Tech by VICE

Angajații de la Snapchat s-au folosit de aplicație ca să spioneze utilizatorii

Mai multe surse și e-mail-uri pomenesc de SnapLion, un instrument intern folosit de mai multe departamente pentru accesarea datelor utilizatorilor Spanchat.

de Joseph Cox; translated by Irina Gache
28 Mai 2019, 4:00am

Imagine: Hunter French 

Mai multe departamente din interiorul gigantului social media Snap au instrumente prin care pot accesa datele utilizatorilor, iar mai mulți angajați s-au folosit de asta ca să-i spioneze pe utilizatorii Snapchat, a aflat Motherboard.

Doi foști angajați au spus că mai mulți colegi de la Snap au profitat cu câțiva ani în urmă de accesul pe care îl aveau la datele utilizatorilor. Acele surse, împreună cu alți doi foști angajați, unul curent și mai multe e-mail-uri din cadrul companiei, obținute de Motherboard, descriu instrumente interne care permiteau angajaților Snap să acceseze datele utilizatorilor, inclusiv în unele cazuri locația, Snap-urile salvate și informații personale, cum ar fi numere de telefon și adrese de e-mail. Snap-urile sunt fotografii sau videoclipuri care, dacă nu sunt salvate, dispar de obicei după ce sunt primite (sau după 24 de ore dacă sunt postate ca Story-ul unui utilizator).

Motherboard a păstrat anonimitatea surselor din acest articol ca să vorbească deschis despre procesele interne din Snap.

Deși Snap a introdus controale stricte și ia foarte în serios intimitatea utilizatorului conform mai multor surse, știrea arată ceva ce ți-ar putea scăpa din vedere: în spatele produselor pe care le folosești zilnic, sunt oameni care au acces la date extrem de sensibile despre utilizatori, pentru că au nevoie de ele în procesele specifice serviciului. Dar, fără un sistem de protecție corespunzător, unii dintre acei oameni ar putea profita de asta ca să vadă informațiile private sau profilele utilizatorilor.

Unul dintre instrumentele interne care accesează aceste date se numește SnapLion, conform mai multor surse și e-mail-uri. Inițial era folosit ca să strângă informații despre utilizatori ca răspuns la cereri legale, cum ar fi un ordin judecătoresc sau o citație, au spus doi foști angajați. Ambele surse au spus că SnapLion este un joc de cuvinte dintre LEO (law enforcement officer), iar unul dintre ei a adăugat că este și o referință la personajul de desene animate Leo, the Lion. Echipa de la Snap care se ocupă de „Spam and Abuse” are acces la el, conform unui fost angajat, iar altul curent a sugerat că instrumentul este folosit pentru combaterea bullying-ului sau hărțuirii pe platformă. Un e-mail intern Snap, obținut de Motherboard, spune că un departament numit „Customer Ops” are acces la SnapLion. Și angajații de la securitate au acces la el, conform angajatului. Existența acestei unelte nu a fost specificată anterior.

SnapLion asigură „cheile regatului”, a spus unul dintre foștii angajați, care a descris felul în care sunt exploatate datele utilizatorilor.

Mulți dintre cei 186 de milioane de utilizatori ai Snapchat folosesc aplicația pentru fotografiile și clipurile pe care și le trimit reciproc. Aceștia s-ar putea să nu fie conștienți de genul de date pe care le poate stoca aplicația. În 2014, Comisia Federală Pentru Comerț a amendat Snapchat fiindcă nu a declarat că firma colecta, stoca și transmitea date de geo-localizare.

Ghidul public pentru aplicarea legii de la Snap, care privește cererea de informații despre utilizatori, descrie tipul de date disponibile, inclusiv numărul de telefon legat de cont, datele de localizare a utilizatorului (de exemplu când utilizatorul are pornită această setare pe telefon și a activat serviciile de localizare pe Snapchat), metadata mesajelor din care poți vedea cu cine a vorbit și când, iar în unele cazuri conținut Snap limitat, cum ar fi „Amintirile” utilizatorului, care sunt versiuni salvate ale Snap-urilor care dispar, plus alte fotografii și clipuri păstrate de user.

Un e-mail din interiorul companiei obținut de Motherboard arată cum un angajat Snap folosește SnapLion ca să caute adresa de e-mail a unui cont de utilizator, într-un context neoficial, și un al doilea dezvăluie felul în care instrumentul poate fi folosit în cazurile de abuz asupra minorilor.

Instrumentele precum SnapLion sunt folosite de obicei în industria tech, pentru ca datele utilizatorilor să poată fi accesate de companii în scopuri legitime. Deși Snap a spus că are mai multe instrumente pe care le folosește la plângerile clienților, să respecte legea și să asigure conformarea la termenii și condițiile rețelei, angajații au folosit procedurile de accesare a datelor utilizatorilor ilegitim, ca să spioneze, conform unor doi foști angajați.

Unul dintre foștii angajați a spus că au fost accesate informații în mod abuziv „de câteva ori”. Acea sursă și o alta au specificat că încălcarea a fost săvârșită de mai mulți indivizi. Un e-mail Snapchat, obținut de Motherboard, arată de asemenea cum angajații discută problema unor amenințări interne și a accesului la date și cum ar trebui ele combătute.

Motherboard nu a reușit să verifice cum exact s-a întâmplat sau ce sistem sau proces au folosit angajații ca să acceseze informațiile utilizatorilor.

Un purtător de cuvânt al aplicației a scris într-un e-mail că „Protejarea intimității este primordială la Snap. Păstrăm foarte puține date despre utilizatori și avem politici solide și controale ca să limităm accesul intern la informațiile pe care le avem. Accesul neautorizat de orice fel este o încălcare clară a standardelor și conduitei companiei și, dacă ești detectat, esti concediat”.

Când a fost întrebat dacă a avut loc vreodată așa ceva, un fost senior în securitatea informațiilor de la Snap a spus: „Nu pot face comentarii, dar am avut sisteme bune încă de la început, de fapt chiar mult mai devreme decât orice alt startup existent”. El nu a negat că angajații au profitat de accesul pe care îl aveau la date și a încetat să mai răspundă mesajelor.

Unul dintre foștii angajați crede că, în urmă cu câțiva ani, SnapLion nu avea un sistem de înregistrare bun cât să urmărească ce accesau angajații. Prin sistemul ăsta, în general, o companie urmărește cine folosește rețeaua și ce date accesează ca să se asigure că nimic nu e încălcat. Apoi SnapLion a implementat sisteme de monitorizare, a adăugat el. Snap a spus că în prezent controlează accesul la datele utilizatorilor.

„Logging-ul nu este perfect”, a spus al doilea tip care lucra la Snapchat, cel care a descris abuzul.

Snap a spus că limitează accesul intern la astfel de unelte care sunt disponibile doar celor care au nevoie de ele, dar SnapLion nu mai e de mult un instrument doar pentru situațiile care implică legea. Acum este folosit în general. Un fost angajat care a lucrat cu SnapLion a spus că ajută la resetarea parolelor conturilor sparte și „administrarea utilizatorilor”.

Cineva care lucrează în prezent acolo a susținut că aplicația asigură confidențialitatea prin cele mai bune metode și alți doi foști angajați au afirmat că există controale drastice pentru protejarea intimității utilizatorilor. Snap a introdus sistemul de criptare în ianuarie anul acesta.

Astfel de abuzuri se întâmplă în toată industria tech. Anul trecut, Motherboard a scris că Facebook a concediat mai mulți angajați pentru că s-au folosit de accesul pe care-l aveau ca să-și hărțuiască foștii parteneri. Uber s-a dat mare cu așa-numitul mod „God View”, care arată localizarea în timp real a utilizatorilor și șoferilor. Angajații companiei au folosit sisteme interne pentru spionarea foștilor parteneri, a politicienilor și celebrităților.

„Utilizatorul obișnuit trebuie să înțeleagă că orice face și nu este criptat, va fi la un moment dat, disponibil tuturor”, a spus într-o conversație telefonică Alex Stamos, fostul șef de securitate a informațiilor de la Facebook și acum profesor adjunct la Standford.

„Nu este ceva excepțional de rar”, a adăugat Stamos când se referea la accesarea datelor din interior.

Leoni Tanczer, lector în Securitate Internațională și Tehnologii Emergente de la Colegiul Universitar din Londra, a spus într-un chat online că acest episod „rezonează cu ideea că nu ar trebui să percepi companiile ca entități monolite, ci mai degrabă ca niște grupuri de indivizi care au la rândul lor defecte și prejudecăți. Așadar este important ca accesul la date să fie reglementat strict din interior și este nevoie de verificări și controale adecvate.”

Relatări adiționale de Lorenzo Franceschi-Bicchierai.

Abonează-te la podcast-ul nostru despre securiate cibernetică, CYBER.

Articolul a apărut inițial pe VICE US.