אפליקציות כושר מהוות סיכון לפרטיותך, וזו הסיבה

פוסט זה עודכן ב- 31 באוקטובר 2019.


אפליקציות כושר ובריאות נועדו לעזור לך לרשום ולכמת כמה אתה מבצע פעילות גופנית, אילו תרופות מרשם אתה לוקח, ואפילו אילו אמצעי מניעה אתה משתמש. אמנם יישומים אלה יכולים לעזור בשיפור בריאותכם, אך הם יכולים גם לסכן את פרטיותכם. במקרים הגרועים ביותר הם העמידו אנשים בסכנה פיזית, כמו חשיפת כתובות הבית של רצים ומיקום בזמן אמת.

רבים מהיישומים הללו חושפים מידע רגיש או משתפים אותו עם עשרות צדדים שלישיים, כולל פייסבוק, מבלי למסור למשתמשים את מלוא הפרטים במדיניות הפרטיות שלהם. מידע זה יכול לכלול נתוני מיקום רגישים, נתונים רפואיים חסויים, או אפילו מידע אישי ביותר, כמו אם אתה מקיים יחסי מין לא מוגנים או לא..

אפליקציות מסוג זה התפוצצו בפופולריות במהלך חמש השנים האחרונות. בשנת 2018 היו לפיטביט לבדה מעל 27 מיליון משתמשים. מוקדם יותר השנה טענה סטראבה כי היו לה 42 מיליון משתמשים – וכי היא מוסיפה מיליון משתמשים בכל חודש. בהתחשב בנתונים הרגישים שיישומים אלו אוספים והרשומה הגרועה שלהם בהגנה על נתונים אלה, אפליקציות אלה מהוות איום משמעותי על פרטיות המשתמשים שלהם.

אילו אפליקציות כושר יודעות עליכם

לרוב אפליקציות הכושר, כמו Fitbit, Strava, MapMyRun, Nike + Run ו- Asics Runkeeper, רק אם נזכיר כמה, יש מכשיר לביש המסונכרן עם הסמארטפון שלך. מכשיר לביש זה יכול לאסוף כמות של מידע, כולל מספר הצעדים שאתה עושה, דופק, איפה אתה נוסע ומתי, המשקל שלך, וכשאתה ער או ישן.

מעקב אחר בריאות הוא בדרך כלל יישומים שאתה מתקין בטלפון שלך. הם מסתמכים עליך למלא טפסים לגבי בריאותך לאיסוף נתונים. תלוי למה האפליקציה ממוקדת, היא עשויה לנוע בין שאלות סטנדרטיות הנוגעות לבריאות שלך (האם אתה נפגע?) לשאלות על נושאים רגישים למדי (האם אתה משתמש בהגנה כשאתה עושה סקס?).

ניתן לפרוץ נתונים אלה

יצרני אפליקציות כושר, בדיוק כמו כל ענף אחר, סבלו מהפרות נתונים. הפרצה שפקדה את MyFitnessPal ב- UnderArmour בשנת 2018 היא הגדולה ביותר עד כה. היא חשפה את שמות המשתמש, הסיסמאות וכתובות הדוא”ל של יותר מ -150 מיליון משתמשים. בעוד שהאקרים בדרך כלל עוקבים אחר נתונים הם יכולים בקלות לייצר רווחים (כמו מספר כרטיס האשראי שלך) המחשבה שנתוני מיקום נחשפים בעייתית במיוחד. בהתחשב בכך שרצים ואופנוענים בדרך כלל רצים ורוכבים במקום בו הם גרים, התוקפים יכלו לזהות היכן המשתמש גר על ידי הסתכלות היכן שרוב מסלוליו החלו והסתיימו.

אף אחת מאפליקציות הכושר והבריאות הגדולות האחרות לא סבלה מהפרת נתונים משמעותית. למרבה הצער, אתה יכול לעשות מעט כדי להבטיח שאפליקציה תאחסן את הנתונים שלך באחריות מלבד שיתוף נתונים בלבד עם חברות וארגונים שאתה סומך עליהם..

למידע נוסף על מה לעשות אם אתה קורבן להפרת נתונים.

מכרה הנתונים האולטימטיבי

שיתוף נתונים הוא עיקר הבעיה. חברות אפליקציות כושר לעיתים קרובות מתמרצות לשתף את נתוני הבריאות בזמן אמת שלך עם צדדים שלישיים, בין אם מדובר במפרסמים, משרדי עורכי דין או רשתות חברתיות כמו פייסבוק שמרוויחים מהמידע הרגיש שלך. אם הם היו שקופים לחלוטין לגבי אופן שיתוף הנתונים שלך או כיצד להתאים את הגדרות הפרטיות שלך, ייתכן שהמשתמשים עשויים לסמוך פחות על היישומים. זו הסיבה שעד היום ענף אפליקציות הכושר והבריאות הועבר על ידי שערוריות.

קיימות סיבות רבות לתוקף לאפליקציה לשיתוף נתונים. זה יכול להוביל לשירות טוב יותר שהמשתמש רוצה. זה יכול להידרש גם על פי חוק לצורך חקירות משטרה. אך יצרני אפליקציות לא תמיד מתייחסים לפרטיות של המידע הרגיש שלך בראש סדר העדיפויות.

ישנן שלוש דרכים עיקריות שאפליקציות כושר ובריאות מתעללות בנתונים שלך:

  1. הם חושפים נתונים באופן אוטומטי מחוץ לקופסה. אם משתמשים רוצים להשתמש באפליקציות האלה ולשמור על פרטיותם, עליהם לעדכן את הגדרות הפרטיות באפליקציה או בסמארטפון שלהם, שרק משתמשים מעטים עושים.
  2. מדיניות הפרטיות שלהם מעורפלת. מדיניות פרטיות הקובעת כי “אנו עשויים לשתף את המידע שלך עם נותני החסות ו / או השותפים העסקיים שלנו”, אינה מספקת למשתמש מספיק מידע כדי לקבל החלטה מושכלת..
  3. מדיניות הפרטיות שלהם מטעה. במקרים מסוימים, אפליקציות אינן חושפות כיצד משתמשים בנתונים במדיניות הפרטיות שלהם. הם מסתירים את זה במסמך נפרד או מתחפשים לבלבלים משפטיים. לאפליקציות בריאות אחרות קטנות יותר אולי אין מדיניות פרטיות כלל.

הגדרות פרטיות חלשות

דוגמה ראשונה לבעיה הראשונה היא אפליקציית הכושר Strava ותכונת ה- Beacon שלה, המסגירה את המיקום בזמן אמת של האופנוענים והרצים. זה הפך את האפליקציה למכרה זהב לגנבים.

ככה זה עובד. סטראבה משלבת מעקב אחר כושר עם פלטפורמה של מדיה חברתית המאפשרת למשתמשים שלה להתמודד ולתקשר זה עם זה. כדי שטראבה תעבוד, היא זקוקה לגישה ולאישור כדי לשתף את נתוני המיקום שלך. יש לו גם תכונה “FlyBy”, המאפשרת לך לחפש אחר משתמשי Strava אחרים שראית או עברת בזמן שהיית בריצה.

עם זאת, אינך צריך להיות משתמש ב- Strava כדי לגשת לפלטפורמה או לחפש נתיבים. לאחר שנבחר מסלול, תוכלו לגלות למי הוא שייך, להסתכל בפרופיל של אותו אדם ולראות לאן עוד הם צפויים לרוץ. לעתים קרובות ניתן להשתמש בנתונים אלה לאיתור בתים של אנשים. סוגיה זו קיימת גם במידה פחותה עבור MapMyRun, Nike + Run, וכל אפליקציה שעוקבת אחר הריצות שלך ומאפשרת לך לשתף את הנתונים האלה..

בעוד שהתקשורת קיבלה פיסות בבסיסים צבאיים שנחשפו על ידי מסלולי ריצה של חיילים באמצעות תכונת “HeatMap” של Strava, ניתן להשתמש בנתונים אלה כדי למצוא ולעקוב אחר כל משתמש בשטראבה..

דליפת נתוני מפת החום של סטראבה רק החמירה בהרבה:

– ניתן לאלמיין את הנתונים
– כולל שמות ומסלולי ריצה של אנשים במתקנים צבאיים עם אבטחה גבוהה
– חיפוש מהיר מציג את שמותיהם של 50 אנשי ארה”ב בבסיס באפגניסטן
https://t.co/JZCi7sINf8

– WIRED UK (@WiredUK) 29 בינואר 2018

בשנת 2014, אכיפת החוק ייחסה עלייה חדה בגניבות האופניים בבריטניה לגנבים המשתמשים בנתוני סטראבה. אותו דבר קרה שוב בשנת 2018.

“אני לא חושב שהרבה אנשים היו מודעים לכך שאפליקציות המיפוי האלה בעצם יכולות לספק כמות עצומה של מידע לגנב שיהיה. אז אנחנו צריכים שאנשים יבדקו את פרטיותם “, אמר אדם לנג, קצין משטרה שבדק את גניבות האופניים בשנת 2018.

סטראבה מגיעה עם בקרות פרטיות. לרוע המזל, משתמשים מעטים מפעילים אותם, ונדרשים מספר ריצות בלבד כדי לחשוף את מיקום הבית שלך. יתר על כן, הפעלת חלק מתכונות הפרטיות, כמו השבתת התכונה “FlyBy”, מערערת את השימושיות של האפליקציה..

מדיניות פרטיות מעורפלת

הדוגמה שלמעלה – “אנו עשויים לשתף את המידע שלך עם נותני החסות שלנו, ו / או השותפים העסקיים שלנו” – אינה היפותטית. זה נובע ממדיניות הפרטיות של גשש הביוץ מאיה, שלטענתו יש יותר משמונה מיליון משתמשים ברחבי העולם. זה איננו מידע מספיק על מנת שמשתמש יוכל לתת את הסכמתו המדעת. בשום מקום במדיניות של מאיה הם לא מפרטים את סוג הנתונים שהם חולקים או עם אילו ארגונים הם משתפים אותם.

הדבר נוגע במיוחד לשקול את סוג הנתונים שמאיה אוספת, הכוללים מידע על מצב הרוח שלך, באיזה אמצעי מניעה אתה משתמש, האם אתה מקיים יחסי מין והאם אתה משתמש בהגנה. דו”ח של Privacy International חשף את המדיניות המעורפלת ואת העובדה שמאיה משתפת נתונים עם כמה צדדים שלישיים, כולל פייסבוק. הדו”ח הדגיש גם את גשש הביוץ MIA Fem. MIA Fem הייתה מדיניות פרטיות מעורפלת באותה מידה אך עדכנה אותה מאז כדי לשקף אילו נתונים עוברים לשותפים. זוהי רק אפליקציית הבריאות האחרונה שמתאימה את מדיניות הפרטיות שלה לאחר שנתפסה בשיתוף נתונים מבלי להודיע ​​למשתמשים שלה.

אפליקציית גשש הביוץ של פלו הפסיקה לשתף נתונים עם פייסבוק לאחר שסיפור בוול סטריט ג’ורנל חשף שיתוף נתונים דומה ללא הסכמה. (דבר אחד המשותף עם פלו, מאיה ו- MIA Fem הוא שהם נבנו באמצעות ערכת פיתוח התוכנה של פייסבוק (SDK), המאפשרת למפתחים לשלב תכונות ומאפשרת לפייסבוק לאסוף נתוני משתמשים כך שהיא יכולה להציג מודעות ממוקדות. SDK של פייסבוק כבר בליבה של הפרות פרטיות רבות אחרות.)

מדיניות פרטיות מטעה

HealthEngine היא אפליקציה פופולרית באוסטרליה, המשמשת למעלה ממיליון וחצי אנשים לקביעת תור לרופאים. מחקירה שנערכה לאחרונה עולה כי האפליקציה שיתפה את המידע הרפואי הפרטי של המשתמשים שלה עם עורכי דין לפציעות מקומיות ללא הסכמתם.

המשתמשים נשאלו אם היו מעורבים בתאונת דרכים או סבלו מפגיעה בעבודה. אם הם ענו שכן, האפליקציה הודיעה לעורכי דין לפציעות על פרטי הבעיות הבריאותיות שלהם. בשום שלב לא נשאלו המשתמשים אם הם הסכימו לחלוק את הנתונים שלהם עם עורכי דין, וגם לא היה אזכור לנתונים שלהם עם עורכי דין במדיניות הפרטיות של HealthEngine. העובדה כי הנתונים הרפואיים הפרטיים שלהם יישלחו למשרד עורכי דין נחשפה רק ב”הצהרת גבייה “נפרדת. הדרך היחידה שמשתמשים יכולים לבטל את הסכמתם לשיתוף נתונים זה הייתה לא להשתמש באפליקציה.

בארה”ב אפליקציות הבריאות Cardiio ו- My Baby’s Beat ואפליקציית הכושר Runtastic נאלצות לשנות את מדיניות הפרטיות שלהן לאחר שהיועץ המשפטי לממשלה בניו יורק אמר שהם חולקים נתונים עם צדדים שלישיים ללא הסכמה ברורה..

מה עליכם לעשות כדי להגן על פרטיותכם

יתכן שזה מפתיע שזה אפילו חוקי לאפליקציות לשתף את המידע הרפואי של אנשים בצורה כה רחבה. אולם חוק פרטיות הבריאות האמריקני, HIPAA, אינו חל על מידע שהלקוחות אוספים לשימושם האישי. המשמעות היא שברוב המקרים אפליקציות כושר אינן חלות על התקנה.

תקנות חדשות בארה”ב המכוונות באופן ספציפי ליישומי כושר ובריאות עשויות לעודד מפתחים להיות אחראיים יותר עם נתונים רגישים, אך עד כה לא חלה התקדמות. מאמצי הסנאטורים האמריקנים למנוע מכירת נתוני בריאות פרטיים למבטחים, מלווים למשכנתאות ומעסיקים לא הובילו לשום מקום.

ה- GDPR של האיחוד האירופי אכן מספק הגנה מסוימת בכך שהוא דורש הסכמה מושכלת וחד משמעית לפני שניתן יהיה לשתף נתונים. זהו סף שמאיה מפרה ככל הנראה, בהתחשב בכך שהיא לא מפרטת את כל הנתונים שהיא חולקת או שמקבלת את הנתונים במדיניות הפרטיות שלה. אולם זה חל רק על אנשים הגרים באיחוד האירופי.

הדרך הטובה ביותר להישאר פרטית תוך שימוש באפליקציות למעקב אחר כושר או למעקב אחר בריאות היא לקחת את העניינים לידיים שלך.

אלה הצעדים החשובים ביותר שתוכלו לנקוט כדי להישאר בטוחים:

  1. קרא את מדיניות הפרטיות: אם לא מפורשות לגבי אילו נתונים היא משתפת ואילו ארגונים היא חולקת נתונים, הניחו שכל הנתונים שאתה מזין לאפליקציה יכולה להיות משותפת לכל מספר של צדדים שלישיים לא ידועים. אם אינך מרגיש בנוח עם זה, מצא אפליקציה אחרת.
  2. בדוק אם יש הגדרות פרטיות: קח את הזמן לבדוק את הגדרות הפרטיות. מניעת האפליקציה לשתף את הנתונים שלך היא טובה, אך הפיתרון הפרטי ביותר הוא למנוע ממנה איסוף נתונים מלכתחילה.
  3. הגבל את הנתונים שאתה מזין באפליקציה: רבים מהיישומים הללו אוספים יותר נתונים ממה שנחוץ להם כדי לשרת את תפקידה העיקרי. שאלו האם עליכם לשתף נתונים אלה בכדי להשתמש באפליקציה. לדוגמה, אין שום סיבה שמעקב הביוץ צריך לדעת אם אתה מקיים יחסי מין לא מוגנים כדי שהוא יתפקד.
  4. אם יש לך ספק, שאל: אם אינך בטוח כיצד חברת אפליקציות כושר מתכננת להשתמש בנתונים שלך, שלח להם דוא”ל ושאל. (ואם כן, ספרו לנו מה הם אומרים!)

אפליקציות כושר ובריאות הן כלים מעולים שיכולים לעזור לך להניע אותך להישאר בכושר ולעקוב אחר ההתקדמות שלך. אבל לא תצטרך לסכן את בריאותך הדיגיטלית למען בריאותך הגופנית. חשוב להיות מודע לכך שהאפליקציות שאתה מוריד עלולות לסכן את פרטיותך.

כל טוב,
צוות ProtonVPN

עדכון 1 בנובמבר, 2019: גוגל הודיעה כי תרכוש את Fitbit תמורת 2.1 מיליארד דולר. זה מעלה את האפשרות של גוגל לגשת לנתוני הבריאות של Fitbit לפרסום, אך מנהלי גוגל אמרו שזה לא יהיה המצב. בהודעת דוא”ל ללקוחות כתב מנכ”ל Fitbit, “לעולם איננו מוכרים את המידע האישי שלך, ונתוני הבריאות והבריאות של Fitbit לא ישמשו למודעות Google.” העסקה צפויה להסתיים זמן מה בשנה הבאה.

טוויטר | פייסבוק | Reddit | אינסטגרם

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map