피트니스 앱은 개인 정보 보호에 위험이 있습니다. 여기에 이유가 있습니다.

이 포스트는 2019 년 10 월 31 일에 업데이트되었습니다.


피트니스 및 건강 앱은 운동량, 복용하는 처방약, 사용하는 피임법 등을 기록하고 정량화 할 수 있도록 설계되었습니다. 이러한 앱은 건강을 개선하는 데 도움이되지만 개인 정보를 위험에 빠뜨릴 수도 있습니다. 최악의 경우 조깅하는 사람의 집 주소 및 실시간 위치 공개와 같은 신체적 위험에 처하게됩니다..

이러한 앱 중 상당수는 개인 정보 보호 정책의 전체 세부 정보를 제공하지 않고도 민감한 정보를 노출하거나 Facebook을 포함한 수십 개의 타사와 정보를 공유합니다. 이 정보에는 민감한 위치 데이터, 기밀 의료 데이터 또는 보호되지 않은 성관계 여부와 같은 개인 정보가 포함될 수 있습니다..

이러한 유형의 앱은 지난 5 년간 인기가 폭발적으로 증가했습니다. 2018 년 Fitbit 만해도 2,700 만 명 이상의 사용자가있었습니다. 올해 초 Strava는 4 천 2 백만 명의 사용자를 보유하고 있으며 매달 백만 명의 사용자를 추가하고 있다고 주장했다. 이러한 앱이 수집하는 민감한 데이터와이 데이터를 보호하는 데 열악한 기록을 감안할 때 이러한 앱은 사용자의 개인 정보에 심각한 위협이됩니다..

피트니스 앱이 당신에 대해 알고있는 것

Fitbit, Strava, MapMyRun, Nike + Run 및 Asics Runkeeper와 같은 대부분의 피트니스 앱에는 스마트 폰과 동기화되는 웨어러블 기기가 있습니다. 이 웨어러블 기기는 걸음 수, 심박수, 여행 장소 및 시간, 체중, 깨어 있거나 자고있을 때 등의 정보를 수집 할 수 있습니다..

건강 추적기는 일반적으로 휴대 전화에 설치하는 응용 프로그램입니다. 그들은 데이터 수집을위한 건강에 관한 양식을 작성하는 데 당신을 의지합니다. 앱이 타겟팅하는 대상에 따라 건강에 대한 표준 질문 (부상을 당했습니까?)부터 매우 민감한 주제에 대한 질문 (성별시 보호 기능을 사용합니까?)까지 다양 할 수 있습니다..

이 데이터는 위반 될 수 있습니다

다른 모든 산업과 마찬가지로 피트니스 앱 제조업체도 데이터 유출로 어려움을 겪고 있습니다. UnderArmour의 MyFitnessPal이 2018 년에 발생한 위반은 현재까지 가장 큰 규모입니다. 1 억 5 천만 명 이상의 사용자 이름, 비밀번호 및 이메일 주소가 노출되었습니다. 해커는 일반적으로 데이터를 사용하지만 신용 카드 번호와 같이 쉽게 수익을 창출 할 수 있지만 위치 데이터가 노출되었다는 생각은 특히 문제가됩니다. 조깅하는 사람과 자전거 타는 사람은 일반적으로 자신이 사는 곳에서 달리고 타기 때문에 공격자는 대부분의 경로가 시작되고 끝난 곳을보고 사용자가 살았던 곳을 식별 할 수 있습니다.

다른 주요 피트니스 및 건강 앱 중 어느 것도 중대한 데이터 유출로 고통받지 않았습니다. 안타깝게도 신뢰할 수있는 회사 및 조직과 데이터를 공유하는 것 외에 앱이 데이터를 책임있게 저장하도록하기 위해 할 수있는 일은 거의 없습니다..

데이터 유출의 피해자 인 경우해야 할 일에 대해 자세히 알아보십시오.

최고의 데이터 마이닝

데이터 공유가 문제의 핵심입니다. 피트니스 앱 회사는 귀중한 실시간 건강 데이터를 광고주, 법률 회사 또는 민감한 정보로 이익을 얻는 Facebook과 같은 소셜 네트워크에 관계없이 타사와 공유하도록 장려됩니다. 데이터 공유 방법 또는 개인 정보 설정 조정 방법에 대해 완전히 투명하다면 사용자가 앱을 신뢰하지 않을 수 있습니다. 그렇기 때문에 지금까지 피트니스 및 건강 앱 산업은 스캔들에 의해 막혔습니다..

앱이 데이터를 공유해야하는 여러 가지 이유가 있습니다. 사용자가 원하는 더 나은 서비스로 이어질 수 있습니다. 경찰 수사를 위해 법으로 요구할 수도 있습니다. 그러나 앱 제조업체가 중요한 정보의 개인 정보를 항상 최우선 순위로 취급하지는 않습니다.

피트니스 및 건강 앱이 데이터를 악용하는 세 가지 주요 방법이 있습니다.

  1. 즉시 자동으로 데이터를 노출합니다. 사용자가 이러한 앱을 사용하고 개인 정보를 보호하려면 앱 또는 스마트 폰에서 개인 정보 설정을 업데이트해야합니다..
  2. 그들의 프라이버시 정책은 모호하다. “우리는 스폰서 및 / 또는 비즈니스 파트너와 귀하의 정보를 공유 할 수 있습니다”라는 개인 정보 보호 정책은 사용자에게 정보에 근거한 결정을 내리기에 충분한 정보를 제공하지 않습니다..
  3. 그들의 개인 정보 보호 정책은 오도합니다. 경우에 따라 앱은 개인 정보 보호 정책에서 데이터가 어떻게 사용되는지 공개하지 않습니다. 그들은 별도의 문서에 숨기거나 혼란스러운 법률가로 위장합니다. 다른 소규모 건강 앱에는 개인 정보 보호 정책이 전혀 없을 수 있습니다.

약한 기본 개인 정보 설정

첫 번째 문제의 주요 예는 피트니스 앱 Strava와 Beacon 기능으로, 자전거 및 러너의 실시간 위치를 배신합니다. 이것은 응용 프로그램을 도둑을위한 금광으로 만들었습니다..

작동 방식은 다음과 같습니다. Strava는 피트니스 추적과 소셜 미디어 플랫폼을 결합하여 사용자가 서로 경쟁하고 상호 작용할 수 있도록합니다. Strava가 작동하려면 위치 데이터를 공유 할 수있는 액세스 권한이 필요합니다. 또한 “FlyBy”기능이있어 달리기 중에 보거나 통과 한 다른 Strava 사용자를 조회 할 수 있습니다.

그러나 플랫폼에 액세스하거나 경로를 찾기 위해 Strava 사용자 일 필요는 없습니다. 경로를 선택하면 해당 경로의 소유자를 찾고 해당 개인의 프로필을보고 달리기 시작한 곳을 확인할 수 있습니다. 이 데이터는 종종 사람들의 집을 찾는 데 사용될 수 있습니다. 이 문제는 또한 MapMyRun, Nike + Run 및 달리기를 추적하고 해당 데이터를 공유 할 수있는 모든 앱에 대해 더 적습니다..

Strava의 “HeatMap”기능을 사용하여 군인의 조깅 경로에 의해 군사 기지에 노출되는 미디어가 Strava 사용자를 찾아 따라가는 데 사용될 수 있습니다..

Strava 히트 맵 데이터 유출은 훨씬 더 나빠졌습니다.

– 데이터의 익명을 해제 할 수 있습니다
– 고도의 보안 시설에있는 사람들의 이름과 운행 경로 포함
– 빠른 검색으로 아프가니스탄의 한 기지에 50 명의 미국 직원 이름이 표시됩니다.
https://t.co/JZCi7sINf8

— WIRED UK (@WiredUK) 2018 년 1 월 29 일

2014 년, 법 집행 기관은 영국에서 자전거 도난이 급격히 증가하여 Strava 데이터를 사용하는 도둑으로 인해 발생했습니다. 동일한 일이 2018 년에 다시 발생했습니다..

“저는 많은 사람들이 이러한 매핑 앱이 기본적으로 엄청난 양의 정보를 도둑에게 줄 수 있다는 것을 알고 있다고 생각하지 않습니다. 그래서 우리는 사람들의 개인 정보를 확인해야합니다.”2018 년 자전거 도난을 조사한 경찰관 Adam Lang은 말했습니다..

Strava에는 개인 정보 보호 기능이 있습니다. 불행히도, 소수의 사용자 만 활성화 할 수 있으며 집의 위치를 ​​드러내 기 위해 몇 번만 실행하면됩니다. 또한 “FlyBy”기능 비활성화와 같은 일부 개인 정보 보호 기능을 활성화하면 앱의 사용성이 떨어집니다.

모호한 개인 정보 보호 정책

위의 예 (“우리는 귀하의 정보를 스폰서 및 / 또는 비즈니스 파트너와 공유 할 수 있습니다”)는 가설이 아닙니다. 전 세계적으로 8 백만 명 이상의 사용자가 있다고 주장하는 배란 추적기 Maya의 개인 정보 보호 정책에서 비롯된 것입니다. 사용자가 사전 동의를하기에 충분한 정보가 아닙니다. Maya의 정책에는 공유하지 않는 데이터 유형이나 공유하는 조직이 나와 있지 않습니다..

이것은 Maya가 수집하는 데이터 유형을 고려하는 것과 관련이 있으며 여기에는 기분, 사용중인 피임 종류, 성관계 여부 및 보호 사용 여부가 포함됩니다. Privacy International의 보고서는 모호한 정책과 Maya가 Facebook을 포함한 여러 타사와 데이터를 공유하고 있다는 사실을 공개했습니다. 이 보고서는 또한 배란 추적기 MIA Fem을 강조했습니다. MIA Fem은 똑같이 모호한 개인 정보 보호 정책을 가지고 있지만 어떤 데이터가 어떤 파트너에게 전달되는지 반영하기 위해 업데이트했습니다. 사용자에게 알리지 않고 데이터를 공유 한 후 개인 정보 보호 정책을 조정하는 것은 최신 건강 앱입니다.

Wall Street Journal 스토리가 동의없이 유사한 데이터 공유를 노출 한 후 Flo 배란 추적기 앱이 Facebook과 데이터 공유를 중단했습니다. (Flo, Maya 및 MIA Fem의 공통점 중 하나는 개발자가 기능을 통합하고 Facebook이 사용자 데이터를 수집하여 대상 광고를 표시 할 수 있도록하는 Facebook의 SDK (Software Development Kit)로 구축 된 것입니다. Facebook의 SDK는 다른 많은 개인 정보 침해의 중심에 있습니다.)

잘못된 개인 정보 보호 정책

HealthEngine은 호주에서 인기있는 앱으로, 150 만 명 이상이 의사의 진료 예약을 위해 사용합니다. 최근 조사에 따르면 앱이 사용자의 개인 의료 정보를 동의없이 현지 상해 변호사와 공유 한 것으로 나타났습니다.

자동차 사고와 관련이 있거나 업무 관련 부상을 입 었는지 사용자에게 질문했습니다. 그들이 예라고 대답하면, 앱은 건강 문제의 세부 사항에 대해 부상 변호사에게 알 렸습니다. 사용자는 변호사와 데이터 공유에 동의했는지, HealthEngine의 개인 정보 보호 정책에서 변호사와 데이터 공유에 대해 언급 한 적이 없었습니다. 개인 의료 데이터가 법률 회사에 전송 될 것이라는 사실은 별도의“수집 명세서”에서만 밝혀졌습니다. 사용자가이 데이터 공유를 거부 할 수있는 유일한 방법은 앱을 사용하지 않는 것입니다.

미국 뉴욕 주 법무 장관이 명백한 동의없이 제 3 자와 데이터를 공유한다고 말한 후 건강 앱 Cardiio 및 My Baby ‘s Beat 및 피트니스 앱 Runtastic은 개인 정보 보호 정책을 수정해야합니다..

개인 정보를 보호하기 위해해야 ​​할 일

앱이 사람들의 의료 정보를 너무 광범위하게 공유하는 것이 합법적이라는 것은 놀라운 일입니다. 그러나 미국 건강 개인 정보 보호법 인 HIPAA는 고객이 자신의 용도로 수집 한 정보에는 적용되지 않습니다. 이는 대부분의 경우 피트니스 앱이 규정에 해당하지 않음을 의미합니다..

특히 피트니스 및 건강 앱을 대상으로하는 미국의 새로운 규정은 개발자가 민감한 데이터에 대해 더 많은 책임을지게 할 수는 있지만 지금까지 아무런 진전이 없었습니다. 미국 상원 의원이 개인 건강 데이터를 보험사, 모기지 대출 기관 및 고용주에게 판매하는 것을 막기위한 노력.

EU의 GDPR은 데이터를 공유하기 전에 정보에 대한 명확한 동의가 필요하다는 점에서 일부 보호를 제공합니다. 공유하는 모든 데이터 또는 개인 정보 보호 정책에 데이터를받는 사람을 나열하지 않는 경우 Maya가 위반할 수있는 임계 값입니다. 그러나 이것은 유럽 연합에 거주하는 개인에게만 적용됩니다.

피트니스 추적 또는 건강 모니터링 앱을 사용하는 동안 비공개로 유지하는 가장 좋은 방법은 직접 문제를 해결하는 것입니다.

안전을 유지하기 위해 취할 수있는 가장 중요한 단계는 다음과 같습니다.

  1. 개인 정보 보호 정책을 읽으십시오. 공유하는 데이터와 데이터를 공유하는 조직에 대해 명확하지 않은 경우 해당 앱에 입력 한 모든 데이터를 알 수없는 제 3 자와 공유 할 수 있다고 가정하십시오. 마음에 들지 않으면 다른 앱을 찾으십시오..
  2. 개인 정보 보호 설정이 있는지 확인하십시오. 시간을내어 개인 정보 설정을 확인하십시오. 앱이 데이터를 공유하지 못하도록하는 것이 좋지만 가장 개인적인 해결책은 처음에 데이터를 수집하지 못하게하는 것입니다..
  3. 앱에 입력 한 데이터를 제한하십시오. 이러한 많은 앱은 핵심 기능을 수행하는 데 필요한 것보다 많은 데이터를 수집합니다. 앱을 사용하려면 해당 데이터를 공유해야하는지 질문하십시오. 예를 들어, 배란 추적기가 기능을하기 위해 보호되지 않은 성관계를 가지고 있는지 알 필요가 없습니다.
  4. 의심스러운 경우 다음과 같이 질문하십시오. 피트니스 앱 회사가 귀하의 데이터를 어떻게 사용할 계획인지 확실하지 않은 경우 이메일을 보내 문의하십시오. (그렇다면 그들이하는 말을 알려주십시오!)

피트니스 및 건강 앱은 건강을 유지하고 진행 상황을 추적하도록 동기를 부여 할 수있는 훌륭한 도구입니다. 그러나 신체 건강을 위해 디지털 건강을 위협 할 필요는 없습니다. 다운로드 한 앱이 개인 정보를 위험에 빠뜨릴 수 있다는 점에 유의해야합니다.

친애하는,
ProtonVPN 팀

2019 년 11 월 1 일 업데이트 : 구글은 21 억 달러에 Fitbit을 구매할 것이라고 발표했다. 이로 인해 Google은 광고를 위해 Fitbit의 건강 데이터에 액세스 할 가능성을 높였지만 Google 경영진은 그렇지 않을 것이라고 말했습니다. Fitbit의 CEO는 고객에게 보내는 이메일에서 “개인 정보를 판매하지 않으며 Fitbit 건강 및 웰니스 데이터는 Google 광고에 사용되지 않습니다”라고 썼습니다. 이 거래는 내년에 마무리 될 것으로 예상된다.

트위터 | 페이스 북 | 레딧 | 인스 타 그램

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map