Aplikasi kebugaran berisiko terhadap privasi Anda, inilah alasannya

Posting ini diperbarui pada 31 Oktober 2019.


Aplikasi kebugaran dan kesehatan dirancang untuk membantu Anda mencatat dan mengukur seberapa banyak Anda berolahraga, obat resep apa yang Anda pakai, bahkan metode KB apa yang Anda gunakan. Meskipun aplikasi ini dapat membantu meningkatkan kesehatan Anda, mereka juga dapat membahayakan privasi Anda. Dalam kasus terburuk, mereka telah menempatkan orang dalam bahaya fisik, seperti mengungkapkan alamat rumah pelari dan lokasi waktu-nyata.

Banyak dari aplikasi ini memaparkan informasi sensitif atau membagikannya kepada banyak pihak ketiga, termasuk Facebook, tanpa memberikan rincian lengkap kepada pengguna dalam kebijakan privasi mereka. Informasi ini dapat mencakup data lokasi sensitif, data medis rahasia, atau bahkan informasi yang sangat pribadi, seperti apakah Anda melakukan hubungan seks tanpa kondom atau tidak.

Jenis aplikasi ini telah meledak dalam popularitas selama lima tahun terakhir. Pada 2018, Fitbit sendiri memiliki lebih dari 27 juta pengguna. Awal tahun ini, Strava mengklaim memiliki 42 juta pengguna — dan menambahkan satu juta pengguna setiap bulan. Mengingat data sensitif yang dikumpulkan oleh aplikasi ini dan catatan buruk melindungi data ini, aplikasi ini menghadirkan ancaman substansial terhadap privasi pengguna mereka.

Apa yang diketahui aplikasi kebugaran tentang Anda

Sebagian besar aplikasi kebugaran, seperti Fitbit, Strava, MapMyRun, Nike + Run, dan Asics Runkeeper, hanya untuk beberapa nama, memiliki perangkat yang dapat dikenakan yang disinkronkan dengan ponsel cerdas Anda. Perangkat yang dapat dipakai itu dapat mengumpulkan banyak informasi, termasuk jumlah langkah yang Anda ambil, detak jantung Anda, di mana Anda bepergian dan kapan, berat badan Anda, dan ketika Anda bangun atau tidur.

Pelacak kesehatan umumnya adalah aplikasi yang Anda instal di ponsel Anda. Mereka mengandalkan Anda untuk mengisi formulir tentang kesehatan Anda untuk pengumpulan data. Bergantung pada apa yang ditargetkan aplikasi, itu bisa berkisar dari pertanyaan standar tentang kesehatan Anda (Apakah Anda terluka?) Hingga pertanyaan tentang topik yang cukup sensitif (Apakah Anda menggunakan perlindungan saat berhubungan seks?).

Data ini dapat dilanggar

Pembuat aplikasi kebugaran, seperti halnya setiap industri lainnya, telah mengalami pelanggaran data. Pelanggaran yang menimpa MyFitnessPal UnderArmour pada tahun 2018 adalah yang terbesar hingga saat ini. Itu mengekspos nama pengguna, kata sandi, dan alamat email lebih dari 150 juta pengguna. Sementara peretas biasanya mengejar data, mereka dapat dengan mudah menghasilkan uang (seperti nomor kartu kredit Anda) berpikir bahwa data lokasi terekspos sangat menyusahkan. Mengingat bahwa pelari dan pengendara motor umumnya berlari dan naik di tempat mereka tinggal, penyerang juga dapat mengidentifikasi di mana pengguna tinggal dengan melihat di mana sebagian besar rute mereka dimulai dan berakhir..

Tidak ada aplikasi kebugaran dan kesehatan utama lainnya yang mengalami pelanggaran data besar. Sayangnya, ada sedikit yang dapat Anda lakukan untuk memastikan aplikasi menyimpan data Anda secara bertanggung jawab selain hanya berbagi data dengan perusahaan dan organisasi yang Anda percayai..

Pelajari lebih lanjut tentang apa yang harus dilakukan jika Anda adalah korban dari pelanggaran data.

Tambang data terakhir

Berbagi data adalah inti dari masalah ini. Perusahaan aplikasi kebugaran sering diberi insentif untuk membagikan data kesehatan real-time Anda yang berharga dengan pihak ketiga, apakah itu pengiklan, firma hukum, atau jejaring sosial seperti Facebook yang mendapat keuntungan dari informasi sensitif Anda. Jika mereka sepenuhnya transparan tentang bagaimana data Anda dibagikan atau bagaimana menyesuaikan pengaturan privasi Anda, pengguna mungkin cenderung mempercayai aplikasi. Itulah sebabnya, hingga saat ini, industri aplikasi kebugaran dan kesehatan telah dirundung skandal.

Ada banyak alasan yang valid untuk aplikasi berbagi data. Ini dapat mengarah pada layanan yang lebih baik yang diinginkan pengguna. Ini juga dapat diwajibkan oleh hukum untuk penyelidikan polisi. Tetapi pembuat aplikasi tidak selalu memperlakukan privasi informasi sensitif Anda sebagai prioritas utama.

Ada tiga cara utama aplikasi kebugaran dan kesehatan menyalahgunakan data Anda:

  1. Mereka secara otomatis mengekspos data langsung dari kotak. Jika pengguna ingin menggunakan aplikasi ini dan menjaga privasinya, mereka harus memperbarui pengaturan privasi di dalam aplikasi atau di smartphone mereka, yang dilakukan oleh beberapa pengguna..
  2. Kebijakan privasi mereka tidak jelas. Kebijakan privasi yang menyatakan, “Kami dapat membagikan informasi Anda dengan sponsor kami, dan / atau mitra bisnis,” tidak memberikan informasi yang cukup kepada pengguna untuk membuat keputusan..
  3. Kebijakan privasi mereka menyesatkan. Dalam beberapa kasus, aplikasi tidak mengungkapkan bagaimana data digunakan dalam kebijakan privasi mereka. Mereka menyembunyikannya di dokumen terpisah atau menyembunyikannya di legalese yang membingungkan. Lainnya, aplikasi kesehatan yang lebih kecil mungkin tidak memiliki kebijakan privasi sama sekali.

Lemah pengaturan privasi default

Contoh utama dari masalah pertama adalah aplikasi kebugaran Strava dan fitur Beacon-nya, yang mengkhianati lokasi real-time pengendara motor dan pelari. Ini telah membuat aplikasi tambang emas untuk pencuri.

Begini cara kerjanya. Strava menggabungkan pelacakan kebugaran dengan platform media sosial yang memungkinkan penggunanya untuk bersaing dan berinteraksi satu sama lain. Agar Strava dapat berfungsi, diperlukan akses dan izin untuk berbagi data lokasi Anda. Ini juga memiliki fitur “FlyBy”, yang memungkinkan Anda untuk mencari pengguna Strava lain yang Anda lihat atau lewati saat dalam perjalanan.

Namun, Anda tidak perlu menjadi pengguna Strava untuk mengakses platform atau mencari rute. Setelah rute dipilih, Anda dapat mengetahui siapa pemiliknya, melihat profil individu tersebut, dan melihat di mana lagi mereka akan berjalan. Data ini sering dapat digunakan untuk mencari rumah orang. Masalah ini juga hadir pada tingkat yang lebih rendah untuk MapMyRun, Nike + Run, dan aplikasi apa pun yang melacak proses Anda dan memungkinkan Anda berbagi data tersebut.

Sementara media terpaku pada pangkalan militer yang terekspos oleh rute jogging tentara dengan fitur “HeatMap” Strava, data ini dapat digunakan untuk menemukan dan mengikuti setiap pengguna Strava.

Kebocoran data peta panas Strava baru saja menjadi jauh lebih buruk:

– Data dapat di-anonimkan
– Termasuk nama dan rute berjalan orang di fasilitas militer keamanan tinggi
– Pencarian cepat menunjukkan nama 50 personel AS di sebuah pangkalan di Afghanistan
https://t.co/JZCi7sINf8

– WIRED UK (@WiredUK) 29 Januari 2018

Pada tahun 2014, penegak hukum menghubungkan kenaikan tajam pencurian sepeda di Inggris dengan pencuri yang menggunakan data Strava. Hal yang sama terjadi lagi pada 2018.

“Saya rasa banyak orang tidak menyadari bahwa aplikasi pemetaan ini pada dasarnya dapat memberikan sejumlah besar informasi kepada calon pencuri. Jadi kita perlu orang-orang memeriksa privasi mereka, ”kata Adam Lang, seorang polisi yang melihat ke arah pencurian sepeda pada tahun 2018.

Strava dilengkapi dengan kontrol privasi. Sayangnya, beberapa pengguna mengaktifkannya, dan hanya perlu beberapa kali berjalan untuk mengekspos lokasi rumah Anda. Selain itu, mengaktifkan beberapa fitur privasi, seperti menonaktifkan fitur “FlyBy”, merusak kegunaan aplikasi.

Kebijakan privasi yang tidak jelas

Contoh di atas – “Kami dapat membagikan informasi Anda dengan sponsor kami, dan / atau mitra bisnis” – bukan hipotesis. Itu berasal dari kebijakan privasi pelacak ovulasi Maya, yang mengklaim memiliki lebih dari delapan juta pengguna di seluruh dunia. Ini bukan informasi yang memadai bagi pengguna untuk memberikan persetujuan. Tidak ada dalam kebijakan Maya tempat mereka mencantumkan jenis data yang mereka bagikan atau dengan organisasi mana mereka berbagi.

Ini terutama menyangkut mempertimbangkan jenis data yang dikumpulkan Maya, yang mencakup informasi tentang suasana hati Anda, jenis kontrasepsi apa yang Anda gunakan, apakah Anda berhubungan seks, dan apakah Anda menggunakan perlindungan. Sebuah laporan oleh Privacy International mengungkapkan kebijakan yang tidak jelas dan fakta bahwa Maya berbagi data dengan beberapa pihak ketiga, termasuk Facebook. Laporan itu juga menyoroti pelacak ovulasi MIA Fem. MIA Fem memiliki kebijakan privasi yang sama tidak jelas tetapi sejak itu memperbaruinya untuk mencerminkan data apa yang masuk ke mitra mana. Ini hanya aplikasi kesehatan terbaru untuk menyesuaikan kebijakan privasi setelah ditangkap berbagi data tanpa memberi tahu penggunanya.

Aplikasi pelacak ovulasi Flo berhenti berbagi data dengan Facebook setelah cerita Wall Street Journal mengekspos berbagi data serupa tanpa persetujuan. (Satu hal yang sama antara Flo, Maya, dan MIA Fem adalah bahwa mereka dibangun dengan Kit Pengembangan Perangkat Lunak (SDK) Facebook, yang memungkinkan pengembang menggabungkan fitur dan memungkinkan Facebook mengumpulkan data pengguna sehingga dapat menampilkan iklan yang ditargetkan. SDK Facebook telah di jantung banyak pelanggaran privasi lainnya.)

Kebijakan privasi yang menyesatkan

HealthEngine adalah aplikasi populer di Australia, digunakan oleh lebih dari 1,5 juta orang untuk menjadwalkan janji temu dokter. Investigasi baru-baru ini menemukan bahwa aplikasi berbagi informasi medis pribadi penggunanya dengan pengacara cedera lokal tanpa persetujuan mereka.

Pengguna ditanya apakah mereka pernah mengalami kecelakaan mobil atau mengalami cedera terkait pekerjaan. Jika mereka menjawab ya, aplikasi memberi tahu pengacara cedera tentang perincian masalah kesehatan mereka. Pada titik mana pun pengguna ditanya apakah mereka setuju agar data mereka dibagikan dengan pengacara, juga tidak ada yang menyebutkan data mereka dibagikan dengan pengacara dalam kebijakan privasi HealthEngine. Fakta bahwa data medis pribadi mereka akan dikirim ke firma hukum hanya diungkapkan dalam “Pernyataan Penagihan” yang terpisah. Satu-satunya cara pengguna dapat memilih keluar dari berbagi data ini adalah dengan tidak menggunakan aplikasi.

Di AS, aplikasi kesehatan Cardiio dan My Baby’s Beat dan aplikasi kebugaran Runtastic dipaksa untuk merevisi kebijakan privasi mereka setelah Jaksa Agung New York mengatakan mereka berbagi data dengan pihak ketiga tanpa persetujuan yang jelas..

Apa yang harus Anda lakukan untuk melindungi privasi Anda

Mungkin mengejutkan bahwa bahkan legal bagi aplikasi untuk membagikan informasi medis orang secara luas. Tetapi undang-undang privasi kesehatan AS, HIPAA, tidak berlaku untuk informasi yang dikumpulkan pelanggan untuk penggunaan mereka sendiri. Ini berarti, dalam sebagian besar kasus, aplikasi kebugaran tidak termasuk dalam peraturan.

Peraturan baru di AS yang secara khusus menargetkan aplikasi kebugaran dan kesehatan dapat mendorong pengembang untuk lebih bertanggung jawab dengan data sensitif, tetapi sejauh ini belum ada kemajuan. Upaya para senator AS untuk mencegah penjualan data kesehatan swasta ke perusahaan asuransi, pemberi pinjaman hipotek, dan pengusaha belum mengarah ke mana pun.

GDPR UE memang memberikan perlindungan karena membutuhkan persetujuan yang jelas dan jelas sebelum data dapat dibagikan. Ini merupakan ambang batas yang kemungkinan dilanggar Maya, mengingat bahwa itu tidak mencantumkan semua data yang dibagikan atau yang menerima data dalam kebijakan privasinya. Tetapi ini hanya berlaku untuk individu yang tinggal di Uni Eropa.

Cara terbaik untuk tetap pribadi saat menggunakan pelacakan kebugaran atau aplikasi pemantauan kesehatan adalah dengan mengambil masalah sendiri.

Ini adalah langkah paling penting yang dapat Anda ambil untuk tetap aman:

  1. Baca kebijakan privasi: Jika tidak eksplisit tentang data yang dibagikan dan organisasi yang dibagikan datanya, anggap semua data yang Anda masukkan ke dalam aplikasi itu dapat dibagikan dengan sejumlah pihak ketiga yang tidak dikenal. Jika Anda tidak nyaman dengan itu, cari aplikasi lain.
  2. Periksa apakah ada pengaturan privasi: Luangkan waktu untuk memeriksa pengaturan privasi. Mencegah aplikasi agar tidak membagikan data Anda baik, tetapi solusi paling pribadi adalah mencegahnya mengumpulkan data sejak awal.
  3. Batasi data yang Anda masukkan di aplikasi: Banyak dari aplikasi ini mengumpulkan lebih banyak data daripada yang diperlukan bagi mereka untuk melayani fungsi inti mereka. Pertanyaan apakah Anda perlu membagikan data itu untuk menggunakan aplikasi. Misalnya, tidak ada alasan pelacak ovulasi perlu mengetahui apakah Anda melakukan hubungan seks tanpa kondom agar berfungsi.
  4. Jika ragu, tanyakan: Jika Anda tidak yakin bagaimana sebuah perusahaan aplikasi kebugaran berencana untuk menggunakan data Anda, maka kirimkan mereka email dan tanyakan. (Dan jika Anda melakukannya, beri tahu kami apa yang mereka katakan!)

Aplikasi kebugaran dan kesehatan adalah alat hebat yang dapat membantu memotivasi Anda untuk tetap fit dan melacak kemajuan Anda. Tetapi Anda tidak harus membahayakan kesehatan digital Anda demi kesehatan fisik Anda. Penting untuk diperhatikan bahwa aplikasi yang Anda unduh dapat membahayakan privasi Anda.

salam Hormat,
Tim ProtonVPN

PEMBARUAN 1 November 2019: Google mengumumkan bahwa mereka akan membeli Fitbit sebesar $ 2,1 miliar. Ini meningkatkan kemungkinan Google mengakses data kesehatan Fitbit untuk iklan, tetapi eksekutif Google mengatakan ini tidak akan menjadi masalah. Dalam email ke pelanggan, CEO Fitbit menulis, “Kami tidak pernah menjual informasi pribadi Anda, dan data kesehatan dan kebugaran Fitbit tidak akan digunakan untuk iklan Google.” Kesepakatan itu diharapkan akan selesai beberapa waktu tahun depan.

Twitter | Facebook | Reddit | Instagram

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map