Разделы

Безопасность Пользователю Стратегия безопасности Интернет Веб-сервисы Техника

Интимные данные миллионов пользователей Facebook годами лежали в свободном доступе

Приложение myPersonality, которое собирает психологические сведения о пользователях Facebook и передает их исследователям, не смогло защитить свой сайт, в результате чего любой желающий мог получить доступ к интимным данным 3 млн пользователей на протяжении 4 лет. Работа приложения остановлена, расследование выясняет, кто именно успел скачать данные.

Утечка данных myPersonality

Данные более чем 3 млн пользователей Facebook, собранные приложением для оценки личности myPersonality, находились в свободном доступе в интернете на протяжении 4 лет, сообщает ресурс New Scientist. myPersonality дает пользователям возможность пройти ряд психологических тестов, поэтому в общем доступе оказались достаточно интимные подробности их жизни.

Сотрудники Психометрического центра Кембриджского университета, создавшие myPersonality, делились собранными данными с сотнями исследователей через веб-сайт, который не был в достаточной мере защищен. Получить доступ к информации было довольно просто. Предполагалось, что данные должны быть анонимными, однако сам их состав позволял легко их деанонимизировать, пишет New Scientist.

Распространение данных

В общей сложности тесты myPersonality прошло более 6 млн человек, и около половины из них разрешили приложению доступ к данным своих профилей на Facebook. Собранная информация проходила процедуру деперсонализации — необходимое условие, чтобы иметь возможность делиться ею с другими исследователями. После этого данные выкладывались на сайт.

Чтобы получить доступ к полному набору данных, исследователь должен был зарегистрироваться как сотрудник проекта. Более 280 специалистов примерно из 150 организаций получили таким образом доступ к данным. Среди них есть как исследователи из различных университетов, так и сотрудники компаний типа Facebook, Google, Microsoft и Yahoo.

Свободный доступ

Однако на протяжении последних четырех лет получить доступ к данным могли не только зарегистрированные исследователи, а все желающие, поскольку рабочий логин и пароль были доступны онлайн, и найти их можно было с помощью интернет-поиска. Благодаря этому любой пользователь интернета мог войти в систему и загрузить данные за несколько минут.

fb600.jpg
Интимные сведения о 3 млн пользователей Facebook мог скачать любой желающий

Логин и пароль обнаружились на сайте GitHub. Один из университетских профессоров поделился ими со своими студентами, чтобы они могли получить доступ к данным myPersonality для своих курсовых проектов, касающихся создания инструментов для обработки данных Facebook. Когда студенты выложили на GitHub свои работы, то в них присутствовали логин и пароль к системе myPersonality.

В настоящий момент расследования, начатые Facebook и британским Офисом комиссара информации, пытаются установить круг лиц, которые могли скачать и как-либо использовать эти данные, однако отследить все существующие копии будет непросто, пишет New Scientist.

Состав и анонимность данных

Логин и пароль с GitHub давали доступ к диспозициональной модели личности человека — так называемой Большой пятерке — примерно 3,1 млн пользователей Facebook. Большая пятерка используется в психологии для анализа таких черт как экстраверсия, доброжелательность, добросовестность, невротизм и открытость опыту.

Также логин и пароль открывали доступ к данным профилей Facebook, в частности, к 22 млн изменений статусов в профилях 150 тыс. пользователей. Кроме того, вошедшему в систему исследователю становились известны возраст, пол и статус личной жизни 4,3 млн пользователей Facebook.

Деперсонализация данных проходила следующим образом — имя пользователя заменялось уникальным идентификационным кодом, к которому по-прежнему были привязаны его возраст, пол, местоположение, а также история смены статусов и результаты тестов.

По словам экспертов по конфиденциальности, опрошенных New Scientist, этой информации достаточно, чтобы установить личность пользователя — нужно просто сравнить данные с профилями Facebook в интернете. Этот процесс может быть автоматизирован, что позволит быстро соотнести с реальными именами миллионы профилей myPersonality. Как правило, такие подробные наборы данных вообще очень сложно деанонимизировать, отмечают эксперты.

Меры Facebook

Работа приложения myPersonality на платформе Facebook была приостановлена 7 апреля. Facebook мотивировал это тем, что приложение использует некорректные формулировки, поясняя пользователям, как обрабатываются их данные.

Александр Осипов, МегаФон: Эффективность киберзащиты вырастет, если снизится рутинная нагрузка на специалистов
безопасность

По словам вице-президента Facebook по партнерским продуктам Име Арчибонга (Ime Archibong), в настоящий момент продолжается проверка приложения. Если myPersonality откажется сотрудничать или провалит проверку, его работа на платформе соцсети будет прекращена навсегда.

Сегодня Facebook также сообщил, что приостановил работу примерно 200 приложений, которые имели доступ к большим объемом информации о пользователях до 2014 г., когда соцсеть значительно ограничила набор данных, доступных сторонним проектам. В настоящий момент компания проводит расследование, касающееся состава и защиты данных, полученных этими приложениями.

Команда проекта

Данные myPersonality находились под контролем сотрудников Психрометрического центра Кембриджского университета Дэвида Стиллвелла (David Stillwell) и Михала Косински (Michal Kosinski). Само приложение myPersonality было создано Стиллвеллом еще до того, как он присоединился к штату университета. Университет утверждает, что он не владеет данными myPersonality и не контролирует их.

До лета 2014 г. одним из сотрудников проекта myPersonality был Александр Коган (Alexandr Kogan), которого подозревают в причастности к сбору данных пользователей Facebook компанией Cambridge Analytica. Напомним, недавно вокруг этой компании разразился скандал, связанный с получением ею и использованием в политических целях данных 50 млн пользователей Facebook. По словам Стиллвелла, в 2013 г. Cambridge Analytica вела переговоры с командой myPersonality о получении доступа к психометрическим данным, однако ей было отказано из-за ее «политических амбиций».

Стиллвелл утверждает, что представители Facebook встречались с ним и с Косински еще в 2011 г. Таким образом, соцсеть уже давно осведомлена о сущности исследований myPersonality. В связи с этим Стиллвелл находит странным, что компания только теперь заговорила о нарушении ее правил со стороны его проекта. В целом же за 9 лет существования приложения его команда столкнулась только с одной утечкой данных, сообщил Стиллвелл.

Валерия Шмырова