Ứng dụng tập thể dục là một rủi ro cho sự riêng tư của bạn, ở đây, tại sao

Bài đăng này đã được cập nhật vào ngày 31 tháng 10 năm 2019.


Các ứng dụng thể dục và sức khỏe được thiết kế để giúp bạn ghi lại và định lượng số lượng bạn tập thể dục, loại thuốc bạn dùng, thậm chí cả phương pháp kiểm soát sinh sản bạn sử dụng. Mặc dù các ứng dụng này có thể giúp cải thiện sức khỏe của bạn, nhưng chúng cũng có thể gây nguy hiểm cho quyền riêng tư của bạn. Trong những trường hợp xấu nhất, họ đã đưa mọi người vào tình trạng nguy hiểm về thể chất, như tiết lộ địa chỉ nhà của người chạy bộ và địa điểm thời gian thực.

Nhiều ứng dụng trong số này tiết lộ thông tin nhạy cảm hoặc chia sẻ nó với hàng chục bên thứ ba, bao gồm cả Facebook, mà không cung cấp cho người dùng chi tiết đầy đủ trong chính sách bảo mật của họ. Thông tin này có thể bao gồm dữ liệu vị trí nhạy cảm, dữ liệu y tế bí mật hoặc thậm chí thông tin cá nhân cao, như bạn có quan hệ tình dục không được bảo vệ hay không.

Những loại ứng dụng này đã bùng nổ phổ biến trong năm năm qua. Năm 2018, riêng Fitbit đã có hơn 27 triệu người dùng. Đầu năm nay, Strava tuyên bố họ có 42 triệu người dùng và họ đã thêm một triệu người dùng mỗi tháng. Với dữ liệu nhạy cảm mà các ứng dụng này thu thập và hồ sơ bảo vệ dữ liệu kém này, các ứng dụng này có mối đe dọa đáng kể đến quyền riêng tư của người dùng.

Những ứng dụng thể dục nào biết về bạn

Hầu hết các ứng dụng thể dục, như Fitbit, Strava, MapMyRun, Nike + Run và Asics Runkeeper, chỉ cần đặt tên cho một số ít, có một thiết bị đeo được đồng bộ với điện thoại thông minh của bạn. Thiết bị đeo được đó có thể thu thập một kho thông tin, bao gồm số bước bạn thực hiện, nhịp tim, nơi bạn đi du lịch và khi nào, cân nặng của bạn và khi bạn thức hay ngủ.

Theo dõi sức khỏe nói chung là các ứng dụng mà bạn cài đặt trên điện thoại. Họ dựa vào bạn để điền vào các biểu mẫu về sức khỏe của bạn để thu thập dữ liệu. Tùy thuộc vào những gì ứng dụng đang nhắm mục tiêu, nó có thể bao gồm từ các câu hỏi tiêu chuẩn về sức khỏe của bạn (Bạn có bị thương không?) Cho đến các câu hỏi về các chủ đề khá nhạy cảm (Bạn có sử dụng biện pháp bảo vệ khi bạn quan hệ tình dục không?).

Dữ liệu này có thể bị vi phạm

Các nhà sản xuất ứng dụng thể hình, giống như mọi ngành công nghiệp khác, đã bị vi phạm dữ liệu. Vi phạm tấn công UnderArmour từ MyFitnessPal vào năm 2018 là lớn nhất cho đến nay. Nó tiết lộ tên người dùng, mật khẩu và địa chỉ email của hơn 150 triệu người dùng. Mặc dù tin tặc thường theo dõi dữ liệu nhưng chúng có thể dễ dàng kiếm tiền (như số thẻ tín dụng của bạn), ý nghĩ rằng dữ liệu vị trí bị lộ là đặc biệt rắc rối. Cho rằng người chạy bộ và người đi xe đạp thường chạy và đi xe ở nơi họ sống, những kẻ tấn công cũng có thể xác định nơi người dùng sống bằng cách nhìn vào nơi phần lớn các tuyến đường của họ bắt đầu và kết thúc.

Không có ứng dụng thể dục và sức khỏe lớn nào khác bị vi phạm dữ liệu lớn. Thật không may, bạn có thể làm rất ít việc để đảm bảo ứng dụng lưu trữ dữ liệu của bạn một cách có trách nhiệm bên cạnh việc chỉ chia sẻ dữ liệu với các công ty và tổ chức mà bạn tin tưởng.

Tìm hiểu thêm về những việc cần làm nếu bạn là nạn nhân của vi phạm dữ liệu.

Mỏ dữ liệu cuối cùng

Chia sẻ dữ liệu là mấu chốt của vấn đề. Các công ty ứng dụng thể dục thường được khuyến khích chia sẻ dữ liệu sức khỏe thời gian thực có giá trị của bạn với các bên thứ ba, cho dù họ là nhà quảng cáo, công ty luật hoặc mạng xã hội như Facebook thu lợi từ thông tin nhạy cảm của bạn. Nếu họ hoàn toàn minh bạch về cách dữ liệu của bạn được chia sẻ hoặc cách điều chỉnh cài đặt quyền riêng tư của bạn, người dùng có thể sẽ ít tin tưởng các ứng dụng hơn. Đó là lý do tại sao, cho đến nay, ngành công nghiệp ứng dụng thể dục và sức khỏe đã bị tai tiếng.

Có nhiều lý do hợp lệ để một ứng dụng chia sẻ dữ liệu. Nó có thể dẫn đến dịch vụ tốt hơn mà người dùng muốn. Nó cũng có thể được yêu cầu bởi pháp luật cho điều tra của cảnh sát. Nhưng các nhà sản xuất ứng dụng don lồng luôn coi quyền riêng tư của thông tin nhạy cảm của bạn là ưu tiên hàng đầu.

Có ba cách chính ứng dụng tập thể dục và sức khỏe lạm dụng dữ liệu của bạn:

  1. Họ tự động để lộ dữ liệu ngay lập tức. Nếu người dùng muốn sử dụng các ứng dụng này và bảo vệ quyền riêng tư của họ, họ phải cập nhật cài đặt quyền riêng tư trong ứng dụng hoặc trên điện thoại thông minh của họ, điều mà ít người dùng làm.
  2. Chính sách bảo mật của họ rất mơ hồ. Chính sách bảo mật nêu rõ, chúng tôi có thể chia sẻ thông tin của bạn với các nhà tài trợ và / hoặc đối tác kinh doanh của chúng tôi, không cung cấp cho người dùng đủ thông tin để đưa ra quyết định sáng suốt.
  3. Chính sách bảo mật của họ là sai lệch. Trong một số trường hợp, các ứng dụng không tiết lộ cách sử dụng dữ liệu trong chính sách bảo mật của chúng. Họ giấu nó trong một tài liệu riêng biệt hoặc ngụy trang nó trong luật pháp khó hiểu. Khác, các ứng dụng sức khỏe nhỏ hơn có thể không có chính sách bảo mật.

Cài đặt quyền riêng tư mặc định yếu

Một ví dụ điển hình cho vấn đề đầu tiên là ứng dụng thể dục Strava và tính năng Beacon của nó, phản bội vị trí thời gian thực của người đi xe đạp và người chạy. Điều này đã biến ứng dụng này thành một mỏ vàng cho những tên trộm.

Ở đây, cách thức hoạt động của nó. Strava kết hợp theo dõi tập thể dục với một nền tảng truyền thông xã hội cho phép người dùng của mình cạnh tranh và tương tác với nhau. Để Strava hoạt động, nó cần quyền truy cập và sự cho phép để chia sẻ dữ liệu vị trí của bạn. Nó cũng có một tính năng của Fly FlyBy, cho phép bạn tìm kiếm những người dùng Strava khác mà bạn đã thấy hoặc đã qua trong khi chạy.

Tuy nhiên, bạn không cần phải là người dùng Strava để truy cập nền tảng hoặc tra cứu tuyến đường. Khi một tuyến đường được chọn, bạn có thể tìm ra nó thuộc về ai, nhìn vào hồ sơ cá nhân đó và xem nơi nào khác có khả năng họ sẽ chạy. Dữ liệu này thường có thể được sử dụng để xác định vị trí nhà người dân. Vấn đề này cũng xuất hiện ở mức độ thấp hơn đối với MapMyRun, Nike + Run và bất kỳ ứng dụng nào theo dõi hoạt động của bạn và cho phép bạn chia sẻ dữ liệu đó.

Trong khi các phương tiện truyền thông cố định trên các căn cứ quân sự bị lộ ra bởi các binh sĩ, các tuyến đường chạy bộ với tính năng của Strava, có thể sử dụng dữ liệu này để tìm và theo dõi bất kỳ người dùng Strava nào.

Vụ rò rỉ dữ liệu bản đồ nhiệt Strava trở nên tồi tệ hơn nhiều:

– Dữ liệu có thể được ẩn danh
– Bao gồm tên và tuyến đường chạy của người dân tại các cơ sở quân sự an ninh cao
– Một tìm kiếm nhanh cho thấy tên của 50 nhân viên Mỹ tại một căn cứ ở Afghanistan
https://t.co/JZCi7sINf8

– WIRED UK (@WiredUK) ngày 29 tháng 1 năm 2018

Năm 2014, cơ quan thực thi pháp luật quy kết sự gia tăng mạnh mẽ các vụ trộm xe đạp ở Anh cho những tên trộm sử dụng dữ liệu của Strava. Điều tương tự lại xảy ra vào năm 2018.

Tôi không nghĩ rằng rất nhiều người biết rằng các ứng dụng bản đồ này về cơ bản có thể cung cấp một lượng thông tin khổng lồ cho một tên trộm. Vì vậy, chúng tôi cần phải có người kiểm tra quyền riêng tư của họ, ông Adam Lang, một sĩ quan cảnh sát đã xem xét vụ trộm xe đạp năm 2018.

Strava đi kèm với kiểm soát riêng tư. Thật không may, ít người dùng kích hoạt chúng và chỉ mất vài lần chạy để lộ vị trí nhà bạn. Hơn nữa, kích hoạt một số tính năng bảo mật, như vô hiệu hóa tính năng của Fly FlyBy, làm giảm khả năng sử dụng của ứng dụng.

Chính sách bảo mật mơ hồ

Ví dụ trên – Quảng cáo Chúng tôi có thể chia sẻ thông tin của bạn với các nhà tài trợ của chúng tôi và / hoặc đối tác kinh doanh của họ – không phải là giả thuyết. Nó xuất phát từ chính sách quyền riêng tư của người theo dõi rụng trứng Maya, người tuyên bố có hơn tám triệu người dùng trên toàn thế giới. Đây không phải là thông tin đầy đủ để người dùng đưa ra sự đồng ý của họ. Không nơi nào trong chính sách Maya, họ liệt kê loại dữ liệu họ chia sẻ hoặc tổ chức nào họ chia sẻ dữ liệu đó.

Điều này đặc biệt liên quan đến việc xem xét loại dữ liệu Maya thu thập, bao gồm thông tin về tâm trạng của bạn, loại biện pháp tránh thai nào bạn đang sử dụng, cho dù bạn có quan hệ tình dục và liệu bạn có đang sử dụng biện pháp bảo vệ hay không. Một báo cáo của Privacy International đã tiết lộ chính sách mơ hồ và thực tế là Maya đang chia sẻ dữ liệu với một số bên thứ ba, bao gồm cả Facebook. Báo cáo cũng nhấn mạnh máy theo dõi rụng trứng MIA Fem. MIA Fem có một chính sách quyền riêng tư mơ hồ không kém nhưng kể từ đó đã cập nhật nó để phản ánh dữ liệu nào được gửi tới đối tác nào. Đây chỉ là ứng dụng sức khỏe mới nhất để điều chỉnh chính sách bảo mật của mình sau khi bị bắt gặp chia sẻ dữ liệu mà không thông báo cho người dùng..

Ứng dụng theo dõi rụng trứng Flo đã ngừng chia sẻ dữ liệu với Facebook sau khi câu chuyện trên Phố Wall tiết lộ việc chia sẻ dữ liệu tương tự mà không có sự đồng ý. (Một điểm chung của Flo, Maya và MIA Fem là chúng được xây dựng với Bộ công cụ phát triển phần mềm (SDK) của Facebook, cho phép các nhà phát triển kết hợp các tính năng và cho phép Facebook thu thập dữ liệu người dùng để có thể hiển thị quảng cáo được nhắm mục tiêu. SDK của Facebook đã được tại trung tâm của nhiều vi phạm quyền riêng tư khác.)

Chính sách bảo mật gây hiểu lầm

HealthEngine là một ứng dụng phổ biến ở Úc, được hơn 1,5 triệu người sử dụng để sắp xếp các cuộc hẹn với bác sĩ. Một cuộc điều tra gần đây cho thấy ứng dụng này đã chia sẻ người dùng của mình..

Người dùng được hỏi liệu họ có liên quan đến một vụ tai nạn xe hơi hay bị chấn thương liên quan đến công việc. Nếu họ trả lời có, ứng dụng đã thông báo cho các luật sư về thương tích về các chi tiết về các vấn đề sức khỏe của họ. Người dùng được hỏi liệu họ có đồng ý chia sẻ dữ liệu của họ với luật sư hay không, cũng không có bất kỳ đề cập nào về dữ liệu của họ được chia sẻ với luật sư trong chính sách quyền riêng tư của HealthEngine. Việc dữ liệu y tế tư nhân của họ sẽ được gửi đến một công ty luật chỉ được tiết lộ trong Tuyên bố Bộ sưu tập riêng biệt. Cách duy nhất người dùng có thể từ chối chia sẻ dữ liệu này là không sử dụng ứng dụng.

Tại Mỹ, các ứng dụng sức khỏe Cardiio và My Baby Từ Beat và ứng dụng thể dục Runtastic đang bị buộc phải sửa đổi chính sách bảo mật của họ sau khi Tổng chưởng lý New York cho biết họ đang chia sẻ dữ liệu với bên thứ ba mà không có sự đồng ý rõ ràng.

Bạn nên làm gì để bảo vệ sự riêng tư của mình

Điều đáng ngạc nhiên là nó thậm chí còn hợp pháp cho các ứng dụng chia sẻ thông tin y tế của mọi người. Nhưng luật riêng tư về sức khỏe của Hoa Kỳ, HIPAA, không áp dụng cho thông tin mà khách hàng thu thập để sử dụng. Điều này có nghĩa, trong phần lớn các trường hợp, ứng dụng thể dục không thuộc quy định.

Các quy định mới ở Mỹ đặc biệt nhắm mục tiêu các ứng dụng thể dục và sức khỏe có thể khuyến khích các nhà phát triển có trách nhiệm hơn với dữ liệu nhạy cảm, nhưng cho đến nay vẫn chưa có bất kỳ tiến triển nào. Những nỗ lực của các thượng nghị sĩ Hoa Kỳ trong việc ngăn chặn việc bán dữ liệu sức khỏe tư nhân cho các công ty bảo hiểm, người cho vay thế chấp và chủ lao động đã không dẫn đến bất cứ nơi nào.

GDPR EU EU cung cấp một số bảo vệ ở chỗ nó đòi hỏi phải có sự đồng ý rõ ràng và rõ ràng trước khi dữ liệu có thể được chia sẻ. Đây là một ngưỡng mà Maya có khả năng vi phạm, vì nó không liệt kê tất cả dữ liệu mà nó chia sẻ hoặc ai nhận được dữ liệu trong chính sách bảo mật của nó. Nhưng điều này chỉ áp dụng cho các cá nhân sống trong Liên minh châu Âu.

Cách tốt nhất để giữ riêng tư trong khi sử dụng các ứng dụng theo dõi sức khỏe hoặc theo dõi sức khỏe là đưa vấn đề vào tay bạn.

Đây là những bước quan trọng nhất bạn có thể thực hiện để giữ an toàn:

  1. Đọc chính sách bảo mật: Nếu nó không rõ ràng về dữ liệu mà nó chia sẻ và tổ chức nào nó chia sẻ dữ liệu, giả sử rằng tất cả dữ liệu bạn nhập vào ứng dụng đó có thể được chia sẻ với bất kỳ số lượng bên thứ ba không xác định nào. Nếu bạn cảm thấy thoải mái với điều đó, hãy tìm một ứng dụng khác.
  2. Kiểm tra nếu có cài đặt quyền riêng tư: Dành thời gian để kiểm tra các thiết lập quyền riêng tư. Ngăn ứng dụng chia sẻ dữ liệu của bạn là tốt, nhưng giải pháp riêng tư nhất là ngăn ứng dụng thu thập dữ liệu ngay từ đầu.
  3. Giới hạn dữ liệu bạn nhập trong ứng dụng: Nhiều ứng dụng trong số này thu thập nhiều dữ liệu hơn mức cần thiết để phục vụ chức năng cốt lõi của chúng. Câu hỏi liệu bạn có cần chia sẻ dữ liệu đó để sử dụng ứng dụng. Ví dụ, không có lý do gì một người theo dõi rụng trứng cần biết nếu bạn có quan hệ tình dục không được bảo vệ để nó hoạt động.
  4. Khi nghi ngờ, hãy hỏi: Nếu bạn chắc chắn làm thế nào một công ty ứng dụng thể dục có kế hoạch sử dụng dữ liệu của bạn, sau đó gửi email cho họ và hỏi. (Và nếu bạn làm thế, hãy cho chúng tôi biết những gì họ nói!)

Ứng dụng thể dục và sức khỏe là những công cụ tuyệt vời có thể giúp thúc đẩy bạn giữ dáng và theo dõi tiến trình của bạn. Nhưng bạn không nên gây nguy hiểm cho sức khỏe kỹ thuật số của bạn vì lợi ích sức khỏe thể chất của bạn. Điều quan trọng là phải biết rằng các ứng dụng bạn tải xuống có thể gây nguy hiểm cho quyền riêng tư của bạn.

Trân trọng,
Nhóm ProtonVPN

CẬP NHẬT ngày 1 tháng 11 năm 2019: Google tuyên bố sẽ mua Fitbit với giá 2,1 tỷ USD. Điều này làm tăng khả năng Google truy cập dữ liệu sức khỏe của Fitbit, để quảng cáo, nhưng các giám đốc của Google đã nói rằng điều này sẽ không xảy ra. Trong một email gửi cho khách hàng, CEO của Fitbit, đã viết, chúng tôi không bao giờ bán thông tin cá nhân của bạn và dữ liệu sức khỏe và sức khỏe của Fitbit sẽ không được sử dụng cho quảng cáo của Google. Thỏa thuận này dự kiến ​​sẽ được hoàn thành một thời gian vào năm tới.

Twitter | Facebook | Reddit | Instagram

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map