Фітнес-програми – це ризик для вашої конфіденційності, ось чому

Це повідомлення було оновлено 31 жовтня 2019 року.


Програми для фітнесу та здоров’я розроблені, щоб допомогти вам записати та оцінити кількість фізичних вправ, які лікарські препарати ви приймаєте, навіть які методи контролю народжуваності ви використовуєте. Хоча ці програми можуть допомогти покращити ваше здоров’я, вони також можуть поставити під загрозу вашу конфіденційність. У гірших випадках вони піддають людей фізичній небезпеці, як-от виявлення домашніх адрес бігунів та місцезнаходження в реальному часі.

Багато з цих додатків розкривають конфіденційну інформацію або діляться нею з десятками сторонніх осіб, включаючи Facebook, не надаючи користувачам повних деталей у своїй політиці конфіденційності. Ця інформація може включати в себе чутливі дані про місцеположення, конфіденційні медичні дані або навіть дуже особисту інформацію, наприклад, чи є у вас незахищений секс чи ні.

Ці типи додатків вибухнули популярністю за останні п’ять років. У 2018 році лише у Fitbit було понад 27 мільйонів користувачів. На початку цього року Страва стверджував, що у неї 42 мільйони користувачів – і щомісяця додає мільйон користувачів. Враховуючи конфіденційні дані, які ці програми збирають, та їхню слабку інформацію про захист цих даних, вони представляють істотну загрозу конфіденційності своїх користувачів..

Що про вас знають додатки для фітнесу

Більшість додатків для фітнесу, такі як Fitbit, Strava, MapMyRun, Nike + Run та Asics Runkeeper, лише декілька, мають носійний пристрій, який синхронізується з вашим смартфоном. Цей носячий пристрій може збирати різноманітну інформацію, включаючи кількість кроків, які ви робите, серцевий ритм, куди ви подорожуєте та коли, вагу та коли не спите чи спите.

Охорони здоров’я – це звичайно програми, які ви встановлюєте на свій телефон. Вони покладаються на вас, щоб заповнити форми про ваше здоров’я для збору даних. Залежно від того, на що націлений додаток, воно може варіюватися від стандартних запитань про ваше здоров’я (Ви травмовані?) До питань щодо досить чутливих тем (Чи використовуєте ви захист під час сексу?).

Ці дані можуть бути порушені

Виробники додатків для фітнесу, як і будь-яка інша галузь, зазнали порушення даних. Порушення, яке потрапило в MyFitnessPal в 2018 році UnderArmour, є найбільшим на сьогоднішній день. Він викрив імена користувачів, паролі та адреси електронної пошти понад 150 мільйонів користувачів. Хоча хакери зазвичай отримують дані, вони можуть легко монетизувати (як, наприклад, номер вашої кредитної картки), думка про викриття даних про місцезнаходження особливо непроста. Зважаючи на те, що бігуни та байкери, як правило, бігають та їздять там, де вони живуть, зловмисники також могли визначити, де жив користувач, дивлячись, де починається та закінчується більшість їх маршрутів..

Жоден з інших основних додатків для фітнесу та здоров’я не зазнав серйозного порушення даних. На жаль, мало що можна зробити, щоб додаток відповідально зберігав свої дані, окрім лише обміну даними з компаніями та організаціями, яким ви довіряєте.

Дізнайтеся більше про те, що робити, якщо ви стали жертвою порушення даних.

Кінцеві дані шахти

Обмін даними – суть проблеми. Компанії, що займаються фітнесом, часто заохочують ділитися вашими цінними даними про стан здоров’я в реальному часі з третіми особами, будь то рекламодавці, юридичні фірми або соціальні мережі, такі як Facebook, які отримують прибуток від вашої конфіденційної інформації. Якщо вони були повністю прозорими щодо того, як передаються ваші дані або як налаштувати налаштування конфіденційності, користувачі можуть менше довіряти програмам. Ось чому, на сьогоднішній день, індустрію додатків для фітнесу та здоров’я піддаються скандали.

Існує багато поважних причин для програми для обміну даними. Це може призвести до кращого обслуговування, якого бажає користувач. Законом він може вимагатись і для розслідування поліції. Але виробники додатків не завжди трактують конфіденційність вашої конфіденційної інформації як головний пріоритет.

Існує три основні способи, як додатки для фітнесу та здоров’я зловживають вашими даними:

  1. Вони автоматично відкривають дані прямо з поля. Якщо користувачі хочуть використовувати ці додатки та охороняти їх конфіденційність, вони повинні оновити налаштування конфіденційності в додатку чи на своєму смартфоні, що мало хто з користувачів робить.
  2. Їх політика конфіденційності нечітка. Політика конфіденційності, яка говорить: “Ми можемо ділитися вашою інформацією з нашими спонсорами та / або діловими партнерами”, не дає користувачеві достатньо інформації для прийняття обгрунтованого рішення.
  3. Їх політика конфіденційності вводить в оману. У деяких випадках програми не розголошують, як дані використовуються в політиці конфіденційності. Вони ховають його в окремому документі або маскують у заплутану легалізацію. Інші, менші програми охорони здоров’я, можливо, взагалі не мають політики конфіденційності.

Слабкі налаштування конфіденційності за замовчуванням

Прекрасним прикладом першої проблеми є фітнес-програма Strava та її маякова функція, яка зраджує в реальному часі місцезнаходження байкерів та бігунів. Це зробило додаток золотою шахтою для злодіїв.

Ось як це працює. Strava поєднує відстеження фітнесу із платформою соціальних медіа, яка дозволяє його користувачам конкурувати та взаємодіяти один з одним. Для роботи Strava потрібен доступ та дозвіл на обмін даними про ваше місцезнаходження. Він також має функцію “FlyBy”, яка дозволяє шукати інших користувачів Strava, яких ви бачили або пройшли під час руху..

Однак вам не потрібно бути користувачем Strava для доступу до платформи або пошуку маршрутів. Вибравши маршрут, ви зможете дізнатись, кому він належить, перегляньте профіль цього індивіда та побачите, де ще вони можуть рухатися. Ці дані часто можуть бути використані для пошуку будинків людей. Ця проблема також меншою мірою присутня для MapMyRun, Nike + Run та будь-якого додатка, який відстежує ваші пробіжки та дає змогу ділитися цими даними.

Хоча засоби масової інформації, зафіксовані на військових базах, піддаються біговим маршрутам солдатів із функцією “HeatMap” Страви, ці дані можуть бути використані для пошуку та підписання будь-якого користувача Strava.

Протікання даних теплової карти Strava просто погіршилося:

– Дані можна деанонімізувати
– Включає імена та маршрути руху людей на військових об’єктах підвищеної безпеки
– Швидкий пошук показує імена 50 американського персоналу на базі в Афганістані
https://t.co/JZCi7sINf8

– WIRED UK (@WiredUK) 29 січня 2018 року

У 2014 році правоохоронці приписували різке зростання крадіжок велосипедів у Великобританії злодіям, використовуючи дані Strava. Те саме повторилося в 2018 році.

“Я не думаю, що багато людей усвідомлювали, що ці програми для картографування в основному можуть дати величезну кількість інформації потенційному злодію. Тому нам потрібно, щоб люди перевіряли їх приватність », – сказав Адам Ланг, поліцейський, який заглянув у крадіжки велосипедів у 2018 році.

Страва постачається з контролем конфіденційності. На жаль, мало користувачів активує їх, і для розкриття місцезнаходження вашого будинку потрібно лише кілька пробіжок. Крім того, активація деяких функцій конфіденційності, як-от вимкнення функції “FlyBy”, підриває зручність використання програми.

Неясна політика конфіденційності

Приклад вище – “Ми можемо поділитися вашою інформацією з нашими спонсорами та / або діловими партнерами” – не є гіпотетичним. Це випливає з політики конфіденційності трекера овуляції Maya, яка стверджує, що має понад вісім мільйонів користувачів у всьому світі. Це недостатня інформація, щоб користувач міг дати свою інформовану згоду. Ніде в політиці Майя вони не перелічують тип даних, якими вони діляться, або з якими організаціями вони діляться.

Це особливо стосується врахування типу даних, які збирає Майя, яка включає інформацію про ваш настрій, яку контрацепцію ви використовуєте, чи займаєтесь сексом та чи використовуєте ви захист. У доповіді Privacy International було викладено розпливчасту політику та факт, що Майя обмінюється даними з кількома третіми сторонами, включаючи Facebook. У звіті також було висвітлено овуляційний трекер MIA Fem. MIA Fem мала однаково розпливчасту політику конфіденційності, але після цього оновила її, щоб відобразити, які дані надходять до партнерів. Це лише найновіша програма охорони здоров’я, яка коригує свою політику конфіденційності після того, як їх спіймають, обмінюючись даними, не повідомляючи своїх користувачів.

Додаток відслідковування овуляції Flo припинив обмін даними з Facebook після того, як історія журналу Wall Street Journal викрила подібний обмін даними без згоди. (Одне, що у Flo, Maya та MIA Fem є спільним, – це те, що вони були створені за допомогою комплекту програм для розробки програмного забезпечення (SDK) Facebook, який дозволяє розробникам використовувати функції та дозволяє Facebook збирати дані користувачів, щоб вони могли показувати цільову рекламу. SDK Facebook був в основі багатьох інших порушень конфіденційності.)

Оманливі політики конфіденційності

HealthEngine – популярний додаток в Австралії, який використовується понад 1,5 мільйона людей для планування призначень лікарів. Нещодавно проведене розслідування встановило, що додаток ділиться приватною медичною інформацією користувачів з місцевими адвокатами з травм без їх згоди.

Користувачів запитали, чи були вони причетні до ДТП чи зазнали трудових травм. Якщо вони відповіли “так”, програма повідомила адвокатів про травми про деталі своїх проблем зі здоров’ям. Користувачі жодного разу не запитували, чи згодні вони на те, щоб їхні дані ділилися з адвокатами, а також не було згадок про те, щоб їхні дані ділилися з адвокатами в політиці конфіденційності HealthEngine. Про те, що їхні приватні медичні дані будуть надсилатись до юридичної фірми, було виявлено лише в окремій «Заяві про збір». Єдиний спосіб, коли користувачі могли відмовитися від цього обміну даними, – це не використовувати додаток.

У США програми охорони здоров’я Cardiio та My Baby’s Beat та фітнес-додаток Runtastic змушені переглянути свою політику конфіденційності після того, як Генеральний прокурор штату Нью-Йорк заявив, що вони обмінюються даними з третіми особами без чіткої згоди.

Що потрібно зробити, щоб захистити свою конфіденційність

Це може дивуватися, що навіть законно, щоб програми так широко ділилися медичною інформацією людей. Але американський закон про конфіденційність охорони здоров’я HIPAA не поширюється на інформацію, яку клієнти збирають для власного використання. Це означає, що в більшості випадків додатки для фітнесу не підпадають під дію регламенту.

Нові норми в США, спеціально орієнтовані на додатки для фітнесу та оздоровлення, можуть спонукати розробників бути відповідальнішими за конфіденційні дані, але поки що прогресу не було. Зусилля американських сенаторів щодо запобігання продажу приватних медичних даних страховикам, іпотечним кредиторам та роботодавцям нікуди не привели.

GDPR ЄС забезпечує певний захист тим, що він вимагає усвідомленої та однозначної згоди перед тим, як можна ділитися даними. Це поріг, який Майя, ймовірно, порушує, враховуючи, що вона не перераховує всі дані, якими вона ділиться, або які отримують дані у своїй політиці конфіденційності. Але це стосується лише осіб, які проживають в Європейському Союзі.

Найкращий спосіб залишатися приватним під час використання програм фітнесу або спостереження за здоров’ям – це взяти справи в свої руки.

Це найважливіші кроки, які ви можете зробити, щоб бути безпечними:

  1. Прочитайте політику конфіденційності: Якщо невідомо про те, якими даними він ділиться, та з якими організаціями він обмінюється даними, припустіть, що всі дані, які ви вводите в цю програму, можуть бути надані будь-якій кількості невідомих третіх сторін. Якщо вам це не подобається, знайдіть інший додаток.
  2. Перевірте, чи є налаштування конфіденційності: Знайдіть час, щоб перевірити налаштування конфіденційності. Запобігання програмі обміну вашими даними – це добре, але найбільш приватне рішення – у першу чергу не дозволяти йому збирати дані.
  3. Обмежте дані, які ви вводите в програму: Багато з цих додатків збирають більше даних, ніж потрібно для їх основної функції. Запитання, чи потрібно обмінюватися цими даними, щоб користуватися додатком. Наприклад, немає причин, коли слідку овуляції потрібно знати, чи є у вас незахищений секс, щоб він міг функціонувати.
  4. Якщо сумніваєтесь, запитайте: Якщо ви не впевнені, як компанія-фітнес-програма планує використовувати ваші дані, надішліть їм електронний лист і запитайте. (І якщо ви це зробите, дайте нам знати, що вони кажуть!)

Програми для фітнесу та здоров’я – це чудові інструменти, які допоможуть мотивувати вас залишатися у формі та відстежувати свій прогрес. Але вам не доведеться загрожувати своєму цифровому здоров’ю заради вашого фізичного здоров’я. Важливо пам’ятати, що завантажені програми можуть піддавати вашій конфіденційності ризик.

З повагою,
Команда ProtonVPN

ОНОВЛЕННЯ 1 листопада 2019 року: Google оголосив, що закупить Fitbit за 2,1 мільярда доларів. Це збільшує можливість Google отримати доступ до даних про стан здоров’я Fitbit для реклами, але керівники Google заявили, що це не так. В електронному листі до клієнтів генеральний директор Fitbit написав: “Ми ніколи не продаємо вашу особисту інформацію, а дані про здоров’я та здоров’я Fitbit не використовуватимуться для оголошень Google”. Очікується, що угода буде завершена через наступний рік.

Twitter | Facebook | Reddit | Instagram

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map