Publicitate
Știință și tehnologie

Te minți singur dacă crezi că poți fi anonim pe internet

Cercetătorii spun că e la ordinea zilei ca utilizatorii să fie identificați și activitatea lor să fie analizată atunci când cred că operează anonim.

de Daniel Oberhaus; translated by Oana Maria Zaharia
07 August 2017, 4:00am

Imagine: Flickr

În august 2016, un broker de informații a primit un apel de la o femeie pe nume Anna Rosenberg, care lucra pentru o companie mică din Tel Aviv. Rosenberg susținea că antrenează o rețea neuronală, un tip de arhitectură computerizată inspirată de creierul uman, și că are nevoie, pentru asta, de o serie de informații de browsing. Compania pentru care lucra era bine finanțată și n-ar fi o problemă pentru ea să cumpere informațiile. Dar având în vedere aglomerația de brokeri, Rosenberg nu voia să cumpere informațiile astea chiar de la oricine, așa că a cerut, mai întâi, un free trial.

La o zi după ce a solicitat informațiile, Rosenberg a primit un telefon. Un reprezentant de vânzări al brokerului i-a dat lui Rosenberg acces la informațiile de browsing de care avea nevoie, ca free trial. Brokerul a fost de acord să-i permită lui Rosenbergen să acceseze istoria completă de browsing a peste trei milioane de utilizatori germani timp de o lună, cu precizarea că, o perioadă, unele dintre informații vor fi colectate în timp real.

Singura problemă e că nici Anna Rosenberg, nici compania pe care susținea că o reprezintă, nu există.
Rosenberg era aliasul lui Svea Eckert, un jurnalist de investigație undercover de la organizația germană de media NDR care analizează practicile de vânzare ale datelor și anonimitatea browsing-ului pe internet.

Citește și: De ce animalele au dreptul la intimitate

„Mă gândeam că o să primesc un free trial pe trei zile", mi-a zis Eckert weekendul trecut, la convenția hackerilor din las Vegas, unde raportul a fost prezentat pentru prima oară în afara Germaniei. „Compania pe care am fondat-o nu avea o adresă reală, nu era înregistrată. Era doar un website și un cont de LinkedIn. Am fost surprinși că au fost dispuși să ne ofere aceste informații."

După ce a primit informațiile gratuite, Eckert a făcut parteneriat cu Andreas Dewes, un om de știință specializat în informații care conduce compania 7 Scientists, ca să vadă dacă pot identifica împreună utilizatorii cu ajutorul informațiilor. La prima vedere, informațiile nu par mare chestie, doar niște URL-uri cu ore și date.

O selecție de informații din arhiva lui Svea Eckert.

Prima misiune a jurnalistei a fost să afle dacă și datele ei erau incluse în set. În acest scop, a căutat datele asociate cu pagina de login a companiei ei, care generează un ID unic pentru fiecare angajat. Germania are o populație de aproximativ 82 milioane de locuitori, deci șansele ca și informațiile lui Eckert să se numere printre cele din set erau mici. Într-adevăr, jurnalista nu a găsit informațiile ei de browsing, dar le-a găsit pe cele ale mai multor colegi de-ai ei, cărora le-a accesat istoria de browsing din ultima lună. Unul dintre colegi era prieten apropiat cu ea și Eckert l-a contactat să-l informeze că avea acces la istoria lui de browsing. Întrebarea era ce plugin de browser colecta și vindea aceste informații.

Ca să răspundă la această întrebare, Eckert l-a rugat pe colegul ei să șteargă câte un plugin de browser la fiecare oră, până când acesta dispărea din baza de date. A dispărut după al șaptelea plugin, ceea ce sugera că pluginul care colecta și vindea aceste informații era, în mod ironic, Web of Trust, care „furnizează instrumente gratuite pentru căutări și browsing sigure și anonime."

Citește și: Toate metodele prin care poți să te ascunzi pe Internet

Cea mai tulburătoare chestie la tehnica de dezanonimizare folosită de Eckert și Dewes e că aceasta poate fi folosită de oricine are o prezență publică pe rețelele sociale. Pentru raportul lor, Eckert și Dewes s-au concentrat pe Twitter și pe echivalentul german al rețelei LinkedIn, Xing, ca să vadă dacă pot folosi aceste profile publice pentru a dezanonima persoanele publice din setul de informații.

Când dai click pe pagina Twitter de analytics, ajungi la un URL care include și ID-ul tău public de Twitter – Xing are un feature similar. Asta înseamnă că Eckert și Dewes au reușit să caute în baza de date url-uri ale politicienilor germani care au Twitter.

Dacă politicienii erau incluși în setul de date, următorul pas a fost să viziteze profilele de Twitter ale politicienilor și să colecteze câteva dintre linkurile pe care le postaseră recent. Prin utilizarea acestor linkuri, în combinație cu url-ul public de Twitter, Eckert și Dewes au reușit să le obțină istoria de browsing pe o lună.

După cum a zis Dewes, cu care am vorbit la convenția hackerilor Def Con, e nevoie de o cantitate incredibil de mică de informații ca să identifici un individ dintr-un set de date despre trei milioane de oameni. Cum fiecare persoană are un comportament unic de browsing, e nevoie de doar zece vizite pe un site ca un individ să-și creeze o amprentă după care îți dai seama când și cum vizitează site-ul.
În plus, cum e nevoie de un număr atât de mic de site-uri pentru a identifica un individ, nu ajută dacă vrei să păcălești această tehnică analitică prin vizitarea unor site-uri random.

Pe parcursul investigației, Eckert și Dewes au reușit să găsească mai mulți politicieni în setul de date. Deodată, cercetătorii aveau în față toată istoria lor online, cu tot cu filmele porno vizionate.

Citește și: Francezii au inventat un fel de Google Search care nu-ți vinde informațiile personale altora

Valerie Wilms, membră a parlamentului german, a fost de acord ca cercetătorii să-i dezvăluie istoria ei online și a fost șocată de ce au văzut aceștia. „Mă doare și mă simt vulnerabilă. Aș putea fi oricând șantajată", a zis ea în raportul NDR.

Conform lui Eckert, cel mai îngrijorător e că aceste date pot și obținute foarte ușor, foarte ieftin și legal. După ce a contactat peste o sută de brokeri de date, Eckert a zis că prețurile pe care le-a primit de la ei se încadrau între 10 000 și 500 000 de euro – ceea ce reprezintă un mărunțiș în lumea politicii. Când Eckert și Dewes au contactat plugin-ul Web of Trust responsabil pentru vânzarea de date, dar compania a zis că vânzările de date nu încălcau termenii și condițiile site-ului și că firma face tot posibilul pentru a anonimiza informațiile.

Eckert recomandă utilizatorilor să citească foarte bine termenii și condițiile fiecărui serviciu de acest gen, ca să înțeleagă cum le folosește compania informațiile. Chiar și companiile precum Web of Trust, al căror model de business e bazat pe păstrarea anonimității în timpului browsing-ului, pot expune, involuntar, obiceiurile de browsing ale utilizatorilor.

„Am impresia că brokerii de date nu știu ce conțin datele astea", a zis Eckert. „Când i-am sunat ca să-i întreb dacă mi le pot vinde, vorbeau de parcă vindeau pietre sau mere. Companiile astea au luat-o total razna în privința colectării de date."