«Дырявый» Facebook: что партнеры соцсети делают с данными пользователей

Марк Цукерберг (Фото: Andrew Harrer / Bloomberg)

Тайное стало явным

В середине марта всего за сутки основатель Facebook Марк Цукерберг потерял почти $4,9 млрд на падении акций компании. Такую реакцию инвесторов спровоцировала информация, что данные профайлов нескольких миллионов пользователей Facebook, в первую очередь из США, оказались в распоряжении британской Strategic Communication Laboratories, а также принадлежащей ей и занимающейся политической аналитикой фирмы Cambridge Analytica. Последняя использовала полученные сведения для создания программы, позволяющей делать прогноз о политических предпочтениях избирателей в ходе президентской кампании Дональда Трампа в 2016 году, а также оказывать потенциальное влияние на их выбор.

Расчеты строились на информации о городе проживания юзера, его лайках, списке друзей и других открытых данных из профайла. Собрать весь этот массив позволило приложение Thisisyourdigitallife: оно предлагало участникам Facebook пройти опрос для составления психологического портрета. Хотя приложением фактически воспользовались всего 270 тыс. человек, скомпрометированными оказались данные 87 млн профилей, как впоследствии признался Facebook — программа анализировала не только профиль проходившего тест, но и данные его друзей. Автор программы — сотрудник Кембриджского университета Александр Коган, как утверждал Facebook, обещал использовать эти данные в академических целях, но продал их Cambridge Analytica.

В разбирательство сразу же вмешались власти США и Великобритании, инициировав свои расследования.

Марк Цукерберг был вынужден выступить на слушаниях в конгрессе США с объяснениями. Он признал, что Коган продал информацию не только Cambridge Analytica, но и другим компаниям. Окончательный масштаб произошедшего компания рассчитывает выяснить в ходе аудита Cambridge Analytica и других разработчиков приложений.

Не сеть, а решето

До начала скандала информация о том, каким образом сторонние приложения используют личные данные пользователей Facebook, содержалась в политике конфиденциальности компании в довольно сложной для восприятия форме. Даже сам Цукерберг заявил в конгрессе, что большинство аудитории не читает этот документ либо не вникает в то, что в нем написано. Сразу после начала расследования компания начала объяснять, что получают сторонние компании, и пообещала ужесточить для последних правила доступа к информации. Из одного из таких пояснений Facebook следует:

• До сих пор любой пользователь мог найти нужного ему человека, внеся его номер телефона или электронную почту в строку поиска. Этой функцией могли пользоваться в том числе злоумышленники.
• Facebook хранил историю звонков и переписки владельцев смартфонов на платформе Android, у которых были установлены приложения Facebook Messenger и Facebook Lite. Компания пообещала проанализировать эту функцию, чтобы удостовериться, что сами сообщения пользователей не хранились. Цукерберг опроверг один из популярных мифов о возможности подслушивать разговор пользователей и после этого показывать таргетированную рекламу (клиенты делали такой вывод, поскольку при установке приложения на смартфон соцсеть запрашивает доступ к микрофону): доступ к микрофону нужен исключительно для корректного проигрывания видео.
• Администраторы и члены закрытых групп могли давать доступ сторонним приложениям к списку участников групп и их персональным данным (именам; фотографиям, прикрепленным к постам, комментариям к ним).
• Сторонние приложения могли через API (программный интерфейс) страниц читать любые посты и комментарии к ним.
• До 2014 года сторонние приложения могли запрашивать у Facebook информацию не только о самом пользователе, но и его друзьях. После внесения изменений приложения могут получать информацию только о тех друзьях, которые дали согласие на ее передачу. В марте 2018 года Facebook также заявил, что будет отзывать разрешения пользователей на сбор информации, если приложение не использовалось более трех месяцев.

Сейчас Facebook собирает данные двух типов. Первый — это информация, которую люди сами выкладывают в социальной сети: фотографии, посты и т.д. Второй — те, что необходимы для таргетированной рекламы. Для повышения ее эффективности Facebook также покупает услуги информационных брокеров (data-brokers). Последние собирают информацию из многих источников — платформ типа Google, Amazon и Facebook, а также компаний, работающих в индустриях, которые имеют отношение к использованию данных о людях (медиа, ретейл, телекоммуникации и финансы), — и оказывают другим компаниям услуги, связанные с таргетированной рекламой и скорингом — проверкой заемщиков банков и клиентов страховых компаний. Из отчета исследовательского института Cracked Labs следует, что в 2017 году у Facebook было шесть подобных партнеров: Acxiom, Epsilon, Experian, Oracle, CCC Marketing и Quantium. Они помогали платформе лучше сортировать и классифицировать своих пользователей.

Фото: David Paul Morris / Bloomberg

 Facebook не продает и не передает рекламодателям данные пользователей. Как объяснял представитель соцсети, они анализируют их, а затем разделяют их на категории по предпочтениям. Если рекламодатель хочет, чтобы его объявление увидели «женщины-велосипедистки из Атланты», Facebook показывает рекламу этой категории пользователей, не передавая данные о них сторонним лицам. В отчетах для рекламодателей содержится только обобщенная информация о том, насколько успешной была реклама — сколько человек и какого пола кликнули на баннер и др. статистика.

Сторонние сайты и приложения могут использовать несколько инструментов Facebook: возможность авторизации через профайл в соцсети; кнопки «Лайки» и «Поделиться»; аналитику Facebook и рекламу от рекламодателей соцсети. Когда пользователь заходит на подобный сайт или в приложение, Facebook может получать информацию о его действиях, если даже тот вышел из своего аккаунта или вообще никогда не регистрировался в соцсети. Через cookie (данные, которые отправляет сайт, когда пользователь обращается к нему через web-браузер, и которые могут храниться на устройстве пользователя) Facebook получает информацию о том, какие другие сайты или приложения использует юзер.

Что делают сторонние сайты и приложения с открытой информацией пользователей Facebook, доподлинно неизвестно. Ясно лишь, что эту информацию собирает множество компаний.

Шпионы на смартфонах

Сайты в интернете, оснащенные трекерами посещения, и мобильные приложения — это настоящие «черные дыры»: никто не может по-настоящему оценить, с кем они делятся данными, отмечалось в исследовании Cracked Labs. В 2015 году исследование популярных приложений в Австралии, Бразилии, Германии и США исследовательского центра NICTA и Университета Нового Южного Уэльса выявило, что 85–95% бесплатных и до 60% платных приложений собирали информацию пользователей в интересах третьих лиц. Журналисты РБК проанализировали приложения, которые собирали информацию из их аккаунтов в Facebook. Среди них оказались программы нескольких известных разработчиков.

«Доступ к общей информации профиля и адресу электронной почты предоставляется всем аккредитованным приложениям автоматически. Разрешение на запрос этих данных входит в минимальный базовый набор Facebook для разработчиков приложений, и более узкого запроса у соцсети нет», — пояснил РБК основатель и CEO сервиса нетворкинга MeYou Степан Данилов. Базовые разрешения не требуют проверки разработчика, но все остальные, претендующие на получение большего количества информации, требуют, говорится в «справке по разрешениям» Facebook для разработчиков.

Приложения разработчика Rambler Group, например LiveJournal и Afisha-eda, запрашивали также информацию о городе проживания и родном городе пользователя, доступ к публикациям в хронике. Представитель пресс-службы Rambler Group пояснил, что клиенты их медиаресурсов могут авторизоваться в том числе через Facebook. Такой способ авторизации позволяет полноценно использовать возможности приложений, например участвовать в голосованиях, оставлять комментарии и т.д. «Мы со своей стороны получаем потенциальную возможность работы с BigData и в перспективе настраивать «умный таргетинг», повышая эффективность взаимодействия с рекламными носителями как пользователей, так и рекламодателей. В идеале люди готовы взаимодействовать исключительно с той рекламой, которая может быть им потенциально интересна. С другой стороны, рекламодатель получает контакт с потенциально высокомотивированным пользователем», — добавил он.

Приложение для просмотра сериалов Amediateka, помимо прочего, получает доступ к списку друзей клиента. «Список друзей на данный момент не используется, однако предусмотрен для обновления рекомендательной системы на основе интересов друзей пользователя», — отметила представитель Amedia TV Милана Богатырева.

Некоторые приложения запрашивали доступ к обновлениям статуса пользователей Facebook, их фото и видео. Например, TripAdvisor. Приложение Nokia среди прочего имело доступ к данным о семейном положении, местах работы, предпочтениях, образовании, религиозных и политических убеждениях и другой информации. Представители TripAdvisor и HMD Global (владеет правами на бренд Nokia) не ответили на вопросы РБК.

Фото: Jason Alden / Bloomberg

Коллекционеры пользовательских душ

Facebook — не основной источник данных о пользователях. В исследовании Cracked Labs основными источниками названы информационные брокеры. Крупнейшими подобными компаниями эксперты Cracked Labs назвали Acxiom и Oracle. Например, Acxiom десятилетиями собирала данные о потребителях из публичных источников: телефонных справочников, судебных записей, криминальных сводок, различных реестров, анкет, опросов и др. Позже к этому добавились цифровые источники, например, крупные ИТ-компании, чей софт позволяет анализировать телефонные разговоры, финансовые транзакции, активность в интернете и пр., чтобы выявить криминальную и террористическую активность.

Кроме того, Acxiom сотрудничает с Ibotta (собирает данные о покупках с помощью информации с карт лояльности или чеков), Samba TV (собирает данные о ТВ-смотрении через программы, установленные на ТВ-приставках, или платформы «видео по запросу»), Crossix (собирает медицинскую информацию, включая историю болезни, назначения врача, рецепты и т.д.), FreckleIOT (данные о местонахождении человека в реальном времени: в различных магазинах, аэропортах, барах и пр. могут быть установлены специальные сенсоры, с которыми может связываться смартфон пользователя и отправлять информацию) и другими компаниями, которые в основном работают в США. Эту информацию Acxiom хранит в виде уникального анонимного ID — некого кода, который связан с почтовым адресом, номером телефона, электронной почтой, IP-адресом, геолокацией, cookie, ID устройств. К каждому уникальному ID Acxiom приписаны несколько категорий, которым соответствует человек. Клиент может дать Acxiom электронную почту некого потребителя и запросить информацию, к каким категориям его относит информационный брокер.

Единой системы оценки объема рынка пользовательских данных нет. Согласно исследованию 451 Research, объем мирового рынка данных только телекоммуникационных компаний в 2015 году составил $24 млрд, а к 2020 году должен увеличиться до $79 млрд. Мобильные операторы как минимум в десяти странах (Россия в их число не входила) были замечены в том, что устанавливали специальный механизм для отслеживания поведения абонентов при интернет-серфинге. Причем серферы не могли заблокировать подобные «супер-cookie».

Сейчас пользовательские данные применяются для продажи таргетированной рекламы и скоринга, но в будущем им могут найти другие, менее безопасные применения. Например, данные могут использоваться для динамического изменения цен на товары на сайте интернет-магазина в зависимости от того, кто его посещает. Речь может идти как о снижении цен, если система посчитает этого пользователя ценным потребителем для компании в долгосрочной перспективе, так и о повышении в зависимости от того, сколько конкретный пользователь готов заплатить за вещь в данный момент. С помощью персонализации компании могут пытаться влиять на поведение потребителя, показывать ему рекламу в определенный момент, чтобы тот совершил покупку.