Уже месяц Facebook пытается отбиться от обвинений в утечке личных данных пользователей. Coda собрала примеры коммерческой слежки за нами, по сравнению с которыми скандал с Facebook — новость уровня газеты «Сельская новь».
На работе
«Facebook «слил» данные пользователей компании Cambridge Analytica», — читаем мы на работе заметку на сайте Guardian, New York Times или «Дождя». Мы разделяем возмущение журналистов, но не знаем, что их СМИ точно так же сдают всю информацию о нашем поведении сторонним компаниям. Ведь на 80% всех сайтов Интернета стоят так называемые «трекеры» — специальные программные коды, которые отслеживают действия посетителей.
В 2017 году самым распространенным «трекером» в мировом масштабе был сервис Google Analytics (46,4% всех сайтов). Facebook Connect работает на 22% всех ресурсов, Twitter Button — на 9%. В России почти половину ресурсов оккупировал сервис «Яндекс.Метрика», вторыми по охвату стали спецустройства от Mail.Ru Group, которой принадлежит одноименный почтовый сервис и соцсети «ВКонтакте» и «Одноклассники». Кроме того, сбор информации ведется через «трекеры» рекламных сетей.
Учетом этих невидимых шпионов занимается сервис Ghostery — специальное расширение для браузера, которое любого, даже самого спокойного человека сделает параноиком. Например, по данным Ghostery, на сайте либерального Guardian работают три уникальных трекера, в том числе Facebook.
Ирония мира тотальной слежки: о том, кто прочитают очередную разоблачительную статью про Cambridge Analytica, Guardian по умолчанию докладывает команде Цукерберга.
У не менее критичного «Дождя» работают восемь трекеров, причем не только Facebook, но и сервиса Liveinternet Германа Клименко — консервативного советника президента Владимира Путина.
В интернет-приемной сайта Следственного комитета, где мы, по идее, должны оставаться один на один с нашим заявлением, за нами следят «Яндекс», Liveinternet, рекламная компания «Видео Интернешнл» и ребята из стартапа Pluso — сервиса по установке красивых кнопок «Поделиться в соцсетях». Портал МВД рапортует о своих посетителях вражескому Twitter, министерства обороны — не менее враждебному Google. Полностью вычищены от сторонних глаз только сайты ФСБ и СВР: там любят наблюдать за гражданами самостоятельно.
Дома
Вы приходите домой, заказываете пиццу и включаете сериал. Однако смена местоположения не означает, что вы скрылись от многочисленных сторонних наблюдателей: они по-прежнему успешно идентифицируют вас как того самого человека, который днем на работе читал про скандал с Cambridge Analytica.
Трекеры передают информацию о cookies — информации о поведении пользователя на конкретном сайте. Cookies привязаны к браузеру на определенном устройстве — стационарном компьютере, ноутбуке или мобильном телефоне. Таким образом, в теории вы с пиццей дома и вы со статьей про Facebook на работе — разные люди или, точнее, разные cookies. Однако у следящих за нами есть целый набор инструментов, как совместить воедино разрозненные данные.
Google, «Яндекс» и Mail.Ru Group видят, с каким устройств человек заходит в свою почту, складывают все наши cookies на полочку, а потом соединяют с данными, поступившими через трекеры. Нет проблем и у Facebook: мы практически всегда остаемся залогиненными в наш аккаунт, чтобы не пропустить свежий «лайк» или сообщение. Например, вы покупаете билет в Иркутск на сайте «Аэрофлота», а потом внезапно видите у себя в ленте Instagram рекламу местной гостиницы. Как такое возможно? Просто «Аэрофлот» установил у себя трекер Facebook, который сначала узнал, куда вы летите, а потом догнал вас в принадлежащем ему Instagram.
Впрочем, не обязательно быть монстром IT-индустрии, чтобы знать о вас все. Частные DMP-платформы (от английского data management platform) и крупные рекламные компании аккумулируют от нескольких сотен до одного миллиарда cookies — при том что всего их в Рунете насчитывается около 1,8 миллиарда. Все наше поведение складывается в так называемые «аудиторные сегменты» — список пристрастий и материальных характеристик. Можно только удивиться их глубине — достаточно зарегистрироваться на платформе myTarget от Mail.Ru Group, и с ее помощью в два клика старгетировать рекламу для кого угодно «ВКонтакте» или в «Одноклассниках».
От вполне рыночных сегментов («клиенты интернет-магазинов косметических товаров» или «владельцы телефонов Apple») возможности таргетирования растут до деталей личной жизни (планирует свадьбу, ждет ребенка, имеет ребенка от 1 до 3 лет) и сложных психических характеристик — например, «интроверты» (6,8 млн человек в сегменте), «экстраверты» (6,8 млн), «склонные к импульсивности» (6,8 млн) или «склонные к самоконтролю» (6,6 млн).
В соцсетях
Параллельно с просмотром сериала, вы посматриваете в соцсети и заглядываете в Tinder в телефоне. Последний вообще не существует вне мобильного приложения, но это не мешает сторонним наблюдателям заглянуть в ваш профиль.
Для составления многоуровневых портретов не обязательно иметь доступ к cookies. Любой мало-мальски образованный программист может написать программу для так называемого «парсинга» — сбора общедоступной информации специальными ботами. Эти боты путешествуют по одной или нескольким соцсетям и складируют по полочкам все публичную активность человека — имя и фамилия, возраст, его комментарии, геометки, лайки и даже телефон с e-mail’ом, если вы по неосторожности указали их где-то. С Tinder вопрос решается просто: вас «свайпит» не живой человек, а все тот же робот.
Например, московская компания Social Data Hub, которая активно работает по заказу государственных органов, рассказывает на своем сайте, что обладает слепками российского сегмента соцсетей за последние 7 лет. В их число, помимо «ВКонтакте», и «Одноклассников», входят Facebook, Instagram, Twitter, YouTube и Tinder. К этой информации добавляются также наши отзывы на Booking.com и Airbnb, а также объявления на Avito.
«Парсинг» настолько распространенная и доступная услуга, что каждый может проверить на себе его возможности. Например, на сайте soc-soft.com можно заказать список участников любой группы в Facebook: если нам нужны только ID, то придется заплатить 25 копеек за аккаунт. Если, помимо ID, нужны имя, фамилия, регион проживания и, при возможности, телефон с днем рождения, то тогда цена вырастает до 1 рубля. Минимальный заказ — 1000 аккаунтов.
Coda в качестве эксперимента заказала список из участников закрытой журналистской группы «Здравствуйте, дорогая редакция»: 250 рублей и несколько часов ожидания — и список ID пришел на почту.
Помимо парсинга, есть еще один способ коммерческой слежки, никак не связанной с cookies. Еще несколько лет назад большинство крупных провайдеров, включая «Ростелеком» и МГТС, продавали сторонним компаниями так называемый clickstream — весь поток интернет-трафика абонентов, за исключением защищенных https-соединений. В 2015 году Роскомнадзор прошел по операторам с косой в руках, оштрафовав всех, кто работал на рынке clickstream. Тогда-то и выяснилось, что на нем зарабатывало и ПАО «Центральный телеграф».
ПАО «Центральный телеграф» обеспечивает доступ в Интернет для таких структур, как администрация президента, министерство обороны и МВД, указано на сайте самой компании. Покупателем столь солидного clickstream было ЗАО «Орбита», долей в которой владела американо-сингапурская компания Phorm.
Таким образом, несколько лет трафик наших чиновников, так пекущихся о безопасности Интернета, сливался на сторону.
В магазине
Вы ходите по торговому центру и думаете: «Ну, хорошо, Google или «Яндекс», может, увидят, что я здесь был, но узнают, что я здесь делал». На самом деле, все ваши метания от джинсов Colin's к брюкам Reserved видны операторам общественного Wi-Fi — даже если вы не подключаетесь к их сети.
Современные роутеры оборудованы специальными «маячками», которые фиксируют идентификаторы всех телефонов (mac-адреса) со включенной функцией «поиск Wi-Fi». Точность такова, что, например, владелец конкретного магазина в огромном торговой центре может установить, кто именно заходил к нему, в каком отделе находился и сколько времени провел. Эта информация нужна для того же таргетирования рекламы: и «Яндекс», и Mail.Ru Group принимают список mac-адресов в качестве клиентской базы для открутки рекламы. В таком случае собственники магазина могут проверить эффективность кампании, проанализировав, кто из тех, кому показали ролик в Интернете, в итоге пришел за покупкой.
В метро
Самая полная информация о наших перемещениях, конечно же, есть у АО «МаксимаТелеком» — оператора бесплатного Wi-Fi в метро Москвы и Санкт-Петербурга. Стандартный набор характеристик каждого своего клиента компания случайно раскрыла сама: недавно программист Владимир Серов обнаружил, что до последнего времени в коде страницы авторизации указывались такие параметры, как пол, примерный возраст, семейное положение, уровень дохода, точки стандартного маршрута «дом — работа».
«МаксимаТелеком» не передает собранные данные на сторонние площадки, в основном монетизируя их в своей рекламной сети. Рекламодатель может прийти к ней с базой своих клиентов, а та найдет их в метро и открутит ролики в тот момент, когда они попробуют подключиться к бесплатной сети. Например, в 2017 году сеть пекарен «Хлеб насущный» передала «МаксимаТелеком» 50 тысяч телефонных номеров своих клиентов, который оформили карты лояльности, но перестали приходить за выпечкой. Им показали рекламу в сети, и 2% вскоре пришли за покупками.
В банке
Вы прочитали предыдущие главы, ужаснулись, сменили место жительства и поклялись больше никогда не выходить в Интернет из дома. Похвальное желание, однако от тотальной слежки оно вас не спасет.
Сотовые операторы видят местоположение своих клиентов с точностью до нескольких десятков метров, измеряя расстояние от ближайшей базовой станции. Эта информация активно монетизируется ими, например, в при оказании услуг скоринга — оценке потенциального заемщика по заказу финансовых организаций. С учетом строгих требований закона «О связи», напрямую операторы не раскрывают информацию об абонентах. Банки отправляют им номера мобильных телефонов, а затем обратно приходят таблицы с числовыми значения — ответами на поставленные вопросы.
Например, для того, чтобы понять, настоящий ли домашний адрес оставил заемщик, используется следующая формулировка: «Абонентское устройство клиента в ночное время создавало нагрузку на базовые станции в районе, совпадающем с указанным адресом». В ответ оператор присылает либо цифру 0 («нет»), либо 1 («да»). Аналогичным образом раскрывается размер ежемесячных платежей на связь, частота смены мобильного устройства, частота использования услуг связи в роуминге.
Если размер ежемесячных платежей за связь — не самый красноречивый показатель финансового состояния человека, то почти все о его доходах скажут его sms, которые он получает от банков и интернет-магазинов. Услуги рассылки информационных сообщений оказывают специальные технологические платформы: никакой банк не будет заключать отдельные договора с каждым из сотовых операторов. Несколько таких платформ известны на рынке данных тем, что анализируют проходящие через них sms и монетизируют эту информацию. Кто-то делает это более-менее легально: у MFMS есть своеобразный «котел», в который банки, сотрудничающие с этой платформой, сбрасывают все информационные sms своих клиентов.
Покопавшись в этом котле, любая финансовая организация, подключенная к услуге, сможет быстро оценить, сколько реально зарабатывает человек и как он эти деньги тратит.
Впрочем, официально речь идет об обезличенной информации. Все игроки рынка данных в принципе любят подчеркивать, что их не интересует конкретный человек, а их совокупность, объединенная общими признаками — интересом к конкретному товару, местом жительства или уровнем дохода. А на вопрос, можно ли спрятаться от коммерческой слежки, обычно с улыбкой отвечают: «Это практически невозможно».
Текст: Вячеслав Владимиров. Иллюстрации: Алессандра Куньо, Гоги Камушадзе