Информационная безопасность

Экономика отслеживания: что такое цифровой отпечаток и чем он опасен

Chandler Givens, 13 сентября 2019

Многие наслышаны о файлах cookie, которые можно удалять. С цифровыми отпечатками, по которым можно идентифицировать пользователя, дела обстоят иначе.

Использование файлов cookie, которые отслеживают пользовательские действия в интернете, довольно хорошо регулируется. Но об определении сетевого отпечатка, или цифрового отпечатка устройства, говорят не так много. По нашему мнению, ведущие средства массовой информации сильно недооценивают масштабы этой проблемы.

Цифровым отпечатком называют сбор информации об устройстве пользователя — например сведений о марке, модели, операционной системе, браузере и даже установленном программном обеспечении — с помощью отслеживающих сервисов на веб-сайтах. Эта информация нужна для распознавания уникального отпечатка вашего устройства в сети.

Вы можете удалять файлы cookie, а сайты должны сообщать вам об их использовании и получать на это разрешение. Но ничто не мешает определять цифровые отпечатки устройств, поэтому этот метод становится более популярным, а отслеживание с помощью файлов cookie теряет позиции.

Недавно газета New York Times пролила свет на этот вопрос, но в статье было сказано, что подобные методы используются на менее 5% веб-сайтов. Мы считаем, что в действительности ситуация намного серьезнее.

Каждый пользователь имеет свой набор установленного аппаратного и программного обеспечения. Беспокойство вызывает тот факт, что в связи уникальностью таких наборов распознавание пользователей по цифровому отпечатку возможно с точностью свыше 95%.

Это позволяет посторонним лицам, определившим цифровой отпечаток, идентифицировать вас без вашего разрешения на сбор информации. После сбора такой информации и ее объединения со сведениями о просмотре веб-сайтов и использовании интернета весь массив данных о ваших действиях в сети, интересах, занятиях и даже жизненных обстоятельствах можно связать с определенным устройством, а затем — и с его владельцем.

Если верить результатам исследования Mozilla, на которые ссылается New York Times, 3,5% популярных веб-сайтов занимаются определением цифровых отпечатков для отслеживания пользователей. Возможно, действительно совсем небольшое количество часто посещаемых сайтов используют особые скрипты, предназначенные для отслеживания по отпечатку. Звучит так, словно лишь малая часть порталов используют определение цифрового отпечатка, но мы также знаем, что через самые популярные веб-сайты проходит большая часть веб-трафика. В действительности имеет значение количество пользователей интернета, которые могут быть успешно опознаны благодаря уже собранной информации.

Согласно результатам исследования Принстонского университета не менее 60% из тысячи самых популярных веб-сайтов передают информацию третьим сторонам, многие из которых занимаются созданием сетевых профилей или отпечатков посетителей сайтов и продают их рекламодателям и агрегаторам данных. Учитывая данные исследования Mozilla, можно сделать вывод, что 96,5% веб-сайтов имеют доступ к цифровым отпечаткам своих посетителей благодаря сторонним лицам, хотя сами эту технологию слежения не используют.

Важным в этой ситуации является то, что обычный пользователь не имеет возможности распознать веб-сайт, определяющий цифровой отпечаток его устройства, поскольку такие скрипты ничем не отличаются от остальных. Фоновые скрипты могут использоваться для обеспечения работы сайта — для отображения видео, фотографий и т. д. Однако эти же скрипты могут выполнять и не такие благородные функции, например собирать данные о пользователях.

Вы можете задаваться вопросом, для чего компаниям нужна эта информация. Большинство из них используют эти данные в рекламных целях и для персонализации отображаемых для вас материалов.

Однако некоторые компании могут использовать такие сведения в других целях, что может повлечь за собой негативные последствия для вас как потребителя. Приведем несколько примеров.

fingerprinting_insurance

Последовательность событий на рисунке выше: вы ищете в сети информацию о боли в груди → веб-сайт продает данные ваших поисковых запросов страховой компании → страховая компания делает вывод о возможном развитии у вас заболевания сердца и повышает ваши страховые взносы.

fingerprint2

Или рассмотрим пример выше. Вы предоставляете сайту данные о своем местоположении → распознав, что вы проживаете в дорогом районе, компания X (например, сервис по продаже билетов) повышает для вас цены на товары, поскольку предполагает, что вы можете и будете платить больше. По такой же логике оценивается и устройство, которым пользуется клиент.

В случае определения цифровых отпечатков пользователи пребывают в полном неведении о том, какая информация о них собирается, кем и в каких целях. Беспокоит также тот факт, что потребитель не имеет возможности контролировать этот процесс: вы не способны забрать информацию с собой или удалить ее из систем компаний. Вам также неизвестно, кто именно обладает сведениями о вас.

Даже такие сайты, как Facebook, несмотря на спорные практики касательно конфиденциальности, позволяют своим пользователям скачать имеющиеся о них сведения, изучить их и принять решение об изменении или удалении профиля. На большинстве других веб-сайтов пользователи редко могут контролировать сбор информации о себе.

Мы используем свои устройства для поиска информации и обмена данными, включая самую конфиденциальную финансовую и медицинскую информацию. Поэтому компании, занимающиеся отслеживанием, должны нести за это ответственность. Для защиты данных, позволяющих идентифицировать личность в интернете, было принято соответствующее законодательство (например, европейский GDPR), уделяющее особое внимание отслеживанию с помощью файлов cookie. Однако определение цифровых отпечатков позволяет обходить эти правила и продолжать беспрепятственно отслеживать людей в сети, исходя из предположения, что действия устройства являются действиями определенного пользователя.

Самое худшее в этой ситуации то, что после создания вашего сетевого профиля и его попадания в киберпространство защитные меры, включая изменение паролей и удаление истории браузера, практически бесполезны. Остановка утечки персональных данных может казаться невыполнимой задачей. Для этого необходимо удалить сведения о вас из сотен брокеров данных, которые их уже получили. К тому же, проделывать это нужно регулярно. Компании и впредь смогут обходить правила и законы, ограничивающие возможность отслеживания. Поэтому потребители должны действовать, чтобы защитить себя в условиях экономики слежения.

Что в силах сделать обычный человек?

Рекомендуем исходить из предположения, что вас отслеживает большинство веб-сайтов, и принимать соответствующие меры.

Вы можете установить программу, которая будет пресекать попытки отслеживания ваших действий в интернете. На рынке существуют подобные решения, среди которых AntiTrack от Avast. Кроме того, браузеры с усиленной защитой конфиденциальности, такие как Mozilla Firefox и Avast Secure Browser, эффективно борются с отслеживанием в сети.

Вместо блокирования скриптов, которое нарушает работу веб-сайтов, AntiTrack внедряет поддельные данные. Благодаря этому скрипт продолжает работать, но отслеживание отпечатков оказывается бесполезным, поскольку собранная информация не является правильной и не может быть использована для вашей идентификации. Кроме того, эта программа обеспечивает защиту для любого устройства и браузера.

Не позволяйте никому отслеживать каждое ваше действие — ни в реальном мире, ни в сети.