Découvrez qui monétise mes données et comment elles se retrouvent entre les mains d'entreprises dont je n'ai jamais utilisé les services - banques, compagnies d'assurance, centres médicaux, promoteurs immobiliers et autres organisations avec des appels publicitaires ennuyeux. Et oui, c'est long, comme vous le souhaitez.
Notre beau pays a passé le printemps et le début de l'été 2020 dans l'auto-isolement. Outre l'augmentation évidente de la charge financière sur les entreprises, la nécessité pour les gens de porter des masques partout et de travailler à domicile, cette période a clairement montré à quel point certains acteurs du marché sont faciles et simples avec les données personnelles des Russes.
Contexte
J'ai été amené à écrire cet article par une interview de Tigran Oganesovich Khudaveryan dans les médias ( TheBell , Roem ) sur le travail du service Yandex pour évaluer l'indice d'auto-isolement.
Permettez-moi de vous rappeler brièvement ce qu'il en est: presque en même temps que l'annonce du régime "comme des jours chômés dans tout le pays", le géant de l'Internet Yandex a commencé à rendre compte régulièrement du respect des mesures d'auto-isolement par les citoyens. Les responsables et les médias ont consulté ces données quotidiennement. Et bien que maintenant ce sujet disparaisse progressivement à l'arrière-plan, les questions posées à la source principale de ces données ne sont allées nulle part.
Puisque Yandex était auparavant impliqué, disons, dans une attitude décontractée envers les utilisateurs - rappelons-nous l'histoire de la surveillance via les applications- il est raisonnable de supposer que les données sur la localisation actuelle des citoyens pendant l'auto-isolement ont été collectées à l'aide d'applications mobiles avec géolocalisation. Et en soi, la méthode de surveillance via des gadgets intelligents est évidente. Dans la capitale, par exemple, il y avait une histoire flagrante en général - malgré l'abondance des violations de la législation actuelle, le DIT de Moscou a forcé les gens à signer un accord onéreux avec un autre «camarade-major» similaire.
Et bien que dans son entretien, le directeur général de Yandex déclare:
«Nous ne sommes impliqués dans rien de tout cela. J'avoue que c'est un point sensible pour nous, car nous sommes constamment soupçonnés d'être impliqués dans cette surveillance. Mais nous avons notre propre principe au sein de l'entreprise: en aucun cas, même dans une situation difficile, nous ne devons violer les principes qui guident Yandex depuis le jour de sa fondation. "
- il n'y a aucune croyance en cela. Les journalistes n'ont pas posé la question la plus importante - sur la base de quelles données Yandex a-t-il établi sa cote «confidentielle» ? Ceci est important, car il n'y a pas de réponse au libre accès - le géant de l'Internet ne divulgue tout simplement pas sa méthodologie:
il est raisonnable de supposer que le terme «données sur l'utilisation des diverses applications et services Yandex» signifie surveiller les mouvements des citoyens. Mais il est peu probable qu'aucun d'entre vous et moi n'ayons donné notre consentement direct à une telle surveillance.
Comment fonctionne le marché des données
Dans les années 90, ils vendaient des bases de données sur le marché des bombes avec des CD. De nos jours, vous pouvez obtenir une liste des contacts nécessaires encore plus rapidement - vous n'avez même pas besoin d'aller nulle part.
Des moyens évidents mais illégaux
Vous pouvez rechercher les données de quelqu'un d'autre dans les réseaux sociaux, ou dans des canaux de télégramme spéciaux, je ne donnerai pas les noms des publics, je suis sûr que vous les trouverez vous-même si vous le souhaitez.
Certains citoyens plus avancés agissent un peu différemment - ils affichent un accord d'offre sur leurs sites, d'où il résulte que les données sont collectées auprès de sources publiques et citent même des références à des articles de la loi qui semblent leur permettre de le faire: la
seule nuance est que dans Les documents sur le site Internet Avito indiquent qu'il est expressément interdit par les règles d'analyser seul la base de données de contacts du site Internet avito.ru.
De même, les vendeurs de bases de données en ligne collectent des informations de toutes les sources possibles.... Toutes ces méthodes, disons franchement, sont illégales, car elles violent les dispositions de la loi "sur les données personnelles" (n ° 152-FZ). Je suis sûr à 100% qu'aucune personne sensée de ces bases de données n'a donné son consentement à la diffusion publique d'informations sur elle-même par de telles entreprises via Internet.
Attaque de l'homme du milieu
La manière de divulguer des informations via les employés des entreprises ayant accès à la clientèle est également évidente. Ne prêtons pas trop attention à cet aspect.
La seule façon de traiter avec ces personnes est le contrôle d'accès, la conception compétente de la base de contacts et l'utilisation de mécanismes antifraude développés par les responsables de la sécurité de l'information. Ces derniers, d'ailleurs, attrapent régulièrement des «vendeurs» et les remettent aux forces de l'ordre.
Façons subtiles de collecter des données
Les sociétés Internet, avouons-le, sont devenues complètement insolentes et ont mis au point une nouvelle méthode de gestion gratuite des données des utilisateurs. Aujourd'hui, tous les plus grands acteurs de ce marché rassemblent un tel dossier sur nous, pauvres utilisateurs, que James Bond, Richard Sorge, Mata Hari et Austin Powers réunis leur envieront. De plus, aucun des utilisateurs n'a autorisé la société Internet à collecter une telle facture.
Tout le monde a entendu l'histoire des élections américaines, dans lesquelles la victoire républicaine a été assurée par le ciblage de publicités sur les utilisateurs de Google et Facebook. De plus, ces sociétés partageaient des données avec une organisation tierce Cambridge Analytics, qui formait le «public cible» des publicités. La collecte de données est également utilisée en Chine - le réseau social désormais populaire est également devenu récemment célèbre.en utilisant des méthodes de surveillance illégales qui sont interdites même par les règles de Google.
Je dois dire que le russe Yandex surveille de près les actions de ses collègues étrangers et utilise des méthodes similaires - l'entreprise se cache derrière un écran de «données impersonnelles» qui, comme mon expérience personnelle d'un non-programmeur l'a montré, peuvent être déchiffrées même assis à la maison sur le canapé avec les compétences appropriées.
En décembre de l'année dernière, un article intéressant a paru sur RBC , qui parlait du projet conjoint de Yandex et du Bureau of Credit Histories (BCH) de transférer des données sur le comportement des utilisateurs sur Internet. Tel que conçu par les auteurs de cette solution, les banques pourront recevoir de Yandex des informations complémentaires sur les personnes dont elles ont besoin, tout en ne disposant que de l'adresse e-mail et du numéro de téléphone portable du client.
Une source non nommée dans l'article a déclaré que Yandex reçoit des données sous forme hachée, après quoi des algorithmes internes déterminent une certaine évaluation pour une personne spécifique, et c'est cette évaluation qui est renvoyée au BKI. Tout cela semble assez soigné, mais il y a une nuance - l'article contient l'opinion d'Alexander Pakhomov, associé directeur de Law and Business Management Company, qui, comme moi, estime que lorsque cette procédure est effectuée, les données anonymisées redeviennent personnelles:
Comment les données anonymisées deviennent personnelles
Essayons de comprendre ce qui se passe «sous le capot» de ce service. Je dois dire tout de suite que c'est difficile pour moi de faire cela, car j'apprécie souvent la grâce de la grande et belle Russie et ne passe pas mes journées de travail à des réunions dans les salles de réunion du bureau moderne de Yandex à Moscou. Par conséquent, je vous exhorte à partager des informations et à me corriger si je me trompe ou quelque chose ne va pas.
Étape 1. Hachage des données
Commençons par examiner ce que Yandex lui-même signifie dans le concept de données «cryptées», «hachées» ou «impersonnelles». Et le service public Yandex.Audience va nous aider .
Il ressort de sa description que le service permet aux annonceurs d'atteindre leurs clients. De plus, pour atteindre cet objectif, il vous suffit d'indiquer à Yandex certains identifiants clients - numéros de téléphone ou adresses e-mail. Ces données peuvent être téléchargées explicitement, par exemple sous forme de fichier texte ou de tableau. Et vous pouvez - également sous une forme impersonnelle. Pour cela, l'algorithme de hachage MD5 est utilisé.
Ensuite, le service fonctionne comme suit: Yandex calcule un utilisateur spécifique, connaissant ses données personnelles, et lui montre des messages publicitaires ciblés sur divers services et portails Yandex.
Étape 2. Décrypter les hachages MD5
Techniquement, la fissuration MD5 peut être effectuée de quatre manières:
- Recherche par dictionnaire
- Force brute
- Rainbow-crack
- Collision de la fonction de hachage
De toute évidence, l'option la plus rapide et la plus simple consiste à utiliser des tables arc-en-ciel. En fait, pour implémenter cette méthode, il vous suffit de connaître le hachage et de créer votre table selon certains critères.
Comment fonctionnent les tables arc-en-ciel
Étape 3. Comparaison des données
Il ne fait aucun doute que Yandex stocke les données sous forme cryptée. Relativement parlant, le moteur de recherche a un profil de chaque utilisateur enregistré, où, entre autres, ses adresses e-mail et son numéro de téléphone sont indiqués. Ces données peuvent être facilement hachées et, si nécessaire (comme nous l'avons déjà vu ci-dessus), dé-hachées.
De plus, ayant reçu une liste de contacts d'annonceurs sous quelque forme que ce soit, il n'est pas difficile pour Yandex de les comparer avec sa base de données interne, qui contient les mêmes identifiants. En termes simples, Yandex croise l'identifiant de son profil utilisateur pour correspondre aux données d'annonceur demandées. Cela permet d'afficher des publicités ciblées à un utilisateur spécifique lorsqu'il visite la page de l'un ou l'autre service Yandex.
Identification unique des utilisateurs
Il ne peut être question d'aucun échange de données impersonnel lorsque l'on travaille selon un tel schéma. Toutes les parties identifient de manière unique un utilisateur spécifique dans le processus de fourniture de services. Avec les bureaux de crédit, à en juger par les commentaires et les descriptions, exactement le même schéma est appliqué. Et apparemment, Yandex utilise une solution étrangement similaire à la plate-forme Crypt .
Cependant, Yandex n'a jamais annoncé publiquement la possibilité de faire correspondre ces profils avec les numéros de téléphone portable ou les e-mails de ses utilisateurs. Mais, comme nous l'avons appris dans les médias, Yandex fait exactement cela, du moins en travaillant avec le United Credit Bureau.
Pourquoi ne pas en parler honnêtement à vos clients, car tout est déjà en surface? Au lieu de cela, les orateurs de Yandex parlent timidement du manque de «renseignements personnels» et citent d'autres termes fictifs absents de la législation de la Fédération de Russie et permettant de contourner certains problèmes de circulation et de protection des données des citoyens.
Un peu de pratique: Yandex, j'ai trouvé ta violation de 152-FZ!
Yandex solite-t-il les hachages? Je ne peux pas répondre sans équivoque à cette question, après tout, je ne travaille pas dans cette entreprise et je ne connais pas le fonctionnement interne. Cependant, je peux faire deux hypothèses:
- Les capacités de serveur de Yandex vous permettent de déshacher rapidement les hachages MD5 non salés;
- pour travailler avec des hachages salés, les deux parties doivent connaître le sel.
Évidemment, dans le cas du service d'annonceur, des hachages non salés sont utilisés. Sinon, l'interface pour les annonceurs devrait avoir un champ pour spécifier le sel. Et il n'est pas là! Examinons de près la capture d'écran dans la description de Yandex.Audience :
Faites attention au point d'interrogation à côté de la case à cocher "Données hachées". Passons au service lui-même et survolons cette question.
Nous voyons trois hachages: a31259d185ad013e0a663437c60b5d0 , 78ee6d68f49d2c90397d9fbffc3814d1 et 702e8494aeb560dff987e623e71bccf8 . De plus, le premier manque clairement quelque chose: il n'y a que 31 caractères, mais il devrait y en avoir 32! Par conséquent, nous supprimerons ce hachage immédiatement.
Je ne pouvais pas non plus déchiffrer les deux seconds hachages via la table arc-en-ciel précédemment créée. Mais j'ai décidé d'essayer de les forcer brutalement. Pour ce faire, j'avais besoin de reconfigurer une ferme minière de 6 cartes vidéo de classe GeForce GTX1060 issues de l'extraction d'éther pour fonctionner avec le programme hashcat .
J'ai dit au programme de rechercher par un masque de 11 chiffres (voir la flèche du haut dans la capture d'écran). En conséquence, ma ferme normale a déshaché le numéro de téléphone dans l'un des hachages en seulement 22 secondes. Imaginez à quelle vitesse vous pouvez hacher par force brute sur les installations Yandex!
Déterminons maintenant à qui appartient ce numéro, il suffit de le saisir via l' application mobile Numbuster :
Nous passons maintenant au moteur de recherche, et en quelques instants nous obtenons toutes les informations dont nous avons besoin:
Check and checkmate, Yandex, grâce aux informations ouvertes de votre propre site, je viens de découvrir en quelques clics qui a exactement rendu votre service! Inutile de dire que la même action peut être facilement répétée par n'importe lequel de ceux qui lisent maintenant cet article? Pourquoi avez-vous fait ça à Yaroslav?
Quelles données peuvent être dans le profil de chaque utilisateur
Pour utiliser les services Yandex, vous devez fournir votre numéro de téléphone portable et votre adresse e-mail. Yandex sait presque tout de moi à travers ses applications et services: des sites que je visite (où se trouve Yandex.Metrica, et il y en a plus de 54% sur le Runet ) au numéro de téléphone que j'indique dans les applications. Il connaît mes parcours depuis la superappa Yandex.Go, mes maladies, mes préférences musicales. Yandex sait dans quels cinémas je vais, quels films je regarde, quels produits j'achète dans le magasin et quels plats je commande.
Cette information, selon la société, "est utilisé principalement pour leurs propres besoins et le placement de publicités ciblées basées sur la connaissance des préférences des clients." La clé ici est «principalement». Auparavant, on pensait que Yandex est une entreprise innovante qui fournit aux utilisateurs des services gratuits et gagne de l'argent grâce à la publicité sur Internet. Mais comme nous le savons des médias, maintenant Yandex vend au moins des données via le Bureau of Credit Histories - je vais montrer le travail du mécanisme de transfert de données lui-même juste en dessous. Il est raisonnable de supposer qu'il y aura beaucoup de gens qui voudront acheter des informations sur les utilisateurs du géant de l'Internet par rapport aux numéros de téléphone et aux adresses e-mail.
En d'autres termes, maintenant les banques, les compagnies d'assurance et juridiques, les centres médicaux, les développeurs peuvent obtenir le numéro d'une personne qui a visité un certain site ou recherché un certain produit, et l'appeler à des fins publicitaires. Ou refuser d'émettre une assurance ou un prêt bancaire.
À qui le bureau de crédit vend-il des données?
Vous n'avez pas besoin d'être un analyste spécial pour comprendre que le CRI consolide les données sur des personnes spécifiques non seulement pour les banques. Sur le site Web de la structure avec laquelle travaille Yandex, vous pouvez voir qu'en plus du scoring bancaire, d'autres services sont également disponibles pour les clients:
Service "Bureau des déclencheurs"
Les informations sur vos actions en mode déclenchement sont transmises aux banques et aux compagnies d'assurance:
faites attention à la logique de ce service - vous vous mettez à surveiller les numéros de téléphone de vos clients, et dès qu'ils font toute action qui vous intéresse, vous recevez une notification à ce sujet ... Dans ce cas, les données sur les actions spécifiques du client ne sont pas transmises. Juste le fait de l'action ciblée - déposer ou émettre une police d'assurance automobile, commander un taxi, etc.
Pratique, non? Surtout du point de vue de l'explication de la position "les données clients ne sont pas transmises et traitées dans Yandex"? Après tout, des informations sur une action sous la forme d'une visite sur un site Web spécifique peuvent être signalées en transférant simplement un numéro de mobile haché, sans aucune donnée sur la visite du site. Et le hachage, que j'ai mentionné ci-dessus, peut être facilement comparé aux hachages de la base d'utilisateurs. Vous pouvez même, pour plus de simplicité, prendre une base de données de toutes les combinaisons possibles de numéros de téléphone mobile en Russie - elle est disponible sur le site Web de l' Agence fédérale des communications .
Encore une fois, il s'avère que les données «cryptées», «hachées», «dépersonnalisées» en termes de Yandex ne sont pas vraiment cela. Et certainement le schéma décrit par Yandex n'interfère pas avec la vente de ces données dans le cadre des services envisagés des bureaux de crédit, qui peuvent être la source même d'appels de spam sur mon téléphone.
Les compagnies d'assurance, ayant eu accès aux données des services de cartographie Yandex et de sa superapp chef-d'œuvre Yandex.Go, peuvent déterminer:
- où je vis et travaille;
- combien de fois je voyage en voiture;
- quelles routes dois-je emprunter;
- à quelle vitesse je conduis;
- quel est mon style de conduite - je freine brusquement, imprudemment ou conduis doucement.
Et ce n'est pas de la spéculation, le fait de collecter ces données par Yandex est devenu connu en 2019, grâce à l'introduction de la législation européenne sur la protection des données des citoyens, dite GDPR. Selon lui, toute entreprise est tenue de fournir aux citoyens de l'Union européenne des informations sur les données qu'elle collecte et analyse à son sujet.
Les journalistes de l'édition Meduza ont profité de la loi GDPR , qui de Lituanie a demandé des données sur l'un de leurs employés.
L'article de Meduza dit que le journaliste a reçu une archive des employés de Yandex, qui contenait, entre autres, un dossier avec toute l'histoire des mouvements. Les informations ont été suivies au moment du lancement de l'application sur le smartphone, y compris en arrière-plan. Le journaliste appelle cela "l'historique de lancement de l'application Maps sur un iPhone avec les coordonnées exactes de l'endroit où cela s'est passé" (fichier traffic_sessions.csv ).
Il est intéressant de noter que Yandex ne fournit pas de telles informations aux citoyens de la Fédération de Russie. De plus, jusqu'à présent, Yandex n'a même pas fourni de service qui permettrait de comprendre à qui et quand demandé les données accumulées sur l'utilisateur. Même Facebook a un tel service - et l'utilisateur lui-même peut demander et afficher toutes les informations le concernant.
Quelles informations personnelles Yandex collecte-t-elle avec précision?
Faisons référence aux documents juridiques sur le site Web de Yandex . À partir du point 4, nous apprenons que le géant de l'Internet peut collecter les catégories suivantes d'informations personnelles des utilisateurs tout en utilisant les sites et services Yandex:
- Informations personnelles: nom, numéro de téléphone, adresse et âge;
- Données électroniques (en-têtes HTTP, adresse IP, cookies, balises Web / pixels invisibles, données d'identification du navigateur, informations sur le matériel et les logiciels);
- date et heure d'accès aux sites et / ou services;
- informations sur l'activité des utilisateurs lors de l'utilisation des sites et / ou services: historique des requêtes de recherche; les adresses e-mail des personnes avec lesquelles l'utilisateur est en correspondance; le contenu et les pièces jointes des e-mails , ainsi que les fichiers stockés dans les systèmes Yandex;
- ;
- , , ;
- , — .
?
La réponse à cette question se trouve dans le même document, nous examinons attentivement le point 5. En plus d'objectifs clairs tels que:
fournir aux utilisateurs des résultats de recherche pour les requêtes de recherche;
le respect des obligations établies par la loi;
afin de mieux comprendre comment les utilisateurs interagissent avec les sites et services,
Yandex note séparément que la collecte de données personnelles est nécessaire afin de vous proposer d'autres produits et services de Yandex ou d'autres sociétés qui, à notre avis, peuvent vous intéresser (sous-clause « c "paragraphe 5).
Cependant, la loi «sur les données personnelles» (n ° 152-FZ) est catégorique: L'article 15 stipule que "le traitement de données à caractère personnel afin de promouvoir des biens, des travaux, des services sur le marché par des contacts directs avec un consommateur potentiel n'est autorisé qu'avec le consentement préalable de la personne concernée". Du côté des utilisateurs, les autorités de régulation sont FAS, Rospotrebnadzor et Roskomnadzor.
Dans le même temps, le géant de l'Internet transfère librement vers d'autres entreprises des bases de données contenant des identifiants personnels prétendument impersonnels, qui, selon le géant de l'Internet, ont cessé d'être des données personnelles. Et Yandex a obtenu ce droit de «partager» à travers une ligne discrète dans le texte impressionnant de sa propre politique de confidentialité.
Au lieu d'une conclusion
Tout cela est-il légal? Après tout, je n'ai pas donné à Yandex le droit de divulguer des informations me concernant à qui que ce soit. Les avocats que je connais disent que les données Internet et les identifiants Internet sont un champ «gris» dans notre législation et qu'il est impossible de tenir Yandex responsable de la vente de ces données vous concernant.
Et à quel point est-il juste que Yandex gagne de l'argent sur mes données, sans m'expliquer exactement comment cela se passe et en raison de la formation de ces revenus, car ce n'est depuis longtemps pas seulement la publicité notoire des fers, qui, après avoir recherché un "fer", vous rattrape pendant 2 semaines de plus sur tous les sites ... Cela a un impact direct sur la qualité de ma vie et la disponibilité des services et services sociaux, tels que les prêts, les assurances, les soins médicaux.
D'accord, l'évaluation de moi en tant qu'emprunteur ou preneur d'assurance basée sur des informations sur mon comportement sur Internet, qui se produit également «dans le noir» et ne repose que sur des termes voilés et des offres cachées dans des sous-sols - semble absolument contraire à l'éthique et opaque. C'est très ennuyeux.
Malgré le RGPD et le durcissement des lois sur l'utilisation des données personnelles des citoyens en Russie, le géant de l'Internet continue de monétiser les informations nous concernant et surveille absolument ouvertement toutes nos actions à travers ses services. Se cacher même derrière le sujet socialement important de l'information de la population et des autorités sur le respect du régime d'isolement, comme dans le cas du coronavirus. Une question raisonnable se pose: qui d'autre utilise nos données en dehors de Yandex et de ses clients commerciaux?