatag.

Az anonimitás illúziója

A New York Timeshoz került adatok valóban anonimizáltak, csakhogy a gyakorlatban gyerekjáték a térképek pontjaihoz felhasználókat rendelni.

Az adatok anonimizálása sok területen bevett gyakorlat, és lehet jól, illetve nagyon rosszul is csinálni. Ha jól csinálják, nem követhető vissza, hogy kiknek az adatairól van szó, csak általános trendek olvashatók ki az adatok összességéből. De ha az adatok megmaradnak egy-egy felhasználóra bontva, akkor attól még, hogy az adott konkrét felhasználó kilétét nem közlik az adataival együtt, gyakran különösebb gond nélkül vissza lehet követni a személyét. Ezért sokszor az anonimizáció alaptalan és hamis biztonságérzetet nyújt.

Többször bebizonyosodott már, hogy bizonyos esetekben kikövetkeztethető, kit takarnak az adatok. 2015-ben például a New York-i taxik anonimizált GPS-adataiból lehetett könnyedén visszafejteni azt, hogy mikor hova taxizott Bradley Cooper. 2017-ben egy német újságíró és egy kutató alapítottak egy kamu marketingcéget, azzal teljesen legálisan megvették 3 millió német internetező anonimizált böngészési adatait internetszolgáltatóktól, majd kimutatták, hogy az adatok mögött álló felhasználói profilok gond nélkül azonosíthatók voltak.

Tipikusan ez a helyzet a huzamosabb időtávot átölelő helyadatokkal is: egy konkrét személy azonosításához a legtöbb esetben elég például megfigyelni, hogy egy “anonim” felhasználó hogyan indul el minden munkanap reggelén ugyanabból az A pontból ugyanabba a B pontba, hogy aztán a nap végén visszatérjen A-ba. Ezzel elég egyértelműen kiderül az otthoni és a munkahelyi címe, amelyek a legritkább esetben tartoznak egyszerre több emberhez.

A helyadatbizniszben érdekelt cégek ennek ellenére minden felületen az anonimitást mantrázzák mint legfőbb ellenérvet a felmerülő kritikákra. A NYT újságírói konkrét embereket – hírességeket és hatalmi pozícióban lévőket – követtek pusztán az anonimizált helyadatok, illetve az azokhoz társítható, nyilvánosan elérhető adatok, például a lakcímük vagy néhány általuk meglátogatott esemény alapján. Könnyedén azonosították például

  • katonai tisztviselők mozgását,
  • a gyereküket iskolába vivő rendőröket,
  • magángépekkel nyaralókba utazó menő ügyvédeket és vendégeiket,
  • a Playboy-villa, Johnny Depp, Tiger Woods vagy Arnold Schwarzenegger birtokának látogatóit,
  • egy Donald Trump beavatási ünnepsége utáni, erőszakba torkollt tiltakozás résztvevőit, illetve a maszkkal eltakart arcú rohamrendőröket,
  • egy Microsoft-mérnököt, akinek változást észleltek a napi rutinjában: egyik nap meglátogatta a rivális Amazon irodáját. A következő hónaptól már ott dolgozott, és ez a helyadatok alapján előre sejthető volt.

De ugyanígy bárkiről kideríthető olyasmi is, hogy mikor ment be elvonóra vagy egy abortuszklinikára, mikor töltötte egy olyan házban az éjszakát, ami nem a saját és családja otthona, milyen politikai megmozdulásokon jelent meg, jár-e melegbárokba, és így tovább.

Mindez csak a NYT-hoz került egyetlen fájl adatai, illetve nyilvánosan elérhető információk alapján kideríthető volt. A hirdetésekből élő cégek a helyadatokat egy sor további – begyűjtött vagy vásárolt – adattípussal tudják kombinálni, hogy hátborzongatóan részletes profilok alapján szabják személyre a felhasználók elé kerülő hirdetéseket.

A cél itt csak a beazonosíthatóság bizonyítása volt, de nem nehéz belátni, hogy ha olyanokhoz kerülnek ezek az adatok, akik ártani akarnak valakinek, könnyedén visszaélhetnek velük, legyen szó akár egy adatgyűjtő cég elemzőjétől egy zsarolható áldozatot kereső kiberbűnözőig.

Nemzetbiztonsági kockázat

De nemcsak egyéni, hanem nemzetbiztonsági kockázatot is jelent a helyadatok visszakövethetősége. Ennek a veszélyeire két 2018-as eset is rávilágított. Előbb a Strava nevű fitneszappról derült ki, hogy a felhasználói anonimizált aktivitását mutató, szabadon böngészhető térképről nemcsak fitnesztrendeket lehetett leolvasni (ami a célja volt), hanem titkos katonai bázisok és kémállomások helyét is az ott szolgálatot teljesítő felhasználók (test)mozgása alapján. Hasonlóan vissza lehetett élni a Polar nevű fitneszcég ugyanilyen szolgáltatásával, de ez az eset azért volt még súlyosabb, mert a Polar adatait vissza lehetett vezetni a konkrét felhasználókig, ebből pedig a lakcímük is kikövetkeztethető volt. Beleértve annak a 6460 felhasználónak az otthoni címét, akik a térkép tanúsága szerint érzékeny katonai és hírszerző létesítményeknél tartózkodtak.

A NYT újságírói is demonstrálták ezt a kockázatot azzal, hogy a fentieken túl szintén könnyedén követni tudtak

  • egy Donald Trump amerikai elnököt kísérő titkosszolgálati ügynököt,
  • a Fehér Ház alkalmazottait,
  • kongresszusi munkatársakat,
  • a védelmi minisztérium egy magas rangú tisztviselőjét és feleségét is.

Egy helyadatokat gyűjtő cég szervereit feltörve egy idegen állam is hasonlóan képes lenne beazonosítani és nyomon követni kormányzati alkalmazottakat – pláne, hogy ehhez akár a már korábban ellopott adataikat is felhasználhatja.

Egyáltalán nem a valóságtól elrugaszkodott feltételezés, hogy a kiberhadszíntéren aktív kormányok helyadatok megszerzését is felhasználják a céljaik eléréséhez. A Reuters például még szeptemberben több hírszerzési és biztonsági szakértői forrásra hivatkozva arról írt, hogy Kína ázsiai telekommunikációs cégeket hekkelt meg, hogy a tőlük ellopott helyadatok alapján nyomon követhessék az országban elnyomott ujgur kisebbség tagjainak mozgását a kontinensen.

Ami ellopható, azt el is lopják

A helyadatgyűjtő cégek második érve, hogy a begyűjtött adatok a legnagyobb biztonságban vannak náluk. Ha ez igaz lenne, legalább azt a veszélyt kihúzhatnánk a listáról, hogy az adatokkal azokat ellopva éljen vissza valaki.

De nem igaz, legalábbis semmiképpen nem garantálható – amit semmi sem illusztrál jobban, mint hogy minden biztonsági intézkedés ellenére a New York Timesnál kötött ki egy kiadós adag ezekből az adatokból. De az elmúlt évek egyre nagyobb és egyre gyakoribb tömeges adatszivárgásai nap mint nap emlékeztetnek arra, hogy nincs tökéletes biztonság. Minél kevesebb értékes adat összpontosul egyetlen kézben, annál inkább minimalizálható az egy-egy adatszivárgás által okozható kár. Például úgy, ha be sem gyűjtik ezeket az adatokat.

Sok olyan szolgáltatásnak, amely helyadatokat használ, például az időjárás vagy a hírek személyre szabásához, nem is lenne szüksége a pontos tartózkodási helyünkre és az útvonalainkra, az app mégis begyűjti ezeket. De az még inkább kérdéses, hogy például egy kedvezményes kuponokat kínáló appnak feltétlenül kell-e rögzítenie és továbbadnia minden megtett lépésünket. Na és egy zseblámpa appnak miért van szüksége bármilyen helyadatra?

Törvény nélkül nehéz lesz

A helyadatbizniszben érdekelt cégek szerint a felhasználók az appok használatakor hozzájárulásukat adják ahhoz, hogy az adataikat felhasználják. Ez technikailag igaz, csakhogy az ilyen hozzájárulást kérő felületekről a legritkább esetben derül ki, hogy az appok pontosan hogyan és milyen célra használják fel ezeket az adatokat. Az meg pláne, hogy ezeket kiknek és miért adják tovább, és ők mihez kezdenek velük. Az ilyenkor hivatkozott adatkezelési szabályzatok sem fogalmaznak világosan, már ha valaki egyáltalán eljut odáig, hogy ezekbe belenézzen. (Ebben Európa és a GDPR szintén jobban áll, mint az Egyesült Államok.) Kérdés, hogy ha a cégek transzparensebbek lennének a módszereiket és céljaikat illetően, ugyanígy megkapnák-e a hozzájárulást az adatok kezeléséhez.

Amerikában is voltak már balhék engedély nélküli vagy etikátlan helyadat-felhasználásból. Például bepereltek egy időjárásappot, amiért a felhasználók tudta nélkül egy befektetési alapkezelőnek adta tovább a helyadataikat. Abból is botrány lett, amikor kiderült, hogy nagy amerikai telekomszolgáltatók felhasználóinak helyadatai fejvadász cégeknél kötöttek ki. (Ezután az érintett szolgáltatók meg is fogadták, hogy felhagynak ezzel a gyakorlattal.) Összességében azonban ezek inkább kivételnek számítanak.

Némi változást hozhat, hogy ha szövetségi törvény nincs is, állami szinten erősödés várható az adatvédelemben. Január 1-jén életbe lépett az első komolyabb amerikai adatvédelmi szabályozás Kaliforniában, a CCPA – amely meg is kapta a GDPR-lite becenevet –, és egy tucat további államban várható hasonló törvény bevezetése. Ezzel együtt jogvédők és adatvédelmi szakértők továbbra is a szövetségi szabályozásban látnák a valódi megoldást.

Jeff Glueck, a Fooursquare akkori vezérigazgatója épp a New York Timesba írt egy véleménycikket még az ősszel, ebben három fő alapelvet határozott meg, amelyek szerinte egy szövetségi törvény alapját kellene, hogy képezzék.

  • Egyrészt a mobilappoknak csak akkor lenne szabad helyadatokat kérniük, ha olyan szolgáltatást kínálnak, amelyhez valóban szükség van ilyen adatokra.
  • Másrészt nagyobb transzparenciára lenne szükség, világos hozzájárulást kellene kérni a felhasználótól, amelyhez ott helyben tömör és könnyen érthető tájékoztatást kellene adni arról, pontosan mihez kérik ezt a hozzájárulást.
  • Harmadrészt a törvénynek még az ilyen legálisan és etikusan végzett helyadatgyűjtést végzőkkel szemben is világos elvárásokat és kötelezettségeket kellene támasztania, hogy ne élhessenek vissza az adatokkal, és megfelelően védjék azokat attól, hogy mások visszaélhessenek velük.

Glueck kiemeli azt is, hogy a GDPR-hoz hasonlóan a törvénynek ki kellene jelölnie egy valóban elrettentő büntetések kiszabására felhatalmazott adatvédelmi hatóságot; meg kellene tiltania, hogy az adatokat bárki felhasználók (pénzügyi, egészségügyi, jogi stb) diszkriminálásához használhassa fel; illetve el kellene várnia minden cégtől, hogy csak annyi és olyan helyadatot osszon meg a partnereivel, amennyire és amilyenre feltétlenül szükség van, és csak olyan részletességgel, hogy az azonosításra vagy érzékeny információ kiderítésére semmiképp ne legyen alkalmas (tehát az egyszerű anonimizációnál komolyabb védelemre lenne szükség).

Addig is marad az egyéni védekezés. A mobilok követését teljesen nem lehet elkerülni, és noha itt az Európai Unióban nagyobb védelmet élveznek az adataink, mint az Egyesült Államokban, a legalapvetőbb lépéseket azért bárkinek érdemes lehet megtenni.

A telefon beállításai között egyesével megadható, hogy melyik appnak adunk hozzáférést a helyadatainkhoz. (A teljes tiltás mellett az is beállítható, hogy egy-egy alkalmazás csak használat közben férjen hozzá, hol vagyunk, a háttérben ne.) Ugyanitt a hirdetési azonosítót, illetve a hirdetések személyre szabását is érdemes kikapcsolni. Maguk a mobil operációs rendszerek gyártói is érzik a nyomást, hogy fellépjenek az adatok fokozottabb védelme érdekében. Az Android legújabb, 10-es verziója már egyesével rákérdez, hogy biztosan akarjuk-e, hogy egy-egy adott app hozzáférjen a helyadatainkhoz. Az iOS 13 pedig megnehezítette, hogy az appok hozzáférjenek a bluetooth-hoz.

Önkéntes megfigyeltség

Ennek a kiterjedt és szinte kontrollálatlan amerikai adatgyűjtésnek az az érdekessége, hogy ha az állam végezne ilyen mértékű megfigyelést, mondjuk kötelezővé tenné, hogy minden 12 év feletti állampolgár 0-24 órában magával hurcoljon egy digitális nyomkövető eszközt, az emberek jó eséllyel már rég az utcára vonultak volna tüntetni ellene.

Ehelyett ugyanők észrevétlenül, appról appra járultak hozzá ugyanehhez, csak így az adataikról nem az állam, hanem magáncégek javára mondanak le – amelyek bizonyos szempontból még sokkal kevésbé ellenőrizhetők és felelősségre vonhatók ezért, mint amennyire egy kormány lenne.

(Címlap és borítókép illusztráció: szarvas / Index)

Forrás: Index