Fitness aplikace představují riziko pro vaše soukromí

Tento příspěvek byl aktualizován 31. října 2019.


Aplikace pro zdraví a zdraví jsou navrženy tak, aby vám pomohly zaznamenat a kvantifikovat, kolik cvičíte, jaké léky na předpis užíváte, i jaké metody antikoncepce používáte. I když tyto aplikace mohou pomoci zlepšit vaše zdraví, mohou také ohrozit vaše soukromí. V nejhorších případech vystavují lidi fyzickému nebezpečí, například odhalují domácí adresy běžců a polohu v reálném čase..

Mnoho z těchto aplikací vystavuje citlivé informace nebo je sdílí s desítkami třetích stran, včetně Facebooku, aniž by uživatelům poskytovalo veškeré podrobnosti v jejich zásadách ochrany osobních údajů. Tyto informace mohou zahrnovat citlivé údaje o poloze, důvěrné lékařské údaje nebo dokonce vysoce osobní údaje, například zda máte nechráněný sex.

Tyto typy aplikací v posledních pěti letech popularitu explodovaly. V roce 2018 měl sám Fitbit více než 27 milionů uživatelů. Začátkem tohoto roku Strava tvrdil, že má 42 milionů uživatelů – a že každý měsíc přidává jeden milion uživatelů. Vzhledem k citlivým údajům, které tyto aplikace shromažďují, a jejich špatnému záznamu o ochraně těchto údajů představují tyto aplikace značnou hrozbu pro soukromí svých uživatelů.

Jaké fitness aplikace o vás vědí

Většina fitness aplikací, jako je Fitbit, Strava, MapMyRun, Nike + Run a Asics Runkeeper, jen abychom jmenovali alespoň některé, mají nositelné zařízení, které se synchronizuje s vaším smartphonem. Toto nositelné zařízení může sbírat informace, včetně počtu kroků, vašeho srdečního tepu, kam cestujete a kdy, vaší váhy a kdy jste vzhůru nebo spíte..

Sledovače stavu jsou obecně aplikace, které instalujete do telefonu. Spoléhají na vás, že při shromažďování údajů vyplníte formuláře o svém zdraví. V závislosti na tom, na co aplikace cílí, by se mohlo jednat od standardních otázek o vašem zdraví (jste zranění?) Až po otázky týkající se velmi citlivých témat (používáte ochranu, když máte sex?).

Tato data mohou být porušena

Tvůrci aplikací pro fitness, stejně jako každé jiné odvětví, utrpěli narušení dat. Porušení, které zasáhlo MyFitnessPal od společnosti UnderArmour v roce 2018, je dosud největší. Odhalila uživatelská jména, hesla a e-mailové adresy více než 150 milionů uživatelů. Zatímco hackeři obvykle jdou za daty, která mohou snadno zpeněžit (například číslo vaší kreditní karty), myšlenka, že byla odhalena data o poloze, je obzvláště problematická. Vzhledem k tomu, že běžci a cyklisté obvykle běhají a jezdí tam, kde žijí, mohli útočníci také zjistit, kde uživatel žil, a podívat se na to, kde většina jejich tras začíná a končí.

Žádná z ostatních hlavních aplikací pro fitness a zdraví neutrpěla závažné porušení dat. Bohužel můžete udělat jen málo pro to, aby aplikace zodpovědně ukládala vaše data, kromě sdílení dat pouze se společnostmi a organizacemi, kterým důvěřujete.

Další informace o tom, co dělat, pokud jste se stali obětí narušení dat.

Konečný datový důl

Těžištěm tohoto problému je sdílení dat. Společnosti poskytující fitness aplikace jsou často motivovány ke sdílení vašich cenných zdravotních údajů v reálném čase se třetími stranami, ať už jsou to inzerenti, právnické firmy nebo sociální sítě, jako je Facebook, které těží z vašich citlivých informací. Pokud byly plně transparentní o tom, jak byla vaše data sdílena nebo jak upravovat nastavení ochrany osobních údajů, může být pravděpodobnost, že uživatelé budou těmto aplikacím důvěřovat. To je důvod, proč se do dnešního dne průmysl v oblasti fitness a zdraví týkal skandálů.

Existuje mnoho platných důvodů, proč aplikace sdílí data. To může vést k lepší službě, kterou uživatel chce. To může být také vyžadováno zákonem pro policejní vyšetřování. Tvůrci aplikací však ne vždy považují soukromí vašich citlivých informací za nejvyšší prioritu.

Vaše data zneužívají tři hlavní způsoby, jak aplikace pro zdraví a zdraví:

  1. Automaticky vystavují data ihned po vybalení z krabice. Pokud uživatelé chtějí používat tyto aplikace a chránit své soukromí, musí aktualizovat nastavení ochrany osobních údajů v aplikaci nebo na svém smartphonu, což málokdo udělá.
  2. Jejich zásady ochrany osobních údajů jsou vágní. Zásady ochrany osobních údajů, které uvádějí: „Můžeme sdílet vaše informace s našimi sponzory nebo obchodními partnery,“ nedávají uživateli dostatek informací, aby mohl učinit informované rozhodnutí..
  3. Jejich zásady ochrany osobních údajů jsou zavádějící. V některých případech aplikace nezveřejňují, jak jsou data použita v jejich zásadách ochrany osobních údajů. Skryjí ho v samostatném dokumentu nebo zamaskují jej v matoucím právníku. Jiné menší aplikace pro zdraví nemusí mít zásady ochrany osobních údajů vůbec.

Slabé výchozí nastavení ochrany osobních údajů

Prvním příkladem prvního problému je fitness aplikace Strava a její funkce Beacon, která prozrazuje umístění cyklistů a běžců v reálném čase. Díky tomu byla aplikace pro zloděje zlatým dolem.

Takto to funguje. Strava kombinuje sledování kondice s platformou sociálních médií, která uživatelům umožňuje vzájemně si konkurovat a interagovat. Aby mohla Strava fungovat, potřebuje ke sdílení údajů o poloze přístup a oprávnění. Má také funkci „FlyBy“, která vám umožní vyhledávat ostatní uživatele Stravy, které jste viděli nebo předali během svého běhu.

Pro přístup na platformu nebo prohledávání tras však nemusíte být uživatelem Strava. Jakmile je trasa vybrána, můžete zjistit, do koho patří, podívat se na profil dané osoby a zjistit, kde ještě budou běžet. Tato data lze často použít k vyhledání domovů lidí. Tento problém se vyskytuje také v menší míře pro MapMyRun, Nike + Run a každou aplikaci, která sleduje vaše běhy a umožňuje sdílet tato data..

I když jsou média fixovaná na vojenských základnách vystavena běžeckými trasami vojáků pomocí funkce „HeatMap“ společnosti Strava, tato data by mohla být použita k nalezení a sledování jakéhokoli uživatele Stravy.

Únik datové mapy Strava se ještě zhoršil:

– Data mohou být anonymizována
– Zahrnuje jména a běžecké trasy lidí ve vysoce zabezpečených vojenských zařízeních
– Rychlé vyhledávání ukazuje jména 50 amerických pracovníků na základně v Afghánistánu
https://t.co/JZCi7sINf8

– WIRED UK (@ WiredUK) 29. ledna 2018

V roce 2014 donucovací orgány přisuzovaly zlodějům využívajícím data Strava prudký nárůst krádeží kol ve Velké Británii. Totéž se stalo znovu v roce 2018.

“Nemyslím si, že mnoho lidí si bylo vědomo, že tyto mapovací aplikace mohou v zásadě poskytnout potenciálnímu zloději obrovské množství informací.” Potřebujeme tedy lidi, aby si ověřili své soukromí, “řekl Adam Lang, policejní důstojník, který se v roce 2018 podíval na krádeže kol.

Strava přichází s kontrolou soukromí. Bohužel je jen málo uživatelů aktivuje a odhalení polohy vašeho domova trvá jen pár běhů. Aktivace některých funkcí ochrany osobních údajů, například deaktivace funkce „FlyBy“, navíc oslabuje použitelnost aplikace..

Vague zásady ochrany osobních údajů

Výše uvedený příklad – „Můžeme sdílet vaše informace s našimi sponzory a / nebo obchodními partnery“ – není hypotetický. Vychází z politiky ochrany osobních údajů sledovače ovcí Maya, která tvrdí, že má na celém světě více než osm milionů uživatelů. Toto není dostačující informace pro uživatele, aby mohl dát svůj informovaný souhlas. Nikde v Mayově politice neuvádějí typ dat, která sdílejí nebo se kterými organizacemi je sdílí.

Jedná se zejména o zvažování typu údajů, které Maya shromažďuje, což zahrnuje informace o vaší náladě, jaký druh antikoncepce používáte, zda máte sex a zda používáte ochranu. Zpráva Privacy International odhalila vágní politiku a skutečnost, že Maya sdílí data s několika třetími stranami, včetně Facebooku. Zpráva také zdůraznila sledovač ovulace MIA Fem. MIA Fem měla stejně vágní zásady ochrany osobních údajů, ale od té doby ji aktualizovala, aby odrážela data, ke kterým partnerům jde. Je to jen nejnovější aplikace pro zdraví, která upravuje své zásady ochrany osobních údajů po zachycení sdílení dat, aniž by informovala své uživatele.

Aplikace Sledování ovulace Flo zastavila sdílení dat s Facebookem poté, co příběh Wall Street Journal odhalil podobné sdílení dat bez souhlasu. (Jedna věc, kterou mají Flo, Maya a MIA Fem společné, je, že byly vytvořeny pomocí sady Facebook Development Software Kit (SDK), která umožňuje vývojářům začlenit funkce a umožňuje Facebooku shromažďovat uživatelská data, takže může zobrazovat cílené reklamy. v srdci mnoha dalších porušení ochrany soukromí.)

Zavádějící zásady ochrany osobních údajů

HealthEngine je populární aplikace v Austrálii, kterou používá více než 1,5 milionu lidí k plánování schůzek lékaře. Nedávné šetření zjistilo, že aplikace sdílela soukromé lékařské informace svých uživatelů s místními právníky na úrazy bez jejich souhlasu.

Uživatelé byli dotázáni, zda se účastnili dopravní nehody nebo utrpěli pracovní úraz. Pokud odpověděli ano, aplikace informovala právníky o úrazech o podrobnostech o jejich zdravotních problémech. V žádném okamžiku nebyli uživatelé dotázáni, zda souhlasili se sdílením svých údajů s právníky, ani se nezmínili o jejich sdílení s právníky v zásadách ochrany osobních údajů HealthEngine. Skutečnost, že jejich soukromé lékařské údaje budou zaslány advokátní kanceláři, byla odhalena pouze v samostatném „Prohlášení o sběru“. Jediným způsobem, jak se uživatelé mohli odhlásit od tohoto sdílení dat, bylo nepoužívat aplikaci.

V USA jsou zdravotnické aplikace Cardiio a My Baby’s Beat a fitness aplikace Runtastic nuceny revidovat své zásady ochrany osobních údajů poté, co generální prokurátor v New Yorku uvedl, že sdílejí data s třetími stranami bez jasného souhlasu.

Co byste měli udělat pro ochranu vašeho soukromí

Může být překvapivé, že je dokonce legální, aby aplikace sdílely lékařské informace lidí tak široce. Americký zákon o ochraně soukromí v oblasti zdraví, HIPAA, se však nevztahuje na informace, které zákazníci shromažďují pro vlastní potřebu. To znamená, že ve většině případů se na fitness aplikace nevztahuje nařízení.

Nové předpisy v USA, které se konkrétně zaměřují na fitness a zdravotní aplikace, by mohly povzbudit vývojáře k větší odpovědnosti za citlivá data, ale zatím nedošlo k žádnému pokroku. Úsilí amerických senátorů zabránit prodeji soukromých zdravotních údajů pojistitelům, hypotečním půjčovatelům a zaměstnavatelům nikam nevedlo.

GDPR EU poskytuje určitou ochranu v tom, že vyžaduje sdílení informovaného a jednoznačného souhlasu před sdílením údajů. To je prahová hodnota, kterou Maya pravděpodobně porušuje, protože v jejích zásadách ochrany osobních údajů neuvádí všechna data, která sdílí nebo kdo je přijímá. To se však týká pouze jednotlivců žijících v Evropské unii.

Nejlepší způsob, jak zůstat v soukromí při používání fitness sledování nebo sledování zdravotního stavu aplikací, je vzít věci do svých rukou.

Toto jsou nejdůležitější kroky, které můžete podniknout, abyste zůstali v bezpečí:

  1. Přečtěte si zásady ochrany osobních údajů: Pokud není jasné, s jakým datem sdílí a s jakými organizacemi sdílí data, předpokládejme, že všechna data, která do této aplikace zadáte, by mohla být sdílena s libovolným počtem neznámých třetích stran. Pokud vám to nebude vyhovovat, najděte jinou aplikaci.
  2. Zkontrolujte, zda existují nastavení ochrany osobních údajů: Udělejte si čas a zkontrolujte nastavení ochrany osobních údajů. Zabránit aplikaci ve sdílení vašich dat je dobré, ale nejvíce soukromým řešením je v první řadě zabránit shromažďování dat.
  3. Omezte data zadaná v aplikaci: Mnoho z těchto aplikací shromažďuje více dat, než je nezbytné pro plnění jejich základní funkce. Zeptejte se, zda pro sdílení aplikace potřebujete tato data sdílet. Například neexistuje žádný důvod, aby sledovač ovulace musel vědět, zda máte nechráněný sex, aby mohl fungovat.
  4. V případě pochybností se zeptejte: Pokud si nejste jisti, jak společnost fitness app plánuje vaše data použít, pošlete jim e-mail a zeptejte se. (A pokud ano, dejte nám vědět, co říkají!)

Aplikace pro zdraví a zdraví jsou skvělé nástroje, které vám mohou motivovat, abyste zůstali fit a sledovali svůj pokrok. Neměli byste však kvůli fyzickému zdraví ohrožovat své digitální zdraví. Je důležité si uvědomit, že stahované aplikace mohou ohrozit vaše soukromí.

s pozdravem,
Tým ProtonVPN

AKTUALIZACE 1. listopadu 2019: Google oznámil, že koupí Fitbit za 2,1 miliardy dolarů. Tím se zvyšuje možnost, aby Google přistupoval ke zdravotním údajům Fitbit pro reklamu, ale vedení společnosti Google uvedlo, že tomu tak nebude. V e-mailu pro zákazníky generální ředitel společnosti Fitbit napsal: „Nikdy nebudeme prodávat vaše osobní údaje a zdraví a wellness data společnosti Fitbit nebudou použita pro reklamy Google.“ Očekává se, že dohoda bude dokončena někdy příští rok.

Twitter | Facebook | Reddit | Instagram

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map