زنگ خطر حریم خصوصی
ردیابهای متا در میلیونها وبسایت اینترنتی جای گرفتهاند و دادههای شما را جمعآوری و به متا ارسال میکنند. یک بررسی تازه نشان میدهد این ردیابها در وبسایتهایی قرار گرفتهاند که حتی محتاطترین کاربران هم از آنها در امان نیستند. این ردیابها حتی وبسایت بیمارستانها از جمله درگاههای بیمارانی را که باید بر اساس قوانین حریم خصوصی محافظت شوند نیز دربر میگیرند.
پورتال خبری مارکاپ که آسیبهای تکنولوژی را پوشش میدهد تازهترین یافتههای خود درمورد ردیابی به نام «پیکسل» از شرکت متا را منتشر کرد. پیکسلهای متا در واقع کدهایی هستند که توسعهدهندگان برای ردیابی ملاقاتکنندگان در داخل دستگاه قرار میدهند. طبق بررسیها، وبسایتهای متعلق به دولت، مراکز مشاوره بارداری و بیمارستانها از طریق پیکسلها، دادههایی را به متا ارسال میکنند که از نگاه کاربران حساس محسوب میشود. با توجه به آوازه متا در حوزه حریم خصوصی، مقصر دانستن این شرکت ساده و قابل درک است. متا بهواسطه پیکسل و ردیابهای دیگری که دارد، یکی از سازندگان جهانی عاری از حریم خصوصی و مملو از نشت دادهای محسوب میشود که ما هرروز در آن گشت و گذار میکنیم.
این شرکت عرضهکننده سیستمی است که دادههای کاربران را از میلیونها وبسایت جمعآوری و آنها را به طلای تبلیغاتی تبدیل میکند و به خوبی نسبت به استفاده ناامن و حتی سوءاستفاده احتمالی از آن آگاه است. اما این مساله یکی از معدود مواردی است که در آن نمیتوان تقصیر را بهطور کامل گردن متا انداخت، زیرا متا تمام تلاش خود را کرده تا تقصیر را گردن دیگری بیندازد. زک ادواردز، تحلیلگر امنیتی، شرایط را اینگونه توصیف میکند: «فیسبوک میخواهد کیک دادهها را بخورد اما با نقض قوانین درگیر نشود.» کسبوکارها ردیابهای متا را بهصورت داوطلبانه در وبسایتها و اپلیکیشنهای خود استفاده میکنند و اینکه کدام داده به این غول شبکه اجتماعی ارسال شود از تصمیمات آنها است.
در عصر حاضر بهانهای برای توسعهدهندگان وجود ندارد و آنها از کارکرد و دادههای ارسالی مطلعاند. توسعهدهندگان حداقل نباید این کد را در صفحات تنظیم قرار ملاقات درمانی یا پورتال بیماران قرار دهند؛ جایی که بیماران انتظار حریم خصوصی دارند. متا سازنده هیولاست اما این وبسایتها هستند که آن را تغذیه میکنند.
پیکسل چطور ردیابی را آسان میکند
«متا» پیکسل را بهصورت رایگان در اختیار کسبوکارها قرار میدهد. پیکسل دادههای بازدیدکنندگان را جمعآوری و برای متا ارسال میکند و این شرکت میتواند دادهها را با پروفایل فیسبوک و اینستاگرام کاربران مطابقت دهد و اطلاعات مفیدی را از آن استخراج کند (در برخی موارد اطلاعات کسانی که در هیچکدام از پلتفرمهای متا حساب کاربری ندارند هم در اختیار این شرکت قرار میگیرد.) برخی از دادهها، از جمله آدرس IP، بهصورت خودکار توسط متا جمعآوری میشود. اما توسعهدهندگان میتوانند پیکسل را برای ردیابی «رخدادها» (اقدامات مختلف کاربران در وبسایت) تنظیم کنند. این رخدادها ممکن است کلیک یا پاسخهای شما به فرمها را شامل شود و کسبوکارها از طریق آن، درک بهتری از رفتارها و اقداماتتان پیدا میکنند. تمام این دادهها را میتوان برای هدفگیری تبلیغاتی کاربران یا ساخت یک دستهبندی به نام «مخاطبان مشابه» استفاده کرد. براساس این فرایند، کسبوکارها از متا میخواهند تا تبلیغات را به کسانی نمایش دهد که از نگاه متا به مشتریان فعلی آنها شباهت دارند. هرچه متا دادههای بیشتری از طریق ردیابی دریافت کند، تبلیغات هدفمند سادهتر میشود.
این دادهها برای بهبود محصولات و خدمات متا هم به کار گرفته میشوند. کسبوکارها هم میتوانند از دادههای پیکسل برای تحلیل و در نتیجه تقویت محصولات و خدمات خود استفاده کنند. کسبوکارها (یا فروشندگان شخص ثالثی که ساخت وبسایت یا مدیریت آن را بر عهده میگیرند) دادههایی که در اختیار متا قرار میگیرد را کنترل میکنند. طبق یافتههای مارکاپ، برخی از وبسایتهای بررسیشده در این گزارش، پیکسل را در صفحههای ثبت قرار ملاقات پزشکی قرار داده و نام، تاریخ، زمان ملاقات و پزشک مورد نظر را برای متا ارسال میکنند. برای این کار، افرادی از جانب بیمارستان باید پیکسل را برای این کار تنظیم کنند. درنتیجه، بیمارستان یا وظیفه محافظت از دادهها را به درستی انجام نمیدهد یا این دادهها را مستحق محافظت نمیداند. شاید هم فرض آنها بر این بوده که ابزارهای متا امکان جمعآوری یا استفاده از دادههای حساس را ندارند. مارکاپ در تازهترین بررسی خود درباره بیمارستانها متوجه شده است که یکسوم از بیمارستانهای بررسیشده، که جزو 100 بیمارستان برتر امریکا محسوب میشوند، در صفحات تنظیم قرار ملاقات از پیکسل استفاده کردهاند و هفت سیستم درمانی هم این ردیاب را در پورتال بیماران به کار بردهاند. با این حال چندین وبسایت پس از اطلاعرسانی مارکاپ، پیکسل را از وبسایت خود حذف کردند.
بیمارستانها این رفتار را چطور توجیه میکنند؟
بیمارستانهاستون متودیست تنها بیمارستانی بود که پاسخ دقیقی به مارکاپ داد. آنها دلیل چنین اتفاقی را بیاطلاعی اعلام کردند و گفتند از ارسال اطلاعات محافظتشده درمانی به متا اطلاعی نداشتند. یافتههای مارکاپ نشان میدهد، هر بار که فردی روی گزینه «تنظیم قرار ملاقات» در این وبسایت کلیک میکند، وبسایت این بیمارستان به متا اطلاع میدهد. اما طبق اعلام آنها، درخواست به معنای تایید قرار ملاقات نیست و همیشه تنظیمکننده قرار، فرد حاضر در ملاقات نخواهد بود. شاید از نگاه این بیمارستان اقدام آنها به معنی نقض حریم خصوصی بیمار نباشد اما بیماران نظر دیگری دارند. با این حال بیماران هیچ اطلاعی از این روند ندارند و برای کسب اطلاع، باید از ابزارهای خاصی استفاده کنند که نیازمند سطح قابل توجهی از دانش فنی است.هاستون متودیست در حال حاضر این پیکسل را از وبسایت خود حذف کرده است. نوواتهلث سیستم درمانی دیگری است که مارکاپ نگاهی به آن انداخت است. این سیستم درمانی در بیانیهای اعلام کرد پیکسل از سوی یک فروشنده شخص ثالث برای کمپینی در وبسایت این سازمان قرار گرفته است. هدف جذب افراد بیشتر بوده و به گفته آنها فقط برای شمارش تعداد افراد ثبتنامکرده از آن استفاده شده است. اما یافتههای مارکاپ نشان میدهد که اطلاعاتی فراتر از تعداد ثبت نامیها برای متا ارسال میشود و موضوعاتی مثل دارو و گرایش جنسی بیماران را هم در بر میگیرد. به نظر میرسد که اشتباه از سمت فروشنده شخص ثالث این پروژه باشد، اما وظیفه محافظت از دادههای مشتریان بر عهده نووات است و فروشنده و متا هیچکدام مسوولیتی در این باره ندارند. البته این به معنای تبرئه کامل متا نیست. این شرکت سیستم ردیابی پیکسل را طراحی کرده و با وجود یک سری قوانین و ابزارهایی که جمعآوری اطلاعات حساس، مثل اطلاعات پزشکی، را محدود میکند تدابیر کافی برای جلوگیری از این موضوع اتخاذ نشده است. متا در بیانیهای به ریکود گفت: «سیستم ما به گونهای طراحی شده که دادههای حساس را فیلتر کند.» اما مارکاپ دریافته است که این فیلترها، حداقل در رابطه با دادههای وبسایت مراکز بارداری بحرانی، درست عمل نمیکنند. متا به سوالات ریکود در مورد نقض احتمالی مقررات این شرکت از سوی کسبوکارها پاسخی نداد. ادوارد، محقق امنیتی، رویکرد سختگیرانهتری نسبت به مسوولیت متا در این رابطه دارد. او میگوید: «به نظر من 100 درصد اشتباه از سوی فیسبوک است.» متا به درخواست ریکود که پرسیده بود این شرکت چطور اجرای سیاستهای خود توسط کسبوکارها را تضمین میکند یا اینکه کسبوکارها چه اطلاعات حساسی را نباید برای آنها ارسال کنند پاسخی نداد. به نظر میرسد ماجرا از این قرار است که متا سازنده ابزاری برای ردیابی است که به نفع این شرکت کار میکند، اما اگر از این ابزار به اشتباه استفاده شود، مسوولیتش با فرد دیگری است. گویا قربانیان نهایی، بازدیدکنندگانی هستند که حریم خصوصیشان نقض میشود.
چگونه از پیکسل دوری کنیم؟
برای محافظت از خودتان چند گزینه دارید؛ مرورگرهایی مثل سافاری، فایرفاکس و بریو، ابزاری (tracker blockers) برای جلوگیری از ردیابی ارایه میدهند. تاد فیترز، یکی از خبرنگاران گزارش مارکاپ، در مصاحبه با ریکود گفت که آنها در این بررسی از مرورگر، با غیرفعال کردن تمام افزونهها، استفاده کردند. افزونههای حریم خصوصی هم گزینه مناسبی برای جلوگیری از ردیابی هستند.
ویپیانها و رله (relay) خصوصی اپل، هنگام بازدید از وبسایتها IP شما را مخفی میکنند اما برای استفاده از آنها باید هزینهای پرداخت کنید. متا هم در پلتفرمهای خود امکاناتی برای محدود کردن ردیابی و تبلیغات هدفمند ارایه کرده است. این شرکت مدعی است با غیرفعال کردن گزینه «data about your activity from partners» (دادههای فعالیت شما بر اساس همکاران) یا « «off-facebook activity (فعالیت خارج از فیسبوک)، دادههای به دستآمده از پیکسل برای ارایه تبلیغات هدفمند به شما استفاده نمیشود. البته که با این کار شما به ابزارهای حریم خصوصی متا و ادعای این شرکت اعتماد میکنید. راهکار نهایی هم البته درخواست برای تصویب قوانین حریم خصوصی است.