Kunto-sovellukset ovat yksityisyyden riski, tästä syystä

Viesti päivitettiin 31. lokakuuta 2019.


Kunto- ja terveyssovellukset on suunniteltu auttamaan sinua kirjaamaan ja määrittämään kuinka paljon liikut, mitä reseptilääkkeitä käytät, jopa mitä käytät ehkäisymenetelmiä. Vaikka nämä sovellukset voivat parantaa terveyttäsi, ne voivat myös vaarantaa yksityisyytesi. Pahimmissa tapauksissa he ovat asettaneet ihmiset fyysiseen vaaraan, kuten paljastamaan lenkkeilijöiden kotiosoitteita ja reaaliaikaisen sijainnin.

Monet näistä sovelluksista paljastavat arkaluontoisia tietoja tai jakavat niitä kymmenille kolmansille osapuolille, kuten Facebookille, antamatta käyttäjille kaikkia yksityisyydensuojakäytännössään olevia tietoja. Nämä tiedot voivat sisältää arkaluonteisia sijaintitietoja, luottamuksellisia lääketieteellisiä tietoja tai jopa erittäin henkilökohtaisia ​​tietoja, kuten se, onko sinulla suojaamatonta sukupuolta.

Tämäntyyppisten sovellusten suosio on räjähtää viimeisen viiden vuoden aikana. Pelkästään Fitbitillä oli vuonna 2018 yli 27 miljoonaa käyttäjää. Aiemmin tänä vuonna Strava väitti, että sillä oli 42 miljoonaa käyttäjää – ja että se lisäsi miljoona käyttäjää kuukaudessa. Ottaen huomioon näiden sovellusten keräämät arkaluontoiset tiedot ja heidän heikko tietojensa suojaaminen, nämä sovellukset uhkaavat huomattavasti käyttäjien yksityisyyttä.

Mitä kunto-sovellukset tietävät sinusta

Useimmissa kuntosovelluksissa, kuten Fitbit, Strava, MapMyRun, Nike + Run ja Asics Runkeeper, vain muutamia mainitakseni, on puhelin, joka synkronoidaan älypuhelimen kanssa. Tämä puettava laite voi kerätä tietyn määrän tietoja, mukaan lukien suoritettujen askelten lukumäärän, sykesi, missä matkustat ja milloin, painosi ja kun olet hereillä tai nukkumassa.

Terveydenseurannat ovat yleensä sovelluksia, jotka asennat puhelimeesi. He luottavat sinuun täyttämään lomakkeesi terveydestäsi tiedonkeruuta varten. Sen mukaan, mihin sovellukseen kohdistetaan, se voi vaihdella tavallisista terveyskysymyksistäsi (oletko loukkaantunut?) Melko arkaluontoisiin aiheisiin liittyviin kysymyksiin (käytätkö suojaa seksiäessasi?).

Tietoja voidaan rikkoa

Kunto-sovellusten valmistajat, kuten kaikki muutkin teollisuudenalat, ovat kärsineet tietojen rikkomuksista. UnderArmourin MyFitnessPal-ohjelmassa vuonna 2018 tapahtunut rikkomus on tähän mennessä suurin. Se paljasti yli 150 miljoonan käyttäjän käyttäjätunnukset, salasanat ja sähköpostiosoitteet. Vaikka hakkerit tyypillisesti seuraavat tietoja, he voivat helposti ansaita rahaa (kuten luottokorttisi numero), ajatus, että sijaintitiedot paljastettiin, on erityisen hankala. Koska lenkkeilijät ja pyöräilijät yleensä juoksevat ja ajavat missä asuvat, hyökkääjät voivat myös tunnistaa käyttäjän asuinpaikan tarkastelemalla sitä, missä suurin osa heidän reiteistään alkoi ja päättyi.

Mikään muista kunto- ja terveyssovelluksista ei ole kärsinyt merkittävää tietosuojarikkomusta. Valitettavasti voit tehdä vain vähän sen varmistamiseksi, että sovellus tallentaa tietosi vastuullisesti sen lisäksi, että jaat tietoja vain luottamiesi yritysten ja organisaatioiden kanssa.

Lisätietoja siitä, mitä tehdä, jos olet tietorikkomusten uhri.

Perimmäinen datakaivos

Tietojen jakaminen on ongelman ydin. Fitness-sovellusyrityksiä kannustetaan usein jakamaan arvokkaita reaaliaikaisia ​​terveystietojasi kolmansien osapuolten kanssa, olivatpa ne sitten mainostajia, lakiasiaintoimistoja tai sosiaalisia verkostoja, kuten Facebook, jotka hyötyvät arkaluontoisista tiedoista. Jos käyttäjät ovat täysin avoimia tietojen jakamisellesi tai tietosuoja-asetusten säätämiselle, käyttäjät saattavat epäillä todennäköisemmin luottavan sovelluksiin. Siksi kunto- ja terveyssovellusteollisuutta ovat tähän mennessä skandaalit kärsineet.

Sovellukselle tietojen jakamiseen on monia päteviä syitä. Se voi johtaa parempaan palveluun, jota käyttäjä haluaa. Laki voi sitä vaatia myös poliisitutkimuksiin. Sovellusten valmistajat eivät kuitenkaan aina pidä arkaluonteisten tietojen yksityisyyttä ensisijaisena tavoitteena.

On kolme päätapaa, joilla kunto- ja terveyssovellukset väärinkäyttävät tietojasi:

  1. Ne paljastavat tiedot heti laatikosta. Jos käyttäjät haluavat käyttää näitä sovelluksia ja suojata heidän yksityisyyttään, heidän on päivitettävä sovelluksen tai älypuhelimen tietosuoja-asetukset, mitä harvat käyttäjät tekevät.
  2. Heidän tietosuojakäytännöt ovat epämääräisiä. Tietosuojakäytäntö, jonka mukaan “Voimme jakaa tietosi sponsoreidemme ja / tai liikekumppaneidemme kanssa”, ei anna käyttäjälle tarpeeksi tietoa tietoon perustuvan päätöksen tekemiseen..
  3. Heidän yksityisyydensuojakäytännöt ovat harhaanjohtavia. Joissain tapauksissa sovellukset eivät paljasta, miten tietoja käytetään heidän tietosuojakäytännössään. He piilottavat sen erilliseen asiakirjaan tai peittävät sen hämmentävään legaliin. Muilla, pienemmillä terveyssovelluksilla ei ehkä ole lainkaan tietosuojakäytäntöä.

Heikko tietosuoja-asetukset

Hyvä esimerkki ensimmäisestä ongelmasta on kunto-sovellus Strava ja sen Beacon-ominaisuus, joka pettäe pyöräilijöiden ja juoksijoiden reaaliaikaisen sijainnin. Tämä on tehnyt sovelluksesta kultakaivoksen varkaille.

Näin se toimii. Strava yhdistää kuntoseurannan sosiaalisen median alustaan, jonka avulla käyttäjät voivat kilpailla ja olla vuorovaikutuksessa keskenään. Jotta Strava toimisi, se tarvitsee pääsyn ja luvan sijaintitietojesi jakamiseen. Siinä on myös “FlyBy” -ominaisuus, jonka avulla voit etsiä muita Stravan käyttäjiä, jotka näit tai ohitit ajettaessa.

Sinun ei kuitenkaan tarvitse olla Stravan käyttäjä päästäksesi alustalle tai etsimään reittejä. Kun reitti on valittu, voit selvittää kenelle se kuuluu, katsoa kyseisen henkilön profiilia ja nähdä, mihin muuhun he todennäköisesti ajavat. Tietoja voidaan usein käyttää kotien etsimiseen. Tämä ongelma esiintyy vähäisemmässä määrin myös MapMyRun, Nike + Run ja kaikki sovellukset, jotka seuraavat suorituksiasi ja joiden avulla voit jakaa kyseiset tiedot.

Vaikka tiedotusvälineet kiinnittivät sotilasalan tukikohtia, jotka olivat alttiina sotilaiden lenkkeilyreiteille Stravan “HeatMap” -ominaisuuden avulla, näitä tietoja voitiin käyttää etsimään ja seuraamaan kaikkia Stravan käyttäjiä.

Stravan lämpökarttatietovuoto vain paheni paljon:

– Tiedot voidaan poistaa nimettöminä
– Sisältää korkean turvallisuuden armeijan tiloissa olevien ihmisten nimet ja juoksureitit
– Pikahaku näyttää 50 Yhdysvaltain henkilöstön nimet Afganistanissa sijaitsevassa tukikohdassa
https://t.co/JZCi7sINf8

– WIRED UK (@WiredUK) 29. tammikuuta 2018

Vuonna 2014 lainvalvonta katsoi polkupyörävarkauksien jyrkän nousun Yhdistyneessä kuningaskunnassa varkaille käyttämällä Stravan tietoja. Sama asia tapahtui jälleen vuonna 2018.

”En usko, että monet ihmiset tietävät, että nämä kartoitussovellukset voivat periaatteessa antaa valtavan määrän tietoa mahdolliselle varaslle. Joten meidän on saatava ihmiset tarkistamaan yksityisyytensä ”, sanoi poliisi Adam Lang, joka tutki pyörävarkauksia vuonna 2018.

Stravassa on yksityisyyden suoja. Valitettavasti harvat käyttäjät aktivoivat heidät, ja kodin sijainnin paljastaminen vie vain muutaman erän. Lisäksi joidenkin tietosuojaominaisuuksien, kuten ”FlyBy” -ominaisuuden, aktivoiminen heikentää sovelluksen käytettävyyttä.

Epämääräiset tietosuojakäytännöt

Yllä oleva esimerkki – “Voimme jakaa tietosi sponsoriemme ja / tai liikekumppaneidemme kanssa” – ei ole hypoteettinen. Se tulee ovulaatioseurantaja Mayan tietosuojakäytännöstä, jolla väitetään olevan yli kahdeksan miljoonaa käyttäjää ympäri maailmaa. Nämä eivät ole riittäviä tietoja, jotta käyttäjä voi antaa tietoisen suostumuksensa. Mikään Majaan käytäntö ei sisällä luetteloa siitä, minkä tyyppisiä tietoja he jakavat tai minkä organisaatioiden kanssa he jakavat sitä.

Tämä koskee erityisesti sitä, millaista tietoa Maya kerää, ja se sisältää tietoja mielialasta, siitä, millaista ehkäisyä käytät, harrastatko seksiä ja käytätkö suojausta. Privacy Internationalin raportti paljasti epämääräisen politiikan ja sen, että Maya jakaa tietoja useiden kolmansien osapuolten, kuten Facebookin, kanssa. Raportissa korostettiin myös ovulaation seurantalaitetta MIA Fem. MIA Femillä oli yhtä epämääräinen tietosuojakäytäntö, mutta se on sittemmin päivittänyt sen vastaamaan mitä tietoja kullekin kumppanille menee. Se on vain viimeisin terveyssovellus, joka mukauttaa tietosuojakäytäntöään sen jälkeen, kun hän on saanut jakaa tietoja jakamatta tietoa käyttäjille.

Flo-ovulaatioseurantaohjelma lopetti tietojen jakamisen Facebookin kanssa, kun Wall Street Journal -juttu paljasti samanlaisen tiedonjaon ilman suostumusta. (Yksi asia, jolla Flo, Maya ja MIA Fem ovat yhteisiä, on, että ne rakennettiin Facebookin SDK-ohjelmiston avulla, jonka avulla kehittäjät voivat sisällyttää ominaisuuksia ja antaa Facebookin kerätä käyttäjätietoja, jotta se voi näyttää kohdennettuja mainoksia. Facebookin SDK on ollut monien muiden yksityisyyden loukkausten ytimessä.)

Harhaanjohtava tietosuojakäytäntö

HealthEngine on Australiassa suosittu sovellus, jota yli 1,5 miljoonaa ihmistä käyttää aikataulujen järjestämiseen lääkärille. Äskettäisessä tutkimuksessa havaittiin, että sovellus jakoi käyttäjiensä yksityisiä lääketieteellisiä tietoja paikallisille vamma lakimiehille ilman heidän suostumustaan.

Käyttäjiltä kysyttiin, olivatko he olleet mukana auto-onnettomuudessa vai kärsineetkö työhön liittyviä vammoja. Jos he vastasivat kyllä, sovellus ilmoitti vahinkolakimiehille heidän terveysongelmiensa yksityiskohdista. Missään vaiheessa käyttäjiltä ei kysytty, suostuiko he jakamaan tietojaan asianajajien kanssa, eikä HealthEnginen tietosuojakäytännössä ollut mitään mainintaa heidän tietojensa jakamisesta lakimiesten kanssa. Se, että heidän yksityisiä lääketieteellisiä tietojasi lähetetään lakitoimistoille, paljastettiin vain erillisessä keräyslausunnossa. Ainoa tapa, jolla käyttäjät voivat hylätä tiedonjaon, oli olla käyttämättä sovellusta.

Yhdysvalloissa terveyssovellukset Cardiio ja My Baby’s Beat ja kunto-sovellus Runtastic pakotetaan tarkistamaan tietosuojakäytäntönsä sen jälkeen kun New Yorkin oikeusministeri ilmoitti jakavansa tietoja kolmansien kanssa ilman selkeää suostumusta..

Mitä sinun pitäisi tehdä yksityisyytesi suojelemiseksi

Voi olla yllättävää, että on jopa laillista, että sovellukset jakavat ihmisten lääketieteellisiä tietoja niin laajasti. Mutta Yhdysvaltain HIPAA-terveyslakia ei sovelleta tietoihin, joita asiakkaat keräävät omaan käyttöön. Tämä tarkoittaa, että useimmissa tapauksissa kunto-sovellukset eivät kuulu asetuksen soveltamisalaan.

USA: n uudet säännökset, jotka kohdistuvat erityisesti kunto- ja terveyssovelluksiin, voivat rohkaista kehittäjiä olemaan vastuullisempia arkaluonteisten tietojen kanssa, mutta toistaiseksi edistystä ei ole tapahtunut. Yhdysvaltojen senaattorien pyrkimykset estää yksityisten terveystietojen myyntiä vakuutuksenantajille, asuntolainanantajille ja työnantajille eivät ole johtaneet mihinkään.

EU: n GDPR tarjoaa jonkin verran suojaa, koska se vaatii tietoisen ja yksiselitteisen suostumuksen ennen tietojen jakamista. Tämä kynnysarvo, jota maya todennäköisesti rikkoo, kun otetaan huomioon, että se ei lueta kaikkia tietoja, jotka se jakaa, tai sitä, kuka tiedot vastaanottaa tietosuojakäytännössään. Mutta tämä koskee vain Euroopan unionissa asuvia henkilöitä.

Paras tapa pysyä yksityisenä kunto-seurannan tai terveyden seurannan sovelluksia käytettäessä on ottaa asiat omissa käsissäsi.

Nämä ovat tärkeimmät vaiheet, jotka voit tehdä pysyäksesi turvassa:

  1. Lue tietosuojakäytäntö: Jos ei ole selkeästi, mitä tietoja se jakaa ja minkä organisaatioiden kanssa se jakaa tietoja, oletetaan, että kaikki kyseiseen sovellukseen antamasi tiedot voidaan jakaa minkä tahansa määrän tuntemattomia kolmansia osapuolia. Jos et pidä siitä, etsi toinen sovellus.
  2. Tarkista, onko tietosuoja-asetuksia: Ota aikaa tarkistaaksesi yksityisyysasetukset. Sovelluksen jakamisen tietojen estäminen on hyvä, mutta yksityisin ratkaisu on estää sitä keräämästä tietoja.
  3. Rajoita sovellukseen syöttämiäsi tietoja: Monet näistä sovelluksista keräävät enemmän tietoa kuin on tarpeen heidän suorittamiseksi ydintoiminnossa. Kysymys siitä, onko sinun jaettava kyseiset tiedot sovelluksen käyttämiseksi. Esimerkiksi, ei ole mitään syytä, jonka vuoksi ovulaation seurannan on tiedettävä, jos sinulla on suojaamatonta seksiä, jotta se toimisi.
  4. Jos olet epävarma, kysy: Jos et ole varma kuinka kuntosovellusyritys aikoo käyttää tietojasi, lähetä heille sähköpostia ja kysy. (Ja jos teet niin, kerro meille mitä he sanovat!)

Kunto- ja terveyssovellukset ovat hienoja työkaluja, joiden avulla voit motivoida sinua pysymään kunnossa ja seuraamaan edistymistäsi. Mutta sinun ei tarvitse joutua vaarantamaan digitaalista terveyttäsi fyysisen terveyden vuoksi. On tärkeää tietää, että lataamasi sovellukset voivat vaarantaa yksityisyytesi.

Parhain terveisin,
ProtonVPN-joukkue

PÄIVITYS 1. marraskuuta 2019: Google ilmoitti ostavansa Fitbitin 2,1 miljardilla dollarilla. Tämä nostaa mahdollisuuden, että Google voi käyttää Fitbitin terveystietoja mainontaan, mutta Googlen avainhenkilöt ovat todenneet, että näin ei ole. Fitbitin toimitusjohtaja kirjoitti asiakkaille osoitetussa sähköpostiviestissä: “Emme koskaan myy henkilökohtaisia ​​tietojasi, eikä Fitbitin terveys- ja hyvinvointitietoja käytetä Google-mainoksiin.” Kaupan odotetaan valmistuvan jonkin aikaa ensi vuonna.

Twitter | Facebook | Reddit | Instagram

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map