زنگ خطر حریم خصوصی

۱۴۰۱/۰۳/۳۱ - ۰۳:۲۸:۳۷
کد خبر: ۱۹۰۱۱۷
زنگ خطر حریم خصوصی

ردیاب‌های متا در میلیون‌ها وب‌سایت اینترنتی جای گرفته‌اند و داده‌های شما را جمع‌آوری و به متا ارسال می‌کنند. یک بررسی تازه نشان می‌دهد این ردیاب‌ها در وب‌سایت‌هایی قرار گرفته‌اند که حتی محتاط‌ترین کاربران هم از آنها در امان نیستند. این ردیاب‌ها حتی وب‌سایت بیمارستان‌ها از جمله درگاه‌های بیمارانی را که باید بر اساس قوانین حریم خصوصی محافظت شوند نیز دربر می‌گیرند.

پورتال خبری مارکاپ که آسیب‌های تکنولوژی را پوشش می‌دهد تازه‌ترین یافته‌های خود درمورد ردیابی به نام «پیکسل» از شرکت متا را منتشر کرد. پیکسل‌های متا در واقع کد‌هایی هستند که توسعه‌دهندگان برای ردیابی ملاقات‌کنندگان در داخل دستگاه قرار می‌دهند. طبق بررسی‌ها، وب‌سایت‌های متعلق به دولت، مراکز مشاوره بارداری و بیمارستان‌ها از طریق پیکسل‌ها، داده‌هایی را به متا ارسال می‌کنند که از نگاه کاربران حساس محسوب می‌شود. با توجه به آوازه متا در حوزه حریم خصوصی، مقصر دانستن این شرکت ساده و قابل درک است. متا به‌واسطه پیکسل و ردیاب‌های دیگری که دارد، یکی از سازندگان جهانی عاری از حریم خصوصی و مملو از نشت داده‌ای محسوب می‌شود که ما هرروز در آن گشت و گذار می‌کنیم.

این شرکت عرضه‌کننده سیستمی است که داده‌های کاربران را از میلیون‌ها وب‌سایت جمع‌آوری و آنها را به طلای تبلیغاتی تبدیل می‌کند و به خوبی نسبت به استفاده ناامن و حتی سوءاستفاده احتمالی از آن آگاه است. اما این مساله یکی از معدود مواردی است که در آن نمی‌توان تقصیر را به‌طور کامل گردن متا انداخت، زیرا متا تمام تلاش خود را کرده تا تقصیر را گردن دیگری بیندازد. زک ادواردز، تحلیلگر امنیتی، شرایط را اینگونه توصیف می‌کند: «فیس‌بوک می‌خواهد کیک داده‌ها را بخورد اما با نقض قوانین درگیر نشود.» کسب‌وکار‌ها ردیاب‌های متا را به‌صورت داوطلبانه در وب‌سایت‌ها و اپلیکیشن‌های خود استفاده می‌کنند و اینکه کدام داده به این غول شبکه اجتماعی ارسال شود از تصمیمات آنها است.

در عصر حاضر بهانه‌ای برای توسعه‌دهندگان وجود ندارد و آنها از کارکرد و داده‌های ارسالی مطلع‌اند. توسعه‌دهندگان حداقل نباید این کد را در صفحات تنظیم قرار ملاقات درمانی یا پورتال بیماران قرار دهند؛ جایی که بیماران انتظار حریم خصوصی دارند. متا سازنده هیولاست اما این وب‌سایت‌ها هستند که آن را تغذیه می‌کنند.

   پیکسل چطور ردیابی را آسان می‌کند

«متا» پیکسل را به‌صورت رایگان در اختیار کسب‌وکارها قرار می‌دهد. پیکسل داده‌های بازدیدکنندگان را جمع‌آوری و برای متا ارسال می‌کند و این شرکت می‌تواند داده‌ها را با پروفایل فیس‌بوک و اینستاگرام کاربران مطابقت دهد و اطلاعات مفیدی را از آن استخراج کند (در برخی موارد اطلاعات کسانی که در هیچ‌کدام از پلتفرم‌های متا حساب کاربری ندارند هم در اختیار این شرکت قرار می‌گیرد.) برخی از داده‌ها، از جمله آدرس IP، به‌صورت خودکار توسط متا جمع‌آوری می‌شود. اما توسعه‌دهندگان می‌توانند پیکسل را برای ردیابی «رخداد‌ها» (اقدامات مختلف کاربران در وب‌سایت) تنظیم کنند. این رخداد‌ها ممکن است کلیک یا پاسخ‌های شما به فرم‌ها را شامل شود و کسب‌وکارها از طریق آن، درک بهتری از رفتارها و اقدامات‌تان پیدا می‌کنند. تمام این داده‌ها را می‌توان برای هدف‌گیری تبلیغاتی کاربران یا ساخت یک دسته‌بندی به نام «مخاطبان مشابه» استفاده کرد. براساس این فرایند، کسب‌وکارها از متا می‌خواهند تا تبلیغات را به کسانی نمایش دهد که از نگاه متا به مشتریان فعلی آنها شباهت دارند. هرچه متا داده‌های بیشتری از طریق ردیابی دریافت کند، تبلیغات هدفمند ساده‌تر می‌شود.

این داده‌ها برای بهبود محصولات و خدمات متا هم به کار گرفته می‌شوند. کسب‌وکارها هم می‌توانند از داده‌های پیکسل برای تحلیل و در نتیجه تقویت محصولات و خدمات خود استفاده کنند. کسب‌وکارها (یا فروشندگان شخص ثالثی که ساخت وب‌سایت یا مدیریت آن را بر عهده می‌گیرند) داده‌هایی که در اختیار متا قرار می‌گیرد را کنترل می‌کنند. طبق یافته‌های مارکاپ، برخی از وب‌سایت‌های بررسی‌شده در این گزارش، پیکسل را در صفحه‌های ثبت قرار ملاقات پزشکی قرار داده و نام، تاریخ، زمان ملاقات و پزشک مورد نظر را برای متا ارسال می‌کنند. برای این کار، افرادی از جانب بیمارستان باید پیکسل‌ را برای این کار تنظیم کنند. درنتیجه، بیمارستان یا وظیفه محافظت از داده‌ها را به درستی انجام نمی‌دهد یا این داده‌ها را مستحق محافظت نمی‌داند. شاید هم فرض آنها بر این بوده که ابزارهای متا امکان جمع‌آوری یا استفاده از داده‌های حساس را ندارند. مارکاپ در تازه‌ترین بررسی خود درباره بیمارستان‌ها متوجه شده است که یک‌سوم از بیمارستان‌های بررسی‌شده، که جزو 100 بیمارستان برتر امریکا محسوب می‌شوند، در صفحات تنظیم قرار ملاقات از پیکسل استفاده کرده‌اند و هفت سیستم درمانی هم این ردیاب را در پورتال بیماران به کار برده‌اند. با این حال چندین وب‌سایت پس از اطلاع‌رسانی مارکاپ، پیکسل را از وب‌سایت‌ خود حذف کردند.

  بیمارستان‌ها این رفتار را  چطور توجیه می‌کنند؟

بیمارستان‌هاستون متودیست تنها بیمارستانی بود که پاسخ دقیقی به مارکاپ داد. آنها دلیل چنین اتفاقی را بی‌اطلاعی اعلام کردند و گفتند از ارسال اطلاعات محافظت‌شده درمانی به متا اطلاعی نداشتند. یافته‌های مارکاپ نشان می‌دهد، هر بار که فردی روی گزینه «تنظیم قرار ملاقات» در این وب‌سایت کلیک می‌کند، وب‌سایت این بیمارستان به متا اطلاع می‌دهد. اما طبق اعلام آنها، درخواست به معنای تایید قرار ملاقات نیست و همیشه تنظیم‌کننده قرار، فرد حاضر در ملاقات نخواهد بود. شاید از نگاه این بیمارستان اقدام آنها به معنی نقض حریم خصوصی بیمار نباشد اما بیماران نظر دیگری دارند. با این حال بیماران هیچ اطلاعی از این روند ندارند و برای کسب اطلاع، باید از ابزارهای خاصی استفاده کنند که نیازمند سطح قابل توجهی از دانش فنی است.‌هاستون متودیست در حال حاضر این پیکسل را از وب‌سایت خود حذف کرده است. نووات‌هلث سیستم درمانی دیگری است که مارکاپ نگاهی به آن انداخت است. این سیستم درمانی در بیانیه‌ای اعلام کرد پیکسل از سوی یک فروشنده شخص ثالث برای کمپینی در وب‌سایت این سازمان قرار گرفته است. هدف جذب افراد بیشتر بوده و به گفته آنها فقط برای شمارش تعداد افراد ثبت‌نام‌کرده از آن استفاده شده است. اما یافته‌های مارکاپ نشان می‌دهد که اطلاعاتی فراتر از تعداد ثبت نامی‌ها برای متا ارسال می‌شود و موضوعاتی مثل دارو‌ و گرایش جنسی بیماران را هم در بر می‌گیرد. به نظر می‌رسد که اشتباه از سمت فروشنده شخص ثالث این پروژه باشد، اما وظیفه محافظت از داده‌های مشتریان بر عهده نووات است و فروشنده و متا هیچ‌کدام مسوولیتی در این باره ندارند. البته این به معنای تبرئه کامل متا نیست. این شرکت سیستم ردیابی پیکسل را طراحی کرده و با وجود یک سری قوانین و ابزارهایی که جمع‌آوری اطلاعات حساس، مثل اطلاعات پزشکی، را محدود می‌کند تدابیر کافی برای جلوگیری از این موضوع اتخاذ نشده است. متا در بیانیه‌ای به ریکود گفت: «سیستم ما به گونه‌ای طراحی شده که داده‌های حساس را فیلتر کند.» اما مارکاپ دریافته است که این فیلتر‌ها، حداقل در رابطه با داده‌های وب‌سایت مراکز بارداری بحرانی، درست عمل نمی‌کنند. متا به سوالات ریکود در مورد نقض احتمالی مقررات این شرکت از سوی کسب‌وکارها پاسخی نداد. ادوارد، محقق امنیتی، رویکرد سخت‌گیرانه‌تری نسبت به مسوولیت متا در این رابطه دارد. او می‌گوید: «به نظر من 100 درصد اشتباه از سوی فیس‌بوک است.» متا به درخواست ریکود که پرسیده بود این شرکت چطور اجرای سیاست‌های خود توسط کسب‌وکارها را تضمین می‌کند یا اینکه کسب‌وکارها چه اطلاعات حساسی را نباید برای آنها ارسال کنند پاسخی نداد. به نظر می‌رسد ماجرا از این قرار است که متا سازنده ابزاری برای ردیابی است که به نفع این شرکت کار می‌کند، ‌اما اگر از این ابزار به اشتباه استفاده شود، مسوولیتش با فرد دیگری است. گویا قربانیان نهایی، بازدیدکنندگانی هستند که حریم خصوصی‌شان نقض می‌شود.

  چگونه از پیکسل‌ دوری کنیم؟

برای محافظت از خودتان چند گزینه دارید؛ مرورگرهایی مثل سافاری، فایرفاکس و بریو، ابزاری (tracker blockers) برای جلوگیری از ردیابی ارایه می‌دهند. تاد فیترز، یکی از خبرنگاران گزارش مارکاپ، در مصاحبه با ریکود گفت که آنها در این بررسی از مرورگر، با غیرفعال کردن تمام افزونه‌ها، استفاده کردند. افزونه‌های حریم خصوصی هم گزینه مناسبی برای جلوگیری از ردیابی هستند.

وی‌پی‌ان‌ها و رله (relay) خصوصی اپل، هنگام بازدید از وب‌سایت‌ها IP شما را مخفی می‌کنند اما برای استفاده از آنها باید هزینه‌‌ای پرداخت کنید. متا هم در پلتفرم‌های خود امکاناتی برای محدود کردن ردیابی و تبلیغات هدفمند ارایه کرده است. این شرکت مدعی است با غیرفعال کردن گزینه «data about your activity from partners» (داده‌های فعالیت شما بر اساس همکاران) یا « «off-facebook activity  (فعالیت خارج از فیس‌بوک)، داده‌های به دست‌آمده از پیکسل برای ارایه تبلیغات هدفمند به شما استفاده نمی‌شود. البته که با این کار شما به ابزارهای حریم خصوصی متا و ادعای این شرکت اعتماد می‌کنید. راهکار نهایی هم البته درخواست برای تصویب قوانین حریم خصوصی است.