Фитнес-приложения – это риск для вашей конфиденциальности, вот почему

Это сообщение было обновлено 31 октября 2019.


Приложения для фитнеса и здоровья предназначены для того, чтобы помочь вам регистрировать и количественно определять, сколько вы занимаетесь спортом, какие рецептурные лекарства вы принимаете, и какие методы контроля рождаемости вы используете. Хотя эти приложения могут помочь улучшить ваше здоровье, они также могут поставить под угрозу вашу конфиденциальность. В худшем случае они подвергают людей физической опасности, например, раскрывают домашние адреса бегунов и местонахождение в режиме реального времени..

Многие из этих приложений предоставляют конфиденциальную информацию или делятся ею с десятками третьих сторон, включая Facebook, не предоставляя пользователям полную информацию в своей политике конфиденциальности. Эта информация может включать в себя конфиденциальные данные о местонахождении, конфиденциальные медицинские данные или даже очень личную информацию, например, есть ли у вас незащищенный секс.

За последние пять лет эти типы приложений стали популярными. В 2018 году только у Fitbit было более 27 миллионов пользователей. Ранее в этом году Strava утверждала, что у нее 42 миллиона пользователей, и что каждый месяц она добавляет миллион пользователей. Учитывая конфиденциальность данных, которые собирают эти приложения, и плохую репутацию защиты этих данных, эти приложения представляют существенную угрозу для конфиденциальности их пользователей..

Какие фитнес-приложения знают о вас

Большинство фитнес-приложений, таких как Fitbit, Strava, MapMyRun, Nike + Run и Asics Runkeeper, и это лишь некоторые из них, имеют носимое устройство, которое синхронизируется с вашим смартфоном. Это носимое устройство может собирать множество информации, включая количество шагов, которые вы делаете, ваш пульс, куда вы путешествуете и когда, ваш вес, а также когда вы бодрствуете или спите.

Трекеры здоровья – это, как правило, приложения, которые вы устанавливаете на свой телефон. Они полагаются на вас, чтобы заполнить формы о вашем здоровье для сбора данных. В зависимости от того, на какое приложение нацелено приложение, оно может варьироваться от стандартных вопросов о вашем здоровье (Вы получили травму?) До вопросов по довольно деликатным темам (Используете ли вы защиту во время секса?).

Эти данные могут быть нарушены

Производители фитнес-приложений, как и любая другая отрасль, пострадали от утечки данных. Нарушение, которое поразило MyFitnessPal UnderArmour в 2018 году, является крупнейшим на сегодняшний день. Он раскрыл имена пользователей, пароли и адреса электронной почты более 150 миллионов пользователей. Хотя хакеры обычно ищут данные, которые они могут легко монетизировать (например, номер вашей кредитной карты), мысль о том, что данные о местоположении были раскрыты, особенно проблематична. Учитывая, что бегуны и байкеры обычно бегают и едут там, где они живут, злоумышленники могут также определить, где жил пользователь, посмотрев, где начиналась и заканчивалась большая часть его маршрутов..

Ни одно из других основных приложений для фитнеса и здоровья не пострадало от серьезного нарушения данных. К сожалению, вы мало что можете сделать, чтобы приложение отвечало за хранение ваших данных, кроме обмена данными с компаниями и организациями, которым вы доверяете.

Узнайте больше о том, что делать, если вы стали жертвой нарушения данных.

Конечная шахта данных

Обмен данными – суть проблемы. Компании, занимающиеся фитнес-приложениями, часто заинтересованы в том, чтобы делиться вашими ценными данными о состоянии здоровья в режиме реального времени с третьими сторонами, будь то рекламодатели, юридические фирмы или социальные сети, такие как Facebook, которые получают прибыль от вашей конфиденциальной информации. Если бы они были полностью прозрачны в отношении того, как ваши данные были переданы или как настроить параметры конфиденциальности, пользователи могут с меньшей вероятностью доверять приложениям. Вот почему на сегодняшний день скандалы преследуют индустрию приложений для фитнеса и здоровья..

У приложения есть много веских причин для обмена данными. Это может привести к лучшему обслуживанию, которое хочет пользователь. Это может также потребоваться по закону для полицейских расследований. Но производители приложений не всегда считают конфиденциальность вашей конфиденциальной информации главным приоритетом..

Существует три основных способа, которыми приложения для фитнеса и здоровья злоупотребляют вашими данными:

  1. Они автоматически выставляют данные прямо из коробки. Если пользователи хотят использовать эти приложения и защищать свою конфиденциальность, они должны обновить настройки конфиденциальности в приложении или на своем смартфоне, что делают немногие пользователи..
  2. Их политика конфиденциальности расплывчата. Политика конфиденциальности, которая гласит: «Мы можем передавать вашу информацию нашим спонсорам и / или деловым партнерам», не дает пользователю достаточно информации для принятия обоснованного решения..
  3. Их политика конфиденциальности вводит в заблуждение. В некоторых случаях приложения не раскрывают, как данные используются в их политике конфиденциальности. Они прячут это в отдельный документ или маскируют под легальный перевод. Другие, меньшие приложения здоровья могут вообще не иметь политики конфиденциальности.

Слабые настройки конфиденциальности по умолчанию

Ярким примером первой проблемы является фитнес-приложение Strava и его функция Beacon, которая выдает в реальном времени местоположение байкеров и бегунов. Это сделало приложение золотым рудником для воров.

Вот как это работает. Strava сочетает в себе отслеживание фитнеса с платформой социальных сетей, которая позволяет пользователям конкурировать и взаимодействовать друг с другом. Для работы Strava необходимы доступ и разрешение на передачу данных о вашем местоположении. Он также имеет функцию «FlyBy», которая позволяет вам искать других пользователей Strava, которых вы видели или пропустили во время пробежки..

Тем не менее, вам не нужно быть пользователем Strava для доступа к платформе или поиска маршрутов. Как только маршрут выбран, вы можете узнать, кому он принадлежит, посмотреть профиль этого человека и посмотреть, куда он еще может отправиться. Эти данные часто можно использовать для определения местонахождения людей. Эта проблема также в меньшей степени присутствует для MapMyRun, Nike + Run и любых приложений, которые отслеживают ваши пробежки и позволяют вам делиться этими данными.

Хотя средства массовой информации зациклены на военных базах, подвергаемых беговым дорожкам для солдат с помощью функции «Тепловая карта» Стравы, эти данные могут быть использованы для поиска и отслеживания любого пользователя Стравы..

Утечка данных из тепловой карты Strava стала намного хуже:

– Данные могут быть анонимными
– Включает имена и маршруты движения людей на военных объектах строгого режима
– Быстрый поиск показывает имена 50 американских сотрудников на базе в Афганистане
https://t.co/JZCi7sINf8

– WIRED UK (@WiredUK) 29 января 2018 г.

В 2014 году правоохранительные органы приписали резкое увеличение числа краж велосипедов в Великобритании ворам, использовавшим данные Стравы. То же самое произошло снова в 2018 году.

«Я не думаю, что многие люди знали, что эти картографические приложения могут дать огромный объем информации потенциальному вору. Поэтому нам нужно, чтобы люди проверяли их конфиденциальность », – сказал Адам Ланг, сотрудник полиции, который в 2018 году занимался кражей велосипедов..

Strava поставляется с контролем конфиденциальности. К сожалению, лишь немногие пользователи активируют их, и для определения местоположения вашего дома требуется всего несколько прогонов. Кроме того, активация некоторых функций конфиденциальности, таких как отключение функции FlyBy, подрывает удобство использования приложения..

Неопределенные политики конфиденциальности

Приведенный выше пример – «Мы можем делиться вашей информацией с нашими спонсорами и / или деловыми партнерами» – не является гипотетическим. Это происходит из политики конфиденциальности Maya, которая утверждает, что у нее более восьми миллионов пользователей по всему миру. Это недостаточно информации для пользователя, чтобы дать свое информированное согласие. Нигде в политике Maya они не перечисляют тип данных, которыми они делятся, или с какими организациями они делятся.

Это особенно касается рассмотрения типа данных, которые собирает Maya, которые включают информацию о вашем настроении, какой контрацепции вы используете, занимаетесь ли вы сексом и используете ли вы защиту. Отчет Privacy International выявил расплывчатую политику и тот факт, что Maya делится данными с несколькими третьими сторонами, включая Facebook. В отчете также выделен трекер овуляции MIA Fem. MIA Fem имела столь же расплывчатую политику конфиденциальности, но с тех пор обновила ее, чтобы отразить, какие данные передаются каким партнерам. Это всего лишь последнее приложение для здравоохранения, которое корректирует свою политику конфиденциальности после того, как его поймали, обмениваясь данными, не информируя своих пользователей..

Приложение для отслеживания овуляции Flo прекратило обмениваться данными с Facebook после того, как история Wall Street Journal раскрыла подобный обмен данными без согласия. (Единственное, что объединяет Flo, Maya и MIA Fem, – это то, что они были созданы с помощью комплекта разработки программного обеспечения Facebook (SDK), который позволяет разработчикам включать функции и позволяет Facebook собирать пользовательские данные, чтобы он мог показывать целевую рекламу. SDK Facebook был в основе многих других нарушений конфиденциальности.)

Вводящие в заблуждение политики конфиденциальности

HealthEngine – это популярное в Австралии приложение, которое используют более 1,5 миллионов человек для планирования посещений врача. Недавнее расследование показало, что приложение передавало личную медицинскую информацию своих пользователей местным юристам по травмам без их согласия..

Пользователей спросили, были ли они вовлечены в автомобильную аварию или получили травму, связанную с работой. Если они ответили «да», приложение уведомило юристов о травмах о деталях их проблем со здоровьем. Ни в коем случае пользователей не спрашивали, согласны ли они на то, чтобы их данные передавались юристам, и не было никакого упоминания о том, что их данные передавались юристам в политике конфиденциальности HealthEngine. Тот факт, что их личные медицинские данные будут отправлены в юридическую фирму, был обнаружен только в отдельном «Заявлении о сборе». Единственный способ, которым пользователи могли отказаться от этого обмена данными, состоял в том, чтобы не использовать приложение.

В США медицинские приложения Cardiio и My Baby’s Beat и фитнес-приложение Runtastic вынуждены пересмотреть свою политику конфиденциальности после того, как Генеральный прокурор Нью-Йорка заявил, что они передают данные третьим сторонам без четкого согласия.

Что вы должны сделать, чтобы защитить вашу конфиденциальность

Может показаться удивительным, что даже приложениям разрешено так широко распространять медицинскую информацию людей. Но закон США о конфиденциальности в области здравоохранения, HIPAA, не распространяется на информацию, которую клиенты собирают для собственных нужд. Это означает, что в большинстве случаев фитнес-приложения не подпадают под.

Новые правила в США, специально нацеленные на приложения для фитнеса и здоровья, могут побудить разработчиков быть более ответственными в отношении конфиденциальных данных, но пока никакого прогресса не достигнуто. Усилия сенаторов США по предотвращению продажи частных медицинских данных страховщикам, ипотечным кредиторам и работодателям ни к чему не привели.

GDPR ЕС действительно обеспечивает некоторую защиту в том смысле, что он требует информированного и недвусмысленного согласия, прежде чем данные могут быть переданы. Это порог, который Maya, вероятно, нарушает, учитывая, что она не перечисляет все данные, которыми она делится, или кто получает данные в своей политике конфиденциальности. Но это касается только лиц, живущих в Европейском Союзе.

Лучший способ оставаться конфиденциальным при использовании приложений для отслеживания фитнеса или мониторинга состояния здоровья – это взять дело в свои руки.

Вот самые важные шаги, которые вы можете предпринять, чтобы оставаться в безопасности:

  1. Прочитайте политику конфиденциальности: Если неясно, с какими данными он обменивается и с какими организациями он обменивается данными, предположим, что все данные, которые вы вводите в это приложение, могут быть переданы любому количеству неизвестных третьих лиц. Если вас это не устраивает, найдите другое приложение.
  2. Проверьте, есть ли настройки конфиденциальности: Потратьте время, чтобы проверить настройки конфиденциальности. Предотвращение совместного использования данных приложением – это хорошо, но самое частное решение – это в первую очередь предотвратить сбор данных..
  3. Ограничьте данные, которые вы вводите в приложении: Многие из этих приложений собирают больше данных, чем необходимо для выполнения их основной функции. Вопрос, нужно ли вам делиться этими данными, чтобы использовать приложение. Например, нет никакой причины, по которой трекер овуляции должен знать, если у вас есть незащищенный секс, чтобы он функционировал.
  4. Если есть сомнения, спросите: Если вы не уверены, как компания, занимающаяся фитнес-приложениями, планирует использовать ваши данные, отправьте им электронное письмо и спросите. (И если вы это сделаете, дайте нам знать, что они говорят!)

Приложения для фитнеса и здоровья являются отличными инструментами, которые могут помочь вам оставаться в форме и отслеживать свои успехи. Но вам не нужно подвергать опасности свое цифровое здоровье ради вашего физического здоровья. Важно знать, что загружаемые вами приложения могут поставить под угрозу вашу конфиденциальность.

С наилучшими пожеланиями,
Команда ProtonVPN

ОБНОВЛЕНИЕ 1 ноября 2019 года: Google объявил, что купит Fitbit за 2,1 миллиарда долларов. Это повышает вероятность того, что Google получит доступ к медицинским данным Fitbit для рекламы, но руководители Google заявили, что это не так. В электронном письме клиентам генеральный директор Fitbit написал: «Мы никогда не продаем вашу личную информацию, и данные о здоровье и благополучии Fitbit не будут использоваться для рекламы Google». Ожидается, что сделка будет завершена в следующем году.

Щебетать | Facebook | Reddit | Instagram

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map