Фитнес приложенията са риск за поверителността ви, ето защо

Тази публикация беше актуализирана на 31 октомври 2019 г..


Приложенията за фитнес и здраве са създадени да ви помогнат да запишете и количествено да определите колко упражнявате, какви лекарства по лекарство приемате, дори какви методи за контрол на раждаемостта използвате. Въпреки че тези приложения могат да помогнат за подобряване на здравето ви, те също могат да изложат вашата поверителност. В най-лошите случаи те излагат хора на физическа опасност, като разкриват домашните адреси на джоггерите и местоположението в реално време.

Много от тези приложения излагат чувствителна информация или я споделят с десетки трети страни, включително Facebook, без да предоставят на потребителите пълните подробности в своята политика за поверителност. Тази информация може да включва чувствителни данни за местоположението, поверителни медицински данни или дори силно лична информация, като например дали правите незащитен секс или не.

Тези видове приложения избухнаха в популярност през последните пет години. Само през 2018 г. Fitbit имаше над 27 милиона потребители. По-рано тази година Страва заяви, че има 42 милиона потребители – и че добавя един милион потребители всеки месец. Предвид чувствителните данни, които тези приложения събират, и лошите им данни за защита на тези данни, те представляват съществена заплаха за поверителността на потребителите си.

Какво знаят фитнес приложенията за вас

Повечето приложения за фитнес като Fitbit, Strava, MapMyRun, Nike + Run и Asics Runkeeper, само за да назовем няколко, имат носимо устройство, което се синхронизира с вашия смартфон. Това носимо устройство може да събере множество информация, включително броя на стъпките, които предприемате, сърдечната честота, къде пътувате и кога, теглото ви и кога сте будни или спите.

Здравните тракери обикновено са приложения, които инсталирате на телефона си. Те разчитат на вас, за да попълните формуляри за вашето здраве за събиране на данни. В зависимост от това към какво е насочено приложението, то може да варира от стандартни въпроси за вашето здраве (ранени ли сте?) До въпроси за доста чувствителни теми (Използвате ли защита, когато правите секс?).

Тези данни могат да бъдат нарушени

Производителите на приложения за фитнес, както всяка друга индустрия, са претърпели нарушения на данните. Пробивът, който засегна MyFitnessPal на UnderArmour през 2018 г., е най-големият досега. Той изложи потребителските имена, пароли и имейл адреси на повече от 150 милиона потребители. Въпреки че хакерите обикновено следват данни, те лесно могат да осигурят приходи (като номера на вашата кредитна карта), мисълта, че данните за местоположение са изложени, е особено обезпокоителна. Като се има предвид, че джогистите и колоездачите обикновено се движат и се возят там, където живеят, нападателите могат също така да идентифицират къде е живял потребителят, като гледат къде започва и завършва по-голямата част от маршрутите.

Нито едно от другите големи приложения за фитнес и здраве не е претърпяло сериозно нарушение на данните. За съжаление, можете да направите малко, за да гарантирате, че приложението отговорно съхранява вашите данни, освен само споделяне на данни с компании и организации, на които имате доверие.

Научете повече за това какво да направите, ако сте жертва на нарушение на данните.

Крайните данни мина

Споделянето на данни е основна тема. Фирмите за приложения за фитнес често се стимулират да споделят ценните си здравни данни в реално време с трети страни, независимо дали са рекламодатели, адвокатски кантори или социални мрежи като Facebook, които печелят от вашата чувствителна информация. Ако те бяха напълно прозрачни за това как се споделят вашите данни или как да коригират настройките си за поверителност, е възможно потребителите да се доверят на приложенията. Ето защо към днешна дата индустрията за приложения за фитнес и здраве е била подкладена от скандали.

Има много валидни причини приложението да споделя данни. Това може да доведе до по-добро обслужване, което потребителят иска. Законът може да се изисква и за полицейски разследвания. Но производителите на приложения не винаги третират поверителността на вашата чувствителна информация като основен приоритет.

Има три основни начина, по които приложенията за фитнес и здраве злоупотребяват с вашите данни:

  1. Те автоматично излагат данни веднага от кутията. Ако потребителите искат да използват тези приложения и да пазят тяхната поверителност, те трябва да актуализират настройките за поверителност в приложението или на своя смартфон, което малко потребители правят.
  2. Политиките им за поверителност са неясни. Политика за поверителност, която гласи: „Можем да споделяме вашата информация с нашите спонсори и / или бизнес партньори“, не дава на потребителя достатъчно информация, за да вземе информирано решение.
  3. Политиките им за поверителност са подвеждащи. В някои случаи приложенията не разкриват как се използват данните в тяхната политика за поверителност. Те го крият в отделен документ или го прикриват в объркване на легален. Други, по-малки здравни приложения може изобщо да нямат политика за поверителност.

Слаби настройки за поверителност по подразбиране

Превъзходен пример за първия проблем е фитнес приложението Strava и неговата функция Beacon, която предава местоположението в реално време на мотористи и бегачи. Това направи приложението златна мина за крадци.

Ето как работи. Strava комбинира проследяването на фитнес със социална медийна платформа, която позволява на потребителите си да се състезават и да си взаимодействат помежду си. За да работи Strava, той се нуждае от достъп и разрешение за споделяне на вашите данни за местоположението. Освен това има функция „FlyBy“, която ви позволява да търсите други потребители на Strava, които сте видели или преминали, докато сте в движение.

Не е нужно обаче да сте потребител на Strava за достъп до платформата или търсене на маршрути. След като бъде избран маршрут, можете да разберете на кого принадлежи, да погледнете профила на този индивид и да видите къде другаде е вероятно да се движи. Тези данни често могат да се използват за намиране на домовете на хората. Този проблем също присъства в по-малка степен за MapMyRun, Nike + Run и всяко приложение, което проследява вашите тиражи и ви позволява да споделяте тези данни.

Докато медиите, фокусирани върху военните бази, изложени на джогинг маршрути на войниците с функцията „HeatMap“ на Страва, тези данни могат да бъдат използвани за намиране и следване на всеки потребител на Страва.

Изтичането на данните от топлинната карта на Страва просто стана много по-лошо:

– Данните могат да се деанонимизират
– Включва имена и маршрути за движение на хора във военни съоръжения с висока сигурност
– Бързо търсене показва имената на 50 американски персонал в база в Афганистан
https://t.co/JZCi7sINf8

– WIRED UK (@WiredUK) 29 януари 2018 г.

През 2014 г. органите на реда приписват рязко покачване на кражбите на велосипеди във Великобритания на крадци, използвайки данни на Strava. Същото нещо се случи отново през 2018 година.

„Не мисля, че много хора са били наясно, че тези приложения за картографиране могат да дадат огромно количество информация на крадец. Затова трябва да имаме хора, които проверяват личния им живот “, каза Адам Ланг, полицейски служител, който погледна в кражбите на велосипеди през 2018 година.

Strava идва с контрол на поверителността. За съжаление, малко потребители ги активират и отнема само няколко стъпки, за да се разкрие местоположението на вашия дом. Освен това, активирането на някои от функциите за поверителност, като деактивиране на функцията „FlyBy“, подкопава използваемостта на приложението.

Неясни политики за поверителност

Примерът по-горе – „Може да споделим вашата информация с нашите спонсори и / или бизнес партньори“ – не е хипотетичен. Той идва от политиката за поверителност на трасето за овулация Maya, която твърди, че има повече от осем милиона потребители по целия свят. Това не е достатъчно информация, за да може потребителят да даде своето информирано съгласие. Никъде в правилата на Маите не се изброяват вида на данните, които споделят, нито на организациите, които споделят.

Това се отнася по-специално за обмислянето на типа данни, които Maya събира, която включва информация за вашето настроение, какъв вид контрацепция използвате, дали правите секс и дали използвате защита. Доклад на Privacy International разкри неясната политика и факта, че Maya споделя данни с няколко трети страни, включително Facebook. Докладът също така подчерта овулационния тракер MIA Fem. MIA Fem имаше също толкова неясна политика за поверителност, но след това я актуализира, за да отразява какви данни отиват при кои партньори. Това е само най-новото приложение за здраве, което коригира своята политика за поверителност, след като бъде уловено да споделя данни, без да информира своите потребители.

Приложението за проследяване на овулацията Flo спря да споделя данни с Facebook, след като историята на Wall Street Journal изложи подобно споделяне на данни без съгласие. (Едно нещо, което Flo, Maya и MIA Fem имат общо е, че те са създадени с софтуера за разработка на софтуер (SDK) на Facebook, който позволява на разработчиците да включват функции и позволява на Facebook да събира потребителски данни, така че да може да показва насочени реклами. SDK на Facebook е бил в основата на много други нарушения на поверителността.)

Заблуждаващи политики за поверителност

HealthEngine е популярно приложение в Австралия, използвано от над 1,5 милиона души за планиране на назначенията на лекаря. Неотдавнашно разследване установи, че приложението споделя личната медицинска информация на своите потребители с местни адвокати за наранявания без тяхното съгласие.

Потребителите бяха попитани дали са участвали в автомобилна катастрофа или са претърпели трудова травма. Ако отговорят с „да“, приложението уведоми адвокатите за наранявания за подробности за техните здравословни проблеми. В нито един момент потребителите не са били попитани дали са съгласни да споделят своите данни с адвокати, нито е споменато, че техните данни се споделят с адвокати в политиката за поверителност на HealthEngine. Фактът, че техните частни медицински данни ще бъдат изпратени на адвокатска кантора, беше разкрит само в отделна „Декларация за събиране“. Единственият начин потребителите да се откажат от това споделяне на данни беше да не използват приложението.

В САЩ здравните приложения Cardiio и My Baby’s Beat и приложението Fitness Runtastic са принудени да ревизират политиките си за поверителност, след като генералният прокурор на Ню Йорк заяви, че споделят данни с трети страни без ясно съгласие.

Какво трябва да направите, за да защитите поверителността си

Може да е изненадващо, че дори е законно приложенията да споделят медицинска информация на хората толкова широко. Но американският закон за поверителност на здравето HIPAA не се прилага за информация, която клиентите събират за собствена употреба. Това означава, че в повечето случаи приложенията за фитнес не попадат в регулацията.

Новите разпоредби в САЩ, специално насочени към приложенията за фитнес и здраве, биха могли да насърчат разработчиците да бъдат по-отговорни с чувствителни данни, но досега няма напредък. Усилията на американските сенатори за предотвратяване на продажбата на частни здравни данни на застрахователи, ипотечни кредитори и работодатели не са довели до никъде.

GDPR на ЕС осигурява известна защита, тъй като изисква информирано и недвусмислено съгласие, преди да могат да се споделят данни. Този праг, който вероятно вероятно нарушава Мая, имайки предвид, че не изброява всички данни, които споделя или които получават данните в своята политика за поверителност. Но това важи само за лица, живеещи в Европейския съюз.

Най-добрият начин да останете частни, докато използвате приложения за проследяване на фитнес или мониторинг на здравето е да вземете нещата в свои ръце.

Това са най-важните стъпки, които можете да предприемете, за да сте в безопасност:

  1. Прочетете политиката за поверителност: Ако не е изрично за това какви данни споделя и с какви организации споделя данни, приемете, че всички данни, които въвеждате в това приложение, могат да бъдат споделени с произволен брой неизвестни трети страни. Ако не ви е приятно с това, намерете друго приложение.
  2. Проверете дали има настройки за поверителност: Отделете време, за да проверите настройките за поверителност. Предотвратяването на приложението да споделя вашите данни е добре, но най-частното решение е да не му се позволява да събира данни на първо място.
  3. Ограничете данните, които въвеждате в приложението: Много от тези приложения събират повече данни, отколкото е необходимо, за да обслужват основната си функция. Въпрос дали трябва да споделяте тези данни, за да използвате приложението. Например няма причина един проследяващ овулацията да знае дали правите незащитен секс, за да функционира.
  4. Когато се съмнявате, попитайте: Ако не сте сигурни как компания за фитнес приложения планира да използва вашите данни, изпратете им имейл и попитайте. (И ако го направите, кажете ни какво казват!)

Приложенията за фитнес и здраве са страхотни инструменти, които могат да ви помогнат да мотивирате да останете във форма и да проследите напредъка си. Но не трябва да застрашавате дигиталното си здраве заради физическото си здраве. Важно е да знаете, че приложенията, които изтегляте, могат да застрашат вашата поверителност.

С Най-Добри Пожелания,
Екипът на ProtonVPN

Актуализиране на 1 ноември 2019 г.: Google обяви, че ще закупи Fitbit за 2,1 милиарда долара. Това повдига възможността Google да получи достъп до здравните данни на Fitbit за реклама, но ръководителите на Google заявиха, че това няма да е така. В имейл до клиентите изпълнителният директор на Fitbit написа: „Никога не продаваме вашата лична информация и данните за здравето и здравето на Fitbit няма да се използват за реклами от Google.“ Очаква се сделката да бъде финализирана известно време догодина.

Twitter | Facebook | Reddit | Instagram

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map