Fitness uygulamaları gizliliğiniz için bir risktir, işte nedeni

Bu yayın 31 Ekim 2019 tarihinde güncellenmiştir..


Fitness ve sağlık uygulamaları, ne kadar egzersiz yaptığınızı, hangi reçeteli ilaçları, hatta hangi doğum kontrol yöntemlerini kullandığınızı kaydetmenize ve ölçmenize yardımcı olmak için tasarlanmıştır. Bu uygulamalar sağlığınızı iyileştirmeye yardımcı olabilirken, gizliliğinizi de riske atabilir. En kötü durumlarda, insanları joggers’ın ev adreslerini ve gerçek zamanlı konumlarını ortaya çıkarmak gibi fiziksel tehlikeye attılar.

Bu uygulamaların çoğu, kullanıcılara gizlilik politikalarında tüm ayrıntıları vermeden hassas bilgileri ortaya çıkarır veya Facebook dahil düzinelerce üçüncü tarafla paylaşır. Bu bilgiler hassas konum verilerini, gizli tıbbi verileri ve hatta korunmasız cinsel ilişkiye girip girmediğiniz gibi son derece kişisel bilgileri içerebilir.

Bu tür uygulamalar son beş yılda popülerlik kazanmıştır. Sadece 2018’de Fitbit’in 27 milyondan fazla kullanıcısı vardı. Bu yılın başlarında Strava 42 milyon kullanıcısı olduğunu ve her ay bir milyon kullanıcı eklediğini iddia etti. Bu uygulamaların topladığı hassas veriler ve bu verilerin korunmasına ilişkin zayıf kayıtları göz önüne alındığında, bu uygulamalar kullanıcılarının gizliliğine önemli bir tehdit oluşturmaktadır..

Fitness uygulamalarının sizin hakkınızda bildikleri

Fitbit, Strava, MapMyRun, Nike + Run ve Asics Runkeeper gibi çoğu fitness uygulamasında, sadece birkaçını belirtmek için akıllı telefonunuzla senkronize olan giyilebilir bir cihaz bulunur. Bu giyilebilir cihaz, attığınız adımların sayısı, kalp atış hızınız, nereye gittiğiniz ve ne zaman, kilonuz ve uyanık veya uyuduğunuz zaman dahil olmak üzere bir grup bilgi toplayabilir..

Sağlık izleyicileri genellikle telefonunuza yüklediğiniz uygulamalardır. Veri toplamak için sağlığınızla ilgili formları doldurmanız konusunda size güvenirler. Uygulamanın neyi hedeflediğine bağlı olarak, sağlığınızla ilgili standart sorulardan (yaralandınız mı?) Oldukça hassas konularla ilgili sorulara kadar (Seks yaparken koruma kullanıyor musunuz?).

Bu veriler ihlal edilebilir

Fitness uygulama üreticileri, diğer tüm endüstriler gibi, veri ihlallerine maruz kaldı. 2018’de UnderArmour’un MyFitnessPal’ını vuran ihlal bugüne kadarki en büyük ihlaldir. 150 milyondan fazla kullanıcının kullanıcı adlarını, şifrelerini ve e-posta adreslerini ortaya çıkardı. Bilgisayar korsanları genellikle verilerin peşinden giderken (kredi kartı numaranız gibi) kolayca para kazanabilirler, konum verilerinin ortaya çıktığı düşüncesi özellikle zahmetlidir. Joggers ve bisikletçilerin genellikle yaşadıkları yerde koşup sürdüğü göz önüne alındığında, saldırganlar kullanıcının rotalarının çoğunun nerede başladığını ve bittiğini bakarak nerede yaşadığını belirleyebilirler..

Diğer önemli fitness ve sağlık uygulamalarının hiçbiri önemli bir veri ihlali yaşamadı. Ne yazık ki, bir uygulamanın verilerinizi yalnızca güvendiğiniz şirket ve kuruluşlarla paylaşmanın yanı sıra sorumlu bir şekilde depoladığından emin olmak için yapabileceğiniz çok az şey vardır.

Bir veri ihlalinin kurbanıysanız ne yapacağınız hakkında daha fazla bilgi edinin.

Nihai veri madeni

Veri paylaşımı sorunun en önemli noktasıdır. Fitness uygulama şirketleri, ister gerçek zamanlı sağlık verilerinizi ister reklamverenler, hukuk firmaları veya hassas bilgilerinizden yarar sağlayan Facebook gibi sosyal ağlar olsun, üçüncü taraflarla paylaşmaya teşvik edilir. Verilerinizin nasıl paylaşıldığı veya gizlilik ayarlarınızı nasıl yapacağınız konusunda tamamen şeffaflarsa, kullanıcıların uygulamalara güvenme olasılığı daha düşük olabilir. Bu yüzden bugüne kadar fitness ve sağlık uygulama endüstrisi skandallar tarafından desteklendi.

Bir uygulamanın veri paylaşmasının birçok geçerli nedeni vardır. Kullanıcının istediği daha iyi hizmet sağlayabilir. Ayrıca, polis soruşturmaları için yasalar tarafından istenebilir. Ancak uygulama üreticileri hassas bilgilerinizin gizliliğini her zaman birinci öncelik olarak görmez.

Fitness ve sağlık uygulamalarının verilerinizi kötüye kullanmasının üç ana yolu vardır:

  1. Kutudan çıkar çıkmaz verileri otomatik olarak gösterirler. Kullanıcılar bu uygulamaları kullanmak ve gizliliklerini korumak istiyorsa, uygulama içindeki veya akıllı telefonlarındaki gizlilik ayarlarını güncellemelidir..
  2. Gizlilik politikaları belirsiz. “Bilgilerinizi sponsorlarımızla ve / veya iş ortaklarımızla paylaşabiliriz” yazan bir gizlilik politikası, kullanıcıya bilinçli bir karar vermesi için yeterli bilgi vermez.
  3. Gizlilik politikaları yanıltıcı. Bazı durumlarda, uygulamalar verilerin gizlilik politikalarında nasıl kullanıldığını açıklamaz. Ayrı bir belgede saklıyorlar veya kafa karıştırıcı yasal olarak gizliyorlar. Diğer, daha küçük sağlık uygulamalarının gizlilik politikası olmayabilir.

Zayıf varsayılan gizlilik ayarları

İlk sorunun en iyi örneği, fitness uygulaması Strava ve bisikletçilerin ve koşucuların gerçek zamanlı konumunu ihanet eden Beacon özelliğidir. Bu uygulamayı hırsızlar için altın madeni yaptı.

İşte böyle çalışır. Strava, fitness takibini, kullanıcılarının birbirleriyle rekabet etmelerini ve etkileşime girmelerini sağlayan bir sosyal medya platformuyla birleştirir. Strava’nın çalışması için konum verilerinizi paylaşmak için erişim ve izne ihtiyacı var. Ayrıca koşarken gördüğünüz veya geçtiğiniz diğer Strava kullanıcılarını aramanızı sağlayan bir “FlyBy” özelliği de vardır..

Ancak platforma erişmek veya rota aramak için Strava kullanıcısı olmanıza gerek yoktur. Bir rota seçildikten sonra, kime ait olduğunu öğrenebilir, o kişinin profiline bakabilir ve başka nereye gideceklerini görebilirsiniz. Bu veriler genellikle insanların evlerini bulmak için kullanılabilir. Bu sorun ayrıca MapMyRun, Nike + Run ve koşularınızı izleyen ve bu verileri paylaşmanıza izin veren tüm uygulamalar için daha az oranda sunulmaktadır..

Askeri üslere sabitlenen medya Strava’nın “HeatMap” özelliğiyle askerlerin koşu rotalarına maruz kalırken, bu veriler herhangi bir Strava kullanıcısını bulmak ve takip etmek için kullanılabilir.

Strava ısı haritası veri sızıntısı daha da kötüleşti:

– Verilerin anonimleştirilmesi kaldırılabilir
– Yüksek güvenlikli askeri tesislerdeki kişilerin isimlerini ve koşu yollarını içerir
– Hızlı bir arama Afganistan’daki bir üssünde 50 ABD personelinin isimlerini gösteriyor
https://t.co/JZCi7sINf8

– WIRED UK (@WiredUK) 29 Ocak 2018

2014 yılında, kolluk kuvvetleri İngiltere’deki bisiklet hırsızlıklarındaki sert artışı Strava verilerini kullanarak hırsızlara bağladı. Aynı şey 2018’de tekrar oldu.

“Pek çok insanın bu harita uygulamalarının temelde bir hırsıza büyük miktarda bilgi verebileceğinin farkında olduğunu düşünmüyorum. Bu yüzden insanların mahremiyetlerini kontrol etmeliyiz, ”dedi 2018’de bisiklet hırsızlığına bakan bir polis memuru Adam Lang.

Strava gizlilik denetimleriyle birlikte gelir. Ne yazık ki, az sayıda kullanıcı bunları etkinleştirir ve evinizin yerini göstermek için yalnızca birkaç çalışma gerekir. Ayrıca, “FlyBy” özelliğini devre dışı bırakmak gibi gizlilik özelliklerinden bazılarını etkinleştirmek, uygulamanın kullanılabilirliğini zayıflatır.

Belirsiz gizlilik politikaları

Yukarıdaki örnek – “Bilgilerinizi sponsorlarımızla ve / veya iş ortaklarımızla paylaşabiliriz” varsayımsal değildir. Dünya çapında sekiz milyondan fazla kullanıcıya sahip olduğunu iddia eden yumurtlama izleyicisi Maya’nın gizlilik politikasından geliyor. Bu, kullanıcının bilgilendirilmiş olur vermesi için yeterli bilgi değildir. Maya’nın politikasının hiçbir yerinde paylaştıkları veri türlerini veya hangi kuruluşlarla paylaştıklarını listelemezler.

Bu özellikle Maya’nın topladığı veri türünü, ruh haliniz, ne tür bir doğum kontrol yöntemi kullandığınızı, seks yapıp yapmadığınızı ve koruma kullanıp kullanmadığınızı içerir. Privacy International tarafından hazırlanan bir rapor belirsiz politikayı ve Maya’nın Facebook da dahil olmak üzere birçok üçüncü tarafla veri paylaştığını ortaya koydu. Raporda ayrıca yumurtlama izleyicisi MIA Fem de vurgulandı. MIA Fem’in eşit derecede belirsiz bir gizlilik politikası vardı, ancak o zamandan bu yana hangi verilerin hangi ortaklara gittiğini yansıtacak şekilde güncelledi. Verilerini paylaşmadan yakalandıktan sonra kullanıcılarını bilgilendirmeden gizlilik politikasını ayarlamak en son sağlık uygulamasıdır..

Flo yumurtlama izleyici uygulaması, bir Wall Street Journal hikayesinin rızası olmadan benzer veri paylaşımını ortaya çıkardıktan sonra Facebook ile veri paylaşımını durdurdu. (Flo, Maya ve MIA Fem’in ortak yanı, geliştiricilerin özellikleri dahil etmesine ve Facebook’un kullanıcı verilerini toplamasına ve hedeflenen reklamlar göstermesine olanak tanıyan Yazılım Geliştirme Kiti (SDK) ile oluşturulmuş olmalarıdır. gizlilik ihlallerinin merkezinde yer alır.)

Yanıltıcı gizlilik politikaları

HealthEngine, Avustralya’da doktorların randevularını ayarlamak için 1,5 milyondan fazla kişi tarafından kullanılan popüler bir uygulamadır. Son zamanlarda yapılan bir araştırma, uygulamanın kullanıcılarının özel tıbbi bilgilerini rızası olmadan yerel yaralanma avukatları ile paylaştığını buldu..

Kullanıcılara bir trafik kazası geçirip geçirmedikleri veya işle ilgili bir yaralanma yaşayıp yaşamadıkları soruldu. Evet cevap verdiyse, uygulama yaralanma avukatlarına sağlık sorunlarının ayrıntıları hakkında bilgi verdi. Kullanıcılara hiçbir zaman verilerinin avukatlarla paylaşılmasına izin verip vermedikleri sorulmadı veya verilerinin HealthEngine’in gizlilik politikasında avukatlarla paylaşıldığından bahsedilmedi. Özel tıbbi verilerinin bir hukuk bürosuna gönderilmesi sadece ayrı bir “Tahsilat Beyanında” açıklanmıştır. Kullanıcıların bu veri paylaşımından vazgeçmesinin tek yolu uygulamayı kullanmamaktı.

ABD’de New York Başsavcılığı açık bir rıza olmadan üçüncü taraflarla veri paylaştıklarını söyledikten sonra Cardiio ve Bebeğim Beat ve fitness uygulaması Runtastic sağlık uygulamaları gizlilik politikalarını revize etmek zorunda kalıyor.

Gizliliğinizi korumak için yapmanız gerekenler

Uygulamaların, insanların tıbbi bilgilerini bu kadar geniş bir şekilde paylaşmasının yasal olması bile şaşırtıcı olabilir. Ancak ABD sağlık gizliliği yasası HIPAA, müşterilerin kendi kullanımları için topladıkları bilgiler için geçerli değildir. Bu, vakaların çoğunda, fitness uygulamalarının düzenlemeye tabi olmadığı anlamına gelir.

ABD’de özellikle fitness ve sağlık uygulamalarını hedefleyen yeni düzenlemeler, geliştiricileri hassas verilerden daha sorumlu olmaya teşvik edebilir, ancak şu ana kadar ilerleme kaydedilmemiştir. ABD senatörlerinin özel sağlık verilerinin sigorta şirketlerine, ipotek borç verenlerine ve işverenlere satışını engelleme çabaları hiçbir yere götürmedi.

AB’nin GDPR’si, verilerin paylaşılabilmesi için önceden bilgilendirilmiş ve açık bir rıza gerektirmesi nedeniyle bir miktar koruma sağlamaktadır. Bu, paylaştığı tüm verileri listelemediği veya verileri gizlilik politikasında kimin aldığı göz önüne alındığında, Maya’nın muhtemelen ihlal ettiği bir eşiktir. Ancak bu sadece Avrupa Birliği’nde yaşayan kişiler için geçerlidir.

Fitness izleme veya sağlık izleme uygulamalarını kullanırken özel kalmanın en iyi yolu, konuları kendi ellerinize almaktır.

Güvende kalmak için atabileceğiniz en önemli adımlar şunlardır:

  1. Gizlilik politikasını okuyun: Hangi verileri paylaştığı ve hangi kuruluşlarla veri paylaştığı konusunda açık değilse, söz konusu uygulamaya girdiğiniz tüm verilerin bilinmeyen üçüncü taraflarla paylaşılabileceğini varsayın. Bundan memnun değilseniz, başka bir uygulama bulun.
  2. Gizlilik ayarlarının olup olmadığını kontrol edin: Gizlilik ayarlarını kontrol etmek için zaman ayırın. Uygulamanın verilerinizi paylaşmasını önlemek iyidir, ancak en özel çözüm, ilk etapta veri toplamasını önlemektir..
  3. Uygulamaya girdiğiniz verileri sınırlayın: Bu uygulamaların çoğu temel işlevlerini sunmaları için gerekenden daha fazla veri toplar. Uygulamayı kullanmak için bu verileri paylaşmanız gerekip gerekmediğini sorun. Örneğin, bir yumurtlama izleyicisinin çalışması için korunmasız seks yapıp yapmadığınızı bilmesinin bir nedeni yoktur..
  4. Şüphe duyduğunuzda sorun: Bir fitness uygulama şirketinin verilerinizi nasıl kullanmayı planladığından emin değilseniz, onlara bir e-posta gönderin ve isteyin. (Ve eğer yaparsanız, ne söylediklerini bize bildirin!)

Fitness ve sağlık uygulamaları, formunuzu korumanıza ve ilerlemenizi takip etmenize yardımcı olabilecek harika araçlardır. Ancak fiziksel sağlığınız için dijital sağlığınızı tehlikeye atmanız gerekmez. İndirdiğiniz uygulamaların gizliliğinizi riske atabileceğinin farkında olmak önemlidir.

Saygılarımla,
ProtonVPN Ekibi

UPDATE 1 Kasım 2019: Google, Fitbit’i 2,1 milyar dolara satın alacağını açıkladı. Bu, Google’ın reklam için Fitbit’in sağlık verilerine erişme olasılığını artırır, ancak Google yöneticileri durum böyle olmayacaktır. Müşterilere gönderilen bir e-postada Fitbit’in CEO’su, “Kişisel bilgilerinizi asla satmıyoruz ve Fitbit sağlık ve sağlıklı yaşam verileri Google reklamları için kullanılmayacak.” Anlaşmanın gelecek yıl bir süre sonra sonuçlanması bekleniyor.

Twitter | Facebook | Reddit | Instagram

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map